Ο Παγκόσμιος Οργανισμός Υγείας (WHO) έχει ορίσει ως πανδημία το νέο μυστηριώδη ιό COVID-19 (Coronavirus). Ο νέος ιός, ενώ μοιάζει με μια εποχική γρίπη, έχει κάποια επικίνδυνα χαρακτηριστικά. Δεν είναι μόνο εξαιρετικά μεταδοτικός, αλλά εκείνοι που έχουν μολυνθεί μπορεί να μην εμφανίζουν συμπτώματα κατά τα πρώτα μολυσματικά στάδια. Αυτό καθιστά επιτακτική την ανάγκη, για λόγους προστασίας της δημόσιας υγείας, τα άτομα που εκτίθενται σε αυτόν, εφόσον αποκτούν επίγνωση ότι έχουν εκτεθεί, να ενημερώνουν αμέσως και τα άτομα με τα οποία έχουν έρθει σε επαφή, είτε είναι στο χώρο εργασίας τους, είτε είναι συγγενικά ή φιλικά τους πρόσωπα.
Πώς προστατεύεται όμως το απόρρητο των ατόμων που έχουν μολυνθεί από το Covid-19, ενώ παράλληλα πρέπει να ενημερωθούν τα άτομα που έχουν τεθεί σε κίνδυνο; Σε μια εποχή έκτακτης ανάγκης για τη δημόσια υγεία, όπως η σημερινή, μήπως πρέπει ο GDPR και η νομοθεσία προστασίας προσωπικών δεδομένων να έρχεται σε δεύτερη θέση;
Ακολουθούν χρήσιμες ερωτήσεις-απαντήσεις για τη διαλεύκανση των ζητημάτων που προκύπτουν από αυτήν την αναπόφευκτη σύγκρουση αφενός του δικαιώματος προστασίας της αυτοδιάθεσης, της ιδιωτικής ζωής και των προσωπικών δεδομένων και αφετέρου του δημοσίου συμφέροντος, κυρίως υπό την ειδικότερη εκδοχή της δημόσιας υγείας, αλλά και των δικαιωμάτων των άλλων.
ΓΕΝΙΚΕΣ ΕΡΩΤΗΣΕΙΣ
Τι προσωπικά δεδομένα (ειδικής κατηγορίας/ ευαίσθητα) μπορεί να συλλέγω ως εταιρεία/οργανισμός λόγω του κορωνοϊού;
Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν προσωπικά δεδομένα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν:
- η κατάσταση κατονοµαζοµένου ή ταυτοποιήσιµου υποκειµένου των δεδοµένων ως νοσούντος ή µη,
- η κατ’ οίκον παραµονή του λόγω ασθένειας,
- η διαπίστωση ενδείξεων ασθένειας, ενδεχοµένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερµοκρασία ανώτερη της φυσιολογικής κ.λπ.).
Εκτός από τα ειδικής κατηγορίας/ ευαίσθητα προσωπικά δεδομένα, τι άλλα (απλά) προσωπικά δεδομένα μπορεί να συλλέγω ως εταιρεία/ οργανισμός/δημόσιος φορέας σχετικά με τον ιό;
Γενικές πληροφορίες, όπως π.χ.
- εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή
- εάν ένας οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό.
Σε ποιες περιπτώσεις εφαρμόζεται η νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα ενόψει του κορωνοϊού;
Η νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα εφαρµόζεται:
- Στην εν όλω ή εν µέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη µη αυτοµατοποιηµένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.( κατ’ άρ. 2 παρ. 1 Κανονισµού 679/2016 (εφεξής «ΓΚΠ∆») και 2 ν. 4624/2019).
- Στο µέτρο κατά το οποίο διενεργείται από τις αρμόδιες δημόσιες αρχές επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύμφωνα µε τις οικείες ΠΝΠ, προς τον σκοπό της αποφυγής κινδύνου εμφάνισης ή διάδοσης του κορωνοϊού που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δημόσια υγεία.
Επομένως, η ανωτέρω νομοθεσία ΔΕΝ εφαρμόζεται:
- Στην απλή προφορική ενημέρωση ότι το υποκείμενο των δεδομένων νοσεί από τον κορωνοϊό ή ότι η σωματική θερμοκρασία του έχει μετρηθεί ως ανώτερη του φυσιολογικού
- Όταν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστημα αρχειοθέτησης σε περίπτωση µη αυτοματοποιημένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοματοποιημένη επεξεργασία.
