COVID-19: κατευθυντήριες γραμμές της ΑΠΔΠΧ

0

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Η Αρχή»), αναγνωρίζοντας τις ιδιαίτερες συνθήκες που δημιουργούνται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα και του σεβασμού των θεμελιωδών δικαιωμάτων και ελευθεριών των πολιτών, από την εξαιρετικά επείγουσα και απρόβλεπτη ανάγκη για την αντιμετώπιση των αρνητικών συνεπειών λόγω της εμφάνισης του κορωνοϊού COVID-19 (εφεξής «ο κορωνοϊός»), τον περιορισμό της διάδοσής του και τη λήψη συναφών αναγκαίων μέτρων σύμφωνα με τις εκδοθείσες Πράξεις Νομοθετικού Περιεχομένου (εφεξής «ΠΝΠ») και τη σχετική νομοθεσία στο πλαίσιο των συναφών ενεργειών των υπευθύνων επεξεργασίας στο μέτρο που συνιστούν επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατόπιν της υπ’ αρ. 5/2020 απόφασης της Ολομέλειάς της, εκδίδει τις κάτωθι Κατευθυντήριες Γραμμές:

1. Οι πληροφορίες σχετικά με την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν, ενδεικτικά, η κατάσταση κατονομαζομένου ή ταυτοποιήσιμου υποκειμένου των δεδομένων ως νοσούντος ή μη, η κατ’ οίκον παραμονή του
λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, ενδεχομένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερμοκρασία ανώτερη της φυσιολογικής κ.λπ.). Πληροφορίες που ενδιαφέρουν εν προκειμένω, όπως εάν ένα υποκείμενο των δεδομένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος με εκτεταμένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριμένου υποκειμένου και, συνεπώς, δεν αποτελούν δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδομένα προσωπικού χαρακτήρα.

2. Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται κατ’ άρ. 2 παρ. 1 Κανονισμού 679/2016 (εφεξής «ΓΚΠΔ») και 2 ν. 4624/2019 στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να
περιληφθούν σε σύστημα αρχειοθέτησης. Έτσι, π.χ., η προφορική ενημέρωση ότι το υποκείμενο των δεδομένων νοσεί από τον κορωνοϊό ή ότι η σωματική θερμοκρασία του έχει μετρηθεί ως ανώτερη του φυσιολογικού συνιστούν μεν δεδομένα προσωπικού χαρακτήρα, πλην όμως η σχετική νομοθεσία δεν εφαρμόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστημα αρχειοθέτησης σε περίπτωση μη αυτοματοποιημένης (χειροκίνητης)
επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοματοποιημένη επεξεργασία. Επισημαίνεται ότι το πεδίο εφαρμογής του ΓΚΠΔ προσδιορίζεται κατά τρόπο δεσμευτικό από τη διάταξη του άρθρου 2 παρ. 1 αυτού και δεν είναι δυνατή η επέκτασή του με διατάξεις της εθνικής νομοθεσίας.

3. Στο μέτρο κατά το οποίο διενεργείται από τις αρμόδιες δημόσιες αρχές επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη λήψη των αναγκαίων κατά περίπτωση μέτρων, σύμφωνα με τις οικείες ΠΝΠ, προς τον σκοπό της αποφυγής κινδύνου εμφάνισης ή διάδοσης του κορωνοϊού που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δημόσια υγεία εφαρμόζεται υπό τις ανωτέρω υπ’ αρ. 1 και 2 προϋποθέσεις ο ΓΚΠΔ. Στις περιπτώσεις αυτές έχουν
εφαρμογή ιδίως οι νομικές βάσεις που ορίζονται στα άρθρα 6 παρ. 1 εδ. γ’ (η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας), δ’ (η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου) και ε’ (η επεξεργασία είναι απαραίτητη για την
εκπλήρωση καθήκοντος που εκτελείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) και 9 παρ. 2 εδ. β’ (η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας), ε’ (η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων), η’ (η
επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών) και θ’ (η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών
απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων), ο ν. 4624/2019 σύμφωνα με την υπ’ αρ. 01/2020 Γνωμοδότηση της Αρχής, σε συνδυασμό με την τυχόν ειδικότερη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα,
περιλαμβανομένων των σχετικών ρυθμίσεων των ΠΝΠ και των εφαρμοστικών αυτών υπουργικών αποφάσεων.

4. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα. Πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας (αιτ. σκ. 4 ΓΚΠΔ). Από το σύνολο των ανωτέρω υπ’ αρ. 1-3 σκέψεων προκύπτει ότι η εφαρμογή του νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν συνιστά εμπόδιο στη λήψη των αναγκαίων μέτρων αντιμετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νομικές βάσεις για την αναγκαία επεξεργασία, με την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και
προϋποθέσεις σύννομης επεξεργασίας. Επισημαίνεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης μέτρων κατά του κορωνοϊού διενεργείται από τις αρμόδιες δημόσιες αρχές ως απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, στις οποίες περιλαμβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠΔ (βλ. αιτ. σκ. 46 και 52
ΓΚΠΔ). Ως εκ τούτου οι αρμόδιες δημόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δημόσιας υγείας.

