Τον «οδικό χάρτη» για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο της διαχείρισης του κορονοιού εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Η Ολομέλεια της Αρχής με απόφαση της (5/2020) συνέταξε κείμενο με τις κατευθυντήριες γραμμές, προδιαγράφοντας τις νομικές δυνατότητες επεξεργασίας από τις αρμόδιες Δημόσιες Αρχές και τους ιδιωτικούς φορείς, ως υπευθύνους επεξεργασίας, βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679, του νόμου 4624/2019 και της σχετικής νομοθεσίας με δεδομένη την επείγουσα και απρόβλεπτη ανάγκη για την αντιμετώπιση των αρνητικών συνεπειών λόγω της εμφάνισης του κορονοϊού και τον περιορισμό της εξάπλωσης του.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επισημαίνει:
«Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο αλλά πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση με άλλα θεμελιώδη δικαιώματα, όπως η ζωή και η υγεία.
Ο υπεύθυνος επεξεργασίας, τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα, λαμβάνοντας τα αναγκαία μέτρα για την αποτροπή της διάδοσης του COVID-19 ενδέχεται να προβεί σε επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα προς τα άρθρα 5, 6 και 9 του ΓΚΠΔ, χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία.
Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο λήψης μέτρων για την προστασία της δημόσιας υγείας εν γένει αλλά και της υγείας των υποκειμένων των δεδομένων στους εργασιακούς χώρους, αφενός, παρέχει τις κατάλληλες νομικές βάσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αφετέρου, παρέχει τη δυνατότητα στον εθνικό νομοθέτη να εξειδικεύσει πράξεις επεξεργασίας που είναι απαραίτητες για λόγους δημοσίου συμφέροντος περιλαμβανομένου του τομέα της δημόσιας υγείας κατ’ εξουσιοδότηση και σύμφωνα προς τις διατάξεις του ΓΚΠΔ.
Η Αρχή, μεταξύ άλλων, αναφέρεται σε συγκεκριμένα ζητήματα σύννομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων εκ μέρους των εργοδοτών για τον σκοπό του περιορισμού διάδοσης του COVID-19. Επιπλέον, επισημαίνει τους κανόνες επεξεργασίας προσωπικών δεδομένων συγγενών ή οικείων ατόμων θανόντων από τον κορονοϊό καθώς και τους κανόνες επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τους ασθενείς. Παράλληλα, στο «μικροσκόπιο» της Αρχής μπήκε και το ζήτημα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς.
Συγκεκριμένα οι Κατευθυντήριες Γραμμές έχουν ως εξής:
1. Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν, ενδεικτικά, η κατάσταση κατονομαζομένου ή ταυτοποιήσιμου υποκειμένου των δεδομένων ως νοσούντος ή µη, η κατ’ οίκον παραμονή του λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, ενδεχομένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερμοκρασία ανώτερη της φυσιολογικής κ.λπ.). Πληροφορίες που ενδιαφέρουν εν προκειμένω, όπως εάν ένα υποκείμενο των δεδομένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταμένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριμένου υποκειμένου και, συνεπώς, δεν αποτελούν δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδομένα προσωπικού χαρακτήρα.
2. Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται κατ’ άρ. 2 παρ. 1 Κανονισμού 679/2016 (εφεξής «ΓΚΠΔ») και 2 ν. 4624/2019 στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη µη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Έτσι, π.χ., η προφορική ενημέρωση ότι το υποκείμενο των δεδομένων νοσεί από τον κορωνοϊό ή ότι η σωματική θερμοκρασία του έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστούν µεν δεδομένα προσωπικού χαρακτήρα, πλην όμως η σχετική νομοθεσία δεν εφαρμόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστημα αρχειοθέτησης σε περίπτωση µη αυτοματοποιημένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία. Επισηµαίνεται ότι το πεδίο εφαρµογής του ΓΚΠ∆ προσδιορίζεται κατά τρόπο δεσμευτικό από τη διάταξη του άρθρου 2 παρ. 1 αυτού και δεν είναι δυνατή η επέκτασή του µε διατάξεις της εθνικής νοµοθεσίας.
3. Στο µέτρο κατά το οποίο διενεργείται από τις αρµόδιες δηµόσιες αρχές επεξεργασία δεδοµένων προσωπικού χαρακτήρα για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύµφωνα µε τις οικείες ΠΝΠ, προς τον σκοπό της 2 αποφυγής κινδύνου εµφάνισης ή διάδοσης του κορωνοϊού που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δηµόσια υγεία εφαρµόζεται υπό τις ανωτέρω υπ’ αρ. 1 και 2 προϋποθέσεις ο ΓΚΠ∆. Στις περιπτώσεις αυτές έχουν εφαρµογή ιδίως οι νοµικές βάσεις που ορίζονται στα άρθρα 6 παρ. 1 εδ. γ’ (η επεξεργασία είναι απαραίτητη για τη συµµόρφωση µε έννοµη υποχρέωση του υπευθύνου επεξεργασίας), δ’ (η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή άλλου φυσικού προσώπου) και ε’ (η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) και 9 παρ. 2 εδ. β’ (η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριµένων δικαιωµάτων του υπευθύνου επεξεργασίας ή του υποκειµένου των δεδοµένων στον τοµέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας), ε’ (η επεξεργασία αφορά δεδοµένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δηµοσιοποιηθεί από το υποκείµενο των δεδοµένων), η’ (η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελµατικής ιατρικής εκτίµησης της ικανότητας προς εργασία του εργαζοµένου, ιατρικής διάγνωσης, παροχής υγειονοµικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονοµικών και κοινωνικών συστηµάτων και υπηρεσιών) και θ’ (η επεξεργασία είναι απαραίτητη για λόγους δηµόσιου συµφέροντος στον τοµέα της δηµόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονοµικής περίθαλψης και των φαρµάκων ή των ιατροτεχνολογικών προϊόντων), ο ν. 4624/2019 σύµφωνα µε την υπ’ αρ. 01/2020 Γνωµοδότηση της Αρχής, σε συνδυασµό µε την τυχόν ειδικότερη νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα, περιλαµβανοµένων των σχετικών ρυθµίσεων των ΠΝΠ και των εφαρµοστικών αυτών υπουργικών αποφάσεων.
