Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΕΣΠΔ Δήλωση σχετικά με την επεξεργασία δεδομένων στο πλαίσιο της επιδημικής έξαρσης της νόσου COVID-19


Δήλωση σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιδημικής έξαρσης της νόσου COVID-19
Εκδόθηκε στις 19 Μαρτίου 2020

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε την ακόλουθη δήλωση:

Οι κυβερνήσεις, οι δημόσιοι και ιδιωτικοί οργανισμοί σε όλη την Ευρώπη λαμβάνουν μέτρα για τον περιορισμό και τον μετριασμό της νόσου COVID-19. Τα μέτρα αυτά μπορεί να συνεπάγονται την επεξεργασία διαφόρων ειδών δεδομένων προσωπικού χαρακτήρα.

Οι κανόνες για την προστασία των δεδομένων, όπως ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ), δεν εμποδίζουν την εφαρμογή των μέτρων που λαμβάνονται για την αντιμετώπιση της πανδημίας του κορονoϊού. Η καταπολέμηση των μεταδοτικών νόσων συνιστά υψηλής σημασίας στόχο προς την επίτευξη του οποίου κατατείνουν όλα τα κράτη και, ως εκ τούτου, θα πρέπει να υποστηριχθεί με τον καλύτερο δυνατό τρόπο. Είναι προς το συμφέρον της ανθρωπότητας να περιοριστεί η εξάπλωση των νόσων και να χρησιμοποιηθούν σύγχρονες τεχνικές για την καταπολέμηση των δεινών που πλήττουν μεγάλα τμήματα του κόσμου. Ωστόσο, το ΕΣΠΔ θα ήθελε να επισημάνει ότι, ακόμη και σ’ αυτές τις πρωτόγνωρες συνθήκες, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει να διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων. Κατά συνέπεια, θα πρέπει να λαμβάνονται υπόψη διάφορες παράμετροι προκειμένου να εξασφαλίζεται η σύννομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα και, σε κάθε περίπτωση, θα πρέπει να γίνεται αντιληπτό ότι οποιοδήποτε μέτρο λαμβάνεται σ’ αυτό το πλαίσιο πρέπει να τηρεί τις γενικές αρχές του δικαίου και δεν πρέπει να είναι μη αναστρέψιμο. Η κατάσταση έκτακτης ανάγκης αποτελεί νομική προϋπόθεση που μπορεί να νομιμοποιεί περιορισμούς των ελευθεριών, υπό τον όρο ότι οι περιορισμοί αυτοί είναι αναλογικοί και ισχύουν μόνο κατά τη διάρκεια της έκτακτης ανάγκης.

1. Νομιμότητα της επεξεργασίας

Ο ΓΚΠΔ συνιστά ευρεία νομοθετική πράξη και προβλέπει κανόνες που εφαρμόζονται επίσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται σε πλαίσιο όπως αυτό που σχετίζεται με τη νόσο COVID-19. Ο ΓΚΠΔ επιτρέπει στις αρμόδιες αρχές δημόσιας υγείας και στους εργοδότες να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα σε περίπτωση επιδημίας, σύμφωνα με το εθνικό δίκαιο και υπό τους όρους που καθορίζονται σε αυτό. Για παράδειγμα, όταν η επεξεργασία είναι αναγκαία για λόγους ουσιαστικού δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας. Σ’ αυτές τις περιπτώσεις, δεν συντρέχει ανάγκη να ζητείται η συγκατάθεση των υποκειμένων των δεδομένων.

1.1 Ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων, από τις αρμόδιες δημόσιες αρχές (π.χ. τις αρχές δημόσιας υγείας), το ΕΣΠΔ θεωρεί ότι τα άρθρα 6 και 9 του ΓΚΠΔ επιτρέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ιδίως όταν εμπίπτει στη νόμιμη εντολή της δημόσιας αρχής που παρέχεται από την εθνική νομοθεσία και τους όρους που κατοχυρώνονται στον ΓΚΠΔ.
    1.2 Στο πλαίσιο της απασχόλησης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να είναι αναγκαία για τη συμμόρφωση με έννομη υποχρέωση την οποία υπέχει ο εργοδότης, όπως οι υποχρεώσεις σχετικά με την υγεία και την ασφάλεια στον χώρο εργασίας ή οι υποχρεώσεις σχετικά με το δημόσιο συμφέρον, π.χ. ο έλεγχος νοσημάτων και άλλων απειλών για την υγεία. Ο ΓΚΠΔ προβλέπει επίσης παρεκκλίσεις από την απαγόρευση της επεξεργασίας ορισμένων ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως τα δεδομένα υγείας, όταν αυτό είναι αναγκαίο για λόγους ουσιαστικού δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας [άρθρο 9 παράγραφος 2 στοιχείο θ)], βάσει του ενωσιακού ή εθνικού δικαίου ή όταν υπάρχει ανάγκη προστασίας των ζωτικών συμφερόντων του υποκειμένου των δεδομένων [άρθρο 9 παράγραφος 2 στοιχείο γ)], καθώς η αιτιολογική σκέψη 46 αναφέρεται ρητά στον έλεγχο επιδημιών.

