Δικηγορικό Γραφείο

Η παγκόσμια πανδημία του κορωνοϊού οδήγησε το κοινωνικό, πολιτικό, οικονομικό και νομικό γίγνεσθαι ενόψει μίας ίσως εκ των σημαντικότερων προκλήσεων της σύγχρονης εποχής, δημιουργώντας καταστάσεις πρωτόγνωρες που χρήζουν άμεσης αλλά και ιδιαίτερης αντιμετώπισης. Αναμφισβήτητα αποτελεί ένα φαινόμενο που ξεπερνά τις προβλέψεις του συντακτικού και του διεθνούς νομοθέτη των τελευταίων χρόνων, καθώς η ραγδαία εξέλιξη της νόσου εναποθέτει κράτη αλλά και απλούς πολίτες προ της υποχρεωτικής «επαναδιαπραγμάτευσης» των μέχρι πρότινος κεκτημένων δικαιωμάτων που πρεσβεύει η δημοκρατία και οι εγγυήσεις του κράτους δικαίου, όπως είναι αυτό του προσωπικού αυτοκαθορισμού και των προσωπικών δεδομένων.

Κυβερνήσεις, δημόσιοι και ιδιωτικοί οργανισμοί σε όλη την Ευρώπη αλλά και παγκοσμίως αναγκάστηκαν να λάβουν άμεσα μέτρα για τον περιορισμό και τον μετριασμό της διάδοσης της νόσου COVID-19. Τα μέτρα αυτά παρόλο που στοχεύουν στη προστασία της δημόσιας υγείας, ως υψίστης σημασίας έννομο αγαθό και κατεξοχήν συνώνυμο του γενικού συμφέροντος, συνεπάγονται ουκ ολίγες φορές την επεξεργασία δεδομένων προσωπικού χαρακτήρα των πολιτών. Ως εκ τούτου αδήριτη καθίσταται η ανάγκη στάθμισης ανάμεσα στα συνταγματικά συγκρουόμενα δικαιώματα της προστασίας της δημόσιας υγείας και της προστασίας προσωπικών δεδομένων. Λαμβάνοντας μάλιστα υπόψη την ταχύρυθμη διαδικασία υπό την οποία ελήφθησαν τα κρατικά μέτρα πρόληψης, σημαντικά ερωτήματα εγείρονται ως προς τον τρόπο συλλογής, χρήσης και κοινοποίησης των προσωπικών δεδομένων των ιδιωτών. Επί τη βάσει της αρχής της αναλογικότητας, τα παραπάνω μέτρα, όπως θα αναλυθεί εκτενώς και στη συνέχεια, οφείλουν να πληρούν συγκεκριμένες έννομες προϋποθέσεις και να παρέχουν τα κατάλληλα εχέγγυα προστασίας που επιτάσσει το διεθνές και εθνικό δικαιϊκό σύστημα περί προστασίας δεδομένων, ώστε να μην θεωρηθούν παράνομα και αντισυνταγματικά.

Δεδομένου ότι τα σχετιζόμενα με τη προστασία δεδομένων ερωτήματα που θέτει η αντιμετώπιση του κορονοϊού είναι πολλά και δυσεπίλυτα, στο πλαίσιο της παρούσης θα περιοριστούμε στα μείζονα ζητήματα α) της επεξεργασίας προσωπικών δεδομένων από δημόσιους φορείς β) της επεξεργασίας προσωπικών δεδομένων από ιδιωτικούς φορείς και ειδικότερα στα πλαίσια του εργασιακού χώρου γ) της ενημέρωσης των πολιτών από τα ΜΜΕ και δ) της ιχνηλάτησης κρουσμάτων και επαφών τους.

1. ΝΟΜΙΜΟΤΗΤΑ ΚΑΙ ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΒΑΣΕΙ ΤΟΥ ΓΚΠΔ

Προτού επικεντρωθούμε στην ανάλυση των επιμέρους ανωτέρω ζητημάτων και προς πληρέστερη κατανόηση του ευρύ κοινού ως προς τον νομικό μας προβληματισμό, δέον όπως αναλυθούν οι βασικές αρχές και οι νόμιμες βάσεις επεξεργασίας των προσωπικών δεδομένων όπως τίθενται από τον πρόσφατο Κανονισμό (ΕΕ) 679/2016 περί προστασίας προσωπικών δεδομένων (ή άλλως ΓΚΠΔ ή GDPR) και του αντίστοιχου εθνικού νόμου Ν. 4624/2019 που τον ενσωμάτωσε. Ο ΓΚΠΔ συνιστά ευρεία νομοθετική πράξη θέτοντας κανόνες που εφαρμόζονται και στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται στο σχετιζόμενο με τη νόσο COVID-19 πλαίσιο.   

Καίριες έννοιες που θα μας απασχολήσουν είναι οι εξής :

  • «Δεδομένα προσωπικού χαρακτήρα» είναι πληροφορίες που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα.
  • «Επεξεργασία» αποτελεί κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
  • «Υπεύθυνος Επεξεργασίας» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
  • «Ψευδωνυμοποίηση» είναι η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων.
  • «Δεδομένα που αφορούν την υγεία» είναι τα δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του

Σύμφωνα με τις επιταγές του ΓΚΠΔ οποιαδήποτε επεξεργασία προσωπικών δεδομένων διενεργείται πρέπει υποχρεωτικά να:

Α) διέπεται από τις ΑΡΧΕΣ του άρθρου 5 του ΓΚΠΔ. Πιο συγκεκριμένα, τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («αρχή νομιμότητας, αντικειμενικότητας και διαφάνειας»), να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς («αρχή του περιορισμού του σκοπού»), να είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («αρχή ελαχιστοποίησης των δεδομένων»), να είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («αρχή της ακρίβειας»), να διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα («αρχή του περιορισμού της περιόδου αποθήκευσης»), να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («αρχή της ακεραιότητας και εμπιστευτικότητας»). Τέλος ορίζεται ότι ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τις ανωτέρω αρχές («αρχή λογοδοσίας»).

Β) πληρεί μία τουλάχιστον ΝΟΜΙΜΗ ΒΑΣΗ επεξεργασίας του άρθρου 6 του ΓΚΠΔ ώστε να θεωρείται σύννομη (Νομιμότητα της επεξεργασίας). Πρακτικά αυτό σημαίνει ότι οποιαδήποτε επεξεργασία για να είναι νομίμως δικαιολογημένη πρέπει να στηρίζεται σε μία τουλάχιστον από τις κατωτέρω νόμιμες βάσεις: α) τη συγκατάθεση του υποκειμένου, β) την εκτέλεση σύμβασης στην οποία το υποκείμενο είναι συμβαλλόμενο μέρος, γ) τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) τη διαφύλαξη ζωτικού συμφέροντος, ε) την εκπλήρωση καθήκοντος που εκτελείται προς δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος.

