
συναντιόμαστε στο Safe Greece. Ανταλλάσουμε απόψεις, γνώση, εμπειρίες, ιδέες.
Κάθε χρόνο σε μία διαφορετική πόλη της Ελλάδας.
Μέχρι σήμερα η COVID-19 επηρεάζει 124 χώρες και περιοχές σε όλο τον κόσμο, καλώντας κυβερνήσεις και επιχειρήσεις παγκοσμίως να αντιμετωπίσουν μια κατάσταση έκτακτης ανάγκης που θα μπορούσε να συνεχιστεί για περισσότερο από το αναμενόμενο. Κατά τη διάρκεια αυτών των ταραγμένων καιρών, με την προοπτική μιας παγκόσμιας κρίσης για την υγεία, η ιδιωτικότητα και η προστασία των προσωπικών δεδομένων σίγουρα δεν φαίνεται να αποτελούν προτεραιότητα. Ωστόσο, οι αρχές προστασίας δεδομένων σε όλη την Ευρώπη παροτρύνουν όλους να λάβουν τα κατάλληλα μέτρα για να διασφαλίσουν ότι τα μέτρα που λαμβάνονται για την καταπολέμηση αυτής της πανδημίας δεν επηρεάζουν άσκοπα το δικαίωμα ιδιωτικότητας του καθενός. Αυτό το σύντομο άρθρο στοχεύει στην παροχή μιας επισκόπησης των σχετικών πτυχών προστασίας δεδομένων στη διαχείριση αυτής της κατάστασης, παρέχοντας μια χρήσιμη λίστα με τα πράγματα που πρέπει να κάνουμε και για τους υπευθύνους επεξεργασίας δεδομένων.
Ας ξεκινήσουμε με ένα σκεπτικό που πρέπει να έχουν στο μυαλό τους οι εμπειρογνώμονες της ιδιωτικότητας αυτήν την περίοδο μεγάλης αβεβαιότητας: το απόρρητο και το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν είναι απόλυτα δικαιώματα. Πράγματι, δεν είναι όλα τα θεμελιώδη δικαιώματα απόλυτα δικαιώματα: ένα δικαίωμα είναι απόλυτο, όταν υπερτερεί κάθε άλλου στοιχείου, συμπεριλαμβανομένων άλλων δικαιωμάτων και ελευθεριών, συμπεριλαμβανομένης της επιταγής της διάσωσης ανθρώπινων ζωών και της προστασίας της αποτελεσματικότητας ενός οικονομικού συστήματος. Οι καταστάσεις έκτακτης ανάγκης, το εθνικό συμφέρον και οι εξαιρετικές περιστάσεις έχουν επιτρέψει στο παρελθόν για προσωρινούς περιορισμούς θεμελιωδών δικαιωμάτων, όπως το δικαίωμα στην ιδιωτικότητα. Έχοντας χαρακτηριστεί ως "απειλή για κάθε χώρα, πλούσια και φτωχή" από τον Γενικό Διευθυντή του Παγκόσμιου Οργανισμού Υγείας, η πανδημία COVID-19 είναι σαφώς μια εξαιρετική περίσταση που εν δυνάμει οδηγέι χώρες σε κατάσταση έκτακτης ανάγκης.
Σύμφωνα με το άρθρο 52 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, οι περιορισμοί στην άσκηση των δικαιωμάτων και των ελευθεριών που αναγνωρίζονται από το Χάρτη μπορούν να επιβάλλονται μόνο εάν ανταποκρίνονται πραγματικά σε στόχους γενικού ενδιαφέροντος που αναγνωρίζονται από την Ένωση. Όσον αφορά την ιδιωτικότητα, το άρθρο 8 παράγραφος 2 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα απαριθμεί τους νόμιμους στόχους που μπορούν να δικαιολογήσουν παραβιάσεις του δικαιώματος σεβασμού της ιδιωτικής και οικογενειακής ζωής: "προς το συμφέρον της εθνικής ασφάλειας, της δημόσιας ασφάλειας ή της οικονομικής ευημερίας της χώρας, για την πρόληψη της αναταραχής ή του εγκλήματος, για την προστασία της υγείας και των ηθών, ή για την προστασία των δικαιωμάτων και των ελευθεριών των άλλων".
Επιπλέον, ο GDPR προσθέτει λεπτομέρειες σε αυτά τα ζητήματα. Η αιτιολογική σκέψη 4 προβλέπει ότι η προστασία των δεδομένων πρέπει πάντα να λαμβάνεται υπόψη σε σχέση με τη λειτουργία της στην κοινωνία και να ισορροπεί έναντι άλλων θεμελιωδών δικαιωμάτων.
