ΠΑΝΔΗΜΙΑ vs GDPR

Η πανδημία του κορωνοϊού (COVID-19) μας έφερε παγκοσμίως αντιμέτωπους με καταστάσεις που μέχρι σήμερα δεν είχαμε βιώσει, δοκιμάζοντας τις αντοχές μας, επηρεάζοντας όλους τους τομείς της ζωής μας, περιορίζοντας τις ατομικές μας ελευθερίες.

Οι επιπτώσεις της COVID-19 σε υγειονομικό, κοινωνικό και οικονομικό επίπεδο δεν είναι απλά θεωρία, αλλά ήδη μία πρωτόγνωρη κρίση με μακρύ χρονικό ορίζοντα παγκοσμίως ως προς τη διάρκειά της.

Οι κυβερνήσεις αναγκάστηκαν τα πάρουν μέτρα για την αντιμετώπιση της πανδημίας και την προστασία της δημόσιας υγείας, δημιουργώντας έτσι νέες προκλήσεις για την προστασία των Δεδομένων Προσωπικού Χαρακτήρα (ΔΠΧ) των πολιτών σε περιόδους έκτακτης ανάγκης. Κι αυτό διότι η εφαρμογή των μέτρων αυτών, ως επί των πλείστων, προϋποθέτει εκτεταμένη επεξεργασία προσωπικών δεδομένων διαφόρων τύπων από δημόσιους και ιδιωτικούς φορείς.

Μέτρα όπως η ιχνηλάτηση, η συμπλήρωση φόρμας PLF, η ανίχνευση με Rapid Test σε επιβάτες – πελάτες, η θερμική ανίχνευση με καταγραφή του αποτελέσματος, οι νέες συνθήκες τηλεκπαίδευσης, η παραγγελία και αποστολή αγαθών κατ’ οίκον, το λεγόμενο “click away” κ.λ.π., ήδη εφαρμόζονται και συνεπάγονται διαχείριση ΔΠΧ από κρατικούς και ιδιωτικούς φορείς. Σε αρκετές περιπτώσεις τα συγκεκριμένα μέτρα προβαίνουν σε επεξεργασία (συλλογή, διατήρηση, μεταβίβαση) δεδομένων υγείας τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας από τον Γενικό Κανονισμό Προστασίας Δεδομένων ΕΕ/2016/679 (GDPR). Η λήψη και εφαρμογή των έκτακτων μέτρων επιτρέπει στους φορείς του δημοσίου και του ιδιωτικού τομέα να συλλέγουν ΔΠΧ, που υπό κανονικές συνθήκες δεν θα συνέλεγαν ποτέ.

Έχουμε όμως αναρωτηθεί αν η εφαρμογή των μέτρων αυτών διασφαλίζει την υποχρέωση ως προς την προστασία των ΔΠΧ και των αντίστοιχων δικαιωμάτων (Τα δικαιώματά μου στο πλαίσιο του ΓΚΠΔ) των πολιτών; Ερωτήματα όπως: Ποια δεδομένα συλλέγονται; Ποιους αφορούν; Ποιος είναι ο σκοπός της επεξεργασίας; Πόσο χρόνο διατηρούνται; Πότε μπορούν να κοινολογηθούν;, πρέπει να έχουν απαντηθεί από τον εκάστοτε φορέα πριν την εφαρμογή εκτάκτων μέτρων για την αντιμετώπιση της πανδημίας.

Επί τη βάσει της αρχής της αναλογικότητας, τα παραπάνω μέτρα οφείλουν να πληρούν συγκεκριμένες έννομες προϋποθέσεις και να παρέχουν τα κατάλληλα εχέγγυα προστασίας που επιτάσσει το διεθνές και εθνικό δικαιϊκό σύστημα περί προστασίας δεδομένων, ώστε να μην θεωρηθούν παράνομα, καταχρηστικά και αντισυνταγματικά.

Η πλήρης εφαρμογή του κανονισμού ΕΕ/2016/679 από την 25η Μαΐου 2018 σε όλες τις χώρες της ΕΕ δημιούργησε ένα αυστηρό πλαίσιο προστασίας των Δεδομένων Προσωπικού Χαρακτήρα (ΔΠΧ) για κάθε οργανισμό, εταιρεία είτε δημόσιου, είτε ιδιωτικού τομέα. Η ελληνική πολιτεία με τον Νόμο 4624/2019 προχώρησε στην προσαρμογή συγκεκριμένων διατάξεων του κανονισμού στο ελληνικό δίκαιο, όπως έκαναν άλλωστε και οι άλλες χώρες της ΕΕ. Ο κανονισμός ΕΕ/2016/679 δίνει ιδιαίτερη βαρύτητα στην προστασία ΔΠΧ που έχουν σχέση με θέματα υγείας των φυσικών προσώπων αφού ανήκουν στην κατηγορία των ευαίσθητων δεδομένων [Άρθρο 9 του κανονισμού].

Οι αιτιολογικές σκέψεις 46, 52 και 54 του Γενικού Κανονισμού δίνουν μία σαφή προσέγγιση γύρω από τα ζητήματα της επεξεργασίας προσωπικών δεδομένων στην περίπτωση έκτακτης ανάγκης, όπως αυτή που αντιμετωπίζουμε σήμερα.

Η πανδημία του κορωνοϊού λόγω της ιδιαιτέρως γρήγορης επέκτασης ανάγκασε τις κυβερνήσεις των κρατών στη λήψη ενός συνόλου μέτρων, τα οποία θα πρέπει να συνεχώς να εξετάζονται αν πληρούν τις προϋποθέσεις προστασίας των ΔΠΧ που θέτει ο κανονισμός ΕΕ/2016/679.

