Υπηρεσίες Διαχείρισης Στόλου Οχημάτων & Προσωπικά Δεδομένα

Οι υπηρεσίες διαχείρισης στόλου οχημάτων δίνουν τη δυνατότητα στους “χρήστες” τους με τη χρήση ειδικής τεχνολογίας να ενημερώνονται σε πραγματικό χρόνο για τη γεωγραφική θέση του εκάστοτε οχήματος “φέροντος” την συσκευή γεωεντοπισμού.

Ο απαραίτητος εξοπλισμός για την παροχή των υπηρεσιών διαχείρισης στόλου συνήθως συνίσταται αφενός σε μία συσκευή διαχείρισης στόλου, που περιλαμβάνει κάρτα SIM για τη σύνδεση με δίκτυο κινητής τηλεφωνίας ή δυνατότητα σύνδεσης στο διαδίκτυο μέσω Wi-Fi, σύστημα γεωγραφικού προσδιορισμού θέσης (GPS), και αφετέρου σε ένα λογισμικό σύστημα, που εγκαθίσταται στον διακομιστή (server) του παρόχου της υπηρεσίας και καταγράφει το γεωγραφικό στίγμα των “φερόντων” οχημάτων σε πραγματικό χρόνο. Εκτός από την παροχή του στίγματος του “φέροντος” οχήματος, τέτοιες υπηρεσίες μπορεί να προσφέρουν και πρόσθετα χαρακτηριστικά, όπως ενδεικτικά :

  • Κατάρτιση αναλυτικών στατιστικών ως προς την θέση και κίνηση του “φέροντος” οχήματος (λ.χ. κατανάλωση καυσίμων, ταχύτητα και μοτίβα κίνησης / συμπεριφοράς).
  • Δυνατότητα ειδοποίησης του “χρήστη”, όταν συντρέχουν συγκεκριμένες συνθήκες (λ.χ. με την έξοδο από ορισμένη γεωγραφική ζώνη ή δρομολόγιο ή την υπέρβαση ταχύτητας).
  • Ενεργοποίηση δυνατότητας καταγραφής ήχου σε ορισμένες περιστάσεις.

Οι υπηρεσίες διαχείρισης στόλου δύνανται να είναι πολύ χρήσιμες για επιχειρήσεις, που παρέχουν υπηρεσίες μεταφορών, διανομών ή πωλήσεων εκτός εμπορικού καταστήματος. Εντούτοις, οι εκτεταμένες τεχνολογικές τους δυνατότητες δημιουργούν ζητήματα σε σχέση με την ιδιωτικότητα των εργαζομένων, τα δεδομένα των οποίων καταγράφονται. Οι συνέπειες της επιτήρησης στους εργαζομένους δεν είναι καθόλου αμελητέες. Είναι κοινώς αποδεκτό ότι η επιτήρηση μεταβάλλει τη συμπεριφορά των εργαζομένων και δημιουργεί σοβαρή ψυχολογική πίεση κατά τον εργάσιμο χρόνο. Ακριβώς λοιπόν επειδή περιορίζονται θεμελιώδη δικαιώματα των εργαζομένων, ο νόμος ναι μεν δεν απαγορεύει την χρήση υπηρεσιών διαχείρισης στόλου, θέτει όμως αυστηρές προϋποθέσεις για τη νομιμότητά τους.

Ορισμοί
Κατ’ αρχάς, προσωπικό δεδομένο θεωρείται κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο, του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική (άρθρο 2α και γ Ν. 2472/1997).

Η γεωγραφική θέση, στην οποία βρίσκεται ένα άτομο σε μία ή περισσότερες χρονικές στιγμές, αποτελεί προσωπικό δεδομένο, εφόσον το εν λόγω άτομο μπορεί να αναγνωριστεί με άμεσο ή έμμεσο τρόπο από τον υπεύθυνο επεξεργασίας ή από τρίτο με εύλογα μέσα.  Ειδικότερα, η ανωτέρω πληροφορία μπορεί να οδηγήσει στον εντοπισμό ή/και στην παρακολούθησή του ατόμου σε πραγματικό ή μη χρόνο, ενώ μέσω της σύνδεσης της γεωγραφικής θέσης ενός ατόμου με συγκεκριμένες ενέργειες ή δραστηριότητές του, είναι δυνατό να αποκαλύπτονται προσωπικά δεδομένα σχετικά με τις συνήθειες ή τις προτιμήσεις του, επιτρέποντας τον χαρακτηρισμό του και τη δημιουργία προφίλ συμπεριφοράς (ΑΠΔΠΧ Αποφ 162, 163, 165/2014 και 37/2019, Γνώµη 5/2005 της Οµάδας Εργασίας του άρθρου 29).