Σημειώνεται στο σημείο αυτό ότι η κύρια νομική βάση θεωρείται η συναίνεση του υποκειμένου και μόνο όταν δεν μπορεί να χρησιμοποιηθεί κατά πρώτον η συγκεκριμένη νομική βάση ανατρέχουμε στις υπόλοιπες.

Γ) Εφόσον πρόκειται για ειδική κατηγορία προσωπικών δεδομένων όπως είναι τα σχετιζόμενα με την υγεία («ευαίσθητα προσωπικά δεδομένα»), ο νομοθέτης επιφυλάσσει αυστηρότερα εχέγγυα προστασίας και καταρχάς απαγορεύει την επεξεργασία τους, εκτός εάν συντρέχουν οι περιπτώσεις που ορίζονται στο άρθρο 9 παρ. 2 του ΓΚΠΔ συμπεριλαμβανόμενου φυσικά και των αρχών του άρθρου 5 του ΓΚΠΔ. Ενδεικτικά, επιτρέπεται η επεξεργασία προσωπικών δεδομένων υγείας εάν: η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων (άρθρο 9 παρ. 2 στ. β), η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων (άρθρο 9 παρ. 2 στ. ε), η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3 (άρθρο 9 παρ. 2 στ. η), η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου (άρθρο 9 παρ. 2 στ. θ).  

2. Η ΝΟΜΙΜΟΤΗΤΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΑ ΠΛΑΙΣΙΑ ΤΩΝ ΜΕΤΡΩΝ ΠΡΟΛΗΨΗΣ COVID-19.

Στα πλαίσια της διαχείρισης του COVID-19 και της επεξεργασίας προσωπικών δεδομένων που συντελείται στους κόλπους των ληφθέντων κρατικών μέτρων η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αλλά και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσαν κατευθυντήριες γραμμές αναφορικά με τις δυνατότητες επεξεργασίας προσωπικών δεδομένων από τις αρμόδιες δημόσιες αρχές και τους ιδιωτικούς φορείς, την επεξεργασία προσωπικών δεδομένων στα πλαίσια εργασιακών συμβάσεων, την επεξεργασία δεδομένων συγγενών ή οικείων ατόμων θανόντων από τον κορονοϊό, των ίδιων των υποκειμένων – νοσούντων και τέλος την επεξεργασία που συντελείται για δημοσιογραφικούς σκοπούς.  

Σε γενικές γραμμές, σύμφωνα με τις ανωτέρω αναφερόμενες κατευθυντήριες γραμμές που δόθηκαν ειδικά για την περίπτωση επεξεργασίας προσωπικών δεδομένων στα πλαίσια διαχείρισης της πανδημίας του κορονοϊού, ο ΓΚΠΔ επιτρέπει στις αρμόδιες αρχές δημόσιας υγείας και στους εργοδότες να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα σε περίπτωση επιδημίας, σύμφωνα με το εθνικό δίκαιο και υπό τους όρους που καθορίζονται σε αυτό. Για παράδειγμα, όταν η επεξεργασία είναι αναγκαία για λόγους ουσιαστικού δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας. Σ’ αυτές τις περιπτώσεις, ΔΕΝ ΣΥΝΤΡΕΧΕΙ ΑΝΑΓΚΗ ΝΑ ΖΗΤΕΙΤΑΙ Η ΣΥΓΚΑΤΑΘΕΣΗ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ, ΚΑΘΩΣ Η ΕΠΕΞΕΡΓΑΣΙΑ ΣΤΗΡΙΖΕΤΑΙ ΣΤΗ ΝΟΜΙΜΗ ΒΑΣΗ ΤΗΣ ΕΞΥΠΗΡΕΤΗΣΗΣ ΤΟΥ ΓΕΝΙΚΟΤΕΡΟΥ ΔΗΜΟΣΙΟΥ ΣΥΜΦΕΡΟΝΤΟΣ. Τα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαία για την επίτευξη των επιδιωκόμενων στόχων θα πρέπει ωστόσο να υποβάλλονται σε επεξεργασία για καθορισμένους και ρητούς σκοπούς. Επιπλέον, τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν σαφείς πληροφορίες σχετικά με τις εκτελούμενες δραστηριότητες επεξεργασίας και τα κύρια χαρακτηριστικά τους, μεταξύ των οποίων η περίοδος διατήρησης των συλλεγέντων δεδομένων και οι σκοποί της επεξεργασίας. Οι παρεχόμενες πληροφορίες θα πρέπει να είναι εύκολα προσβάσιμες και διατυπωμένες με σαφή και απλό τρόπο. Είναι σημαντικό να καθιερωθούν κατάλληλα μέτρα ασφάλειας και πολιτικές εμπιστευτικότητας που να εξασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται σε μη εξουσιοδοτημένα πρόσωπα. Τα μέτρα που εφαρμόζονται για τη διαχείριση της τρέχουσας κατάστασης έκτακτης ανάγκης και η βασική διαδικασία λήψης αποφάσεων θα πρέπει να τεκμηριώνονται δεόντως.

Αναλυτικότερα, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε στις 19-3-2020 την ακόλουθη δήλωση: «Οι κανόνες για την προστασία των δεδομένων, όπως ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ), δεν εμποδίζουν την εφαρμογή των μέτρων που λαμβάνονται για την αντιμετώπιση της πανδημίας του κορονoϊού. Η καταπολέμηση των μεταδοτικών νόσων συνιστά υψηλής σημασίας στόχο προς την επίτευξη του οποίου κατατείνουν όλα τα κράτη και, ως εκ τούτου, θα πρέπει να υποστηριχθεί με τον καλύτερο δυνατό τρόπο. Είναι προς το συμφέρον της ανθρωπότητας να περιοριστεί η εξάπλωση των νόσων και να χρησιμοποιηθούν σύγχρονες τεχνικές για την καταπολέμηση των δεινών που πλήττουν μεγάλα τμήματα του κόσμου. Ωστόσο, το ΕΣΠΔ θα ήθελε να επισημάνει ότι, ακόμη και σ’ αυτές τις πρωτόγνωρες συνθήκες, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει να διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων. Κατά συνέπεια, θα πρέπει να λαμβάνονται υπόψη διάφορες παράμετροι προκειμένου να εξασφαλίζεται η σύννομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα και, σε κάθε περίπτωση, θα πρέπει να γίνεται αντιληπτό ότι οποιοδήποτε μέτρο λαμβάνεται σ’ αυτό το πλαίσιο πρέπει να τηρεί τις γενικές αρχές του δικαίου και δεν πρέπει να είναι μη αναστρέψιμο. Η κατάσταση έκτακτης ανάγκης αποτελεί νομική προϋπόθεση που μπορεί να νομιμοποιεί περιορισμούς των ελευθεριών, υπό τον όρο ότι οι περιορισμοί αυτοί είναι αναλογικοί και ισχύουν μόνο κατά τη διάρκεια της έκτακτης ανάγκης.»

