Στον εργασιακό τομέα τίθεται συχνά το ερώτημα κατά πόσο νομιμοποιούνται οι εργοδότες να επεξεργάζονται τα προσωπικά δεδομένα των υπαλλήλων τους όπως π.χ. τα εταιρικά emails τους χωρίς να παραβιάζουν τον GDPR ή γενικότερα τη νομοθεσία που προστατεύει την ιδιωτικότητα τους.

Η εταιρική ηλεκτρονική αλληλογραφία αναπόφευκτα περιλαμβάνει προσωπικά δεδομένα των εργαζόμενων. Σε περίπτωση που ο υπάλληλος  μίας εταιρείας θελήσει να ασκήσει το δικαίωμα πρόσβασης (right of access) του GDPR είναι αμφίβολο κατά πόσο ο εργοδότης θα μπορεί να ικανοποιήσει το αίτημα εντός 30 ημερών όπως ορίζει η νομοθεσία,  και παράλληλα να φροντίσει να χορηγήσει αντίγραφα της αλληλογραφίας, η οποία ενδεχομένως θα περιλαμβάνει προσωπικά δεδομένα τρίτων προσώπων, εμπιστευτικές πληροφορίες και εταιρικά μυστικά και τα οποία έχει επίσης υποχρέωση να προστατεύσει.

Σε πρόσφατη υπόθεση της Δανίας, πρώην υπάλληλος υπέβαλλε αίτημα πρόσβασης στα προσωπικά του δεδομένα. Η Αρχή Προστασίας Δεδομένων της Δανίας έκρινε ότι το αίτημα ήταν υπερβολικά εκτεταμένο και ότι οι προσωπικές πληροφορίες, για παράδειγμα, τα μηνύματα ηλεκτρονικού ταχυδρομείου που σχετίζονται με την εργασία, αφορούν πρωτίστως την εργασιακή  λειτουργία ενός υπαλλήλου στη θέση όπου έχει τοποθετηθεί από τον εργοδότη του. Δικαίωσε επομένως τον εργοδότη που αρνήθηκε να ικανοποιήσει το αίτημα, ωστόσο, τόνισε ότι οι εργοδότες δεν μπορούν γενικά να αρνούνται να εξετάσουν το αίτημα και να αγνοήσουν τελείως τα μηνύματα ηλεκτρονικού ταχυδρομείου εργασίας, καθώς μπορεί να υπάρχουν περιπτώσεις όπου γνωρίζουν ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου εργασίας περιέχουν προσωπικά δεδομένα διαφορετικά από αυτά που είναι απολύτως απαραίτητα για την εκτέλεση του ρόλου (π.χ. εάν εκφράζεται καθαρά προσωπική γνώμη, σε αντίθεση με μια επαγγελματική αξιολόγηση).

Η ελληνική νομολογία δεν διαφέρει δηλαδή από αυτή της Δανίας. Κρίνει ότι, ενώ οι εργαζόμενοι έχουν μια εύλογη προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν αίρεται από το γεγονός ότι χρησιμοποιούν εξοπλισμό, συσκευές επικοινωνιών ή οποιεσδήποτε άλλες επαγγελματικές εγκαταστάσεις και υποδομές του εργοδότη (π.χ. δίκτυο ηλεκτρονικών επικοινωνιών, Wi-Fi, εταιρικές ηλεκτρονικές διευθύνσεις αλληλογραφίας κ.λπ.), ο εργοδότης -ασκώντας το διευθυντικό του δικαίωμα για την προστασία της περιουσίας και της εύρυθμης λειτουργίας της επιχείρησης- δικαιούται να ασκεί έλεγχο επί των ηλεκτρονικών μέσων επικοινωνίας που παρέχει στους εργαζόμενους για την εργασία τους. Αυτός ο έλεγχος μπορεί να διενεργείται μόνο εφόσον η συναφής επεξεργασία είναι αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο εργοδότης και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του εργαζομένου, χωρίς να θίγονται οι θεμελιώδεις ελευθερίες αυτού κατ’ άρθ. 6 παρ. 1 εδ. στ’ GDPR, τηρουμένης πάντοτε της αρχής της αναλογικότητας.

