ΑΠΔΠΧ απόφαση 5.2020 – Κατευθυντήριες γραμμές για την αντιμετώπιση των δεδομένων προσωπικού χαρακτήρα που αφορούν τον COVID-19

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.

 

 

 

Με αφορμή διάφορα ερωτήματα, που είχαν περιέλθει στην Αρχή προστασίας δεδομένων Προσωπικού Χαρακτήρα, καθώς και από τα δεδομένα, που έχουν δημιουργηθεί  λόγω  της επιδημίας κοροναϊού COVID-19 η Αρχή συνεδρίασε προκειμένου να διαμορφώσει αφενός μεν, ένα πλαίσιο για την ενημέρωση του κοινού, για την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων των ατόμων, ως υποκειμένων των δεδομένων, αφετέρου δε,  να ευαισθητοποιήσει τις δημόσιες αρχές και τους ιδιωτικούς φορείς ως υπεύθυνους επεξεργασίας, σχετικά με τις υποχρεώσεως που απορρέουν από το θεσμικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα από την επεξεργασία τους, που διενεργείται στο πλαίσιο της εξαιρετικά επείγουσας και απρόβλεπτης ανάγκης διαχείρισης δεδομένων προσωπικού χαρακτήρα για την αντιμετώπιση των αρνητικών συνεπειών, λόγω της εμφάνισης του κορωνοϊού COVID-19, τον περιορισμό της διάδοσής του και τη λήψη των συναφών νομοθετικών μέτρων.

 

Την Αρχή απασχόλησε πρωτίστως η δυνατότητα να τεθούν συγκεκριμένοι όροι και προϋποθέσεις, προκειμένου να καμφθούν κάποια από τα δικαιώματα του υποκειμένου, κατά την διάρκεια της επεξεργασίας των δεδομένων προσωπικού  χαρακτήρα που το αφορούν και ειδικότερα τα ευαίσθητα προσωπικά δεδομένα, που αφορούν την κατάσταση της υγείας του, κατά την συλλογή δεδομένων που αφορούν την πανδημία του κοροναϊού COVID-19, ειδικότερα δε, εφόσον πληρούνται και οι όροι της διάταξης του άρθρου 25 παρ. 1 τέταρτο εδάφιο του Συντάγματος, με το οποίο ορίζονται οι προϋποθέσεις, υπό τις οποίες είναι δυνατός ο περιορισμός των ατομικών δικαιωμάτων που, σύμφωνα με τις ίδιες διατάξεις, τελεί υπό την επιφύλαξη της τήρησης της αρχής της αναλογικότητας.

 

Όπως εκτίμησε η Αρχή, από την αιτιολογική σκέψη 4 του ΓΚΠΔ προκύπτει ότι, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο, αλλά πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο ΓΚΠΔ σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές, που αναγνωρίζονται στον Χάρτη, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και το αμερόληπτο του δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία .

 

Τέλος, από τις ίδιες τις διατάξεις του ΓΚΠΔ παρέχονται οι νομικές βάσεις για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, σε περιπτώσεις όπου η επεξεργασία είναι αναγκαία για «την παρακολούθηση επιδημιών και της εξάπλωσής τους» καθώς και για «την πρόληψη ή τον έλεγχο των μεταδοτικών ασθενειών και άλλων σοβαρών απειλών κατά της υγείας» (βλ. αιτ. σκ. 46 και 52 ΓΚΠΔ), ώστε να πληρούται κατ’ αρχήν η αρχή της νομιμότητάς σύμφωνα προς την αρχή του κράτους δικαίου.

 

Εξάλλου η Αρχή έκρινε ότι, επειδή κατ’ εφαρμογή των αρχών επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατ’ άρθρο 5 παρ. 1 ΓΚΠΔ , θα πρέπει να δοθεί ιδιαίτερη προσοχή στην αξιολόγηση του ενδεχομένου συλλογής και διατήρησης μόνο των αναγκαίων πληροφοριών, που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό και άρα των πρόσφορων πληροφοριών (αρχές του περιορισμού της επεξεργασίας σε συνδυασμό με την αρχή της αναλογικότητας). Η συλλογή και επεξεργασία πρέπει να είναι νόμιμη, αφενός δηλαδή να βρίσκει έρεισμα σε μια από τις νομικές βάσεις του άρθρου 6 ΓΚΠΔ, αφετέρου, σε περίπτωση κατά την οποία η διενέργεια της βασίζεται σε ειδικό νόμο π.χ. στην πρόβλεψη μιας νομικής υποχρέωσης, να πληρούνται επίσης οι απαιτούμενες προϋποθέσεις.