Ακολούθως, η ΑΠΔΠΧ αναγνωρίζοντας τις ιδιαίτερες συνθήκες που δηµιουργούνται στον τοµέα της προστασίας των δεδοµένων προσωπικού χαρακτήρα και του σεβασµού των θεµελιωδών δικαιωµάτων και ελευθεριών των πολιτών, από την εξαιρετικά επείγουσα και απρόβλεπτη ανάγκη για την αντιµετώπιση των αρνητικών συνεπειών λόγω της εµφάνισης του κορωνοϊού COVID-19, κατόπιν της υπ’ αρ. 5/2020 απόφασης της Ολοµέλειάς της, εκδίδει τις κάτωθι Κατευθυντήριες Γραµµές: «Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαµβανοµένης της παροχής υπηρεσιών υγειονοµικής φροντίδας σε αυτό, συνιστούν δεδοµένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν, ενδεικτικά, η κατάσταση κατονοµαζοµένου ή ταυτοποιήσιµου υποκειµένου των δεδοµένων ως νοσούντος ή µη, η κατ’ οίκον παραµονή του λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, ενδεχοµένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερµοκρασία ανώτερη της φυσιολογικής κ.λπ.). Πληροφορίες που ενδιαφέρουν εν προκειµένω, όπως εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριµένου υποκειµένου και, συνεπώς, δεν αποτελούν δεδοµένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδοµένα προσωπικού χαρακτήρα. Η νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα εφαρµόζεται κατ’ άρ. 2 παρ. 1 Κανονισµού 679/2016 (εφεξής «ΓΚΠ∆») και 2 ν. 4624/2019 στην εν όλω ή εν µέρει αυτοµατοποιηµένη επεξεργασία δεδοµένων προσωπικού χαρακτήρα, καθώς και στη µη αυτοµατοποιηµένη επεξεργασία τέτοιων δεδοµένων τα οποία περιλαµβάνονται ή πρόκειται να περιληφθούν σε σύστηµα αρχειοθέτησης. Έτσι, π.χ., η προφορική ενηµέρωση ότι το υποκείµενο των δεδοµένων νοσεί από τον κορωνοϊό ή ότι η σωµατική θερµοκρασία του έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστούν µεν δεδοµένα προσωπικού χαρακτήρα, πλην όµως η σχετική νοµοθεσία δεν εφαρµόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστηµα αρχειοθέτησης σε περίπτωση µη αυτοµατοποιηµένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία. Επισηµαίνεται ότι το πεδίο εφαρµογής του ΓΚΠ∆ προσδιορίζεται κατά τρόπο δεσµευτικό από τη διάταξη του άρθρου 2 παρ. 1 αυτού και δεν είναι δυνατή η επέκτασή του µε διατάξεις της εθνικής νοµοθεσίας.»

Αναφορικά με την επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων η ΑΠΔΠΧ κρίνει ότι δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα. ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.

Η από µέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, η οικειοθελής δηµοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύµφωνα µε το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠ∆ νοµική βάση επεξεργασίας των συγκεκριµένων δεδοµένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠ∆ σε συνδυασµό µε τυχόν ειδικότερες διατάξεις της εθνικής νοµοθεσίας, περιλαµβανοµένων και των ΠΝΠ. Αντίθετα, η από µέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων, ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.

3. ΕΙΔΙΚΟΤΕΡΑ Η ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΑΡΜΟΔΙΟΥΣ ΔΗΜΟΣΙΟΥΣ ΦΟΡΕΙΣ

Οι αρµόδιες δηµόσιες αρχές θεωρούνται υπεύθυνοι επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά αλλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας. Ως εκ τούτου οποιαδήποτε επεξεργασία συντελείται από δημόσιους φορείς στα πλαίσια των μέτρων πρόληψης της νόσου COVID πρέπει να πληρεί τις προϋποθέσεις του ΓΚΠΔ. Ειδικότερα, οι αρμόδιοι δημόσιοι φορείς οφείλουν να εφαρμόζουν τις αρχές επεξεργασίας προσωπικών δεδομένων (άρθρο 5 ΓΚΠΔ), όπως προεκτέθηκαν. Επιπλέον στις περιπτώσεις αυτές έχουν εφαρμογή ιδίως οι νομικές βάσεις που ορίζονται στα άρθρα 6 παρ. 1 εδ. γ’ (η επεξεργασία είναι απαραίτητη για τη συµµόρφωση µε έννοµη υποχρέωση του υπευθύνου επεξεργασίας), δ’ (η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή άλλου φυσικού προσώπου) και ε’ (η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) και 9 παρ. 2 εδ. β’ (η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριµένων δικαιωµάτων του υπευθύνου επεξεργασίας ή του υποκειµένου των δεδοµένων στον τοµέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας), ε’ (η επεξεργασία αφορά δεδοµένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δηµοσιοποιηθεί από το υποκείµενο των δεδοµένων), η’ (η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελµατικής ιατρικής εκτίµησης της ικανότητας προς εργασία του εργαζοµένου, ιατρικής διάγνωσης, παροχής υγειονοµικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονοµικών και κοινωνικών συστηµάτων και υπηρεσιών) και θ’ (η επεξεργασία είναι απαραίτητη για λόγους δηµόσιου συµφέροντος στον τοµέα της δηµόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονοµικής περίθαλψης και των φαρµάκων ή των ιατροτεχνολογικών προϊόντων), ο ν. 4624/2019 σύµφωνα µε την υπ’ αρ. 01/2020 Γνωµοδότηση της Αρχής, σε συνδυασµό µε την τυχόν ειδικότερη νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα, περιλαµβανοµένων των σχετικών ρυθµίσεων των ΠΝΠ και των εφαρµοστικών αυτών υπουργικών αποφάσεων.

