Ελλαδα

«Πράσινο φως» για επεξεργασία προσωπικών δεδομένων λόγω κορωνοϊού

Ποιες είναι οι νέες κατευθύνσεις της αρμόδιας Αρχής

Newsroom
7’ ΔΙΑΒΑΣΜΑ

Νέες οδηγίες για τα προσωπικά δεδομένα την εποχή του κορωνοϊού από την Αρχή Δεδομένων Προσωπικού Χαρακτήρα. Τι αλλάζει;

Νέες κατευθυντήριες γραμμές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της αντιμετώπισης του νέου κορωνοϊού δίνει η Ολομέλεια της Αρχής Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Υπογραμμίζοντας ότι το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο αλλά πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία η ΑΠΔΠΧ επιτρέπει από σήμερα μεταξύ άλλων, στους εργοδότες, υπό τις νόμιμες προϋποθέσεις, να λαμβάνουν τα αναγκαία μέτρα για την προστασία των εργαζομένων από την κορωνοϊό όπως π.χ. την υποβολή ερωτηματολογίων σχετικά με την κατάσταση υγείας τους ή συγγενών, συνεργατών τους, τα ταξίδια σε προορισμούς με αυξημένο κίνδυνο διάδοσης του κορωνοϊού COVID-19 κ.λπ., όπως και να προχωρούν και στην θερμομέτρηση εργαζομένων, προμηθευτών, επισκεπτών κ.λπ. προ της εισόδου στις εγκαταστάσεις τους.

Παράλληλα επισημαίνεται ότι η παροχή πληροφοριών για την κατάσταση υγείας των ασθενών δεν είναι επιτρεπτή αν δημιουργεί κλίμα προκατάληψης και στιγματισμού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές με αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους.

Οι νέες οδηγίες λόγω της κρίσης με τον κορωνοϊό 

1. Οι πληροφορίες σχετικά με την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν, ενδεικτικά, η κατάσταση κατονομαζομένου ή ταυτοποιήσιμου υποκειμένου των δεδομένων ως νοσούντος ή μη, η κατ’ οίκον παραμονή του λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, ενδεχομένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερμοκρασία ανώτερη της φυσιολογικής κ.λπ.). Πληροφορίες που ενδιαφέρουν εν προκειμένω, όπως εάν ένα υποκείμενο των δεδομένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος με εκτεταμένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριμένου υποκειμένου και, συνεπώς, δεν αποτελούν δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδομένα προσωπικού χαρακτήρα.

2. Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται κατ’ άρ. 2 παρ. 1 Κανονισμού 679/2016 (εφεξής «ΓΚΠ∆») και 2 ν. 4624/2019 στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Έτσι, π.χ., η προφορική ενημέρωση ότι το υποκείμενο των δεδομένων νοσεί από τον κορωνοϊό ή ότι η σωματική θερμοκρασία του έχει μετρηθεί ως ανώτερη του φυσιολογικού συνιστούν μεν δεδομένα προσωπικού χαρακτήρα, πλην όμως η σχετική νομοθεσία δεν εφαρμόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστημα αρχειοθέτησης σε περίπτωση μη αυτοματοποιημένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοματοποιημένη επεξεργασία. Επισημαίνεται ότι το πεδίο εφαρμογής του ΓΚΠ∆ προσδιορίζεται κατά τρόπο δεσμευτικό από τη διάταξη του άρθρου 2 παρ. 1 αυτού και δεν είναι δυνατή η επέκτασή του με διατάξεις της εθνικής νομοθεσίας.

3. Στο μέτρο κατά το οποίο διενεργείται από τις αρμόδιες δημόσιες αρχές επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη λήψη των αναγκαίων κατά περίπτωση μέτρων, σύμφωνα με τις οικείες ΠΝΠ, προς τον σκοπό της αποφυγής κινδύνου εμφάνισης ή διάδοσης του κορωνοϊού που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δημόσια υγεία εφαρμόζεται υπό τις ανωτέρω υπ’ αρ. 1 και 2 προϋποθέσεις ο ΓΚΠ∆. Στις περιπτώσεις αυτές έχουν εφαρμογή ιδίως οι νομικές βάσεις που ορίζονται στα άρθρα 6 παρ. 1 εδ. γ’ (η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας), δ’ (η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου) και ε’ (η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) και 9 παρ. 2 εδ. β’ (η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας), ε’ (η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων), η’ (η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών) και θ’ (η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων), ο ν. 4624/2019 σύμφωνα με την υπ’ αρ. 01/2020 Γνωμοδότηση της Αρχής, σε συνδυασμό με την τυχόν ειδικότερη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, περιλαμβανομένων των σχετικών ρυθμίσεων των ΠΝΠ και των εφαρμοστικών αυτών υπουργικών αποφάσεων.

4. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα. Πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας (αιτ. σκ. 4 ΓΚΠ∆). Από το σύνολο των ανωτέρω υπ’ αρ. 1-3 σκέψεων προκύπτει ότι η εφαρμογή του νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν συνιστά εμπόδιο στη λήψη των αναγκαίων μέτρων αντιμετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νομικές βάσεις για την αναγκαία επεξεργασία, με την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας. Επισημαίνεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης μέτρων κατά του κορωνοϊού διενεργείται από τις αρμόδιες δημόσιες αρχές ως απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, στις οποίες περιλαμβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆). Ως εκ τούτου οι αρμόδιες δημόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δημόσιας υγείας.

5. Όσον αφορά τον ιδιωτικό τομέα, ιδίως τις εργασιακές σχέσεις, από τις κείμενες διατάξεις (ιδίως από εκείνες των άρθρων 42, 45 και 49 ν. 3850/2010) προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον εργασίας με τη συνδρομή των εργαζομένων, αφετέρου, οι εργαζόμενοι ομοίως υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόμων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαμβανομένης της υποχρέωσής τους να αναφέρουν αμέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο μέτρο κατά το οποίο εφαρμόζεται η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις ανωτέρω υπ’ αρ. 1-2 σκέψεις, οι εργοδότες νομιμοποιούνται να επεξεργάζονται δεδομένα για την προστασία της υγείας των εργαζομένων και των ιδίων τηρουμένων των αρχών του άρθρου 5 ΓΚΠ∆, σύμφωνα με τις νομικές βάσεις των προαναφερόμενων διατάξεων των άρθρων 6 παρ. 1, ιδίως, εδ. γ’, δ’ και ε’, 9 παρ. 2, ιδίως, εδ. β’, ε’ και θ’ ΓΚΠ∆ και πάντα υπό τις οδηγίες των αρμόδιων αρχών για την εφαρμογή των μέτρων1 που λήφθηκαν με τις ΠΝΠ στο μέτρο που συνιστούν επεξεργασία δεδομένων προσωπικού χαρακτήρα.

6. Η Αρχή έχει γίνει αποδέκτης ερωτημάτων εργοδοτών σε σχέση με την από μέρους τους επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων, προμηθευτών, επισκεπτών κ.λπ. στα γραφεία και εγκαταστάσεις τους προς εξασφάλιση της υγείας των εργαζομένων σύμφωνα με τις διατάξεις του ν. 3850/2010 κατά τα προεκτεθέντα, όπως π.χ. εάν επιτρέπεται η θερμομέτρηση των εισερχομένων ή η υποβολή συμπλήρωσης ερωτηματολογίου σχετικά με την κατάσταση της υγείας των εργαζομένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος με αυξημένο κίνδυνο μετάδοσης του κορωνοϊου κ.λπ. ή η ενημέρωση των λοιπών εργαζομένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζομένου. Η Αρχή υπενθυμίζει ότι ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες και σύμφωνες προς τα άρθρα 5 και 6 ΓΚΠ∆ πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόμενων σκοπών χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις που περιλαμβάνονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχομένου συλλογής μόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό (αρχές του περιορισμού της επεξεργασίας σε συνδυασμό με την αρχή της αναλογικότητας), τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εμπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών μέτρων ασφαλείας. Επισημαίνεται ότι η συλλογή και η εν γένει επεξεργασία των δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας,πρέπει να λαμβάνει χώρα, τηρουμένων των νομίμων προϋποθέσεων, αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα. Αντίθετα, μια συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας.

7. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων δεν εμπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα (αιτ. σκ. 27 ΓΚΠ∆). ∆εδομένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έμμεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρμόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύμφωνα με τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασμό με το άρθρο 6 ΓΚΠ∆.

8. Η από μέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, οικειοθελής δημοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύμφωνα με το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠ∆ νομική βάση επεξεργασίας των συγκεκριμένων δεδομένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠ∆ σε συνδυασμό με τυχόν ειδικότερες διατάξεις της εθνικής νομοθεσίας, περιλαμβανομένων και των ΠΝΠ.

9. H από μέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειμένων των δεδομένων όταν αυτή συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις προϋποθέσεις που αναφέρονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας, ακόμη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή αν δημιουργεί κλίμα προκατάληψης και στιγματισμού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές με αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους.

10. Τέλος, προ της τυχόν επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς2, ιδίως ως προς την κατάσταση υγείας των υποκειμένων σε σχέση με τον κορωνοϊό, πέραν των προαναφερομένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειμένου (π.χ. ονοματεπώνυμο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδομένου μάλιστα ότι οι αρμόδιες αρχές (Εθνικός Οργανισμός ∆ημόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραμματεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πολιτών επιδημιολογικού συσχετισμού, δίχως τον προσδιορισμό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυμοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών μέτρων ασφαλείας (βλ. άρθρο πέμπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020).
Η Αρχή επιφυλάσσεται να εκδώσει ειδικότερες οδηγίες, εφόσον χρειαστεί, με βάση την εξέλιξη των πραγματικών και νομικών δεδομένων.