Του ​Βενιζέλου-Αλέξανδρου ​Γεωργίου*

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ακολουθώντας τη πολιτική των αντίστοιχων διεθνών εποπτικών και ελεγκτικών αρχών, εξέδωσε κατευθυντήριες οδηγίες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαχείρισης του covid19, του γνωστού πλέον σε όλους μας, κορωνοϊού. H έκτακτη αυτή συνθήκη αναγκάζει τις κυβερνήσεις, το δημόσιο, ιδιωτικό τομέα και λοιπούς οργανισμούς να λάβουν αναγκαία μέτρα για τον περιορισμό του. Μέτρα τα οποία περιλαμβάνουν ενέργειες επεξεργασίας προσωπικών δεδομένων των υποκειμένων, και ιδίως σε πολλές περιπτώσεις επεξεργασίας ευαίσθητων προσωπικών δεδομένων όπως είναι αυτών της υγείας.

Ήδη, η πλειοψηφία των αρχών διεθνώς πήρε θέση και υποστήριξε πως ο νόμος σε τέτοιες έκτακτες συγκυρίες δε θα σταθεί εμπόδιο στην πρόληψη και καταστολή της πανδημίας, ωστόσο,  πρέπει να διασφαλιστεί ότι παρέχονται οι νομικές βάσεις για την αναγκαία επεξεργασία, με την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας.

Ποιες είναι λοιπόν αυτές οι αρχές;

  • Νομιμότητα (άρθρο 5 παρ.1α του Κανονισμού 2016/679)

Υπάρχουν διάφορες νομικές βάσεις επεξεργασίας προσωπικών δεδομένων σύμφωνα με το  άρθρο 6 του Κανονισμού και προϋποθέσεις επεξεργασίας ευαίσθητων προσωπικών δεδομένων, όπως αυτό της υγείας βάσει του άρθρο 9. Υπό το πρίσμα αυτό και σε συνδυασμό με την αιτιολογική σκέψη 46 και 53 του Κανονισμού, επιτρέπεται η επεξεργασία δεδομένων υγείας πάντα όμως με την τήρηση δικλείδων ασφαλείας όπως είναι ενδεικτικά η τήρηση αυστηρού χρονικού πλαισίου διαγραφής των δεδομένων ή περιορισμοί στην προσβασιμότητα των δεδομένων. Ιδίως στο πλαίσιο των εργασιακών σχέσεων του ιδιωτικού τομέα, τα άρθρα 42, 45 και 49 του Ν. 3850/2010 υποχρεώνουν τον εργοδότη να φροντίζει για την υγεία των εργαζομένων του. Η υποχρέωση αυτή σε συνδυασμό με το άρθρο 9 παρ. 2α του Κανονισμού, παρέχει την αναγκαία νόμιμη βάση στον εργοδότη να επεξεργάζεται τα προσωπικά δεδομένα των εργαζομένων, συμπεριλαμβανομένων και αυτών της υγείας, με τήρηση πάντα της αρχής της αναγκαιότητας και της αναλογικότητας. Για παράδειγμα, ο εργοδότης θα πρέπει να ενημερώσει αμελλητί τους εργαζόμενους για τυχόν κρούσμα κορονοιού στον εργασιακό τους χώρο χωρίς απαραίτητα να κατονομάσει τον εργαζόμενο που προσβλήθηκε.

 

  • Διαφάνεια (άρθρο 5 παρ.1α του Κανονισμού 2016/679 και αιτιολογική σκέψη 39 του Κανονισμού)

Οι οργανισμοί θα πρέπει να επεξεργάζονται τα ευαίσθητα δεδομένα υγείας με σύννομο και θεμιτό τρόπο και να αναφέρουν ρητά και με σαφήνεια τον σκοπό επεξεργασίας των εν λόγω δεδομένων καθώς και τον χρόνο διατήρησης τους. Η γλώσσα θα πρέπει να είναι απλή, κατανοητή, καθημερινή, μη επιδεχόμενη παρερμηνειών. Επίσης θα πρέπει να αποφεύγεται η άσκοπη υπερπληροφόρηση.

  • Εμπιστευτικότητα

Η επεξεργασία δεδομένων υγείας προς τον σκοπό αποφυγής μετάδοσης του κωρονοιού θα πρέπει να γίνεται με τρόπο που να διασφαλίζει την ασφάλεια των δεδομένων. Η ταυτότητα για παράδειγμα των νοσούντων δε θα πρέπει να γνωστοποιείται σε τρίτους ή στους συναδέλφους του χωρίς να υπάρχει συγκεκριμένη αιτιολόγηση.

  • Ελαχιστοποίηση των δεδομένων

Όπως σε κάθε επεξεργασία προσωπικών δεδομένων, έτσι και σε αυτά της υγείας, η επεξεργασία πρέπει να περιορίζεται στα απολύτως αναγκαία για την επίτευξη του σκοπού της πρόληψης και αντιμετώπισης του κορωνοϊού.

  • Ευθύνη του υπεύθυνου επεξεργασίας

Αποτελεί έκφανση της αρχή της λογοδοσίας που εξειδικεύεται στη διάταξη του άρθρου 24 του Κανονισμού και σημαίνει την υποχρέωση του υπευθύνου επεξεργασίας να διασφαλίζει την τήρηση των κανόνων για την προστασία των δεδομένων υγείας στο πλαίσιο της επεξεργασίας. Επίσης, θα πρέπει ο υπεύθυνος επεξεργασίας να διαθέτει έγγραφα τα οποία να αποδεικνύουν τη συμμόρφωση καθώς και να καταγράφουν οποιαδήποτε απόφαση σχετικά με την πρόληψη και αντιμετώπιση του κωρονοϊού. Σ’ αυτή την έκτακτη συγκυρία, οι αρχές τόνισαν ότι σε περίπτωση υποβολής σχετικού αιτήματος από τα υποκείμενα των δεδομένων η προθεσμία απάντησης του υπεύθυνου επεξεργασίας δύναται να επιμηκυνθεί και πέρα των 30 ημερών, ήτοι της νόμιμης προθεσμίας που τάσσει ο Κανονισμός.

