Γράφουν οι Ελπίδα Βαμβακά και Μαρίνα Ζαχαροπούλου*
Μετά το χαρακτηρισμό του νέου κορωνοϊού (COVID-19) ως παγκόσμια πανδημία από τον Παγκόσμιο Οργανισμο Υγείας (ΠΟΥ), η Ευρώπη έγινε το επίκεντρο της κρίσης στον τομέα της υγείας, καθώς ο αριθμός των νέων κρουσμάτων ξεπέρασε εκείνους της Κίνας, χώρα-αφετηρία του ιού.
Κυβερνήσεις, δημόσιοι και ιδιωτικοί οργανισμοί σε ολόκληρη την Ευρώπη λαμβάνουν μέτρα για να περιορίσουν και να μετριάσουν τις επιπτώσεις του COVID-19.
Τα μέτρα αυτά συχνά, συνεπάγονται την επεξεργασία διαφόρων τύπων προσωπικών δεδομένων.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) προβλέπει τις νόμιμες βάσεις που επιτρέπουν στους εργοδότες και στις αρμόδιες αρχές δημόσιας υγείας να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των επιδημιών, χωρίς να απαιτείται η συναίνεση του υποκειμένου των δεδομένων.
Αυτό ισχύει για παράδειγμα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας ή για την προστασία ζωτικών συμφερόντων (άρθρα 6 και 9 GDPR) ή για τη συμμόρφωσή τους με άλλη νομική υποχρέωση.
Οι αιτιολογικές σκέψεις 46, 52 και 54 του Γενικού Κανονισμού δίνουν μία σαφή προσέγγιση γύρω από τα ζητήματα της επεξεργασίας προσωπικών δεδομένων στην περίπτωση μιας πανδημίας, όπως αυτή που αντιμετωπίζουμε σήμερα.
Βοήθημα κατά την τελική διαμόρφωση της διαδικασίας λήψης αποφάσεων σχετικά με τα μέτρα που εφαρμόζονται για τη διαχείριση του COVID-19, τα οποία αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κάθε οργανισμό αποτελεί η Πράξη Νομοθετικού Περιεχομένου “Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19” ( ΦΕΚ Α’64/14-3-2020).
Το άρθρο 5 της Πράξης αναφέρει ρητά τις κατηγορίες προσωπικών δεδομένων που επιτρέπεται να κοινοποιούνται, τα τεχνικά και οργανωτικά μέτρα που πρέπει να λαμβάνονται, το σκοπό της συγκεκριμένης επεξεργασίας, καθώς και το διάστημα που μπορούν τα δεδομένα αυτά να διατηρηθούν (έως και έναν (1) μήνα μετά από τη λήξη της περιόδου εφαρμογής των κατεπειγόντων μέτρων για την αποφυγή της διασποράς του κορωνοϊού COVID-19 και πάντως όχι πέραν της 31.12.2020).
Είναι σημαντικό να κρατήσουμε τη δήλωση που έκανε τη Δευτέρα η Andrea Jelinek, Πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), σύμφωνα με την οποία, οι κανόνες προστασίας δεδομένων (όπως οι διατάξεις του GDPR) δεν εμποδίζουν τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας του κορωνοϊού.
Η Πρόεδρος υπογράμμισε ότι, ακόμη και σε αυτές τις εξαιρετικές περιόδους, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων και επομένως θα πρέπει να ληφθούν υπόψη ορισμένες εκτιμήσεις για να εξασφαλιστεί η νόμιμη επεξεργασία τους.
Πολλές ευρωπαϊκές αρχές προστασίας δεδομένων, έχουν αρχίσει να παρέχουν καθοδήγηση προς εργοδότες και εργαζόμενους. Όπως θα δούμε παρακάτω μεταξύ των Αρχών υπάρχουν διαφορετικές απόψεις σχετικά με τον τρόπο με τον οποίο οι εργοδότες θα πρέπει να συμμορφώνονται με τις απαιτήσεις προστασίας δεδομένων.
Πιο αναλυτικά:
Περιορισμοί στις δραστηριότητες επεξεργασίας παρακολούθησης δεδομένων υγείας των εργαζομένων:
Ιταλία, Γαλλία, Λουξεμβούργο και Βέλγιο
H Αρχή Προστασίας Προσωπικών Δεδομένων της Ιταλίας ενήργησε ταχέως.