4. Το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωµα. Πρέπει να εκτιµάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας (αιτ. σκ. 4 ΓΚΠ∆). Από το σύνολο των ανωτέρω υπ’ αρ. 1-3 σκέψεων προκύπτει ότι η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννοµης επεξεργασίας. Επισηµαίνεται ότι η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού διενεργείται από τις αρµόδιες δηµόσιες αρχές ως απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆). Ως εκ τούτου οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας.
5. Όσον αφορά τον ιδιωτικό τοµέα, ιδίως τις εργασιακές σχέσεις, από τις κείµενες διατάξεις (ιδίως από εκείνες των άρθρων 42, 45 και 49 ν. 3850/2010) 3 προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία συναφή προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων, αφετέρου, οι εργαζόµενοι οµοίως υποχρεούνται να εφαρµόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόµων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαµβανοµένης της υποχρέωσής τους να αναφέρουν αµέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που µπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άµεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο µέτρο κατά το οποίο εφαρµόζεται η νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα σύµφωνα µε τις ανωτέρω υπ’ αρ. 1-2 σκέψεις, οι εργοδότες νοµιµοποιούνται να επεξεργάζονται δεδοµένα για την προστασία της υγείας των εργαζοµένων και των ιδίων τηρουµένων των αρχών του άρθρου 5 ΓΚΠ∆, σύµφωνα µε τις νοµικές βάσεις των προαναφερόµενων διατάξεων των άρθρων 6 παρ. 1, ιδίως, εδ. γ’, δ’ και ε’, 9 παρ. 2, ιδίως, εδ. β’, ε’ και θ’ ΓΚΠ∆ και πάντα υπό τις οδηγίες των αρµόδιων αρχών για την εφαρµογή των µέτρων1 που λήφθηκαν µε τις ΠΝΠ στο µέτρο που συνιστούν επεξεργασία δεδοµένων προσωπικού χαρακτήρα.
6. Η Αρχή έχει γίνει αποδέκτης ερωτηµάτων εργοδοτών σε σχέση µε την από µέρους τους επεξεργασία δεδοµένων προσωπικού χαρακτήρα εργαζοµένων, προµηθευτών, επισκεπτών κ.λπ. στα γραφεία και εγκαταστάσεις τους προς εξασφάλιση της υγείας των εργαζοµένων σύµφωνα µε τις διατάξεις του ν. 3850/2010 κατά τα προεκτεθέντα, όπως π.χ. εάν επιτρέπεται η θερµοµέτρηση των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κ.λπ. ή η ενηµέρωση των λοιπών εργαζοµένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζοµένου. Η Αρχή υπενθυµίζει ότι ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες και σύµφωνες προς τα άρθρα 5 και 6 ΓΚΠ∆ πράξεις επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόµενων σκοπών χωρίς να µπορεί εκ προοιµίου να αποκλειστεί ως απαγορευµένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις που περιλαµβάνονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγµατοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά µε τον επιδιωκόµενο σκοπό (αρχές του περιορισµού της επεξεργασίας σε συνδυασµό µε την αρχή της αναλογικότητας), τηρουµένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εµπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας. Επισηµαίνεται ότι η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, 1 Για τις προβλεπόµενες ποινικές κυρώσεις από την παραβίαση της υποχρέωσης τήρησης των σχετικών µέτρων βλ. αρ. πρωτ. 2433 από 12-3-2020 υπ’ αρ. 4 Εγκύκλιο κ. Εισαγγελέα Αρείου Πάγου. 4 πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα. Αντίθετα, µια συστηµατική, διαρκής και γενικευµένη συλλογή δεδοµένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζοµένων, δύσκολα θα µπορούσε να χαρακτηριστεί ως σύµφωνη µε την αρχή της αναλογικότητας.
7. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα (αιτ. σκ. 27 ΓΚΠ∆). ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.
8. Η από µέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, οικειοθελής δηµοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύµφωνα µε το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠ∆ νοµική βάση επεξεργασίας των συγκεκριµένων δεδοµένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠ∆ σε συνδυασµό µε τυχόν ειδικότερες διατάξεις της εθνικής νοµοθεσίας, περιλαµβανοµένων και των ΠΝΠ.
9. H από µέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων όταν αυτή συνιστά επεξεργασία δεδοµένων προσωπικού χαρακτήρα, σύµφωνα µε τις προϋποθέσεις που αναφέρονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας, ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.
10. Τέλος, προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς , ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, πέραν των προαναφεροµένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές (Εθνικός Οργανισµός ∆ηµόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραµµατεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυµοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών µέτρων ασφαλείας (βλ. άρθρο πέµπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020).
Αξίζει να σημειωθεί ότι η Αρχή επιφυλάσσεται να εκδώσει ειδικότερες οδηγίες, εφόσον χρειαστεί, µε βάση την εξέλιξη των πραγµατικών και νοµικών δεδοµένων».