Κατευθυντήριες γραμμές για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο διαχείρισης του Covid-19
Αναρτήθηκε στην ιστοσελίδα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η απόφαση 5/2020, με την οποία η Αρχή κατέληξε στην έκδοση κατευθυντηρίων γραμμών για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο διαχείρισης του Covid-19 (είχαν δημοσιευθεί ως δελτιο τύπου τον Απρίλιο).
Όπως αναφέρεται στην απόφαση, από προφορικά ερωτήματα που υποβλήθηκαν στην Αρχή, από σχετικά δημοσιεύματα και από τα δεδομένα που έχουν δημιουργηθεί λόγω της επιδημίας που οφείλεται στον κορωνοϊό COVID-19 διαπιστώνεται η ανάγκη αφενός ενημέρωσης του κοινού για την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων ατόμων, ως υποκειμένων των δεδομένων, και αφετέρου, ευαισθητοποίησης των δημοσίων αρχών και των ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σχετικά με τις υποχρεώσεως που απορρέουν από το θεσμικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα από την επεξεργασία τους που διενεργείται στο πλαίσιο της εξαιρετικά επείγουσας και απρόβλεπτης ανάγκης διαχείρισης δεδομένων προσωπικού χαρακτήρα για την αντιμετώπιση των αρνητικών συνεπειών, λόγω της εμφάνισης του κορωνοϊού COVID-19, τον περιορισμό της διάδοσής του και τη λήψη συναφών νομοθετικών μέτρων.
Οι Κατευθυντήριες Γραμμές στις οποίες κατέληξε η ΑΠΔΠΧ είναι οι εξής:
1. Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαµβανοµένης της παροχής υπηρεσιών υγειονοµικής φροντίδας σε αυτό, συνιστούν δεδοµένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν, ενδεικτικά, η κατάσταση κατονοµαζοµένου ή ταυτοποιήσιµου υποκειµένου των δεδοµένων ως νοσούντος ή µη, η κατ’ οίκον παραµονή του λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, ενδεχοµένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερµοκρασία ανώτερη της φυσιολογικής κ.λπ.). Πληροφορίες που ενδιαφέρουν εν προκειµένω, όπως εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριµένου υποκειµένου και, συνεπώς, δεν αποτελούν δεδοµένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδοµένα προσωπικού χαρακτήρα.
2. Η νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα εφαρµόζεται κατ’ άρ. 2 παρ. 1 Κανονισµού 679/2016 (εφεξής «ΓΚΠ∆») και 2 ν. 4624/2019 στην εν όλω ή εν µέρει αυτοµατοποιηµένη επεξεργασία δεδοµένων προσωπικού χαρακτήρα, καθώς και στη µη αυτοµατοποιηµένη επεξεργασία τέτοιων δεδοµένων τα οποία περιλαµβάνονται ή πρόκειται να περιληφθούν σε σύστηµα αρχειοθέτησης. Έτσι, π.χ., η προφορική ενηµέρωση ότι το υποκείµενο των δεδοµένων νοσεί από τον κορωνοϊό ή ότι η σωµατική θερµοκρασία του έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστούν µεν δεδοµένα προσωπικού χαρακτήρα, πλην όµως η σχετική νοµοθεσία δεν εφαρµόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστηµα αρχειοθέτησης σε περίπτωση µη αυτοµατοποιηµένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία. Επισηµαίνεται ότι το πεδίο εφαρµογής του ΓΚΠ∆ προσδιορίζεται κατά τρόπο δεσµευτικό από τη διάταξη του άρθρου 2 παρ. 1 αυτού και δεν είναι δυνατή η επέκτασή του µε διατάξεις της εθνικής νοµοθεσίας.
3. Στο µέτρο κατά το οποίο διενεργείται από τις αρµόδιες δηµόσιες αρχές επεξεργασία δεδοµένων προσωπικού χαρακτήρα για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύµφωνα µε τις οικείες ΠΝΠ, προς τον σκοπό της αποφυγής κινδύνου εµφάνισης ή διάδοσης του κορωνοϊού που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δηµόσια υγεία εφαρµόζεται υπό τις ανωτέρω υπ’ αρ. 1 και 2 προϋποθέσεις ο ΓΚΠ∆. Στις περιπτώσεις αυτές έχουν εφαρµογή ιδίως οι νοµικές βάσεις που ορίζονται στα άρθρα 6 παρ. 1 εδ. γ’ (η επεξεργασία είναι απαραίτητη για τη συµµόρφωση µε έννοµη υποχρέωση του υπευθύνου επεξεργασίας), δ’ (η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή άλλου φυσικού προσώπου) και ε’ (η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) και 9 παρ. 2 εδ. β’ (η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριµένων δικαιωµάτων του υπευθύνου επεξεργασίας ή του υποκειµένου των δεδοµένων στον τοµέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας), ε’ (η επεξεργασία αφορά δεδοµένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δηµοσιοποιηθεί από το υποκείµενο των δεδοµένων), η’ (η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελµατικής ιατρικής εκτίµησης της ικανότητας προς εργασία του εργαζοµένου, ιατρικής διάγνωσης, παροχής υγειονοµικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονοµικών και κοινωνικών συστηµάτων και υπηρεσιών) και θ’ (η επεξεργασία είναι απαραίτητη για λόγους δηµόσιου συµφέροντος στον τοµέα της δηµόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονοµικής περίθαλψης και των φαρµάκων ή των ιατροτεχνολογικών προϊόντων), ο ν. 4624/2019 σύµφωνα µε την υπ’ αρ. 01/2020 Γνωµοδότηση της Αρχής, σε συνδυασµό µε την τυχόν ειδικότερη νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα, περιλαµβανοµένων των σχετικών ρυθµίσεων των ΠΝΠ και των εφαρµοστικών αυτών υπουργικών αποφάσεων.