Επιπλέον, το άρθρο 23 παράγραφος 1 του GDPR επιτρέπει στα κράτη μέλη να περιορίζουν τα δικαιώματα δεδομένων των υποκειμένων, καθώς και τις αρχές που περιγράφονται στο άρθρο 5, μέσω νομοθετικού μέτρου και με σεβασμό στην ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών. Αυτοί οι περιορισμοί, υπό την προϋπόθεση ότι ενσωματώνονται σε απαραίτητα και αναλογικά μέτρα μιας δημοκρατικής κοινωνίας, θα πρέπει να στοχεύουν, μεταξύ άλλων, στους "σημαντικούς στόχους γενικού δημόσιου συμφέροντος […] συμπεριλαμβανομένων νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, δημόσιας υγείας και κοινωνικής ασφάλισης",
Σε περίπτωση πανδημίας όπως αυτή, η επεξεργασία προσωπικών δεδομένων είναι απαραίτητη για τη λήψη κατάλληλων μέτρων για τον περιορισμό της εξάπλωσης του ιού και τον περιορισμό των επιπτώσεών του. Πρώτον, η επεξεργασία ορισμένων προσωπικών δεδομένων (όπως όνομα, διεύθυνση κατοικίας, χώρος εργασίας, ταξιδιωτικές πληροφορίες) μπορεί να είναι χρήσιμη για να διερευνηθεί εάν ένα άτομο μπορεί να έχει επισκεφθεί μαλυσματικές περιοχές ή ν έχει συναντηθεί με άλλα εκτεθειμένα άτομα. Δεύτερον, η επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (όπως δεδομένα υγείας, συμπεριλαμβανομένης της θερμοκρασίας του σώματος) είναι ζωτικής σημασίας για να κατανοηθεί εάν ένα άτομο εμφανίζει συμπτώματα που σχετίζονται με τη μόλυνση.
Και ενώ οι κυβέρνήσεις που ενεργούν κατά την άσκηση των κυριαρχικών τους εξουσιών συμπεριλαμβανομένης της προστασίας της υγείας των πολιτών τους, δεν υπόκειται σε τυποποιημένους κανόνες προστασίας δεδομένων, οι δημόσιοι και ιδιωτικοί οργανισμοί πρέπει να γνωρίζουν καλά τι μπορούν και τι δεν μπορούν να κάνουν.
Η ύπαρξη νομικής βάσης παραμένει απαραίτητη ακόμη και σε καταστάσεις έκτακτης ανάγκης. Σε αυτό το πλαίσιο, μπορούν να υποβληθούν σε επεξεργασία σχετικά προσωπικά δεδομένα εκτός από δεδομένα ειδικής κατηγορίας σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχεία δ) και ε) του Γενικού Κανονισμού Προστασίας Δεδομένων. Αυτές οι νομικές βάσεις επιτρέπουν την επεξεργασία προσωπικών δεδομένων που είναι είτε απαραίτητα για την προστασία του ζωτικού συμφέροντος των ατόμων (δηλ.για τη διάσωση ζωών) ή για τη διαφύλαξη του δημόσιου συμφέροντος ή κατά την άσκηση επίσημης εξουσίας που ανήκει στον υπεύθυνο επεξεργασίας. Λαμβάνοντας υπόψη ότι το δημόσιο συμφέρον μπορεί να καθοριστεί μόνο από το δίκαιο της Ένωσης ή ενός κράτους μέλους, η αιτιολογική σκέψη 46 του GDPR αναφέρει ρητά την παρακολούθηση των επιδημιών ως περιστάσεις, στις οποίες η επεξεργασία μπορεί να εξυπηρετεί τόσο σημαντικούς λόγους δημοσίου συμφέροντος, όσο και τα ζωτικά συμφέροντα των υποκείμενων των δεδομένων.
Όσον αφορά τα δεδομένα για την υγεία, υπάρχει νομική βάση στο άρθρο 9 παράγραφος 2 στοιχείο i) του GDPR και περαιτέρω οδηγίες παρέχονται από τις αιτιολογικές σκέψεις 52 και 54 του GDPR.