Επί τη βάσει των ανωτέρω ο ΕΟΔΥ ως δημόσιος φορέας παρέχει προς τη Γενική Γραμματεία Πολιτικής Προστασίας (ΓΓΠΠ) δεδομένα προσωπικού χαρακτήρα πολιτών επιδημιολογικού συσχετισμού, όπως το ονοματεπώνυμο, η ηλικία, το τηλέφωνο επικοινωνίας, την ακριβή διεύθυνση κατοικίας, την εισαγωγή ή μη σε νοσοκομείο, το νοσοκομείο εισαγωγής και τη διεύθυνση προσωρινού περιορισμού. Σκοπός της συγκεκριμένης επεξεργασίας είναι ο συντονισμός μεταξύ του ΕΟΔΥ και της ΓΓΠΠ για την αντιμετώπιση των συνεπειών του κορωνοϊού και την καταγραφή της διασποράς των κρουσμάτων για λόγους προστασίας της δημόσιας υγείας. Τα δεδομένα πρέπει να είναι ψευδωνυμοποιημένα και αν κριθεί απαραίτητα η επικοινωνία με τα υποκείμενα μπορεί να αρθεί η ψευδωνυμοποίηση.

Η επεξεργασία αυτή που συντελείται από τον ΕΟΔΥ διασφαλίζεται περαιτέρω με λεπτομερή μέτρα προστασίας όπως παρατίθενται κατωτέρω: Α) Η πρόσβαση στα δεδομένα και η επεξεργασία επιτρέπεται μόνο με χρήση κατάλληλων διαπιστευτηρίων από προσωπικό που διαθέτει τις κατάλληλες εξουσιοδοτήσεις. Β) Οι διαβιβάσεις των δεδομένων μεταξύ του ΕΟΔΥ και ΓΓΠΠ πραγματοποιούνται υποχρεωτικά με κρυπτογράφηση. Γ) Τηρούνται επικαιροποιημένα αρχεία καταγραφής των ενεργειών που εκτελούνται σε προσωπικά δεδομένα. Στα αρχεία αυτά καταγράφονται το όνομα χρήστη και ο χρόνος συμβάντος καθώς και οι ακόλουθες τουλάχιστον ενέργειες, ήτοι εισαγωγή, πρόσβαση, τροποποίηση και διαγραφή προσωπικών δεδομένων. Δ) Ενημερώνεται και ευαισθητοποιείται το προσωπικό που ασχολείται με τη συγκεκριμένη επεξεργασία. Ε) Αναφορικά με το χρόνο τήρησης δεδομένων προβλέπεται η τήρηση τους από τη ΓΓΠΠ έως και ένα μήνα μετά από τη λήξη της περιόδου εφαρμογής των κατεπειγόντων μέτρων για την αποφυγή της διασποράς του κορονοϊού και πάντως όχι πέραν από τις 31.12.2020. Μετά την πάροδο του χρόνο αυτού τα δεδομένα μπορούν να ανωνυμοποιηθούν για σκοπούς έρευνας και καλύτερης οργάνωσης του συστήματος πολιτικής προστασίας.   

4. Η ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟΝ ΙΔΙΩΤΙΚΟ ΤΟΜΕΑ ΚΑΙ ΚΥΡΙΩΣ ΣΤΙΣ ΕΡΓΑΣΙΑΚΕΣ ΣΧΕΣΕΙΣ

Όσον αφορά τον ιδιωτικό τοµέα, ιδίως τις εργασιακές σχέσεις, από τις κείµενες διατάξεις (Ν. 3850/2010 όπως τροποποιήθηκε με τον Ν. 4578/2018) προκύπτει ότι, αφενός, Ο ΕΡΓΟΔΟΤΗΣ υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία συναφή προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων, αφετέρου, ΟΙ ΕΡΓΑΖΟΜΕΝΟΙ οµοίως υποχρεούνται να εφαρµόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόµων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαµβανοµένης της υποχρέωσής τους να αναφέρουν αµέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που µπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άµεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Μάλιστα η παράλειψη ενημέρωσης είτε από τον εργοδότη είτε από τον εργαζόμενο εμφάνισης άμεσου και σοβαρού κινδύνου υγείας είναι δυνατό να επισύρει και ποινικές κυρώσεις κατά το άρθρο 285 παρ. 1β ΠΚ, σύμφωνα με το οποίο, όποιος παραβιάζει τα μέτρα που έχει διατάξει ο νόμος ή η αρμόδια αρχή για να αποτραπεί η εισβολή ή η διάδοση μιας μεταδοτικής ασθένειας τιμωρείται με φυλάκιση και χρηματική ποινή αν από την πράξη μπορεί να προκύψει κίνδυνος μεταδόσεως της ασθένειας σε αόριστο αριθμό ανθρώπων.

Περαιτέρω, οι εργοδότες νοµιµοποιούνται να επεξεργάζονται δεδοµένα για την προστασία της υγείας των εργαζοµένων και των ιδίων τηρουµένων των αρχών του άρθρου 5 ΓΚΠ∆, σύµφωνα µε τις νοµικές βάσεις των προαναφερόµενων διατάξεων των άρθρων 6 παρ. 1, ιδίως, εδ. γ’, δ’ και ε’, 9 παρ. 2, ιδίως, εδ. β’, ε’ και θ’ ΓΚΠ∆ και πάντα υπό τις οδηγίες των αρµόδιων αρχών για την εφαρµογή των µέτρων που λήφθηκαν µε τις ΠΝΠ στο µέτρο που συνιστούν επεξεργασία δεδοµένων προσωπικού χαρακτήρα.

Στο σημείο αυτό, δεδομένου ότι ο εργοδότης νομιμοποιείται στην επεξεργασία προσωπικών δεδομένων των εργαζομένων, τηρουμένων των αρχών και των νομίμων βάσεων, ανακύπτουν πολλά ερωτήματα αναφορικά με τη νομιμότητα πρακτικών όπως η χρήση θερμικών καμερών, η θερμομέτρηση, η διενέργεια διαγνωστικών τεστ covid-19 σε εργαζομένους, η τηλεργασία και η αποκάλυψη ιατρικών πληροφοριών σε άμεσα θιγόμενους συναδέλφους κρουσμάτων. Τα ζητήματα αυτά απασχόλησαν τόσο την ελληνική ΑΠΔΠΧ όσο και ευρωπαϊκές αρχές με αποτέλεσμα να εκδοθούν διαφορετικές οδηγίες ανά περίπτωση. Η ελληνική ΑΠΔΠΧ με τις Κατευθυντήριες Γραμμές που εξέδωσε, διατηρεί ουδέτερη στάση αναφορικά με τα μέτρα που ενδέχεται να υιοθετήσουν οι εργοδότες για να περιορίσουν το ενδεχόμενο εμφανίσεως και εξαπλώσεως του κορωνοϊού στον χώρο εργασίας και καταλείπουν διακριτή ευχέρεια σε αυτούς, πάντα όμως με την προϋπόθεση τήρησης των επιταγών του ΓΚΠΔ, της προσήκουσας ενημέρωσης και της αρχής της αναλογικότητας. Κατ’ αρχάς, κρίθηκε ότι κανένα μέτρο «δεν μπορεί εκ προοιμίου να αποκλειστεί» ως απαγορευμένο από τη νομοθεσία περί προσωπικών δεδομένων: η κάθε πράξη επεξεργασίας πρέπει να συμμορφώνεται πλήρως στις επιταγές του ΓΚΠΔ και να μην υπερβαίνει το απολύτως αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού, σύμφωνα με την αρχή της αναλογικότητας.

