Καθώς βρισκόμαστε σε μια πρωτόγνωρη πρόκληση που προκαλεί η πανδημία του Κορωνοϊού, το Ευρωπαϊκό Συμβούλιο Προστασίας Προσωπικών Δεδομένων (EDPB), θεώρησε σκόπιμο να προβεί σε δήλωση σχετικά με την προστασία των προσωπικών δεδομένων εφόσον γίνεται επεξεργασία απλών και κυρίως ειδικών κατηγοριών π.δ. για την πρόληψη και το μετριασμό του κινδύνου που προκύπτει από την εξάπλωση του ιού.
Ο πρόεδρος του Συμβουλίου χαρακτηριστικά τονίζει ότι οι κανόνες για την προστασία προσωπικών δεδομένων όπως είναι ο GDPR, δεν θα εμποδίζουν τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας του κορωναϊού. Ωστόσο, τονισε ότι, ακόμη και σε αυτές τις εξαιρετικές περιόδους, ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει την προστασία των προσωπικών δεδομένων των υποκειμένων των δεδομένων. Επομένως, θα πρέπει να ληφθούν υπόψη διάφοροι παράγοντες που θα εγγυώνται τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων.
Το GDPR είναι μια ευρεία νομοθεσία και προβλέπει ρητά τους κανόνες που ισχύουν για την επεξεργασία των προσωπικών δεδομένων σε ένα πλαίσιο όπως αυτό που σχετίζεται με το COVID-19. Πράγματι, ο GDPR ορίζει νοιμοποιητικές βάσεις που επιτρέπουν στους εργοδότες και στις αρμόδιες δημόσιες υγειονομικές αρχές την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο επιδημιών, χωρίς να απαιτείται η συναίνεση του υποκειμένου των δεδομένων. Αυτό ισχύει, για παράδειγμα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για τους εργοδότες για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας ή για την προστασία ζωτικών συμφερόντων (Άρθρα 6 και 9 του GDPR) ή προς συμμόρφωση τους με άλλη νομική υποχρέωση.
Για την επεξεργασία δεδομένων στην ηλεκτρονική επικοινωνία, όπως είναι τα δεδομένα τοποθεσίας κινητού τηλεφώνου, εφαρμόζονται επιπρόσθετοι κανόνες. Οι εθνικές νομοθεσίες που εφαρμόζουν την οδηγία e-Privacy για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών προβλέπουν την αρχή ότι τα δεδομένα θέσης μπορούν να χρησιμοποιηθούν μόνο από τον χειριστή όταν ανωνυμοποιούνται ή με τη συγκατάθεση των ατόμων. Οι δημόσιες αρχές θα πρέπει πρώτα να επιδιώξουν την επεξεργασία των δεδομένων θέσης σε ανωνυμοποιημένη μορφή (δηλ. επεξεργασία δεδομένων που συγκεντρώνονται με τρόπο που δεν μπορεί να γίνει αναστροφή τους σε προσωπικά δεδομένα). Αυτό θα μπορούσε να επιτρέψει τη δημιουργία αναφορών σχετικά με τη συγκέντρωση των κινητών συσκευών σε μια συγκεκριμένη τοποθεσία (“χαρτογράφηση”).
Όταν δεν είναι δυνατή η επεξεργασία μόνο ανώνυμων δεδομένων, το άρθρο 15 της οδηγίας e-Privacy για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών επιτρέπει στα κράτη μέλη να θεσπίσουν νομοθετικά μέτρα για την εθνική ασφάλεια και τη δημόσια ασφάλεια. Αυτή η νομοθεσία έκτακτης ανάγκης είναι δυνατή υπό την προϋπόθεση ότι αποτελεί ένα αναγκαίο, κατάλληλο και αναλογικό μέτρο μιας δημοκρατικής κοινωνίας. Εάν θεσπιστούν τέτοιου είδους μέτρα, το κράτος μέλος υποχρεούται να θέσει σε εφαρμογή επαρκείς διασφαλίσεις, όπως τη χορήγηση στους πολίτες του δικαιώματος δικαστικής προσφυγής.
Συμπερασματικά θα λέγαμε ότι, ο GDPR έχει εξετάσει ρητά το είδος επεξεργασίας που έχει προκύψει με τη νέα αυτή συνθήκη της πανδημίας. Τα μέτρα που εφαρμόζονται ήδη για την καταπολέμήση του μπορούν και πρέπει να εφαρμοστούν εφόσον άλλωστε υπερέχει η αξία της ανθρώπινης ζωής. Σε κάθε περίπτωση όμως, κάθε υπεύθυνος επεξεργασίας στο μέτρο που είναι εφικτό θα πρέπει να ακολουθεί τις αρχές της αναγκαιότητας, της νομιμότητας, αντικειμενικότητας και διαφάνειας, του περιορισμού του σκοπού, του περιορισμού της περιόδου αποθήκευσης, της ακεραιότητας και της εμπιστευτικότητας και της ελαχιστοποίησης. Παράλληλα, κρίνεται ευκταίο να λαμβάνουν τα κατάλληλα τεχνικά κι οργανωτικά μέτρα (όπως η κρυπτογράφηση) για την αποφυγή παραβίασης των προσωπικων δεδομένων και να προτιμάται σε πρώτο στάδιο η ανωνυμοποίηση τους αν γίνεται μαζική συλλογή όπως ορίζεται στην οδηγία e-Privacy.