Με βάση όμως τη νομολογία, απαραίτητη προϋπόθεση είναι να έχει ενημερωθεί ο εργαζόμενος έστω και για τη δυνατότητα ελέγχου (βλ. αναλυτικά ΑΠΔΠΧ 34/2018). Η ίδια νομική βάση και προσέγγιση υιοθετείται και από την νομολογία του ΕΔΔΑ (βλ. απόφαση Barbulescu v. Romania της 05-9-2017).

Πόσο μπορεί ο εργοδότης να έχει τον απόλυτο έλεγχο των δεδομένων της ηλεκτρονικής αλληλογραφίας αλλά και πόσο ο εργαζόμενος θα δικαιούται επικαλούμενος τον GDPR να κάνει κατάχρηση του χρόνου και της εύρυθμης λειτουργίας μίας επιχείρησης;

Ο GDPR από μόνος του δεν δίνει σαφή απάντηση εφόσον παρέχει δικαιώματα και στις δύο κατηγορίες των υποκειμένων για την επεξεργασία προσωπικών δεδομένων. Από τη μία δίνει τη δυνατότητα στους εργαζόμενους να ασκήσουν το δικαιωμα πρόσβασης και από την άλλη οι εργοδότες δικαιούνται να αρνηθούν να το ικανοποιήσουν!

Θα εξαρτηθεί επομένως από τον τρόπο που κάθε επιχείρηση, φορέας ή οργανισμός έχει ορίσει τις εσωτερικές του πολιτικές και διαδικασίες και φυσικά πώς έχει ενημερώσει τα φυσικά πρόσωπα σχετικά με την επεξεργασία των προσωπικών τους δεδομένων.

Τα βασικά βήματα επομένως για την αντιμετώπιση αυτής της σύγκρουσης συμφερόντων που ανακύπτει στον εργασιακό χώρο είναι τα εξής:

1. Εφαρμογή της αρχή της διαφάνειας από τους εργοδότες: Οι υπάλληλοι θα πρέπει να γνωρίζουν (μέσω της αντίστοιχης πολιτικής απορρήτου) ότι η εταιρεία θα διατηρήσει την πρόσβαση στα εισερχόμενά τους μόλις φύγουν. Η επιλογή της νομικής βάσης επεξεργασίας θα ορίζεται ρητά.
2. Αντίστοιχα, η νόμιμη βάση, ο σκοπός της επεξεργασίας και η περίοδος διατήρησης ηλεκτρονικού ταχυδρομείου θα είναι καταγεγραμμένα στο αρχείο δραστηριοτήτων επεξεργασίας που υποχρεωτικά θα τηρεί ο εργοδότης.
3. Η επιλογή της νομικής βάσης της συγκατάθεσης θα πρέπει να αποφεύγεται εφόσον στις περισσότερες περιπτώσεις δεν μπορεί να θεωρηθεί ότι δίνεται ελεύθερα.
4. Προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου που σχετίζονται με τους υπαλλήλους,  όπως π.χ. μηνύματα σχετικά με την απουσία ασθένειας που απευθύνονται αποκλειστικά στο τμήμα προσωπικού, θα πρέπει να φυλάσσονται σε ξεχωριστό φάκελο, ο οποίος και θα ακολουθεί ξεχωριστό χρόνο διατήρησης σε σχέση με τα λοιπά εταιρικά ηλεκτρονικά μηνυμάτα. Αυτό θα διευκόλυνε και τη διαγραφή τέτοιων μηνυμάτων ηλεκτρονικού ταχυδρομείου, καθώς και την απάντηση σε ένα αίτημα πρόσβασης του υποκειμένου των δεδομένων.

Το νομικό πλαίσιο του GDPR δεν εφαρμόζεται για να εμποδίσει τη λειτουργία των επιχειρήσεων και των οργανισμών. Όταν εφαρμόζεται σωστά, είναι εκεί για να σταματήσει ανεπιθύμητες συμπεριφορές και να αυξήσει την εμπιστοσύνη ανάμεσα στους εργοδότες, τους υπαλλήλους τους, τους προμηθευτές και τους πελάτες τους.