Κάθε εργασία ή σειρά εργασιών που πραγματοποιείται με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή και η καταστροφή, συνιστά επεξεργασία προσωπικών δεδομένων (άρθρο 2 α’ και δ’ Ν. 2472/1997). Επομένως και η συλλογή, καταγραφή, επικοινωνία, αποθήκευση, επεξεργασία, συσχέτιση και διαγραφή δεδομένων, που εκτελείται κατά την παροχή υπηρεσιών διαχείρισης στόλου, συνιστά επεξεργασία προσωπικών δεδομένων με βάση τον Ν. 2472/1997 (ΑΠΔΠΧ Αποφ 37/2019, Γνώµη 5/2005 της Οµάδας Εργασίας του άρθρου 29).

Υποκείμενο προσωπικών δεδομένων είναι κάθε φυσικό πρόσωπο, στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική (άρθρο 2 γ’ Ν. 2472/1997). Είναι λοιπόν προφανές ότι οι φέροντες τελικές συσκευές διαχείρισης στόλου, συνήθως εργαζόμενοι, των οποίων τα δεδομένα καταγράφονται, αποτελούν υποκείμενα δεδομένων και έχουν τα αντίστοιχα δικαιώματα του Ν. 2472/1997.

Υπεύθυνος επεξεργασίας προσωπικών δεδομένων είναι οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός (άρθρο 2 ζ’ Ν. 2472/1997). Τέτοιο πρόσωπο, που φέρει και τις αντίστοιχες υποχρεώσεις του υπευθύνου επεξεργασίας σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία, είναι ο χρήστης υπηρεσιών διαχείρισης στόλου.

Εκτελών την επεξεργασία είναι οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός (άρθρο 2 η’ Ν. 2472/1997). Τέτοιο πρόσωπο, που φέρει και τις αντίστοιχες υποχρεώσεις του εκτελούντος την επεξεργασία σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία, είναι και ο πάροχος υπηρεσιών διαχείρισης στόλου.

Νομικό Πλαίσιο
Το Ελληνικό Σύνταγμά αναγνωρίζει ως θεμελιώδες το δικαίωμα του καθενός στην προστασία από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων (9Α Σ).

Η λειτουργία συστημάτων διαχείρισης στόλου και η παρεπόμενη μέσω αυτών επεξεργασία προσωπικών δεδομένων εμπίπτει στο πεδίο εφαρμογής του άρθρου 9Α του Συντάγματος και του εκτελεστικού αυτού Νόμου 2472/1997 “για την προστασία δεδομένων προσωπικού χαρακτήρα”, με τον οποίο ενσωματώθηκε στην Ελληνική έννομη τάξη η Οδηγία 95/46/ΕΚ.

Το Νόμιμο ή μη της Χρήσης Συστήματος Διαχείρισης Στόλου
Η επεξεργασία προσωπικών δεδομένων κατ’ αρχήν δεν επιτρέπεται χωρίς την ελεύθερη και πληροφορημένη συγκατάθεση του υποκειμένου των δεδομένων (άρθρο 5 § 1 του Ν. 2472/1997). Εντούτοις, στις εξουσιαστικές σχέσεις εργοδότη – εργαζομένου οποιαδήποτε τυχόν τέτοια συγκατάθεση δεν πληρεί τις προϋποθέσεις του νόμου ως προς το ελεύθερο αυτής και δεν επιφέρει τις σκοπούμενες συνέπειες για την νομιμοποίηση της χρήσης συστημάτων διαχείρισης στόλου (Οδηγία 115/2001 της ΑΠΔΠΧ, τμήμα Γ, παρ. 4).

Κατ’ εξαίρεση, η επεξεργασία προσωπικών δεδομένων δύναται να νομιμοποιείται και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, εφόσον είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας και υπό τον όρο ότι ο σκοπός αυτός υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών (άρθρο 5 παρ. 2 ε’ Ν. 2472/1997).