4. Το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωµα. Πρέπει να εκτιµάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας (αιτ. σκ. 4 ΓΚΠ∆). Από το σύνολο των ανωτέρω υπ’ αρ. 1-3 σκέψεων προκύπτει ότι η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννοµης επεξεργασίας. Επισηµαίνεται ότι η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού διενεργείται από τις αρµόδιες δηµόσιες αρχές ως απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆). Ως εκ τούτου οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας.
5. Όσον αφορά τον ιδιωτικό τοµέα, ιδίως τις εργασιακές σχέσεις, από τις κείµενες διατάξεις (ιδίως από εκείνες των άρθρων 42, 45 και 49 ν. 3850/2010) προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία συναφή προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων, αφετέρου, οι εργαζόµενοι οµοίως υποχρεούνται να εφαρµόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόµων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαµβανοµένης της υποχρέωσής τους να αναφέρουν αµέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που µπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άµεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο µέτρο κατά το οποίο εφαρµόζεται η νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα σύµφωνα µε τις ανωτέρω υπ’ αρ. 1-2 σκέψεις, οι εργοδότες νοµιµοποιούνται να επεξεργάζονται δεδοµένα για την προστασία της υγείας των εργαζοµένων και των ιδίων τηρουµένων των αρχών του άρθρου 5 ΓΚΠ∆, σύµφωνα µε τις νοµικές βάσεις των προαναφερόµενων διατάξεων των άρθρων 6 παρ. 1, ιδίως, εδ. γ’, δ’ και ε’, 9 παρ. 2, ιδίως, εδ. β’, ε’ και θ’ ΓΚΠ∆ και πάντα υπό τις οδηγίες των αρµόδιων αρχών για την εφαρµογή των µέτρων που λήφθηκαν µε τις ΠΝΠ στο µέτρο που συνιστούν επεξεργασία δεδοµένων προσωπικού χαρακτήρα.
6. Η Αρχή έχει γίνει αποδέκτης ερωτηµάτων εργοδοτών σε σχέση µε την από µέρους τους επεξεργασία δεδοµένων προσωπικού χαρακτήρα εργαζοµένων, προµηθευτών, επισκεπτών κ.λπ. στα γραφεία και εγκαταστάσεις τους προς εξασφάλιση της υγείας των εργαζοµένων σύµφωνα µε τις διατάξεις του ν. 3850/2010 κατά τα προεκτεθέντα, όπως π.χ. εάν επιτρέπεται η θερµοµέτρηση των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κ.λπ. ή η ενηµέρωση των λοιπών εργαζοµένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζοµένου. Η Αρχή υπενθυµίζει ότι ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες και σύµφωνες προς τα άρθρα 5 και 6 ΓΚΠ∆ πράξεις επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόµενων σκοπών χωρίς να µπορεί εκ προοιµίου να αποκλειστεί ως απαγορευµένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις που περιλαµβάνονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγµατοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά µε τον επιδιωκόµενο σκοπό (αρχές του περιορισµού της επεξεργασίας σε συνδυασµό µε την αρχή της αναλογικότητας), τηρουµένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εµπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας. Επισηµαίνεται ότι η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα. Αντίθετα, µια συστηµατική, διαρκής και γενικευµένη συλλογή δεδοµένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζοµένων, δύσκολα θα µπορούσε να χαρακτηριστεί ως σύµφωνη µε την αρχή της αναλογικότητας.
7. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα (αιτ. σκ. 27 ΓΚΠ∆). ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.
8. Η από µέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, οικειοθελής δηµοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύµφωνα µε το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠ∆ νοµική βάση επεξεργασίας των συγκεκριµένων δεδοµένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠ∆ σε συνδυασµό µε τυχόν ειδικότερες διατάξεις της εθνικής νοµοθεσίας, περιλαµβανοµένων και των ΠΝΠ.
9. H από µέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων όταν αυτή συνιστά επεξεργασία δεδοµένων προσωπικού χαρακτήρα, σύµφωνα µε τις προϋποθέσεις που αναφέρονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας, ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.
10. Τέλος, προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς, ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, πέραν των προαναφεροµένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές (Εθνικός Οργανισµός ∆ηµόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραµµατεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυµοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών µέτρων ασφαλείας (βλ. άρθρο πέµπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020). Η Αρχή επιφυλάσσεται να εκδώσει ειδικότερες οδηγίες, εφόσον χρειαστεί, µε βάση την εξέλιξη των πραγµατικών και νοµικών δεδοµένων.
Δείτε αναλυτικά την απόφαση 5/2020.