Οι κανόνες προστασίας δεδομένων δεν εμποδίζουν τη λήψη μέτρων για την καταπολέμηση του κορωνοϊού – Ωστόσο, ακόμη και σε αυτές τις εξαιρετικές περιόδους, πρέπει να διασφαλίζεται η προστασία των δεδομένων
Δημόσιοι και ιδιωτικοί οργανισμοί σε όλη την Ευρώπη λαμβάνουν μέτρα για να περιορίσουν τη διάδοση του κορωνοϊού COVID-19. Στο πλαίσιο αυτό είναι πολύ πιθανόν να επεξεργάζονται διάφορες κατηγορίες προσωπικών δεδομένων.
Ήδη στην Ελλάδα, με την Πράξη Νομοθετικού Περιεχομένου της 14ης Μαρτίου 2020 προβλέπεται το περιεχόμενο και τις εγγυήσεις για τη διαβίβαση δεδομένων προσωπικού χαρακηρα πολιτών επιδημιολογικού συσχετισμού από τον Εθνικό Οργανισμό Δημόσιας Υγείας (Ε.Ο.Δ.Υ.) προς τη Γενική Γραμματεία Πολιτικής Προστασίας.
Στο πλαίσιο αυτό, η πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), Andrea Jelinek, παρέχει ορισμένες χρήσιμες διευκρινίσεις:
“Οι κανόνες προστασίας δεδομένων (όπως ο GDPR) δεν εμποδίζουν τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας του κορωνοϊού. Ωστόσο, θα ήθελα να υπογραμμίσω ότι, ακόμη και σε αυτές τις εξαιρετικές περιόδους, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων. Ως εκ τούτου, θα πρέπει να ληφθούν υπόψη ορισμένες εκτιμήσεις για να εξασφαλιστεί η νόμιμη επεξεργασία προσωπικών δεδομένων. “
Ο GDPR είναι ένα νομοθέτημα με ευρύ πεδίο εφαρμογής που προβλέπει ότι οι κανόνες θα ισχύουν και για την επεξεργασία προσωπικών δεδομένων σε ένα πλαίσιο όπως αυτό που σχετίζεται με το COVID-19.
Πράγματι, ο GDPR προβλέπει τις νομικές βάσεις που επιτρέπουν στους εργοδότες και τις αρμόδιες αρχές δημόσιας υγείας να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των επιδημιών, χωρίς να απαιτείται η συγκατάθεση του υποκειμένου των δεδομένων.
Αυτό ισχύει, για παράδειγμα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για τους εργοδότες για λόγους δημόσιου ενδιαφέροντος στον τομέα της δημόσιας υγείας ή για την προστασία ζωτικών συμφερόντων (άρθρα 6 και 9 του GDPR) ή για τη συμμόρφωση με άλλη έννομη υποχρέωση.
Για την επεξεργασία δεδομένων ηλεκτρονικής επικοινωνίας, όπως δεδομένα θέσης, ισχύουν πρόσθετοι κανόνες.
Οι εθνικοί νόμοι που θέτουν σε εφαρμογή την οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (σ.σ. στην Ελλάδα ο Ν. 3471/2006) θέτουν ως αρχή πως τα δεδομένα θέσης μπορούν να χρησιμοποιηθούν μόνο από τον πάροχο μόνο όταν ανωνυμοποιούνται ή με τη συγκατάθεση των ατόμων.
Οι δημόσιες αρχές θα πρέπει πρώτα να στοχεύσουν στην επεξεργασία των δεδομένων θέσης με ανώνυμο τρόπο, δηλαδή να επεξεργάζονται συγκεντρωτικά δεδομένα με τρόπο ώστε να μην μπορούν να μετατραπούν πάλ σε προσωπικά δεδομένα.
Αυτό θα μπορούσε να επιτρέψει τη δημιουργία αναφορών σχετικά με τη συγκέντρωση κινητών συσκευών σε μια συγκεκριμένη τοποθεσία (“χαρτογραφία”).
Όταν δεν είναι δυνατή η επεξεργασία μόνο ανώνυμων δεδομένων, το άρθρο 15 της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών επιτρέπει στα κράτη μέλη να θεσπίζουν νομοθετικά μέτρα για την εθνική και τη δημόσια ασφάλεια.
Στο πλαίσιο αυτό, σημειώνεται ότι η προστασία της δημόσιας υγείας μπορεί να εμπίπτει στην εξαίρεση εθνικής ή / και δημόσιας ασφάλειας.
Αυτο το νομοθετικό μέτρο έκτακτης ανάγκης είναι δυνατό υπό την προϋπόθεση ότι αποτελεί ένα αναγκαίο, κατάλληλο και αναλογικό μέτρο εντός μιας δημοκρατικής κοινωνίας. Εάν θεσπιστούν τέτοιου είδους μέτρα, ένα κράτος μέλος υποχρεούται να θέσει σε εφαρμογή επαρκείς διασφαλίσεις, όπως τη χορήγηση στους πολίτες του δικαιώματος άσκησης ένδικων μέσων.