    1.3 Ως προς την επεξεργασία δεδομένων τηλεπικοινωνιών, όπως τα δεδομένα θέσης, πρέπει επίσης να τηρείται η εθνική νομοθεσία για την εφαρμογή της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Καταρχήν, τα δεδομένα θέσης μπορούν να χρησιμοποιούνται από τον φορέα εκμετάλλευσης μόνο κατόπιν ανωνυμοποίησής τους ή με τη συγκατάθεση των υποκειμένων των δεδομένων. Ωστόσο, το άρθρο 15 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες παρέχει στα κράτη μέλη τη δυνατότητα να θεσπίζουν νομοθετικά μέτρα για τη διαφύλαξη της δημόσιας ασφάλειας. Η θέσπιση τέτοιας έκτακτης νομοθεσίας είναι δυνατή μόνο εάν συνιστά αναγκαίο, κατάλληλο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία. Τα μέτρα αυτά πρέπει να είναι σύμφωνα με τον Χάρτη των Θεμελιωδών Δικαιωμάτων και την Ευρωπαϊκή Σύμβαση για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών. Επιπλέον, υπόκεινται στον δικαστικό έλεγχο του Δικαστηρίου της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων. Σε περίπτωση έκτακτης ανάγκης, τα εν λόγω μέτρα θα πρέπει επίσης να ισχύουν αυστηρά και μόνο για όσο διάστημα διαρκεί η συγκεκριμένη έκτακτη ανάγκη.
      2. Βασικές αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

      Τα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαία για την επίτευξη των επιδιωκόμενων στόχων θα πρέπει να υποβάλλονται σε επεξεργασία για καθορισμένους και ρητούς σκοπούς.

      Επιπλέον, τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν σαφείς πληροφορίες σχετικά με τις εκτελούμενες δραστηριότητες επεξεργασίας και τα κύρια χαρακτηριστικά τους, μεταξύ των οποίων η περίοδος διατήρησης των συλλεγέντων δεδομένων και οι σκοποί της επεξεργασίας. Οι παρεχόμενες πληροφορίες θα πρέπει να είναι εύκολα προσβάσιμες και διατυπωμένες με σαφή και απλό τρόπο.
      Είναι σημαντικό να καθιερωθούν κατάλληλα μέτρα ασφάλειας και πολιτικές εμπιστευτικότητας που να εξασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται σε μη εξουσιοδοτημένα πρόσωπα. Τα μέτρα που εφαρμόζονται για τη διαχείριση της τρέχουσας κατάστασης έκτακτης ανάγκης και η βασική διαδικασία λήψης αποφάσεων θα πρέπει να τεκμηριώνονται δεόντως.

      3. Χρήση δεδομένων εντοπισμού κινητών

      • Μπορούν οι κυβερνήσεις των κρατών μελών να χρησιμοποιήσουν δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τα κινητά τηλέφωνα των υποκειμένων των δεδομένων στην προσπάθειά τους να παρακολουθήσουν, να περιορίσουν ή να μετριάσουν την εξάπλωση της νόσου COVID-19;
      Σε ορισμένα κράτη μέλη, οι κυβερνήσεις εξετάζουν το ενδεχόμενο να χρησιμοποιήσουν δεδομένα εντοπισμού κινητών ως πιθανό τρόπο για την παρακολούθηση, τον περιορισμό ή τον μετριασμό της εξάπλωσης της νόσου COVID-19. Σ’ αυτή την περίπτωση θα ήταν δυνατόν, για παράδειγμα, να εντοπίζεται η γεωγραφική θέση προσώπων ή να εξασφαλίζεται, μέσω τηλεφωνικής κλήσης ή με την αποστολή γραπτού μηνύματος, η ενημέρωση προσώπων σε συγκεκριμένη περιοχή σχετικά με ζητήματα δημόσιας υγείας. Οι δημόσιες αρχές θα πρέπει πρώτα να επιδιώκουν την επεξεργασία ανωνυμοποιημένων δεδομένων θέσης (δηλ. να επεξεργάζονται δεδομένα που θα έχουν συγκεντρωθεί κατά τρόπο ώστε να μην είναι δυνατή η σύνδεσή τους με τα υποκείμενα των δεδομένων). Με τον τρόπο αυτό, θα είναι εφικτή η κατάρτιση πινάκων σχετικά με τη συγκέντρωση κινητών συσκευών σε συγκεκριμένη τοποθεσία («χαρτογράφηση»).
      Οι κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν εφαρμόζονται στα δεδομένα που έχουν ανωνυμοποιηθεί καταλλήλως.
      Όταν η επεξεργασία αποκλειστικά και μόνο ανώνυμων δεδομένων δεν είναι εφικτή, η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες παρέχει στα κράτη μέλη τη δυνατότητα να θεσπίζουν νομοθετικά μέτρα για τη διαφύλαξη της δημόσιας ασφάλειας (άρθρο 15).