Στις 2 Μαρτίου προειδοποίησε τους εργοδότες να μην εκτελούν «αυτόνομους» ιατρικούς ελέγχους ή να ζητούν προσωπικές πληροφορίες σχετικά με τα μη επαγγελματικά ταξίδια και τις επαφές των εργαζομένων.
Με τη δήλωσή της, η Αρχή Προστασίας Δεδομένων δήλωσε ότι οι εργοδότες πρέπει να απέχουν από τη συλλογή, εκ των προτέρων και με συστηματικό και γενικευμένο τρόπο, πληροφοριών σχετικά με την παρουσία τυχόν συμπτωμάτων γρίπης στον εργαζόμενο και στις πλησιέστερες επαφές του – μεταξύ άλλων μέσω συγκεκριμένων αιτήσεων προς τον εργαζόμενο ή μη εγκεκριμένων ερευνών.
Πρόσθεσε ότι, όλοι οι Υπεύθυνοι Επεξεργασίας δεδομένων πρέπει να συμμορφώνονται αυστηρά με τις οδηγίες που παρέχονται από το Υπουργείο Υγείας και τα αρμόδια όργανα για την πρόληψη της εξάπλωσης του κορωνοϊού, χωρίς να αναλαμβάνουν αυτόνομες πρωτοβουλίες με στόχο τη συλλογή δεδομένων για την υγεία των εργαζομένων, αν οι πρωτοβουλίες δεν ρυθμίζονται από το νόμο ή δεν διατάσσονται από τους αρμόδιους φορείς.
Στην ίδια γραμμή, η CNIL στη Γαλλία, πληροφόρησε τους οργανισμούς ότι δεν πρέπει να συλλέγουν πληροφορίες σχετικά με τη θερμοκρασία του σώματος του συνόλου των εργαζομένων ή των επισκεπτών τους ή γενικευμένες πληροφορίες για την υγεία και πιθανά συμπτώματα COVID-19.
Αυτό φυσικά, δεν εμποδίζει τους εργοδότες να αναφέρουν συγκεκριμένες περιπτώσεις εργαζομένων με COVID-19 στις αρμόδιες υγειονομικές αρχές.
Η CNIL έχει δηλώσει ρητά ότι, αν ένας εργοδότης ειδοποιηθεί για κρούσμα COVID-19 που αφορά σε υπάλληλό του, ο εργοδότης μπορεί να καταγράφει:
– την ημερομηνία και την ταυτότητα του προσώπου για το οποίο υπάρχει υποψία ότι έχει εκτεθεί στον ιό,
– τα οργανωτικά μέτρα που λαμβάνονται (απομόνωση, απομακρυσμένη εργασία, επαφή με τον γιατρό στο χώρο εργασίας κ.λπ.).
Η Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, προειδοποίησε τους εργοδότες να μην απαιτούν από τους υπαλλήλους να ενημερώνουν καθημερινά για τις θερμοκρασίες του σώματος τους ή να συμπληρώνουν τα ιατρικά φύλλα ή τα ερωτηματολόγια.
Τέλος, η βελγική εποπτική αρχή στις οδηγίες που εξέδωσε αναφέρει ότι η δημόσια υγεία και η πρόληψη των ασθενειών δεν είναι ασυμβίβαστες με το δικαίωμα στην ιδιωτική ζωή.
Η επεξεργασία των προσωπικών δεδομένων μπορεί να γίνει βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) και του άρθρου 9 παράγραφος 2 στοιχείο β) του GDPR σε κάθε περίπτωση. Πρέπει, όμως, να τηρούνται οι αρχές της αναλογικότητας, της ελαχιστοποίησης των δεδομένων,της διαφάνειας και της εμπιστευτικότητας.
Υπό το πρίσμα αυτό, ο εργοδότης δεν μπορεί να αποκαλύψει τα ονόματα των μολυσμένων υπαλληλων με COVID-19.
Ο εργοδότης μπορεί να ενημερώσει μόνο τους άλλους υπαλλήλους για την κατάσταση χωρίς να αναφέρει την ταυτότητα τους.
Συλλογή και γνωστοποίηση προσωπικών δεδομένων των εργαζομένων:
Ιρλανδία, Ισπανία, Δανία και Ηνωμένο Βασίλειο
Η Αρχή της Ιρλανδίας, η οποία είναι αρμόδια για πολλές εταιρείες της Silicon Valley, εξέδωσε οδηγίες, σύμφωνα με τις οποίες οι υπηρεσίες υγείας ενδέχεται να βρεθούν υποχρεωμένες να αποκαλύψουν προσωπικά δεδομένα προκειμένου να αποτρέψουν σοβαρές απειλές για τη δημόσια υγεία εφόσον εφαρμόζονται οι κατάλληλες διασφαλίσεις.