Αυτές ήταν περιληπτικά οι βασικές συνιστώσες στις οποίες κινήθηκε η πλειοψηφία των διεθνών αρχών εκτός ορισμένων εξαιρέσεων. Ας δούμε σε αυτό το σημείο, τι ακριβώς είπε η ελληνική αρχή.

Η Αρχή, κινούμενη στο ίδιο μήκος κύματος με τις περισσότερες αρχές της Ευρώπης, επισημαίνει ότι το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα και πρέπει να εκτιμάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση µε άλλα θεμελιώδη δικαιώματα, σύμφωνα µε την αρχή της αναλογικότητας.

Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας.

Πληροφορίες όπως εάν ένα υποκείμενο των δεδομένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταμένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριμένου υποκειμένου και, συνεπώς, δεν αποτελούν δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδομένα προσωπικού χαρακτήρα.

Όπως ανωτέρω ελέχθη, στον τομέα των εργασιακών σχέσεων, ο εργοδότης οφείλει να λαμβάνει τα κατάλληλα μέτρα για την υγεία των εργαζομένων του, και δεδομένου αυτού, στο ερώτημα αν επιτρέπεται η θερμομέτρηση των εισερχομένων ή η υποβολή συμπλήρωσης ερωτηματολογίου σχετικά µε την κατάσταση της υγείας των εργαζομένων ή οικείων τους, πρόσφατου ιστορικού ταξιδιού σε αλλοδαπό κράτος µε αυξημένο κίνδυνο μετάδοσης του κορωνοϊου  κ.λπ. ή η ενημέρωση των λοιπών εργαζομένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζομένου, η Αρχή απάντησε ότι ο υπεύθυνος επεξεργασίας δεν μπορεί εκ προοιμίου να αποκλείσει ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται οι προϋποθέσεις του Γενικού Κανονισμού. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της αρχής της λογοδοσίας και της αρχής περιορισμού του σκοπού. Καταλήγει ωστόσο στη διαπίστωση ότι η συλλογή και η εν γένει επεξεργασία των δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαμβάνει χώρα, αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα.

Στο δημόσιο τομέα, και στο μέτρο κατά το οποίο διενεργείται από τις δημόσιες αρχές επεξεργασία προσωπικών δεδομένων, σύμφωνα με τις οικείες ΠΝΠ, προς τον σκοπό πρόληψης και αποφυγής μετάδοσης του ιού που ενδέχεται να έχει επιπτώσεις στη δημόσια υγεία, εφαρμόζεται ο Γενικός Κανονισμός µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας ( άρθρα 6 παρ. 1 εδ. γ’, δ’ και ε’ και 9 παρ. 2 εδ. β’, ε’ , η’ και θ’ του ΓΚΠΔ ). Οι αρμόδιες δημόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δημόσιας υγείας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης μέτρων κατά του κορωνοϊού διενεργείται από τις αρμόδιες δημόσιες αρχές ως απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, στις οποίες περιλαμβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ σε συνδυασμό με τις αιτιολογικές σκέψεις 46 και 52 ΓΚΠ∆.

 

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων δεν εμπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα (ατιολογική σκέψη 27 του Κανονισμού). Δεδομένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρμόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύμφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασμό µε το άρθρο 6 ΓΚΠ∆.

 

Προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς , ιδίως ως προς την κατάσταση υγείας των υποκειμένων σε σχέση µε τον κορωνοϊό, πέραν των προαναφεροµένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειμένου (π.χ. ονοματεπώνυμο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδομένου µάλιστα ότι οι αρμόδιες αρχές (Εθνικός Οργανισμός ∆ημόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραμματεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πολιτών επιδημιολογικού συσχετισμού, δίχως τον προσδιορισμό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ.2 ΠΝΠ ΦΕΚ Α΄55/11-3-2020) ή κατόπιν ψευδωνυμοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών μέτρων ασφαλείας (βλ. άρθρο 5 ΠΝΠ ΦΕΚ Α΄ 64/14-3-2020).

Αντί επιλόγου

Είναι μια πρωτόγνωρη συγκυρία για όλους μας. Η ανθρωπότητα καλείται να την αντιμετωπίσει και να την ξεπεράσει με τις όσο το δυνατόν λιγότερες απώλειες. Η επιστήμη ήταν, είναι και θα είναι ο μόνος οδηγός επίλυσης. Τα προσωπικά δεδομένα ιδίως με την εφαρμογή του GDPR αρχίζουν να προστατεύονται πληρέστερα σε σχέση με το παρελθόν. Ας μην επιτρέψουμε την πανδημία να προσβάλει και την ιδιωτικότητα.

*O Βενιζέλος Γεωργίου είναι δικηγόρος Θεσσαλονίκης με μεταπτυχιακό δίπλωμα ειδίκευσης στο Εμπορικό και Οικονομικό Δίκαιο και μέλος της δικηγορικής ομάδας “IVY LEGAL”. 

 

 

 

 

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