 

Επίσης, σύμφωνα με την ως άνω απόφαση της Αρχής κρίθηκε ότι, το άρθρο 6 του ΓΚΠΔ προβλέπει ότι : «1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί. Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους. 2.Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού όσον αφορά την επεξεργασία για τη συμμόρφωση με την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ».

 

Επειδή, εξάλλου το άρθρο 9 του ΓΚΠΔ προβλέπει: μεταξύ άλλων ότι, η απαγόρευση που θέτει η παρ. 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις: α) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς,  εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι, η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων, γ) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί, δ) η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων, ε) η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων, στ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, ζ) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων, η) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης

θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3, θ) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή ι) η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων», ενώ αντίστοιχα προβλέπει και το άρθρο 22 του νόμου 4624/2019.

 

Με βάση τις παραπάνω σκέψεις της η Αρχή με την ως άνω απόφαση της εξέδωσε τις ακόλουθες Κατευθυντήριες Γραμμές:

 

Οι πληροφορίες σχετικά με την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα, που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν, ενδεικτικά, η κατάσταση κατονομαζομένου, ή ταυτοποιήσιμου υποκειμένου των δεδομένων ως νοσούντος ή μη, η κατ’ οίκον παραμονή του λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, ενδεχομένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερμοκρασία ανώτερη της φυσιολογικής κ.λπ.). Πληροφορίες που ενδιαφέρουν εν προκειμένω, όπως εάν ένα υποκείμενο των δεδομένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος με εκτεταμένη διάδοση του κορωνοϊού, ή εάν οικείος ή συνεργάτης του είναι ασθενής, ή έχει προσβληθεί από τον κορωνοϊό δεν αφορούν την υγεία του συγκεκριμένου υποκειμένου και, συνεπώς, δεν αποτελούν δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδομένα προσωπικού χαρακτήρα.

 

Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται κατ’ άρθρα 2 παρ. 1 Κανονισμού 679/2016 (εφεξής ΓΚΠΔ) και 2 ν. 4624/2019 στην εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Έτσι π.χ. η προφορική ενημέρωση ότι, το υποκείμενο των δεδομένων νοσεί από τον κορωνοϊό, ή ότι η σωματική θερμοκρασία του έχει μετρηθεί ως ανώτερη του φυσιολογικού συνιστούν μεν δεδομένα προσωπικού χαρακτήρα, πλην όμως, η σχετική νομοθεσία δεν εφαρμόζεται, εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστημα αρχειοθέτησης σε περίπτωση μη αυτοματοποιημένης (χειροκίνητης) επεξεργασίας, ή δεν έχουν περιληφθεί σε αυτοματοποιημένη επεξεργασία. Επισημαίνεται ότι, το πεδίο εφαρμογής του ΓΚΠΔ προσδιορίζεται κατά τρόπο δεσμευτικό από τη διάταξη του άρθρου 2 παρ. 1 αυτού και δεν είναι δυνατή η επέκτασή του με διατάξεις της εθνικής νομοθεσίας.

 

Στο μέτρο κατά το οποίο διενεργείται από τις αρμόδιες δημόσιες αρχές επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη λήψη των αναγκαίων κατά περίπτωση μέτρων, σύμφωνα με την οικεία νομοθεσία, προς το σκοπό της αποφυγής κινδύνου εμφάνισης, ή διάδοσης του κορωνοϊού, που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δημόσια υγεία εφαρμόζεται, υπό τις ανωτέρω υπ’ αρ. 1 και 2 προϋποθέσεις, ο ΓΚΠΔ. Στις περιπτώσεις αυτές έχουν εφαρμογή ιδίως οι νομικές βάσεις που ορίζονται στα άρθρα 6 παρ. 1 εδ. γ’ (η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας), δ’ (η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου) και ε’ (η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) και 9 παρ. 2 εδ. β’ (η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας), ε’ (η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων), η’ (η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών) και θ’ (η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας, ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων), ο ν. 4624/2019 σύμφωνα με την υπ’ αρ. 01/2020 Γνωμοδότηση της Αρχής, σε συνδυασμό με την τυχόν ειδικότερη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, περιλαμβανομένων των ρυθμίσεων των σχετικών νόμων και των εφαρμοστικών αυτών υπουργικών αποφάσεων.