Ποιες επεξεργασίες προσωπικών δεδομένων επιτρέπονται στην παρούσα κατάσταση;
- Η επεξεργασία που είναι απαραίτητη για τη συµµόρφωση µε έννοµη υποχρέωση του υπευθύνου επεξεργασίας
- Η επεξεργασία που είναι απαραίτητη για τη διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή άλλου φυσικού προσώπου
- Η επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας
- Η επεξεργασία που είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριµένων δικαιωµάτων του υπευθύνου επεξεργασίας ή του υποκειµένου των δεδοµένων στον τοµέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας
- Η επεξεργασία που αφορά δεδοµένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δηµοσιοποιηθεί από το υποκείµενο των δεδοµένων
- Η επεξεργασία που είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελµατικής ιατρικής εκτίµησης της ικανότητας προς εργασία του εργαζοµένου, ιατρικής διάγνωσης, παροχής υγειονοµικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονοµικών και κοινωνικών συστηµάτων και υπηρεσιών
- Η επεξεργασία που είναι απαραίτητη για λόγους δηµόσιου συµφέροντος στον τοµέα της δηµόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονοµικής περίθαλψης και των φαρµάκων ή των ιατροτεχνολογικών προϊόντων.
Τα μέτρα προστασίας που λαμβάνω ως Υπεύθυνος επεξεργασίας για την αντιμετώπιση της πανδημίας μπορεί να περιλαμβάνουν επέμβαση στην ιδιωτικότητα και τα προσωπικά δεδομένα των φυσικών προσώπων. Θεωρείται παράνομη η επεξεργασία των προσωπικών δεδομένων για αυτόν τον σκοπό;
Όχι. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα. Πρέπει να εκτιμάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας (αιτ. σκ. 4 ΓΚΠ∆). Η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας.
Χρειάζεται η συγκατάθεση των φυσικών προσώπων προκειμένου να τους αποσταλλεί ενημερωτικό μήνυμα από αρμόδιο φορέα σχετικά με τον κορωνοϊό;
Όχι. Οι νόμοι για την προστασία δεδομένων δεν εμποδίζουν την κυβέρνηση και το εθνικό σύστημα υγείας από το να αποστέλλουν μηνύματα για την προστασία της δημόσιας υγείας στους πολίτες, είτε μέσω τηλεφώνου, κειμένου ή ηλεκτρονικού ταχυδρομείου, καθώς αυτά τα μηνύματα δεν αποτελούν ενέργειες άμεσου μάρκετινγκ. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού που διενεργείται από τις αρµόδιες δηµόσιες αρχές είναι απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας. Ως εκ τούτου, δεν απαιτείται συγκατάθεση των φυσικών προσώπων για την επεξεργασία των προσωπικών τους δεδομένων κατά την εφαρμογή μέτρων προστασίας κατά του κορωνοϊού.
Το προσωπικό της εταιρείας μου κατά τη διάρκεια της πανδημίας θα εργάζεται από το σπίτι. Τι είδους μέτρα ασφαλείας θα πρέπει να ληφθούν για την προστασία των προσωπικών δεδομένων;
- Η σύνδεση στο εταιρικό δίκτυο θα πρέπει να γίνεται μέσω ασφαλών καναλιών επικοινωνίας (π.χ. VPN, RAS)
- Θα πρέπει να γίνεται αυστηρά χρήση μόνο του εξοπλισμού που έχει παραχωρήσει η εταιρεία
- Οι κωδικοί πρόσβασης που χρησιμοποιούνται θα πρέπει να εμφανίζουν αυξημένο επίπεδο πολυπλοκότητας, να αλλάζουν συχνά σύμφωνα και με όσα ορίζει η πολιτική της εταιρείας και να μην κοινοποιούνται σε μέλη της οικογένειάς του εργαζόμενου (και φυσικά σε κανένα άλλο τρίτο πρόσωπο)
- Δεν θα πρέπει να παραβλέπεται η πραγματοποίηση ενημερώσεων στο λογισμικό προστασίας που είναι εγκατεστημένο στους υπολογιστές που έχουν παραχωρηθεί στους εργαζόμενους
- Απαγορεύεται η σύνδεση σε ιστότοπους με υψηλό κίνδυνο προσβολής από κακόβουλο λογισμικό (porn, gambling, p2p sites)
- Απαγορεύεται η σύνδεση σε δημόσια ασύρματα δίκτυα ή ασύρματα δίκτυα τρίτων
- Δεν επιτρέπεται η αποθήκευση προσωπικών δεδομένων ή εταιρικών πληροφοριών σε οικιακά αποθηκευτικά μέσα ή σε ιστότοπους αποθήκευσης δεδομένων (dropbox, onedrive, box, κλπ.) που είναι συνδεμένοι με προσωπικούς λογαριασμούς των εργαζόμενων
- Θα πρέπει να γίνεται σε τακτά χρονικά διαστήματα αποθήκευση των αρχείων που επεξεργαζόνται οι εργαζόμενοι στο κεντρικό αποθηκευτικό μέσο της εταιρείας
- Σε περίπτωση εντοπισμού ύποπτης συμπεριφοράς ή δυσλειτουργίας στο λογισμικό θα πρέπει να υπάρχει άμεση επικοινωνία με το τμήμα ΙΤ της εταιρείας
- Η διακίνηση των εγγράφων, εφόσον απαιτείται, θα γίνεται αποκλειστικά με ηλεκτρονικά μέσα. Σε κάθε περίπτωση θεωρείται δεδομένη η εχεμύθεια που πρέπει να τηρεί ο υπάλληλος κατ’ άρθρο 26 του Υ.Κ. (Ν.3528/2007) ή άλλων αντίστοιχων διατάξεων κατά την εξ αποστάσεως παροχή εργασίας
- Ιδιαίτερη προσοχή πρέπει να δίδεται σε ευαίσθητα προσωπικά δεδομένα, καθώς και σε έγγραφα εμπιστευτικού – απόρρητου χαρακτήρα, για τα οποία απαιτείται ιδιαίτερος χειρισμός.
