Πότε μια επιχείρηση δύναται να χρησιμοποιεί gps;

Ποιοι είναι οι κανόνες που πρέπει να εφαρμόζουν οι επιχειρήσεις που δύνανται να τοποθετούν gps στα εταιρικά αυτοκίνητα
· Επιτρέπεται η χρήση gps για παρακολούθηση της μεταφοράς ατόμων ή αγαθών ή της βελτίωσης της διανομής πόρων για υπηρεσίες σε διασκορπισμένες περιοχές ή για την ασφάλεια του εργαζομένου ή των εμπορευμάτων ή των οχημάτων που έχουν ανατεθεί σε εργαζομένους

· Απαγορεύεται η χρήση του gps πέραν του ωραρίου απασχόλησης

· Απαγορεύεται η χρήση των συλλεγόμενων δεδομένων ως αποκλειστικά κριτήρια αξιολόγησης της αποδοτικότητας των εργαζομένων

· Ο χρόνος τήρησης των δεδομένων δεν θα πρέπει να υπερβαίνει τον ένα μήνα

· Η πρόσβαση στα τηρούμενα δεδομένα πρέπει να γίνεται από εξουσιοδοτημένα προς τούτο πρόσωπα

· Εφαρμογή τεχνικών ψευδωνυμοποίησης / κωδικοποίησης ή κρυπτογράφησης

· Ατομική ενημέρωση του εργαζομένου για τον σκοπό επεξεργασίας, το είδος των καταγραφόμενων δεδομένων, το χρόνο τήρησής τους και τη διαδικασία άσκησης εκ μέρους του εργαζομένου του δικαιώματος πρόσβασης

· Δικαίωμα πρόσβασης του εργαζομένου στα συλλεγόμενα δεδομένα

Συστήματα γεωεντοπισμού: Προϋποθέσεις νόμιμης λειτουργίας τους

Σύµφωνα µε το άρθρο 2 του ν. 2472/1997, η πληροφορία σχετικά µε τη γεωγραφική θέση, στην οποία βρίσκεται ένα άτοµο σε µία ή περισσότερες χρονικές στιγµές, αποτελεί προσωπικό δεδοµένο, εφόσον το εν λόγω άτοµο µπορεί να αναγνωριστεί µε άµεσο ή έµµεσο τρόπο από τον υπεύθυνο επεξεργασίας ή από τρίτο µε εύλογα µέσα. Ειδικότερα, η ανωτέρω πληροφορία µπορεί να οδηγήσει στον εντοπισµό ή/και στην παρακολούθησή του ατόµου σε πραγµατικό ή µη χρόνο, ενώ µέσω της σύνδεσης της γεωγραφικής θέσης ενός ατόµου µε συγκεκριµένες ενέργειες ή δραστηριότητές του, είναι δυνατό να αποκαλύπτονται προσωπικά δεδοµένα σχετικά µε τις συνήθειες ή τις προτιµήσεις του, επιτρέποντας τον χαρακτηρισµό του και τη δηµιουργία προφίλ συµπεριφοράς. Ο προσδιορισµός της γεωγραφικής θέσης µπορεί να γίνει µέσω ηλεκτρονικών συστηµάτων γεωγραφικού εντοπισµού εκ των οποίων το πιο συνηθισμένο είναι το Παγκόσµιο ∆ίκτυο Εντοπισµού Θέσης (GPS).

Επίσης, δυνάμει της Γνώµης 5/2005 της Οµάδας Εργασίας του άρθρου 29 για τη χρήση δεδοµένων θέσης µε σκοπό την παροχή υπηρεσιών προστιθέµενης αξίας, η επεξεργασία δεδοµένων που επιτρέπει στον εργοδότη να συλλέγει στοιχεία σχετικά µε τον εντοπισµό της θέσης του εργαζόµενου, είτε άµεσα (εντοπισµός της θέσης του ίδιου του εργαζόµενου) είτε έµµεσα (εντοπισµός της θέσης του οχήµατος που χρησιµοποιεί ο εργαζόµενος ή προϊόντος ή περιουσιακού στοιχείου που του έχει χρεωθεί) συνεπάγεται τη χρήση δεδομένων προσωπικού χαρακτήρα και υπόκειται στις διατάξεις της Οδηγίας 95/46/ΕΚ.

Η νοµιµότητα της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα µέσω συστηµάτων γεωγραφικού εντοπισµού εξαρτάται από τον σκοπό που επιδιώκει ο υπεύθυνος επεξεργασίας και από το εάν θίγεται η αρχή της αναλογικότητας. Όταν η λειτουργία συστηµάτων γεωγραφικού εντοπισµού αφορά στο πεδίο των εργασιακών σχέσεων, το βασικό ζήτηµα που εγείρεται, κατά την εφαρµογή της αρχής της αναλογικότητας, είναι ο βαθµός θεµιτής παρακολούθησης και εποπτείας, στον οποίο επιτρέπεται να υποβάλλεται ο εργαζόµενος κατά τη διάρκεια της εργασίας του (µέσω της παρακολούθησης της γεωγραφικής του θέσης). Σύμφωνα με την Οδηγία 115/2001 της Αρχής, αναφορικά µε την επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων, τα δεδοµένα που συλλέγονται µέσω ενός συστήµατος

γεωεντοπισμού δεν επιτρέπεται να χρησιµοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συµπεριφοράς και της αποδοτικότητας των εργαζοµένων.