      Σε περίπτωση θέσπισης μέτρων που επιτρέπουν την επεξεργασία μη ανωνυμοποιημένων δεδομένων θέσης, το εκάστοτε κράτος μέλος είναι υποχρεωμένο να θεσπίσει επαρκείς εγγυήσεις, όπως την παροχή δικαιώματος δικαστικής προσφυγής στους χρήστες υπηρεσιών ηλεκτρονικών επικοινωνιών.
      Εφαρμόζεται επίσης η αρχή της αναλογικότητας. Θα πρέπει πάντα να προκρίνονται οι λιγότερο παρεμβατικές λύσεις, με γνώμονα τον ειδικό επιδιωκόμενο σκοπό. Τα επεμβατικά μέτρα, όπως η «ανίχνευση» προσώπων (δηλ. η επεξεργασία ιστορικών μη ανωνυμοποιημένων δεδομένων θέσης), θα μπορούσαν να θεωρηθούν αναλογικά σε εξαιρετικές περιστάσεις και εφόσον δικαιολογούνται από τις συγκεκριμένες συνθήκες της επεξεργασίας. Ωστόσο, τα μέτρα αυτά θα πρέπει να υπόκεινται σε ενισχυμένο έλεγχο και διασφαλίσεις, προκειμένου να εξασφαλίζεται η τήρηση των αρχών προστασίας των δεδομένων (αναλογικότητα του μέτρου ως προς τη διάρκεια και το πεδίο εφαρμογής, περιορισμένη περίοδος διατήρησης των δεδομένων και περιορισμός του σκοπού).

      4. Απασχόληση

      Μπορεί ένας εργοδότης να ζητήσει από τους επισκέπτες ή τους εργαζομένους να παράσχουν συγκεκριμένες πληροφορίες υγείας στο πλαίσιο της COVID-19;

      Στη συγκεκριμένη περίπτωση, η εφαρμογή της αρχής της αναλογικότητας και της ελαχιστοποίησης των δεδομένων είναι ιδιαίτερα σημαντική. Ο εργοδότης θα πρέπει να ζητεί πληροφορίες υγείας μόνο στον βαθμό που αυτό επιτρέπεται από την εθνική νομοθεσία.

      Έχει το δικαίωμα ο εργοδότης να διενεργήσει ιατρικές εξετάσεις σε εργαζόμενους;

      Η απάντηση καθορίζεται από τις εθνικές νομοθεσίες που αφορούν την απασχόληση ή την υγεία και την ασφάλεια. Οι εργοδότες θα πρέπει να έχουν πρόσβαση και να επεξεργάζονται δεδομένα υγείας μόνο εάν το απαιτούν οι νομικές υποχρεώσεις τις οποίες υπέχουν.

      Μπορεί ο εργοδότης να αποκαλύψει ότι εργαζόμενός του έχει προσβληθεί από COVID-19 στους συναδέλφους του ή σε εξωτερικούς συνεργάτες;

      Οι εργοδότες θα πρέπει να ενημερώνουν το προσωπικό σχετικά με τα κρούσματα της νόσου COVID-19 και να λαμβάνουν προστατευτικά μέτρα, αλλά δεν θα πρέπει να κοινοποιούν περισσότερες πληροφορίες από ό,τι είναι απαραίτητο. Σε περίπτωση που είναι αναγκαίο να αποκαλυφθεί το όνομα των εργαζομένων που έχουν προσβληθεί από τον ιό (π.χ. στο πλαίσιο της πρόληψης) και η εθνική νομοθεσία επιτρέπει την αποκάλυψη αυτή, οι εν λόγω εργαζόμενοι πρέπει να ενημερώνονται εκ των προτέρων και να προστατεύονται η αξιοπρέπεια και η ακεραιότητά τους.

      Ποιες από τις επεξεργαζόμενες στο πλαίσιο της COVID-19 πληροφορίες μπορούν να λάβουν οι εργοδότες;

      Οι εργοδότες μπορούν να λάβουν πληροφορίες προσωπικού χαρακτήρα με σκοπό την εκτέλεση των καθηκόντων τους και την οργάνωση της εργασίας σύμφωνα με τους όρους της εθνικής νομοθεσίας.



      Για το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
      Η Πρόεδρος
      (Andrea Jelinek)

      Σχετικά

      Κατευθυντήριες γραμμές για την χρήση δεδομένων θέσης και εφαρμογών ιχνηλάτησης στα πλαίσια της πανδημίας COVID-19 (στην Αγγλική)

      Κατευθυντήριες γραμμές για την επεξεργασία δεδομένων υγείας για σκοπούς επιστημονικής έρευνας στα πλαίσια της πανδημίας COVID-19 (στην Αγγλική)




      Statement_19.03.2020.pdf EDPB_COVID-19.Statement_19.03.2020.pdf


      Back To Top