Αυτές οι διασφαλίσεις μπορεί να περιλαμβάνουν περιορισμό της πρόσβασης στα δεδομένα, αυστηρές προθεσμίες για τη διαγραφή και άλλα μέτρα, όπως κατάλληλη εκπαίδευση προσωπικού για την προστασία των δικαιωμάτων προστασίας των δεδομένων των ατόμων.
Στην ίδια κατεύθυνση κινείται και η Αρχή της Ισπανίας. Διευκρινίζει παράλληλα ότι, η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ’ αρχήν να διενεργείται μονάχα εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση.
Ταυτόχρονα, υπογραμμίζει ότι θα πρέπει να τηρούνται όλες οι αρχές αναφορικά με την επεξεργασία που περιέχονται στο άρθρο 5 του GDPR.
Η Δανέζικη Αρχή, έχει επίσης εκδώσει οδηγίες και αναγνωρίζει ότι σε ορισμένες περιπτώσεις μπορούν να συλλέγονται και να γνωστοποιούνται προσωπικά δεδομένα, συμπεριλαμβανομένων ευαίσθητων προσωπικών δεδομένων, υπογραμμίζοντας όμως την σημασία της αξιολόγησης της νομιμότητας της επεξεργασίας και του περιορισμού στο μέτρο που είναι απαραίτητο.
Η Δανέζικη Αρχή συνιστά συνεπώς στους εργοδότες να εξετάσουν:
– εάν υπάρχει σοβαρός λόγος συλλογής ή αποκάλυψης των εν λόγω προσωπικών δεδομένων,
– εάν τα συγκεκριμένα προσωπικά δεδομένα είναι απαραίτητα, συμπεριλαμβανομένου του κατά πόσον ο σκοπός του εργοδότη μπορεί να επιτευχθεί με τη συλλογή λιγότερων,
– αν είναι απαραίτητο να γνωστοποιήσουν το όνομα του προσβεβλημένου προσώπου ή της καραντίνας αυτού.
Η Αρχή του Ηνωμένου Βασιλείου (ICO), στις οδηγίες που εξέδωσε αναφέρει ότι, οι νόμοι για την προστασία δεδομένων και την ηλεκτρονική επικοινωνία δεν εμποδίζουν την κυβέρνηση, ή άλλους επαγγελματίες Υγείας να αποστέλλουν μηνύματα δημόσιας υγείας στους ανθρώπους, είτε μέσω τηλεφώνου, μηνυμάτων ή ηλεκτρονικού ταχυδρομείου, καθώς αυτά τα μηνύματα δεν αποτελούν άμεσο μάρκετινγκ.
Ούτε τους εμποδίζει να χρησιμοποιούν την πιο πρόσφατη τεχνολογία για να διευκολύνουν ασφαλείς και γρήγορες διαβουλεύσεις και διαγνώσεις.
Οι δημόσιοι φορείς ενδέχεται να απαιτούν πρόσθετη συλλογή και ανταλλαγή δεδομένων προσωπικού χαρακτήρα για την προστασία από σοβαρές απειλές κατά της δημόσιας υγείας.
Μία πιο ουδέτερη στάση:
Σλοβακία, Σλοβενία, Νορβηγία, Σουηδία, Πολωνία και Γερμανία
Η Αρχή της Σλοβακίας υπογραμμίζει ότι οι μετρήσεις θερμοκρασίας εμπίπτουν στην επεξεργασία μιας ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα και ο GDPR προβλέπει ειδικούς όρους στο άρθρο 9 για τη νόμιμη επεξεργασία τέτοιων δεδομένων.
Η Αρχή της Σλοβενίας αναφέρει ότι οι αρμόδιες αρχές πρέπει να κάνουν εκτιμήσεις κατά περίπτωση και να καθορίσουν ποιες πληροφορίες απαιτούνται για την προστασία των ζωτικών συμφερόντων των πολιτών.