Έτσι, η χρήση συστήματος διαχείρισης στόλου δύναται να είναι νόμιμη, εφόσον είναι απολύτως αναγκαία για θεμιτούς και νόμιμους σκοπούς του εργοδότη. Τέτοιοι σκοποί είναι η παρακολούθηση της μεταφοράς ατόμων ή αγαθών ή ο εξορθολογισμός των δαπανών και ο ορθός σχεδιασμός των διαδρομών ή η βελτίωση της διανομής πόρων για υπηρεσίες σε διασκορπισμένες περιοχές ή όταν επιδιώκεται ένας στόχος που αφορά στην ασφάλεια του ίδιου του εργαζομένου ή των εμπορευμάτων ή των οχημάτων, που έχουν ανατεθεί στους εργαζομένους (Γνώμη υπ’ αρ. 13/2001 της Ομάδας Εργασίας του Άρθρου 29, υπ’ αρ. 162, 163, 165/2014 αποφάσεις ΑΠΔΠΧ). Αντίθετα, απαγορεύεται η η χρήση συστημάτων διαχείρισης στόλου για τον σκοπό της εποπτείας των εργαζομένων και της βελτίωσης της παραγωγικότητας αυτών (άρθρο 7 Οδηγίας 1/2011 ΑΠΔΠΧ, Γνωμοδότηση 4/2004 της Ομάδας Εργασίας του Άρθρου 29 για την επεξεργασία προσωπικών δεδομένων μέσω βιντεοεπιτήρησης).

Ακόμη όμως και αν είναι νόμιμοι και θεμιτοί, οι παραπάνω σκοποί πρέπει να εναρμονίζονται με την αρχή της αναλογικότητας, με βάση την οποία η επεξεργασία προσωπικών δεδομένων κατά τη χρήση πρέπει να είναι πρόσφορη, αναλογική και αναγκαία σε σχέση με τον επιδιωκόμενο σκοπό, ο οποίος και δεν μπορεί να επιτυγχάνεται με ηπιότερα και εξίσου αποτελεσματικά μέσα (ΑΠΔΠΧ Αποφ 37/2019).

Στο πλαίσιο αυτό η επεξεργασία προσωπικών δεδομένων κρίνεται υπέρμετρη, όταν οι εργαζόμενοι δεν είναι ελεύθεροι να οργανώσουν τις λεπτομέρειες της ακολουθούμενης διαδρομής τους ή όταν αυτή πραγματοποιείται με αποκλειστικό σκοπό την παρακολούθηση της εργασίας του εργαζομένου, εφόσον αυτή μπορεί να πραγματοποιηθεί με ηπιότερα μέσα (ΑΠΔΠΧ Αποφ 37/2019). Αντίθετα, αν οι εργαζόμενοι είναι ελεύθεροι να οργανώσουν τις λεπτομέρειες της ακολουθούμενης διαδρομής τους και η χρήση συστήματος διαχείρισης στόλου είναι όχι μόνο αναγκαία αλλά και το πλέον ηπιότερο μέσο για τον προγραμματισμό σε πραγματικό χρόνο των βέλτιστων δυνατών διαδρομών, για τον έλεγχο της κατανάλωσης καυσίμων καθώς και για την επιμέλεια της συντήρησης των οχημάτων, σε αυτή την περίπτωση έχει κριθεί ότι η λειτουργία συστήματος διαχείρισης στόλου είναι νόμιμη (υπ’ αρ. 163/2014 απόφαση της ΑΠΔΠΧ).

Σε κάθε περίπτωση, τονίζεται ότι η συλλογή προσωπικών δεδομένων δεν πρέπει να πραγματοποιείται πέραν του ωραρίου απασχόλησης, ενώ οι εργοδότες δεν θα πρέπει να χρησιμοποιούν τις συσκευές για τον εντοπισμό ή την παρακολούθηση της συμπεριφοράς ή της θέσης οδηγών ή άλλων μελών του προσωπικού (Οδηγία 115/2001 της ΑΠΔΠΧ, παρ. 1, υπ’ αρ. 162, 163, 165/2014 και 37/2019 αποφάσεις της ΑΠΔΠΧ).  Επιπλέον, τα δεδομένα, που συλλέγονται μέσω ενός τέτοιου συστήματος, δεν επιτρέπεται να χρησιμοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων (Οδηγία 115/2001 της ΑΠΔΠΧ, παρ. 6 – 8).