Αναφορικά με τη χρήση θερμικών καμερών, είναι ένα μέτρο δραστικό πλην όμως προσωρινώς επιτρεπτό που μπορεί να έχει ως μοναδικό σκοπό την αποτροπή εισόδου στο χώρο εργασίας ατόμων με υψηλή θερμοκρασία, τα οποία βεβαίως δεν είναι δεδομένο ότι είναι θετικοί στον κορονοϊό. Υπό «κανονικές συνθήκες» η υιοθέτηση του μέτρου αυτού θα κρινόταν προδήλως δυσανάλογη και θα απαγορευόταν. Ωστόσο, υπό την τρέχουσα κατάσταση της παγκόσμιας πανδημίας που επικρατεί το μέτρο κρίνεται κατάλληλο και αποτελεσματικό για την προστασία της υγείας των εργαζομένων και της δημόσιας υγείας εν γένει. Ανακύπτουν, βέβαια, σημαντικές ανησυχίες σχετικά με τον αντίκτυπο που θα είχε η χρήση αυτής της τακτικής στην προστασία των προσωπικών δεδομένων των εργαζομένων και των λοιπών παρευρισκομένων στον χώρο εργασίας, με αποτέλεσμα να είναι απαραίτητος ο προσεκτικός σχεδιασμός της χρήσεως θερμικών καμερών από τον εργοδότη. Αρχικά, το μέτρο πρέπει να εφαρμόζεται αποκλειστικά και μόνο για το χρονικό διάστημα εξάρσεως της νόσου. Δεύτερον, τα δεδομένα δεν πρέπει να αποθηκεύονται σε αρχείο. Ο υπεύθυνος για την κάμερα οφείλει να την ελέγχει σε τρέχοντα χρόνο και να επεμβαίνει αποτρέποντας την είσοδο σε όποιον εμφανίζει αυξημένη θερμοκρασία. Σε περίπτωση που το άτομο με αυξημένη θερμοκρασία είναι εργαζόμενος, ο υπεύθυνος για την κάμερα ειδοποιεί τον ιατρό εργασίας, ώστε να ενεργοποιηθούν οι σχετικές διαδικασίες. Τρίτον, πρόσβαση στην οθόνη πρέπει να έχουν αποκλειστικά συγκεκριμένα άτομα. Τέταρτον, η θερμική κάμερα μπορεί να τοποθετηθεί αποκλειστικά στην είσοδο στον χώρο εργασίας και σε κανέναν άλλο χώρο. Πέμπτον, δεν πρέπει να «διαρρεύσουν» καθ’ οποιονδήποτε τρόπο τα στοιχεία του εργαζομένου που παρουσιάζει υψηλή θερμοκρασία στο υπόλοιπο προσωπικό· η επεξεργασία των σχετικών δεδομένων θα πρέπει να λαμβάνει χώρα από ειδικά εξουσιοδοτημένο προσωπικό που υπάγεται στον ιατρό εργασίας. Σε κάθε περίπτωση, η εγκατάσταση θερμικών καμερών θεωρείται ως το «ύστατο καταφύγιο» των εργοδοτών και δικαιολογείται εφόσον προηγουμένως έχει αποκλεισθεί κάθε άλλο πρόσφορο μέτρο για την προστασία της υγείας των εργαζομένων. Επισημαίνεται, τέλος ότι η «συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη µε την αρχή της αναλογικότητας».

Αναφορικά με το ζήτημα της θερμομέτρησης, σημειώνεται ότι η απλή λήψη της θερμοκρασίας χωρίς την καταγραφή της σε αρχείο ή η προφορική ερώτηση και συνακόλουθη ενημέρωση για την κατάσταση της υγείας του εργαζομένου δεν συνιστούν επεξεργασία προσωπικών δεδομένων που εμπίπτει στον πεδίο εφαρμογής του ΓΚΠΔ, καθώς οι πληροφορίες δεν καταχωρίζονται σε σύστημα αρχειοθετήσεως, υπό την έννοια του άρθρου 4 παρ. 6 του ΓΚΠΔ. Σε περίπτωση που υπάρξει αρχειοθέτηση της θερµοµέτρησης των εισερχοµένων ή υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κ.λπ.. η ΑΠΔΠΧ υπενθυµίζει ότι η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα (τήρηση αρχών και νομίμων βάσεων, της προσήκουσας ενημέρωσης και της αρχής της αναλογικότητας). Κατά τα λοιπά ισχύουν όσα εκτέθηκαν ανωτέρω για τη χρήση θερμικών καμερών. Τονίζεται τέλος ότι δεν πρέπει σε καμία περίπτωση να γίνεται δημοσιοποίηση των στοιχείων του εργαζομένου που παρουσιάζει υψηλή θερμοκρασία σε άλλους εργαζομένους. 

Αναφορικά με τη διενέργεια διαγνωστικών τεστ Covid-19 σε εργαζομένους, είναι επιτρεπτά στο βαθμό που υπάρχουν σχετικά Διατάγματα του Υπουργείου Υγείας που καθορίζουν σε ποιες περιπτώσεις οι εργαζόμενοι υποχρεούνται να υποβληθούν σε τεστ. Εν απουσία τέτοιων διαταγμάτων ο εργοδότης δεν μπορεί να αναγκάσει τους εργαζομένους να υποβληθούν σε τεστ ούτε να τους εξαναγκάσει να δώσουν τη συγκατάθεσή τους. Κι αυτό γιατί στον τομέα των εργασιακών σχέσεων η συγκατάθεση του ασθενέστερου μέρους, ήτοι του εργαζομένου, δεν αποτελεί ελεύθερη έκφραση βούλησης και δεν μπορεί να θεωρηθεί έγκυρη. Σε περίπτωση δε που ο εργαζόμενος έχει ήδη υποβληθεί σε τεστ, το κλινικό εργαστήριο υποχρεούται να κοινοποιήσει το αποτέλεσμα στον παραπέμποντα ιατρό και στη Μονάδα Επιδημιολογικής Παρακολούθησης. Σε καμία περίπτωση δεν δικαιολογείται να κοινοποιήσει το αποτέλεσμα στον εργοδότη. Η ενημέρωση του εργοδότη μπορεί και πρέπει να γίνει αποκλειστικά και μόνο από τον ίδιο τον εργαζόμενο.