Η Αρχή της Νορβηγίας και η Αρχή της Σουηδίας στις οδηγίες που εξέδωσαν αναφέρουν ότι πληροφορίες όπως το ότι ένας υπάλληλος επέστρεψε από “περιοχή κινδύνου” και ότι έχει τεθεί σε καραντίνα (χωρίς όμως να δίνονται περισσότερες λεπτομέρειες σχετικά με την αιτία) δε θεωρούνται πληροφορίες σχετικές με την υγεία του εργαζομένου.
Ο Πρόεδρος της Πολωνικής Αρχής σε δήλωσή του αναφέρει ότι ο GDPR δεν μπορεί να θεωρηθεί εμπόδιο στην καταπολέμηση του COVID-19, στηρίζοντας τις δηλώσεις του στην αιτιολογική σκέψη 46 του GDPR.
Τέλος, ο Γερμανός Ομοσπονδιακός Επίτροπος Προστασίας αποδέχεται ότι παρόλο που η επεξεργασία των δεδομένων για την υγεία είναι ουσιαστικά δυνατή μόνο με περιοριστικό τρόπο, τα δεδομένα μπορούν να συλλεχθούν και να χρησιμοποιηθούν για να περιοριστεί η πανδημία ή για την προστασία των εργαζομένων. Πρέπει όμως πάντοτε να τηρείται η αρχή της αναλογικότητας.
Για παράδειγμα, σύμφωνα με τον Επίτροπο, τα ακόλουθα μέτρα για τον περιορισμό και την καταπολέμηση της πανδημίας μπορούν να θεωρηθούν νόμιμα:
– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων υγείας) των εργαζομένων από τον εργοδότη προκειμένου να προληφθεί ή να περιοριστεί η διάδοση του ιού στους εργαζομένους όσο το δυνατόν καλύτερα. Αυτό περιλαμβάνει ιδίως πληροφορίες σχετικά με τις περιπτώσεις στις οποίες έχει εντοπιστεί μία λοίμωξη ή ο εργαζόμενος έχει έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο και κατά τις οποίες πραγματοποιήθηκε κατά την σχετική περίοδο διαμονή σε περιοχή χαρακτηρισμένη ως περιοχή κινδύνου.
– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων για την υγεία) από τους επισκέπτες, ιδίως για να διαπιστωθεί εάν έχουν μολυνθεί από τον ιό ή έχουν έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο.
Μπορείτε να μείνετε ενημερωμένοι αναφορικά με σχετικές αποφάσεις Αρχών Προστασίας Προσωπικών Δεδομένων ανά τον κόσμο εδώ.
Η Ελληνική Αρχή
Την Τετάρτη 18 Μαρτίου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε με τη σειρά της κατευθυντήριες γραμμές τονίζοντας ότι η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού.
Η Αρχή, κινούμενη στην ίδια σελίδα με τις περισσότερες αρχές της Ευρώπης, υπογραμμίζει ότι το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωµα και πρέπει να εκτιµάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας.
Διευκρινίσεις για τον ιδιωτικό τομέα
Ο εκάστοτε εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων στηριζόμενος στα άρθρα 42,45 και 49 του ν 3850/2010.
Γενικές Οδηγίες
Η Αρχή διευκρινίζει ότι:
– Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαµβανοµένης της παροχής υπηρεσιών υγειονοµικής φροντίδας σε αυτό, συνιστούν δεδοµένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας.
– Πληροφορίες όπως εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριµένου υποκειµένου και, συνεπώς, δεν αποτελούν δεδοµένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδοµένα προσωπικού χαρακτήρα.
Επιτρέπεται η θερµοµέτρηση των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κ.λπ. ή η ενηµέρωση των λοιπών εργαζοµένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζοµένου;
Ο υπεύθυνος επεξεργασίας δεν µπορεί εκ προοιµίου να αποκλείσει ως απαγορευµένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται οι προϋποθέσεις του Γενικου Κανονισμού. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγµατοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά µε τον επιδιωκόµενο σκοπό τηρουµένης της αρχής της ασφαλούς επεξεργασίας μέσω της λήψης απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας.
Η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα.
Επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων: Δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.
Γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων Ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή, αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, και ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.
Επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς
Προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς , ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, πέραν των προαναφεροµένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές (Εθνικός Οργανισµός ∆ηµόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραµµατεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19
Δημόσιες Αρχές
– Από το Γενικό Κανονισμό παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία που διενεργείται από τις αρµόδιες δηµόσιες αρχές για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύµφωνα µε τις οικείες Πράξεις Νομοθετικού Περιεχομένου, προς τον σκοπό της αποφυγής κινδύνου εµφάνισης ή διάδοσης του κορωνοϊού, που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δηµόσια υγεία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννοµης επεξεργασίας ( άρθρα 6 παρ. 1 εδ. γ’, δ’ και ε’ και 9 παρ. 2 εδ. β’, ε’ , η’ και θ’ του ΓΚΠΔ )
– Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού διενεργείται από τις αρµόδιες δηµόσιες αρχές ως απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆).
– Οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας.
– Η προφορική ενηµέρωση ότι το υποκείµενο των δεδοµένων νοσεί από τον κορωνοϊό ή ότι η σωµατική θερµοκρασία του έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστούν µεν δεδοµένα προσωπικού χαρακτήρα, πλην όµως η σχετική νοµοθεσία δεν εφαρµόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστηµα αρχειοθέτησης σε περίπτωση µη αυτοµατοποιηµένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία.
Αντί επιλόγου
Οι κατευθυντήριες γραμμές που εξέδωσε η ΑΠΔΠΧ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαχείρισης του COVID-19 αποτελούν ένα σημαντικό βοήθημα στην καθημερινή λειτουργία κάθε οργανισμού.
Οι μέρες που διανύουμε σαφώς ανέδειξαν περισσότερο από ποτέ την ανάγκη για ατομική υπευθυνότητα και δράση.
Η δική μας συμβουλή, είναι ότι δεν χρειάζεται πανικός και βιαστικές κινήσεις ούτε στα εργασιακά ζητήματα.
Οι οργανισμοί που θα επεξεργαστούν δεδομένα προσωπικού χαρακτήρα (που ενδεχομένως να αφορούν την υγεία) θα πρέπει πρώτα να θεσπίσουν τις απαραίτητες, ανάλογες και σωστά αιτιολογημένες διαδικασίες λήψης αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη διαχείριση του COVID-19.
Αυτές θα πρέπει να είναι διαφανείς, συμπεριλαμβανομένου του σκοπού της συλλογής των προσωπικών δεδομένων και του χρόνου διατήρησής τους.
Κάθε επεξεργασία δεδομένων στο πλαίσιο της πρόληψης της εξάπλωσης του COVID-19, πρέπει να διεξάγεται κατά τρόπο που εξασφαλίζει την ασφάλεια των δεδομένων, ιδίως όσον αφορά τα δεδομένα υγείας.
Η ταυτότητα των προσβεβλημένων ατόμων, δεν θα πρέπει να γνωστοποιείται στους συναδέλφους, παρά μόνο στην περίπτωση όπου θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, για την επίτευξη της διασφάλισης των ζωτικών συμφερόντων των εργαζομένων.
Όπως συμβαίνει με κάθε επεξεργασία δεδομένων, πρέπει να υποβληθεί σε επεξεργασία μόνο το ελάχιστο απαραίτητο ποσό δεδομένων για την επίτευξη των σκοπών εφαρμογής μέτρων για την πρόληψη ή τη διατήρηση της εξάπλωσης του COVID-19 και μόνο για τον σκοπό αυτό και όχι για άλλους.
Μια συστηµατική, διαρκής και γενικευµένη συλλογή δεδοµένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζοµένων, δύσκολα θα µπορούσε να χαρακτηριστεί ως σύµφωνη µε την αρχή της αναλογικότητας.
Η επόμενη ημέρα από την πανδημία θα έρθει και είναι σημαντικό να βγούμε από αυτή την κατάσταση με όσο το δυνατόν λιγότερες απώλειες σε όλους τους τομείς.
Και όπως εύστοχα τονίζει η καθηγήτρια κ. Μήτρου “Δεν πρέπει να αποτελέσει η πανδημία την θρυαλλίδα νέων μορφών κρατικού ή/και κοινωνικού ελέγχου ή μίας γενικευμένης εισβολής στην ιδιωτική ζωή των ανθρώπων”.
*Η Μαρίνα Ζαχαροπούλου είναι απόφοιτος της Νομικής Σχολής του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών και ασκούμενη δικηγόρος. Αυτή την περίοδο παρακολουθεί τις μεταπτυχιακές της σπουδές με τίτλο ” Artificial Intelligence/ Digital Technology Management” στο Πανεπιστήμιο της Bologna.