Υποχρεώσεις Εργοδότη – Χρήστη Υπηρεσιών Διαχείρισης Στόλου
Ο εργοδότης – χρήστης υπηρεσιών διαχείρισης στόλου χαρακτηρίζεται ως υπεύθυνος επεξεργασίας από τον νόμο και φέρει τις ακόλουθες υποχρεώσεις σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία:

  1. Υποχρέωση Γνωστοποίησης Αρχείου (άρθρο 6 Ν. 2472/1997) – Για τη διασφάλιση της νόμιμης συλλογής και επεξεργασίας προσωπικών δεδομένων ο εργοδότης οφείλει να γνωστοποιήσει προηγουμένως στην ΑΠΔΠΧ τη σύσταση αρχείου προσωπικών δεδομένων.
  2. Υποχρέωση Ενημέρωσης Υποκειμένου Δεδομένων (άρθρο 11 Ν. 2472/1997) – Ο χρήστης του συστήματος διαχείρισης στόλου οφείλει να ενημερώνει τους εργαζομένους του κατ’ ελάχιστο για α) την ακριβή περιγραφή του σκοπού για τον οποίο θα υφίστανται επεξεργασία τα δεδομένα γεωγραφικής θέσης, β) το είδος των προσωπικών δεδομένων που θα υφίστανται επεξεργασία (γεωγραφικής θέση κ.α.), γ) τον χρόνο τήρησης των δεδομένων, καθώς και δ) τη διαδικασία άσκησης εκ μέρους των εργαζομένων του δικαιώματος πρόσβασης σε αυτά. Η ενημέρωση πρέπει να είναι ατομική, ενώ επίσης θα πρέπει να ενημερώνεται το σωματείο των εργαζομένων. Η ενημέρωση θα πρέπει να πιστοποιείται με εύλογο τρόπο (δηλαδή να υπάρχει επαρκής απόδειξη της παραλαβής της ενημέρωσης από τον εργαζόμενο) (υπ’ αρ. 162, 163, 165/2014 αποφάσεις ΑΠΔΠΧ, παρ. 8δ).
  3. Υποχρέωση Τήρησης των Νομίμων Χαρακτηριστικών της Επεξεργασίας (άρθρο 4 Ν. 2472/1997) – Ο εργοδότης υποχρεούται, μεταξύ άλλων, να χρησιμοποιεί την υπηρεσία κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς, όπως λόγου χάρη για την ατομική ασφάλεια προσώπου, που έχει υπό την εποπτεία του. Επίσης, τα συλλεγόμενα δεδομένα θα πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. Τέλος, τα συλλεγόμενα δεδομένα θα πρέπει να διατηρούνται μόνο κατά τη διάρκεια της περιόδου που απαιτείται, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους και δη να διαγράφονται πάραυτα, αφότου η ασφάλεια του φέροντος τη συσκευή διαχείρισης στόλου έχει διασφαλιστεί. Σε περίπτωση που ο εργοδότης επιθυμεί να διατηρήσει τα δεδομένα του συστήματος διαχείρισης στόλου για την εξαγωγή στατιστικών στοιχείων για διάστημα ανώτερο του αναγκαίου για τον σκοπό χρόνου, τα πρωτογενή δεδομένα πρέπει να διαγράφονται ή να τροποποιούνται, έτσι ώστε να μην είναι δυνατή η συσχέτισή τους με προσωπικά δεδομένα των εργαζομένων (υπ’ αρ. 162, 163, 165/2014 αποφάσεις ΑΠΔΠΧ, παρ. 8α).
  4. Υποχρέωση Ικανοποίησης Δικαιωμάτων Υποκειμένου Δεδομένων (άρθρο 12 Ν. 2472/1997) – Ο εργοδότης οφείλει με κατάλληλες διαδικασίες να ικανοποιεί το δικαίωμα του εργαζομένου στο όχημα, που φέρει τη συσκευή διαχείρισης στόλου, να έχει πρόσβαση στα υπό επεξεργασία προσωπικά του δεδομένα.
  5. Υποχρεώσεις Διαφύλαξης Απορρήτου Επεξεργασίας (άρθρο 10 Ν. 2472/1997) – Ο εργοδότης οφείλει να διαφυλάσσει το απόρρητο της επεξεργασίας και να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων. Συγκεκριμένα, για την ασφάλεια της επεξεργασίας ο εργοδότης οφείλει να εξασφαλίσει ότι η πρόσβαση στα προσωπικά δεδομένα του συστήματος περιορίζεται αποκλειστικά στα εξουσιοδοτημένα για τον σκοπό αυτό πρόσωπα και να τηρεί κατάλληλα αρχεία καταγραφής όλων των προσβάσεων στο σύστημα. Πρέπει να τηρούνται αρχεία καταγραφής για τις ατομικές προσβάσεις του προσωπικού του εργοδότη που θα εισέρχεται στο σύστημα καθώς και διαδικασίες τακτικής επίβλεψης των αρχείων καταγραφής, προκειμένου να ανιχνεύεται έγκαιρα περιστατικό παραβίασης ασφαλείας. Η επιλογή του προσωπικού, που είναι εξουσιοδοτημένο με τον χειρισμό των προσωπικών δεδομένων, πρέπει να γίνεται με κριτήρια την προσωπική ακεραιότητα και εμπιστευτικότητα, ενώ επίσης πρέπει να παρέχεται στο προσωπικό συνεχής εκπαίδευση σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα. Επίσης, κατά την επεξεργασία των δεδομένων θέσης θα πρέπει να χρησιμοποιείται κωδικοποίηση των ονομάτων των εργαζομένων – υποκειμένων των δεδομένων, ώστε να αποφεύγεται η άμεση αναγνώρισή τους από τους χειριστές του συστήματος. Κάθε επικοινωνία δεδομένων θέσης μέσω «ανοικτών δικτύων», όπως το διαδίκτυο, πρέπει να κρυπτογραφείται. Αναγκαία τέλος είναι η εφαρμογή μέτρων φυσικής ασφάλειας των αποθηκευμένων δεδομένων του συστήματος, ώστε να αποφεύγεται η διάδοσή τους σε μη νόμιμους αποδέκτες (υπ’ αρ. 162, 163, 165/2014 αποφάσεις ΑΠΔΠΧ, παρ. 8α).