Αναφορικά με το ζήτημα της αποκάλυψης ιατρικών πληροφοριών εργαζομένων - κρουσμάτων σε άμεσα θιγόμενους συναδέλφους, γεννάται το ερώτημα εάν ο εργοδότης νομιμοποιείται σε μια τέτοια δημοσιοποίηση. Η απάντηση στο ερώτημα αυτό είναι αρνητική στο μέτρο που αποκαλύπτεται η ταυτότητα του κρούσματος, καθώς η σχετική πληροφορία τυγχάνει επεξεργασίας μόνο από τον ΕΟΔΥ και όχι από τον εργοδότη, σύμφωνα με τις ελληνικές εποπτικές αρχές. Ωστόσο, σύμφωνα με τον Γερμανό Επίτροπο Προστασίας Δεδομένων, επιτρέπεται κατ’ εξαίρεση η αποκάλυψη της ταυτότητας ενός προσώπου, μόνο εφόσον κριθεί απαραίτητη για την προστασία της δημόσιας υγείας αλλά και των εννόμων συμφερόντων τρίτων προσώπων. Στην ίδια κατεύθυνση κινήθηκαν και εποπτικές αρχές άλλων ευρωπαϊκών χωρών που αποδέχθηκαν ότι οι υπηρεσίες υγείας ενδέχεται να βρεθούν υποχρεωμένες να αποκαλύψουν προσωπικά δεδομένα προκειμένου να αποτρέψουν σοβαρές απειλές για τη δημόσια υγεία. Σε κάθε περίπτωση η αποκάλυψη της ταυτότητας νοσούντων προσώπων θα πρέπει να συνιστά το έσχατο μέσο και να εξυπηρετεί αποχρώντες λόγους δημοσίου συμφέροντος ώστε να μην καταπατηθεί προδήλως η αρχή της αναλογικότητας.   

Αναφορικά με το ζήτημα της τηλεργασίας σε συσχέτιση πάντα με τα προσωπικά δεδομένα, η ΑΠΔΠΧ εξέδωσε τις ακόλουθες κατευθυντήριες γραμμές: Ο οργανισμός/επιχείρηση οφείλει να ορίσει και να υποστηρίξει συγκεκριμένες διαδικασίες για την τηλεργασία. Οι διαδικασίες αυτές πρέπει να λαμβάνουν υπόψη για την κάθε περίπτωση, τη φύση και τη σοβαρότητα των κινδύνων ως προς την προστασία προσωπικών δεδομένων, οι οποίοι απορρέουν από την εξ αποστάσεως εργασία. Ο φορέας οφείλει να ενημερώσει επαρκώς, να  εκπαιδεύει και να συνδράμει τους εργαζομένους του στην εφαρμογή των διαδικασιών αυτών, λαμβάνοντας υπόψη ότι πολλοί χρήστες δεν είναι εξοικειωμένοι με τις τεχνολογίες που υποστηρίζουν την τηλεργασία και τους σχετικούς κινδύνους. Για το σκοπό αυτό είναι πολύτιμη η συμβολή του Υπευθύνου Προστασίας Δεδομένων (DPO) όπου έχει ορισθεί. Επισημαίνεται ιδιαίτερα ότι οι υποχρεώσεις των φορέων αναφορικά με την προστασία των προσωπικών δεδομένων των εργαζομένων τους αποκτούν ιδιάζουσα βαρύτητα στην περίπτωση της τηλεργασίας. Και τούτο, διότι ο εργαζόμενος, λόγω του γεγονότος ότι βρίσκεται στο σπίτι του, έχει μεγαλύτερη προσδοκία για τη προστασία της ιδιωτικής του ζωής.

5. Η ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΓΙΑ ΔΗΜΟΣΙΟΓΡΑΦΙΚΟΥΣ ΣΚΟΠΟΥΣ

Ιδιαίτερης σημασίας τυγχάνει η ενημέρωση του πληθυσμού για την εξέλιξη της πανδημίας. Παρόλα αυτά όταν πρόκειται για παροχή πληροφοριών σχετικά με κρούσματα, είναι απαραίτητη η στάθμιση μεταξύ δύο κρίσιμων παραγόντων: πρώτον, του ενδεχόμενου εύλογου ενδιαφέροντος και δικαιώματος των πολιτών να γνωρίζουν τους χώρους στους οποίους είχε κινηθεί ο νοσών ή τις δραστηριότητές του το κρίσιμο χρονικό διάστημα για την διάδοση της νόσου, δεδομένης της υψηλής μεταδοτικότητας της νόσου και της πραγματικής δυσκολίας εντοπισμού και επικοινωνίας με τα άτομα με τα οποία αυτός συγχρωτίστηκε (λ.χ. αν ο νοσών είχε περευρεθεί σε κάποια κλειστή εκδήλωση)· δεύτερον, του προσωπικού αυτοκαθορισμού των κρουσμάτων και του ενδεχόμενου κοινωνικού στίγματος ή και αποκλεισμού των νοσούντων, λόγω της εκτεταμένης δημοσιότητας που έχει λάβει το εν λόγω ζήτημα. Σε κάθε περίπτωση όταν πρόκειται για δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων όπως η κατάσταση υγείας ενός προσώπου, θα πρέπει να αποδίδεται ιδιαίτερη προσοχή από τα ΜΜΕ κατά τη διαδικασία ενημέρωσης του ευρέως κοινού. Η ΑΠΔΠΧ έχει τοποθετηθεί ως προς αυτό το ζήτημα, δηλώνοντας ότι θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές, ο Ε.Ο.∆.Υ. και η Γενική Γραµµατεία Πολιτικής Προστασίας (Γ.Γ.Π.Π.) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυµοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών µέτρων ασφαλείας (βλ. άρθρο 5 ΠΝΠ ΦΕΚ Α’64/14-3-2020).