Σύμφωνα με τον GDPR, η επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων επιτρέπεται όταν είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, "όπως η προστασία από σοβαρές διασυνοριακές απειλές για την υγεία". Για να καταστεί δυνατή η εφαρμογή αυτής της νομικής βάσης, όχι μόνο η καθοδήγηση και οι οδηγίες θα παρέχονται από της αρχές δημόσιας υγείας και άλλες σχετικές αρχές, αλλά και καταλλήλως, θα πρέπει να εφαρμόζονται συγκεκριμένες διασφαλίσεις λόγω της ευαισθησίας αυτών των κατηγοριών δεδομένων. Μεταξύ των πιθανών διασφαλίσεων, οι υπεύθυνοι επεξεργασίας λαμβάνουν μέτρα με στόχο: α) τον περιορισμό της πρόσβασης στα δεδομένα, β) τον καθορισμό αυστηρότερων χρόνων διατήρησης, γ) την εκπαίδευση του προσωπικού, δ) την ελαχιστοποίηση της ποσότητας των επεξεργασμένων δεδομένων, ε) τη διατήρηση αρχείων για οποιαδήποτε σχετική διαδικασία λήψης απόφασης. Επιπλέον, η ασφάλεια δεδομένων παραμένει υψίστης σημασίας και κατά την αντιμετώπιση δεδομένων υγείας σε μια πανδημία, πρέπει να δοθεί ιδιαίτερη προσοχή στην αποφυγή της αποκάλυψης της ταυτότητας των προσβεβλημένων ατόμων.
Ακολουθώντας τις συστάσεις που δημοσιεύθηκαν από τις ιταλικές, γαλλικές και ιρλανδικές αρχές προστασίας δεδομένων, έχουμε καταρτίσει μια λίστα με τις υποχρεώσεις που πρέπει να γίνουν για τους εργοδότες που είναι πρόθυμοι να συλλέξουν και να επεξεργαστούν δεδομένα σχετικά με τους υπαλλήλους για τη μείωση της εξάπλωσης του ιού.
Στην Ελλάδα έχουν εκδοθεί Κατευθυντήριες Γραμμές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του Covid-19 από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Αυτή η λίστα δείχνει ότι - αν και οι νομικές βάσεις για την επεξεργασία δεδομένων σε αυτό το πλαίσιο επιτρέπουν την άσκηση πρόσθετης ευελιξίας - η αναλογικότητα παραμένει ακρογωνιαίος λίθος στην εφαρμογή μέτρων που δεν πρέπει να είναι υπερβολικά ή να εισάγουν διακρίσεις.
Η αναλογικότητα σημαίνει ότι οι οργανισμοί πρέπει πάντα να έχουν κατά νου ότι η ανθρώπινη αξιοπρέπεια των ατόμων πρέπει πάντα να προστατεύεται, ακόμη και σε αυτές τις δύσκολες στιγμές. Για παράδειγμα, η αποκάλυψη της ταυτότητας ενός ευάλωτου ατόμου (όπως ένας υπάλληλος που προσβλήθηκε από την COVID-19) είναι σπάνια απαραίτητη και -στις περισσότερες περιπτώσεις- η αναφορά ότι ένας υπάλληλος ενός συγκεκριμένου τμήματος έχει προσβληθεί από τον ιό θα μπορούσε να είναι εξίσου αποτελεσματική στην προειδοποίηση των συναδέλφων του για πιθανή έκθεση. Αντίθετα, η αποκάλυψη του ονόματος θα μπορούσε να οδηγήσει σε διακρίσεις και μακροπρόθεσμο κοινωνικό αποκλεισμό. Επομένως, είναι εξαιρετικά σημαντικό να διασφαλιστεί ότι τέτοιοι κίνδυνοι για τα άτομα αξιολογούνται προσεκτικά κατά τον προγραμματισμό της συνέχειας της επιχείρησης.
Τι επιτρέπεται να κάνετε:
Τι απαγορεύεται να κάνετε:
Η προστασία των δεδομένων και το απόρρητο δεν εμποδίζουν την Ευρώπη και τον κόσμο να καταπολεμήσουν την COVID-19 Ωστόσο, οι υπάρχουσες παραχωρήσεις δεν είναι απεριόριστες. Είναι απαραίτητο ο καθένας από εμάς να εξετάσει εάν κάθε μέτρο είναι αναλογικό για τον σκοπό που θέλουμε να επιτύχουμε και αν το ίδιο αποτέλεσμα μπορεί να επιτευχθεί με λιγότερο παρεμβατικά μέσα.
Πηγές: trilateralresearch.com, moh.gov.gr