Επεξεργασία δεδομένων προσωπικού χαρακτήρα και διαχείριση της νόσου COVID-19
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε χθες κατευθυντήριες γραμμές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαχείρισης της νόσου Covid-19. Την εβδομάδα που πέρασε άλλες αντίστοιχες αρχές όπως η Ιταλική, η Ιρλανδική και η Γαλλική εξέδωσαν αντίστοιχες γραμμές, η δε Πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ήρθε τη Δευτέρα 16/03 να δώσει ενδιαφέρον στη συζήτηση με δήλωση της, η οποία αφενός αποδέχεται την επεξεργασία ευαίσθητων δεδομένων για την πρόληψη διάδοσης του Covid-19 εντός του ρυθμιστικού πλαισίου του GDPR και της οδηγίας ePrivacy, πλην όμως άφησε ένα «παραθυράκι» ότι η επεξεργασία δεδομένων υπό αυτές τις συνθήκες μπορεί και να μην εμπίπτει στο πεδίο εφαρμογής του GDPR σύμφωνα με την εξαίρεση του αρθ. 2 παρ. 2 περ. δ’ GDPR, ήτοι την επεξεργασία δεδομένων από αρμόδιες αρχές για την προστασία και πρόληψη έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια. Τα συμπεράσματά μας και οι σημαντικές επισημάνσεις:
- Η εφαρμογή του νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν συνιστά εμπόδιο στη λήψη των αναγκαίων μέτρων αντιμετώπισης της νόσου Covid-19. Αντιθέτως, παρέχονται οι νομικές βάσεις για την αναγκαία επεξεργασία, με την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας. Άλλωστε, ο GDPR ήδη στο προοίμιό του στη σκέψη 46 αναφέρει την παρακολούθηση επιδημιών και της εξάπλωσής τους ως τύπο επεξεργασίας που μπορεί να χρησιμεύσει για λόγους δημοσίου συμφέροντος και προστασίας ζωτικών συμφερόντων των υποκειμένων των δεδομένων.
- Όσον αφορά στον ιδιωτικό τομέα, ιδίως τις εργασιακές σχέσεις, από τις κείμενες διατάξεις προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων, λαμβάνοντας τα αναγκαία συναφή προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον εργασίας με τη συνδρομή των εργαζομένων, αφετέρου, οι εργαζόμενοι, ομοίως, υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων, αλλά και άλλων ατόμων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαμβανομένης της υποχρέωσής τους να αναφέρουν αμέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία.
- Πολλοί εργοδότες έχουν θέσει προβληματισμούς για το εάν πχ επιτρέπεται η θερμομέτρηση των εισερχομένων ή η υποβολή συμπλήρωσης ερωτηματολογίου σχετικά με την κατάσταση της υγείας των εργαζομένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος με αυξημένο κίνδυνο μετάδοσης του covid19 κ.λπ. ή η ενημέρωση των λοιπών εργαζομένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζομένου. Δεν μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις νόμιμης επεξεργασίας σύμφωνα με τον GDPR.
- Iδιαίτερη προσοχή πρέπει να δοθεί από τους εργοδότες στην αξιολόγηση του ενδεχομένου συλλογής μόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό, τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εμπιστευτικότητας πληροφοριών) δια της λήψης των απαραίτητων τεχνικών και οργανωτικών μέτρων ασφαλείας.
- Επισημαίνεται ότι η συλλογή και η εν γένει επεξεργασία των δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαμβάνει χώρα, τηρουμένων των νομίμων προϋποθέσεων, αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα. Αντίθετα, μια συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας. Εδώ θα πρέπει να θέσουμε και έναν επιπλέον προβληματισμό ο οποίος εκφεύγει της προστασίας δεδομένων σχετικά με την ευθύνη ενδεχομένως που μπορεί να έχει ο εργοδότης σε περίπτωση που πχ η θερμομέτρηση δεν ληφθεί σωστά.
- Η χρήση geolocation data μέσω παρακολούθησης κινητών τηλεφώνων ή άλλων εφαρμογών προϋποθέτει καταρχάς την πρότερη ανωνυμοποίηση των δεδομένων για να είναι σύννομη. Σε περίπτωση που τα δεδομένα πρέπει να παραμείνουν επώνυμα, τα κράτη μέλη πρέπει να λάβουν ιδιαίτερα αυξημένα μέτρα ασφαλείας τους για τη διαφύλαξη του δημοκρατικού κεκτημένου.
Συμπεραίνουμε ότι η επεξεργασία ευαίσθητων δεδομένων υγείας των εργαζομένων επιτρέπεται κατ’ αρχήν σε αυτές τις έκτακτες συνθήκες προκειμένου να καταπολεμηθεί η εξάπλωση της Covid-19. Ωστόσο για να είναι σύννομη, οι εργοδότες θα πρέπει να προβούν και στις εξής ενέργειες ενδεικτικά:
- Σχεδιασμός από τον DPO της πολιτικής επεξεργασίας αυτών των δεδομένων
- Ενημέρωση των εργαζομένων για την επεξεργασία των δεδομένων τους που θα λάβει χώρα και σεβασμός τω δικαιωμάτων τους υπό το πρίσμα της αρχής της αναλογικότητας
- Εκπόνηση Μελέτης Εκτίμησης Αντικτύπου για αυτές τις έκτακτες επεξεργασίες, σύμφωνα με τις ειδικότερες προβλέψεις του GDPR
- Λήψη μέτρων ασφαλείας και διασφάλισης της εμπιστευτικότητας των δεδομένων
Δημοσιεύτηκε στην ιστοσελίδα makthes.gr