Mπορώ να λάβω μέτρα προστασίας κατά του κορωνοϊού στην εταιρεία μου;
Ναι. Ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας. Προκειμένου να προστατεύεται η υγεία όλων των εργαζομένων πρέπει να σημειώσουμε ότι όχι μόνο είναι θεμιτό και αποδεκτό να λαμβάνονται μέτρα αλλά και επιβάλλεται από τις υποχρεώσεις για την φροντίδα για την υγεία και την ασφάλεια των εργαζομένων (ν. 3850/10 όπως τροποποιήθηκε από τον ν. 4578/18).
Επισηµαίνεται ωστόσο ότι η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα.
Επιτρέπεται να ενημερώσω τους εργαζόμενους ότι αλλος εργαζόμενος της εταιρείας έχει μολυνθεί από τον ιό COVID-19;
Ναι. Η ενημέρωση των εργαζομένων γίνεται για τους σκοπούς της προστασίας της υγείας τους στο πλαίσιο υποχρέωσης του εργοδότη να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων. Ωστόσο η γνωστοποίηση αυτών των πληροφοριών θα πρέπει να γίνεται με τρόπο που να τηρεί τις αρχές του περιορισµού της επεξεργασίας σε συνδυασµό µε την αρχή της αναλογικότητας δηλαδή για παράδειγμα να μπορεί να αποφευχθεί η αποκάλυψη ονόματος του φορέα του ιού και απλά να γίνει ενημέρωση ότι υπάρχει κρούσμα στην εταιρεία. Η ΑΠΔΠΧ επισημαίνει ότι η από μέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειμένων των δεδομένων όταν αυτή συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν είναι επιτρεπτή αν δημιουργεί κλίκα προκατάληψης και στιγματισμού. Επιπλέον, ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές µε αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους.
Είναι υποχρεωμένοι οι εργαζόμενοι που έχουν προσβληθεί από τον ιό COVID-19 να ενημερώσουν το εργοδότη;
Ναι. Οι εργαζόµενοι υποχρεούνται να εφαρµόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόµων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαµβανοµένης της υποχρέωσής τους να αναφέρουν αµέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που µπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άµεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Ταυτόχρονα, οι αρχές προστασίας συμπίπτουν στη διαπίστωση ότι πρέπει να υποδειχθεί στους εργαζόμενους η υποχρέωσή τους, ακόμη και αν δεν είναι βέβαιο ότι έχουν μολυνθεί από τον ιό να τον ενημερώνουν και για π.χ. τυχόν αδιαθεσία ασθένεια, τυχόν παραμονή ή τον σκοπό τους να ταξιδέψουν σε περιοχές εκτεθειμένες στον ιό.
Επιτρέπεται η επεξεργασία προσωπικών δεδομένων επισκεπτών, προμηθευτών κτλ στα γραφεία ή εγκαταστάσεις της εταιρείας προς εξασφάλιση της υγείας των εργαζοµένων μέσω π.χ. θερµοµέτρησης των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κτλ;
Ναι, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα και τηρείται η αρχή της αναλογικότητας. Τα δεδομένα αυτά επιτρέπεται να χρησιμοποιηθούν μόνο για τον σκοπό και στο πλαίσιο της καταπολέμησης των συνεπειών και της πρόληψης της διάδοσης του κορωνοϊού και όχι για άλλους σκοπούς.