Μάλιστα, δεδομένου ότι ο εργαζόµενος συνήθως δεν δύναται να παρέχει έγκυρη συγκατάθεση στον εργοδότη για την επεξεργασία των δεδοµένων προσωπικού του χαρακτήρα, η νοµική βάση για τέτοιου είδους επεξεργασίες δεν θα πρέπει να θεωρείται η συγκατάθεση εξαιτίας της φύσης της εργασιακής σχέσης (Γνώµη 2/2017 της Οµάδας Εργασίας του άρθρου 292). Ειδικότερα, σχετικά με την νοµιµότητα της λειτουργίας συστηµάτων γεωγραφικού εντοπισµού στον τοµέα των εργασιακών σχέσεων, όπως τονίζεται στη Γνώµη 5/20054 της Οµάδας Εργασίας του άρθρου 292, η νοµιµότητα της συγκεκριµένης επεξεργασίας δεν θα πρέπει να βασίζεται αποκλειστικά στη συγκατάθεση των εργαζοµένων και ενδεχοµένως, ο πιο ενδεδειγµένος τρόπος εξασφάλισης της συγκατάθεσης θα ήταν µέσω συλλογικών συµβάσεων.

Επίσης, στην υπ’ αρ. 37/2019 Απόφαση της Αρχής, αναφέρεται ότι στην έννοια της επεξεργασίας που είναι απολύτως αναγκαία για την ικανοποίηση του εννόµου συµφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας εµπίπτουν οι περιπτώσεις της παρακολούθησης της µεταφοράς ατόµων ή αγαθών ή της βελτίωσης της διανοµής πόρων για υπηρεσίες σε διασκορπισµένες περιοχές ή όταν επιδιώκεται ένας στόχος που αφορά στην ασφάλεια του ίδιου του εργαζοµένου ή των εµπορευµάτων ή των οχηµάτων που έχουν ανατεθεί στους εργαζοµένους. Αντίθετα, η επεξεργασία προσωπικών δεδοµένων µέσω συστήµατος γεωεντοπισµού κρίνεται υπέρµετρη, όταν οι εργαζόµενοι δεν είναι ελεύθεροι να οργανώσουν τις λεπτοµέρειες του ταξιδιού τους ή όταν αυτή πραγµατοποιείται µε αποκλειστικό σκοπό την παρακολούθηση της εργασίας του εργαζοµένου, αν αυτή µπορεί να πραγµατοποιηθεί µε ηπιότερα µέσα. Σε κάθε περίπτωση, τονίζεται ότι η συλλογή προσωπικών δεδοµένων δεν πρέπει να πραγµατοποιείται πέραν του ωραρίου απασχόλησης, ενώ οι εργοδότες δεν θα πρέπει να χρησιµοποιούν τις συσκευές για τον εντοπισµό ή την παρακολούθηση της συµπεριφοράς ή της θέσης οδηγών ή άλλων µελών του προσωπικού. Περαιτέρω, ο χρόνος τήρησης των δεδοµένων δεν θα πρέπει να είναι µεγαλύτερος από αυτόν που απαιτείται για την πραγµατοποίηση του σκοπού επεξεργασίας και σε κάθε περίπτωση να µην ξεπερνά τον ένα µήνα. Ο υπεύθυνος

επεξεργασίας οφείλει να λαµβάνει τα απαραίτητα µέτρα ασφάλειας για την προστασία των δεδοµένων και να εξασφαλίζει ότι η πρόσβαση στα τηρούµενα δεδοµένα θα γίνεται από εξουσιοδοτηµένα προς τούτο πρόσωπα. Επιπροσθέτως, πρέπει να εφαρµόζονται οι κατάλληλες τεχνικές ψευδωνυµοποίησης/κωδικοποίησης ή κρυπτογράφησης. Ο εργοδότης οφείλει να ενηµερώνει τους εργαζοµένους για το σκοπό επεξεργασίας, το είδος των καταγραφόµενων δεδοµένων, το χρόνο τήρησής τους και τη διαδικασία άσκησης εκ µέρους του εργαζόµενου του δικαιώµατος πρόσβασης. Η ενηµέρωση πρέπει να είναι ατοµική και να πιστοποιείται µε εύλογο τρόπο. Τέλος, ο εργαζόµενος έχει δικαίωµα πρόσβασης στα συλλεγόµενα δεδοµένα.