Νομική Κάλυψη Παρόχου Υπηρεσιών Διαχείρισης στόλου
Στις περισσότερες περιπτώσεις ο πάροχος υπηρεσιών διαχείρισης στόλου δεν επιλέγει τον σκοπό και τον τρόπο της σχετικής επεξεργασίας προσωπικών δεδομένων, αφού κάτι τέτοιο καθορίζεται από τον χρήστη – καταναλωτή της υπηρεσίας. Τέτοιες είναι οι περιπτώσεις που ο πάροχος συμβάλλεται μεν με τον εργοδότη – χρήστη της υπηρεσίας αλλά δεν επιλέγει ή δεν δύναται να επιλέγει ο ίδιος τα οχήματα που φέρουν τη συσκευή και, κατά συνέπεια, δεν γνωρίζει την ταυτότητα του τελευταίου και δεν δύναται να συνδέσει τα καταγραφόμενα δεδομένα με ορισμένο φυσικό πρόσωπο. Επιπλέον, δεν επιλέγει τους σκοπούς καταγραφής των προσωπικών δεδομένων του φέροντος τη συσκευή, ο καθορισμός των οποίων εμπίπτει στη διακριτική ευχέρεια του εργοδότη – χρήστη της υπηρεσίας. Τέλος, δεν επιλέγει και τους τρόπους επεξεργασίας, αφού αυτοί δύνανται να είναι περισσότεροι του ενός (λχ. υπηρεσία στίγματος σε χάρτη, υπηρεσία συναγερμού, υπηρεσία συλλογής συγκεκριμένων στατιστικών), ανάλογα με την πολυπλοκότητα της παρεχόμενης υπηρεσίας, και επομένως και αυτών η επιλογή ανήκει στη διακριτική ευχέρεια του χρήστη. Συνεπώς, είναι πιο ορθό να κριθεί ότι στις παραπάνω περιπτώσεις ο πάροχος συνεπικουρεί τον χρήστη ως εκτελών την επεξεργασία για λογαριασμό του και φέρει τις αντίστοιχες υποχρεώσεις του εκτελούντος την επεξεργασία σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία (βλ. εντούτοις παράγραφο 5.1.2 Γνώμης 13/2011 Art29 WP).

