COVID-19 & GDPR: 3 βασικά ζητήματα με τις απαντήσεις τους

Η πανδημία, μεταξύ των πολλών άλλων συνεπειών, απασχολεί τις επιχειρήσεις και ως προς τον χειρισμό προσωπικών δεδομένων.

Τον ερχόμενο Μάιο κλείνουμε 2 χρόνια από την προθεσμία συμμόρφωσης. Σε αυτό το χρονικό διάστημα, ο βαθμός συμμόρφωσης των ελληνικών επιχειρήσεων ποικίλει, έχοντας ακόμη περιπτώσεις ολικής απουσίας έως και τις πιο επιμελείς που εφαρμόζουν με συνέπεια  τον Κανονισμό.

Σε ότι αφορά την πανδημία και την χρήση προσωπικών δεδομένων, θα πρέπει πάνω απ’ όλα και πριν οποιαδήποτε απόφαση να ισχύουν δύο βασικοί κανόνες:

  1. Τήρηση της νομιμότητας: Σεβασμός των θεμελιωδών δικαιωμάτων και ελευθεριών των πολιτών, υπό την εξαιρετικά επείγουσα και απρόβλεπτη ανάγκη για την αντιμετώπιση της πανδημίας
  2. Χρήση κοινής λογικής όπου τα ερωτήματα φαίνονται να μην έχουν απάντηση

Ξεκινώντας από τον δεύτερο κανόνα, είναι βασικό να κατανοήσουμε τις προτεραιότητες της πραγματικότητας: Προέχει ο περιορισμός της εξάπλωσης του ιού με γνώμονα την δημόσια υγεία και μάλιστα σε παγκόσμιο επίπεδο. Όπως τονίσθηκε και από την Ελληνική Αρχή Προστασίας ∆εδομένων Προσωπικού Χαρακτήρα, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα πρέπει να εκτιμάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση µε άλλα θεμελιώδη δικαιώματα, σύμφωνα µε την αρχή της αναλογικότητας

3 ΒΑΣΙΚΑ ΖΗΤΗΜΑΤΑ ΜΕ ΤΙΣ ΑΠΑΝΤΗΣΕΙΣ ΤΟΥΣ

1. Τι ισχύει ως γενική αρχή για τις ιδιωτικές επιχειρήσεις;

Σε καταστάσεις που αφορούν τη δημόσια υγεία, ισχύει ως προτεραιότητα το προφανές της υποχρέωσης συμμόρφωσης κάθε εμπλεκόμενης πλευράς με τα της διασφάλισης της ανθρώπινης ζωής. Όπως αναφέρεται και στο έγγραφο της Αρχής με τον τίτλο «ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΟ ΠΛΑΙΣΙΟ ΤΗΣ ∆ΙΑΧΕΙΡΙΣΗΣ ΤΟΥ COVID-19», σε ότι αφορά τον ιδιωτικό τοµέα, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία συναφή προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων, αφετέρου. Οι εργαζόµενοι οµοίως υποχρεούνται να εφαρµόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόµων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαµβανοµένης της υποχρέωσής τους να αναφέρουν αµέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που µπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άµεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο ίδιο κείμενο, η  Αρχή αναφέρει ότι ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες και σύµφωνες προς τα άρθρα 5 και 6 του ΓΚΠ∆ πράξεις επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόµενων σκοπών χωρίς να µπορεί εκ προοιµίου να αποκλειστεί ως απαγορευµένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις που περιλαμβάνονται στο εν λόγω έγγραφο της Αρχής.

2. Είναι τα δεδομένα υγείας περισσότερο σημαντικά από άλλα;

Ναι. Όσες εταιρείες, λόγω αντικειμένου ήδη συλλέγαν τέτοια δεδομένα το γνωρίζουν καλά, αλλά η πραγματικότητα πιθανώς να οδηγήσει και εταιρείες που δεν το έκαναν έως σήμερα τελικά να το κάνουν. Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα, δηλαδή ειδικής κατηγορίας δεδομένα τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Το αυστηρότερο καθεστώς προστασίας επιβάλλεται και από το γεγονός του ότι η πανδημία έχει προκαλέσει και ιδιαίτερα αυξημένη εμφάνιση σοβαρών κυβερνο-επιθέσεων, εκμεταλλευόμενες την ανάγκη πληροφόρησης του κοινού για τις εξελίξεις.

3. Πως προστατεύω ταυτόχρονα τη δημόσια υγεία και τα προσωπικά δεδομένα του εργαζομένου;

Το ζήτημα έγκειται στο ότι θα πρέπει να δοθεί ιδιαίτερη προσοχή στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων δεδομένων που συνδέονται αποκλειστικά µε τον επιδιωκόμενο σκοπό (αρχές του περιορισμού της επεξεργασίας σε συνδυασμό µε την αρχήτης αναλογικότητας), τηρουµένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εµπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας. Επίσης, είναι σημαντικό να τονίσουμε ότι η από µέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους, δεδομένων  για την κατάσταση υγείας των υποκειµένων των δεδοµένων όταν αυτή συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού.

Contact