Κατά συνέπεια, τα ΜΜΕ πρέπει καταρχάς να περιορίζονται σε απολύτως απαραίτητες πληροφορίες όπως αυτές του γεωγραφικού προσδιορισμού χωρίς να αναφέρεται ο τόπος εργασίας, κατοικίας ή κάποιο άλλο στοιχείο που αποδεικνύει την ταυτότητα του κρούσματος και χωρίς να προβαίνουν σε αναφορά συναφών κρουσμάτων. Με άλλα λόγια το κρούσμα δεν πρέπει να αποκαλύπτεται μέσα από την ενημέρωση, καθώς τέτοιου είδους ενημέρωση θα εξυπηρετούσε σκοπούς στιγματισμού και όχι σε πρόληψης. Επιπροσθέτως η ταυτοποίηση κρουσμάτων μέσω των ΜΜΕ δεν θα εξυπηρετούσε σε καμία περίπτωση την αρχή της αναλογικότητας, θα συνιστούσε ευθεία παραβίαση των διατάξεων περί τα προσωπικά δεδομένα, η οποία δεν θα μπορούσε δικαιολογηθεί από καμία νομική βάση, ούτε να αρθεί για λόγους δημοσίου συμφέροντος και για τον επιπρόσθετο λόγο της έλλειψης νομιμοποίησης των ΜΜΕ προς επεξεργασία προσωπικών δεδομένων κρουσμάτων.

Όπως πολύ σωστά επισημαίνει η κα Φερενίκη Παναγοπούλου-Κουτνατζή {Επικ. Καθηγήτρια Παντείου Πανεπιστημίου Δ.Ν. (Humboldt), M.P.H. (Harvard), M.Δ.Ε. (Ε.Κ.Π.Α.)}, στην κρίσιμη παρούσα φάση που όλοι διανύουμε απαραίτητη κρίνεται η διασφάλιση της ακρίβειας της πληροφορήσεως και η εξάλειψη των ψευδών ειδήσεων, αναφορικά με τα στοιχεία των νοσούντων. Επιπροσθέτως σημαντική είναι και η υιοθέτηση κανόνων ευπρέπειας ως προς τον τρόπο παρουσίασης των πληροφοριών, προς αποφυγή της διασποράς φαινομένων πανικού. Ως προς αυτό το ζήτημα αναγκαία κρίνεται η παρέμβαση του Εθνικού Συμβουλίου Ραδιοτηλεοράσεως, όταν τα Μέσα Μαζικής Ενημερώσεως υπερβαίνουν προδήλως βασικούς κανόνες δεοντολογίας. Συγκεκριμένα, σύμφωνα στο άρθρο 15 παρ. 2 του Συντάγματος τονίζεται η κοινωνική αποστολή της ραδιοφωνίας και της τηλεοράσεως, η σημασία της αντικειμενικής μεταδόσεως της πληροφορίας με σεβασμό στην αξία του ανθρώπου. Η δημιουργία κλίματος παραπληροφορήσεως και πανικού από τα ΜΜΕ, ιδιαιτέρως σε μία εξαιρετικά δύσκολη συγκυρία για το σύνολο του πληθυσμού, κατά την οποία οι πολίτες, τελούντες σε κατάσταση περιορισμού ή απαγορεύσεως των μετακινήσεων και εν μέσω, διάχυτου και απολύτως δικαιολογημένου φόβου για την εξάπλωση του ιού, ενημερώνονται τακτικά για τις εξελίξεις, δεν συμβαδίζει με την κοινωνική αποστολή των ΜΜΕ και ενδέχεται να προξενήσει περαιτέρω προβλήματα τόσο στο άτομο όσο και στο σύνολο της κοινωνίας. Κατά συνέπεια, η αυξημένη επιτήρηση της δημοσιογραφικής καλύψεως της πανδημίας του κορωνοϊού και η παρέμβαση του ΕΣΡ δικαιολογείται από λόγους υπέρτερου εννόμου συμφέροντος και εντάσσεται στην γενικότερη πολιτική και προσπάθεια αντιμετωπίσεως της εξαιρετικής αυτής καταστάσεως που έχει δημιουργηθεί από την εξάπλωση της νόσου και του περιορισμού των εν γένει συνεπειών αυτής, σε καμία όμως περίπτωση η παρέμβαση δεν πρέπει να είναι τόσο έντονη, συστηματική και δυσανάλογη, ώστε να οδηγεί σε κρατική χειραγώγηση του δημοσιογραφικού λειτουργήματος.

6. Η ΙΧΝΗΛΑΤΗΣΗ ΚΡΟΥΣΜΑΤΩΝ ΚΑΙ ΕΠΑΦΩΝ ΤΟΥΣ

Σε ορισμένα κράτη οι κυβερνήσεις εξετάζουν το ενδεχόμενο να χρησιμοποιήσουν δεδομένα εντοπισμού κινητών ως πιθανό τρόπο για την παρακολούθηση, τον περιορισμό ή τον μετριασμό της εξάπλωσης της νόσου COVID-19. Πρόκειται για τις λεγόμενες «εφαρμογές ιχνηλάτησης επαφών», οι οποίες θα νοηθούν τους κατοίκους να διαπιστώσουν αν έχουν έρθει σε επαφή με άτομο προσβεβλημένο από τον ιό. Μέσα από αυτές τις εφαρμογές θα ήταν δυνατό να εντοπίζεται η γεωγραφική θέση προσώπων ή να εξασφαλίζεται μέσω τηλεφωνικής κλήσης ή με αποστολή γραπτού μηνύματος, η ενημέρωση προσώπων σε συγκεκριμένη περιοχή σχετικά με ζητήματα δημόσιας υγείας. Χαρακτηριστικό είναι το παράδειγμα της Κίνας, η οποία παρακολουθώντας τα smartphones των πολιτών, χρησιμοποιώντας εκατοντάδες εκατομμύρια κάμερες με εφαρμογές αναγνωρίσεως προσώπου και υποχρεώνοντας τους κατοίκους να ελέγχουν και να αναφέρουν τη θερμοκρασία του σώματος και την ιατρική τους κατάσταση, όχι μόνο είναι σε θέση να εντοπίσει άμεσα τους ύποπτους φορείς κορονοϊών, αλλά και τις κινήσεις τους και όποιον ήλθε σε επαφή μαζί τους.