Βοήθημα κατά την τελική διαμόρφωση της διαδικασίας λήψης αποφάσεων σχετικά με τα μέτρα που εφαρμόζονται για τη διαχείριση του COVID-19, τα οποία αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κάθε οργανισμό, αποτελεί η Πράξη Νομοθετικού Περιεχομένου «Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19» ( ΦΕΚ Α’64/14-3-2020).

Οι οργανισμοί που θα επεξεργαστούν δεδομένα προσωπικού χαρακτήρα (που ενδεχομένως να αφορούν την υγεία) θα πρέπει πρώτα να θεσπίσουν τις απαραίτητες, ανάλογες και σωστά αιτιολογημένες διαδικασίες λήψης αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη διαχείριση του COVID-19. Αυτές θα πρέπει να είναι διαφανείς, συμπεριλαμβανομένου του σκοπού της συλλογής των προσωπικών δεδομένων και του χρόνου διατήρησής τους.

Αυτό σημαίνει ότι οι φορείς οφείλουν να έχουν προβεί σε συμμόρφωση με τον Γενικό Κανονισμό και τον εθνικό νόμο 4624/2019 και να εφαρμόζουν στην πράξη την υποχρέωση που επιβάλλει η νομοθεσία για την προστασία των ΔΠΧ: Δηλαδή την υιοθέτηση από τον εκάστοτε φορέα, νομικών, τεχνικών και οργανωτικών μέτρων για την ασφάλεια των δεδομένων που επεξεργάζεται όπως αναλυτικά αναφέρεται στα άρθρα 24-34 του κανονισμού. Σε αρκετές δε περιπτώσεις επεξεργασίας ΔΠΧ είναι απαραίτητη η εκτίμηση αντικτύπου όπως ορίζεται στο άρθρο 35 του κανονισμού ή ακόμη και η σχετική συμβολή της ΑΠΔΠΧ μέσω διαβούλευσης [Άρθρο 36].

Ειδικότερα στον τομέα της υγείας το καθ’ ύλην αρμόδιο υπουργείο, ήδη από τον Ιούλιο του 2018, έχει δημοσιεύει σχετική εγκύκλιο για την προετοιμασία και συμμόρφωση των φορέων υγείας με τον ΓΚΠΔ (Οδηγός Προετοιμασίας - Βασικές Κατευθύνσεις συμμόρφωσης προς το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)).

Στον εργασιακό τομέα με την αναγκαστική -λόγω COVID-19- καθιέρωση της τηλεργασίας η Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα έχει εκδώσει "Κατευθυντήριες γραμμές για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας" (15/4/2020).

Ο GDPR αποτελεί ένα κοινό ευρωπαϊκό χάρτη προστασίας των ΔΠΧ, δίνοντας τις βάσεις και διασφαλίζοντας τη σύννομη επεξεργασία των προσωπικών δεδομένων των πολιτών, ακόμη και σε περιόδους έκτακτης ανάγκης, όπως αυτή που βιώνουμε. Η συμμόρφωση των φορέων δημοσίου και ιδιωτικού τομέα με τον Κανονισμό, όπως αυτός ενσωματώθηκε στην εθνική νομοθεσία με το νόμο 4623/2019 και σε συνδυασμό με τις υποδείξεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αποτελεί τη δικλείδα ασφαλείας για τους φορείς που επεξεργάζονται ΔΠΧ και καλούνται να αντιμετωπίσουν την διαμορφωθείσα έκτακτη κατάσταση.

Εξίσου και ο πολίτης πρέπει να είναι ενήμερος για τον τρόπο διαχείρισης των δεδομένων του (Τα δικαιώματά μου στο πλαίσιο του ΓΚΠΔ), για την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων του, ως υποκείμενο των δεδομένων.

Οι προκλήσεις της COVID-19 εποχής απαιτούν ισχυρές δράσεις και λύσεις στον τομέα της δημόσια υγείας. Η αυτοματοποιημένη επεξεργασία δεδομένων και οι ψηφιακές τεχνολογίες μπορούν να συμβάλλουν στην καταπολέμηση της νόσου. Ωστόσο, κάθε μέτρο που λαμβάνεται σ’ αυτές τις εξαιρετικές περιστάσεις πρέπει να είναι αναγκαίο, να έχει περιορισμένη διάρκεια και το ελάχιστο δυνατό εύρος, και να υπόκειται σε περιοδική και πραγματική επανεξέταση, καθώς και σε επιστημονική αξιολόγηση. Δεν πρέπει να αποτελέσει η πανδημία το εφαλτήριο νέων μορφών κρατικού ή/και κοινωνικού ελέγχου ή άλλοθι για εισβολή στην ιδιωτική ζωή των πολιτών. Η σχέση ανάμεσα στα μέτρα αντιμετώπισης της πανδημίας και το ισχύον νομοθετικό πλαίσιο για την προστασία των ΔΠΧ, είναι μία σχέση διαρκούς αλληλεπίδρασης.

Για να μείνετε συντονισμένοι με τις τελευταίες εξελίξεις και νέα που αφορούν το GDPR, εγγραφείτε στο Newsletter μας!

#coronavirus #covid #stayhome #quarantine #lockdown #staysafe #socialdistancing #pandemic #stayathome #virus #covid19 #pandemia #coronav #gdpr #dataprotection #privacy #dataprivacy #cybersecurity #compliance #datasecurity #dpo #iso #data #gdprcompliance #ccpa #informationsecurity #security #cyber #databreach #bhfyp