Ως εκτελών την επεξεργασία σε υπηρεσίες διαχείρισης στόλου ο πάροχος κρίνεται σκόπιμο να δεσμεύει εγγράφως τον εργοδότη – χρήστη της υπηρεσίας με αναλυτικούς ΓΟΣ για την εκτέλεση από τον τελευταίο των υποχρεώσεών του, που αναλύονται παραπάνω. Έτσι, η κατάρτιση κατάλληλων ΓΟΣ για υπηρεσίες διαχείρισης στόλου θα λειτουργήσει τόσο στην κατεύθυνση της διασφάλισης των συμφερόντων του παρόχου όσο και της πληροφόρησης του καταναλωτή για τις υποχρεώσεις του, που απορρέουν από το δίκαιο προστασίας προσωπικών δεδομένων.

Περαιτέρω, ο πάροχος υπηρεσιών διαχείρισης στόλου φέρει τις ακόλουθες υποχρεώσεις σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία :

  1. Υποχρέωση Παροχής Έγγραφης Ανάθεσης από τον Χρήστη της Υπηρεσίας στον Πάροχο (άρθρο 10  § 4 του Ν. 2472/1997).
  2. Υποχρεώσεις σε Σχέση με τον Σχεδιασμό της Υπηρεσίας – Ο πάροχος θα πρέπει να έχει σχεδιάσει με τέτοιο τρόπο την υπηρεσία, ώστε να είναι ανά πάσα στιγμή σαφές στον εργαζόμενο – φέροντα τη συσκευή διαχείρισης στόλου πότε αυτή είναι ενεργοποιημένη και καταγράφει τα προσωπικά του δεδομένα, λόγου χάρη με σχετική ένδειξη “on” (βλ. παράγραφο 5.2.1 Γνώμης 13/2011 της Ομάδας Εργασίας του Άρθρου 29)
  3. Υποχρέωση Συνδρομής στην Ικανοποίηση Δικαιωμάτων Υποκειμένου Δεδομένων (άρθρα 11, 12, 13 Ν. 2472/1997) – Ο πάροχος υποχρεούται να συνδράμει με κατάλληλες διαδικασίες τον χρήστη των υπηρεσιών, προκειμένου ο τελευταίος να είναι σε θέση να ικανοποιεί τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης του εργαζομένου – φέροντος τη συσκευή διαχείρισης στόλου.
  4. Υποχρεώσεις Διαφύλαξης Απορρήτου Επεξεργασίας (άρθρο 10 παρ. 4 Ν. 2472/1997) – Ο Πάροχος πρέπει να εφαρμόζει τις κατάλληλες τεχνικές ψευδωνυμοποίησης / κωδικοποίησης ή κρυπτογράφησης, ώστε να μην έχει τη δυνατότητα ταυτοποίησης / αναγνώρισης των εργαζομένων του χρήστη, στους οποίους αντιστοιχούν τα δεδομένα γεωγραφικής θέσης, που υφίστανται επεξεργασία (π.χ. όταν αυτά λαμβάνονται από ένα όχημα).
  5. Υποχρεώσεις σε σχέση με το Προσωπικό (άρθρο 10 παρ. 1 και 2 Ν. 2472/1997) – Για τυχόν ανάθεση από τον πάροχο της εκτέλεσης της επεξεργασίας σε τρίτους υπεργολάβους απαιτείται η προηγούμενη έγγραφη συναίνεση του εργοδότη – χρήστη της υπηρεσίας. Η ανάθεση θα πρέπει να γίνεται με έγγραφη σύμβαση, που θα προβλέπει τις ίδιες ακριβώς υποχρεώσεις για τον τρίτο, που περιγράφονται επί του παρόντος.