Αναφορικά με τη χρήση δεδομένων θέσεως και κινήσεως με σκοπό την χαρτογράφηση των χώρων στους οποίους βρέθηκε ο ασθενής την κρίσιμη χρονική περίοδο, ιδιαίτερα προσκόμματα θέτει στην ελληνική έννομη τάξη, ο ν. 3471/2006, ο οποίος εντάσσει τα δεδομένα αυτά στο απόρρητο των επικοινωνιών και απαγορεύει, στο άρθρο 4 την παρακολούθηση αυτών, εκτός εάν υπάρχει ειδική νομοθετική πρόβλεψη. Την ανάγκη ειδικής ρυθμίσεως στην εκάστοτε εθνική νομοθεσία τόνισε και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων με πρόσφατη ανακοίνωσή του. Επομένως, θα μπορούσε να προβλεφθεί με μεταγενέστερη π.ν.π. η υιοθέτηση τέτοιων τεχνικών. Ωστόσο αυτά τα μέτρα θα πρέπει να υπόκεινται σε ενισχυμένο έλεγχο και διασφαλίσεις, προκειμένου να εξασφαλίζεται η τήρηση των αρχών προστασίας των δεδομένων έλεγχο της.

Για το σκοπό αυτό και στην περίπτωση χρήσης εφαρμογών ιχνηλάτησης θα πρέπει αυτές να υπόκεινται στα κάτωθι κριτήρια: α) η χρήση τους θα πρέπει να είναι απολύτως οικειοθελής, β) θα απαιτείται η διενέργεια εκτίμησης αντικτύπου σχετικά με τη προστασία δεδομένων προτού αρχίσει η χρήση τους, καθώς θα ενέχει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, γ) θα πρέπει να ειδοποιούνται μόνο τα άτομα με τα οποία ο χρήστης έχει έρθει σε στενή επαφή εντός της περιόδου φύλαξης των δεδομένων που είναι χρήσιμη δ) αναγκαία θα κρίνεται η ύπαρξη κεντρικού εξυπηρετητή, ο οποίος θα πρέπει να περιορίζεται σε μια επεξεργασία απολύτως ελαχίστων και αναγκαίων προσωπικών δεδομένων και μόνο με τη σύμφωνη γνώμη του χρήστη ε) επιπλέον πρέπει να επιβεβαιώνεται ότι το άτομο έχει όντως προσβληθεί με τον ιό χωρίς να ταυτοποιείται ο ίδιος. Πρακτικά αυτό μπορεί να γίνει με το να ειδοποιούνται οι επαφές μόνο μετά από παρέμβαση του επαγγελματία υγείας, π.χ. με τη χρήση κωδικού μιας χρήσης στ) οι πληροφορίες που θα αποθηκεύονται στον κεντρικό εξυπηρετητή δεν θα πρέπει να επιτρέπουν ούτε στον υπεύθυνο την επεξεργασία την ταυτοποίηση του χρήστη ζ) απαραίτητη κρίνεται η χρήση εξελιγμένων κρυπτογραφικών διεργασιών.

Σημειώνεται ωστόσο, ότι θα πρέπει σε κάθε περίπτωση να κριθεί εάν υπό το πρίσμα της πανδημίας μια συστηματική παρακολούθηση των μετακινήσεων συγκεκριμένου τμήματος του πληθυσμού εναρμονίζεται με το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα και ειδικότερα με την συνταγματική αρχή της αναλογικότητας που πρέπει να διέπει κάθε περιορισμό των ατομικών δικαιωμάτων. Ως εκ τούτου, η καταφυγή στα ως άνω μέτρα θα πρέπει να αποτελεί την έσχατη λύση και μόνο σε περίπτωση οξείας κρίσεως του φαινομένου και ελλείψεως άλλης εναλλακτικής δυνατότητας να μπορούν να εφαρμοστούν. Ορθότερος κρίνεται ο περιορισμός στην πλήρη, ακριβή και εμπιστευτική καταγραφή των παρεχομένων από τους ασθενείς πληροφοριών σχετικά με τις κινήσεις και τις επαφές τους το κρίσιμο χρονικό διάστημα. Για την επεξεργασία και τη διαβίβαση των δεδομένων αυτών ισχύουν τα προαναφερθέντα καθώς και εν γένει η νομοθεσία περί προσωπικών δεδομένων. Τέλος, σε περίπτωση που από τις πληροφορίες που κοινοποιεί ο εκάστοτε ασθενής προκύπτουν προσωπικά δεδομένα τρίτου προσώπου, αυτό πρέπει να ενημερώνεται, σύμφωνα με το άρθρο 13 του ΓΚΠΔ. (βλ. Φερενίκη Παναγοπούλου-Κουτνατζή, Η προστασία προσωπικών δεδομένων σε περίοδο πανδημίας). 

7. ΣΥΜΠΕΡΑΣΜΑ

Η παγκόσμια κοινότητα αντιμετωπίζει μια σημαντική κρίση στον τομέα της δημόσιας υγείας που απαιτεί ισχυρές δράσεις και λύσεις, οι οποίες θα έχουν αντίκτυπο και πέρα από την παρούσα κατάσταση έκτακτης ανάγκης. Η αυτοματοποιημένη επεξεργασία δεδομένων και οι ψηφιακές τεχνολογίες μπορούν να αποτελέσουν συνιστώσες στην καταπολέμηση της νόσου COVID-19. Ωστόσο, θα πρέπει να έχουμε υπόψη μας το «φαινόμενο της μη αναστρεψιμότητας». Είναι ευθύνη όλων αλλά κυρίως των κρατικών φορέων να εξασφαλίσουν ότι κάθε μέτρο που λαμβάνεται σ’ αυτές τις εξαιρετικές περιστάσεις είναι αναγκαίο, έχει περιορισμένη διάρκεια και το ελάχιστο δυνατό εύρος, και υπόκειται σε περιοδική και πραγματική επανεξέταση καθώς και σε επιστημονική αξιολόγηση.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) υπογραμμίζει ότι δεν θα έπρεπε να είμαστε αναγκασμένοι να επιλέξουμε ανάμεσα στην αποτελεσματική αντιμετώπιση της τρέχουσας κρίσης και στην προστασία των θεμελιωδών δικαιωμάτων μας: μπορούμε να επιτύχουμε και τα δύο, και επιπλέον οι βασικές αρχές που διέπουν την προστασία δεδομένων μπορούν να διαδραματίσουν πολύ σημαντικό ρόλο στην καταπολέμηση του ιού. Η ευρωπαϊκή νομοθεσία για την προστασία των δεδομένων επιτρέπει την υπεύθυνη χρήση δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της διαχείρισης της υγείας, οφείλει όμως να διασφαλίζει ότι τα ατομικά δικαιώματα και οι ελευθερίες δεν συρρικνώνονται κατά τη διαδικασία αυτή.

---------------

Για περισσότερες πληροφορίες, μπορείτε να απευθυνθείτε στους συνεργάτες του γραφείου μας.


 Μη χάνετε την έγκυρη και έγκαιρη ενημέρωσή σας. Ακολουθήστε μας τώρα στα Google News