 

Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα. Πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας (αιτ. σκ. 4 ΓΚΠΔ). Από το σύνολο των ανωτέρω σκέψεων προκύπτει ότι, η εφαρμογή του νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν συνιστά εμπόδιο στη λήψη των αναγκαίων μέτρων αντιμετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νομικές βάσεις για την αναγκαία επεξεργασία, με την επιφύλαξη ότι, τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας. Επισημαίνεται ότι, η επεξεργασία δεδομένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης μέτρων κατά του κορωνοϊού διενεργείται από τις αρμόδιες δημόσιες αρχές ως απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, στις οποίες περιλαμβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρθρο 9 παρ. 2 εδ. θ’ ΓΚΠΔ (βλ. αιτ. σκ. 46 και 52 ΓΚΠΔ). Ως εκ τούτου οι αρμόδιες δημόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δημόσιας υγείας.

 

Όσον αφορά τον ιδιωτικό τομέα, ιδίως τις εργασιακές σχέσεις, από τις κείμενες διατάξεις (ιδίως από εκείνες των άρθρων 42, 45 και 49 ν. 3850/2010) προκύπτει ότι αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον εργασίας με τη συνδρομή των εργαζομένων, αφετέρου, οι εργαζόμενοι, ομοίως υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόμων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαμβανομένης της υποχρέωσης τους να αναφέρουν αμέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο μέτρο κατά το οποίο εφαρμόζεται η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις ανωτέρω σκέψεις, οι εργοδότες νομιμοποιούνται να επεξεργάζονται δεδομένα για την προστασία της υγείας των εργαζομένων και των ιδίων τηρουμένων των αρχών του άρθρου 5 ΓΚΠΔ, σύμφωνα με τις νομικές βάσεις των προαναφερόμενων διατάξεων των άρθρων 6 παρ. 1, ιδίως, εδ. γ’, δ’ και ε’, 9 παρ. 2, ιδίως, εδ. β’, ε’ και θ’ ΓΚΠΔ και πάντα υπό τις οδηγίες των αρμόδιων αρχών για την εφαρμογή των μέτρων που επιβάλλονται με τη νομοθεσία στο μέτρο που συνιστούν επεξεργασία δεδομένων προσωπικού χαρακτήρα.

 

Για τις προβλεπόμενες ποινικές κυρώσεις από την παραβίαση της υποχρέωσης τήρησης των σχετικών μέτρων βλ. αρ. πρωτ. 2433 από 12-3-2020 υπ’ αρ. 4 Εγκύκλιο κ. Εισαγγελέα Αρείου Πάγου.

 

Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχομένου συλλογής μόνο των αναγκαίων πληροφοριών, που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό (αρχές του περιορισμού της επεξεργασίας σε συνδυασμό με την αρχή της αναλογικότητας), τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εμπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών μέτρων ασφαλείας. Επισημαίνεται ότι, η συλλογή και η εν γένει επεξεργασία των δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαμβάνει χώρα, τηρουμένων των νομίμων προϋποθέσεων, αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι, εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα. Αντίθετα, μια συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα, που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας.

 

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων δεν εμπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα (αιτ. σκ. 27 ΓΚΠΔ). Δεδομένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έμμεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή, ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρμόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύμφωνα με τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1, σε συνδυασμό με το άρθρο 6 ΓΚΠΔ.

 

Η από μέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, οικειοθελής δημοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύμφωνα με το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠΔ νομική βάση επεξεργασίας των συγκεκριμένων δεδομένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠΔ, σε συνδυασμό με τυχόν ειδικότερες διατάξεις της εθνικής νομοθεσίας.

 

H από μέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειμένων των δεδομένων, όταν αυτή συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις προϋποθέσεις που αναφέρονται στις ανωτέρω σκέψεις της παρούσας, ακόμη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠΔ, δεν είναι επιτρεπτή αν δημιουργεί κλίμα προκατάληψης και στιγματισμού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές με αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους.

 

Τέλος, προ της τυχόν επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς, ιδίως ως προς την κατάσταση υγείας των υποκειμένων σε σχέση με τον κορωνοϊό, πέραν των προαναφερομένων, θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειμένου (π.χ. ονοματεπώνυμο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδομένου μάλιστα ότι, οι αρμόδιες αρχές (Εθνικός Οργανισμός Δημόσιας Υγείας [Ε.Ο.Δ.Υ.] και Γενική Γραμματεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πολιτών επιδημιολογικού συσχετισμού, δίχως τον προσδιορισμό προσωπικών στοιχείων ταυτότητας (βλ. αρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυμοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών μέτρων ασφαλείας (βλ. άρθρο πέμπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020).

 

Η Αρχή επιφυλάσσεται να εκδώσει ειδικότερες οδηγίες, εφόσον χρειαστεί, με βάση την εξέλιξη των πραγματικών και νομικών δεδομένων.