Μέσα Έννομης Προστασίας
Εργαζόμενοι ή όργανα συλλογικής εκπροσώπησης εργαζομένων, στα οχήματα εργασίας των οποίων είναι εγκατεστημένα και χρησιμοποιούνται συστήματα διαχείρισης στόλου κατά παράβαση του νομικού πλαισίου, που περιγράφεται παραπάνω, έχουν το δικαίωμα :

  • Να ασκήσουν τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης στα προσωπικά τους δεδομένα, που συλλέγονται και τυγχάνουν επεξεργασίας μέσω των συστημάτων αυτών, καταθέτοντας σχετική αίτηση στον εργοδότη τους (τυχόν δυσμενείς επιπτώσεις εξαιτίας μίας τέτοιας ενέργειας, όπως πχ απόλυση, είναι και αυτές παράνομες).
  • Να προσφύγουν στην ΑΠΔΠΧ, καταγγέλλοντας την παράβαση και ζητώντας την επιβολή προστίμου και τη συμμόρφωση του εργοδότη.
  • Να ζητήσουν προσωρινή αλλά και κύρια δικαστική προστασία για την παύση της χρήσης και την αποξήλωση του συστήματος καθώς και για αποζημίωση κατ’ ελάχιστο 5.900 € (άρθρο 23 Ν. 2472/1997).

Διοικητικές & Ποινικές Κυρώσεις
Σε περίπτωση παραβίασης των υποχρεώσεών τους, όπως περιγράφονται επί του παρόντος, η ΑΠΔΠΧ δύναται να επιβάλλει στους εργοδότες – χρήστες συστημάτων διαχείρισης στόλου τις ακόλουθες διοικητικές κυρώσεις (άρθρο 21 Ν. 2472/1997) :

α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης.
β) Πρόστιμο ποσού από τριακόσιες χιλιάδες (300.000) έως πενήντα εκατομμύρια (50.000.000) δραχμές.
γ) Προσωρινή ανάκληση άδειας.
δ) Οριστική ανάκληση άδειας.
ε) Καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή, επιστροφή ή κλείδωμα (δέσμευση) των σχετικών δεδομένων.

Ως προς τις σχετικές ποινικές κυρώσεις προβλέπεται ότι όποιος παραλείπει να γνωστοποιήσει στην ΑΠΔΠΧ τη σύσταση και λειτουργία αρχείου ή οποιαδήποτε μεταβολή στους όρους και τις προυποθέσεις χορηγήσεως της άδειας, που προβλέπεται από την παρ. 3 του άρθρου 7 του παρόντος νόμου, τιμωρείται με φυλάκιση έως τριών (3) ετών και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών. Περαιτέρω, όποιος διατηρεί αρχείο χωρίς άδεια ή κατά παράβαση των όρων και προϋποθέσεων της άδειας της Αρχής, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών (άρθρο 22 Ν. 2472/1997).

Νομική Συμβουλή : Σε περίπτωση που είστε εργοδότης και επιθυμείτε την εγκατάσταση συστημάτων διαχείρισης στόλου στα οχήματα της επιχείρησής σας, η συμβουλή δικηγόρου κρίνεται απαραίτητη. Αν είστε εργαζόμενος, επιτροπή εργαζομένων ή σωματείο και στα οχήματα εργασίας σας υπάρχει σύστημα διαχείρισης στόλου, που δεν πληρεί τους παραπάνω όρους νομιμότητας, προβείτε σε κατάθεση προσφυγής στην ΑΠΔΠΧ και ενέργειες για την προσωρινή και κύρια δικαστική σας προστασία.

Περισσότερα
Οδηγία 95/46/ΕΚγια την προστασία δεδομένων προσωπικού χαρακτήρα.
Νόμος 2472/1997 για την προστασία δεδομένων προσωπικού χαρακτήρα.
Γνώμη 13/2011 της Ομάδας Εργασίας του Άρθρου 29 για τις Υπηρεσίες Διαχείρισης στόλου σε Συσκευές Έξυπνων Κινητών Τηλεφώνων.
Γνώμη 2/2013 της Ομάδας Εργασίας του Άρθρου 29 για Εφαρμογές Λογισμικού σε Συσκευές Έξυπνων Κινητών Τηλεφώνων.
Οδηγία 115/2001 ΑΠΔΠΧ για την επεξεργασία προσωπικών δεδομένων των εργαζομένων.
Οδηγία 1/2011 ΑΠΔΠΧ “Χρήση συστημάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών”.
Υπ’ αρ. 163/2014 Απόφαση της ΑΠΔΠΧ για την εγκατάσταση συστημάτων διαχείρισης στόλου στα απορριματοφόρα του Δήμου Πειραιά.