5. Όσον αφορά τον ιδιωτικό τομέα, ιδίως τις εργασιακές σχέσεις, από τις κείμενες διατάξεις (ιδίως από εκείνες των άρθρων 42, 45 και 49 ν. 3850/2010) προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον
εργασίας με τη συνδρομή των εργαζομένων, αφετέρου, οι εργαζόμενοι ομοίως υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόμων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαμβανομένης της υποχρέωσής τους να αναφέρουν αμέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο μέτρο κατά το οποίο εφαρμόζεται η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις ανωτέρω υπ’ αρ. 1-2 σκέψεις, οι εργοδότες νομιμοποιούνται να επεξεργάζονται δεδομένα για την προστασία της υγείας των εργαζομένων και των ιδίων τηρουμένων των αρχών του άρθρου 5 ΓΚΠΔ, σύμφωνα με τις νομικές βάσεις των προαναφερόμενων διατάξεων των άρθρων 6 παρ. 1, ιδίως, εδ. γ’, δ’ και ε’, 9 παρ. 2, ιδίως, εδ. β’, ε’ και θ’ ΓΚΠΔ και πάντα υπό τις οδηγίες των αρμόδιων αρχών για την εφαρμογή των μέτρων1 που λήφθηκαν με τις ΠΝΠ στο μέτρο που συνιστούν επεξεργασία δεδομένων προσωπικού χαρακτήρα.

6. Η Αρχή έχει γίνει αποδέκτης ερωτημάτων εργοδοτών σε σχέση με την από μέρους τους επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων, προμηθευτών, επισκεπτών κ.λπ. στα γραφεία και εγκαταστάσεις τους προς εξασφάλιση της υγείας των εργαζομένων σύμφωνα με τις διατάξεις του ν.3850/2010 κατά τα προεκτεθέντα, όπως π.χ. εάν επιτρέπεται η θερμομέτρηση των εισερχομένων ή η υποβολή συμπλήρωσης ερωτηματολογίου σχετικά με
την κατάσταση της υγείας των εργαζομένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος με αυξημένο κίνδυνο μετάδοσης του κορωνοϊου κ.λπ. ή η ενημέρωση των λοιπών εργαζομένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζομένου. Η Αρχή υπενθυμίζει ότι ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες και σύμφωνες προς τα άρθρα 5 και 6 ΓΚΠΔ πράξεις επεξεργασίας δεδομένων προσωπικού
χαρακτήρα για την επίτευξη των επιδιωκόμενων σκοπών χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις που περιλαμβάνονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή
πρέπει να δοθεί στην αξιολόγηση του ενδεχομένου συλλογής μόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό (αρχές του περιορισμού της επεξεργασίας σε συνδυασμό με την αρχή της αναλογικότητας), τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εμπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών μέτρων ασφαλείας. Επισημαίνεται ότι η συλλογή και η εν γένει επεξεργασία των δεδομένων προσωπικού χαρακτήρα που
παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαμβάνει χώρα, τηρουμένων των νομίμων προϋποθέσεων, αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα. Αντίθετα, μια συστηματική, διαρκής και
γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας.

7. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων δεν εμπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα (αιτ. σκ. 27 ΓΚΠΔ). Δεδομένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έμμεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρμόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύμφωνα με τις γενικές αρχές
επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασμό με το άρθρο 6 ΓΚΠΔ.

8. Η από μέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, οικειοθελής δημοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύμφωνα με το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠΔ νομική βάση επεξεργασίας των συγκεκριμένων δεδομένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠΔ σε συνδυασμό με τυχόν ειδικότερες διατάξεις της εθνικής νομοθεσίας, περιλαμβανομένων και των ΠΝΠ.

9. H από μέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειμένων των δεδομένων όταν αυτή συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις προϋποθέσεις που αναφέρονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας, ακόμη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠΔ, δεν είναι επιτρεπτή αν δημιουργεί κλίμα προκατάληψης και
στιγματισμού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές με αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους.

10. Τέλος, προ της τυχόν επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς2, ιδίως ως προς την κατάσταση υγείας των υποκειμένων σε σχέση με τον κορωνοϊό, πέραν των προαναφερομένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειμένου (π.χ. ονοματεπώνυμο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδομένου μάλιστα ότι οι αρμόδιες αρχές (Εθνικός Οργανισμός Δημόσιας Υγείας [Ε.Ο.Δ.Υ.] και Γενική Γραμματεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πολιτών επιδημιολογικού συσχετισμού, δίχως τον προσδιορισμό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυμοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών μέτρων ασφαλείας (βλ. άρθρο πέμπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020).

Η Αρχή επιφυλάσσεται να εκδώσει ειδικότερες οδηγίες, εφόσον χρειαστεί, με βάση την εξέλιξη των πραγματικών και νομικών δεδομένων.

Haris Anthis
________________________________________

LawNet S.A.
Address
: 21, Ipitou Str., 105 57,
Athens,  Greece
Phone:210 33.92.572-5  Fax:210 33.92.575 mob: 6936 – 686.686 
email: anthish@lawnet.gr 

web: www.lawnet.gr I www.lawfirms.gr II www.24law.gr
________________________________________
============================
 
Οι πληροφορίες ή/και τυχόν αρχεία που υπάρχουν σε
αυτό το ηλεκτρονικό μήνυμα είναι προσωπικά και απόρρητα.
Ο αποστολέας αυτού του ηλεκτρονικού μηνύματος αποσκοπεί
στην παραλαβή του μόνο από τον ονομαζόμενο παραλήπτη.

________________________________________
www.lawnet.gr – The Greek Legal Network

Σχόλια