Εφαρμόζεται η νομοθεσία για την προστασία προσωπικών δεδομένων θανόντων στην περίπτωση του κορωνοϊού;
Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα (αιτ. σκ. 27 ΓΚΠ∆). ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, προτείνεται η εταιρεία να τα αντιμετωπίσει ως δεδομένα ζώντων και να τηρήσει τις απαιτήσεις του GDPR, σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.
Σε περίπτωση που το ίδιο το υποκείμενο γνωστοποιήσει ότι έχει προσβληθεί από τον ιό, είναι νόμιμη η επεξεργασία των προσωπικών του δεδομένων;
Ναι. Η από µέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, οικειοθελής δηµοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύµφωνα µε το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠ∆ νοµική βάση επεξεργασίας των συγκεκριµένων δεδοµένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠ∆ σε συνδυασµό µε τυχόν ειδικότερες διατάξεις της εθνικής νοµοθεσίας, περιλαµβανοµένων και των ΠΝΠ.
Επιτρέπεται η επεξεργασία πρoσωπικών δεδομένων για δημοσιογραφικούς σκοπούς;
Προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς, ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές [Εθνικός Οργανισµός ∆ηµόσιας Υγείας (Ε.Ο.∆.Υ.) και Γενική Γραµµατεία Πολιτικής Προστασίας (Γ.Γ.Π.Π.)] επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυµοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών µέτρων ασφαλείας (βλ. άρθρο πέµπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020).
Ως Υπεύθυνος Επεξεργασίας, είμαι υποχρεωμένος στην παρούσα κατάσταση να τηρώ την αρχής της λογοδοσίας;
Ναι. Σε κάθε επεξεργασία προσωπικών δεδομένων θα πρέπει να είναι σαφές στο φυσικό πρόσωπο γιατί η εταιρεία συλλέγει τα δεδομένα, πώς τα χρησιμοποιεί και ποια είναι τα δικαιώματα των φυσικών προσώπων σε σχέση με αυτά. Εάν η εταιρεία διαπιστώσει ότι χρειάζεται να συλλέξει νέους τύπους δεδομένων για να αντιμετωπίσει το πρόβλημα του κορωνοϊού, θα πρέπει να παρέχει την κατάλληλη ενημέρωση στα φυσικά πρόσωπα για αυτό. Παράλληλα, θα πρέπει το αρχείο δραστηριοτήτων που τηρεί η εταιρεία να συμπεριλάβει και αυτή τη νέα επεξεργασία και να τεκμηριωθεί και η νομική βάση επεξεργασίας που εν προκειμένω μπορεί να είναι η διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή η εκπλήρωση καθήκοντος που εκτελείται για το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας κτλ.
ΕΙΔΙΚΟΤΕΡΑ ΕΡΩΤΗΜΑΤΑ ΔΙΑΓΝΩΣΤΙΚΩΝ ΚΕΝΤΡΩΝ ΚΑΙ ΔΗΜΟΣΙΩΝ ΝΟΣΟΚΟΜΕΙΩΝ:
Στον τομέα δημόσιας υγείας, χρειάζεται συγκατάθεση των φυσικών προσώπων για την επεξεργασία των προσωπικών τους δεδομένων κατά την εφαρμογή μέτρων προστασίας κατά του κορωνοϊού;
Όχι. Οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού που διενεργείται από τις αρµόδιες δηµόσιες αρχές είναι απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆). Ως εκ τούτου, δεν απαιτείται συγκατάθεση των φυσικών προσώπων για την επεξεργασία των προσωπικών τους δεδομένων κατά την εφαρμογή μέτρων προστασίας κατά του κορωνοϊού.
Επιτρέπεται η αποστολή αποτελεσμάτων εξετάσεων μέσω email χωρίς προηγούμενη συγκατάθεση από τον ασθενή;
Ναι, στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες πράξεις επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόµενων σκοπών χωρίς να µπορεί να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εµπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας. Η αποστολή δηλαδή αποτελεσμάτων μέσω email χρειάζεται να γίνεται με κρυπτογράφηση όπου το κλειδί θα στέλνεται στον ασθενή με άλλο μέσο (π.χ κινητό τηλέφωνο).
Επιτρέπεται η διεξαγωγή συνεδριών μέσω skype με ασθενείς του Νοσοκομείου για την παρακολούθηση της πορείας της ψυχικής τους υγείας;
Ναι. Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Για τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων ασθενών, που ανήκουν στην ειδική αυτή κατηγορία θα πρέπει να προσδιοριστεί μία από τις νομικές βάσεις τους άρθρου 9 του ΓΚΠΔ. Εν προκειμένω, για τους σκοπούς παροχής ιατρικών υπηρεσιών oi οποίες θα μπορέσουν να επιτευχθούν μέσω της διεξαγωγής συνεδριών Skype, η νομιμότητα της επεξεργασίας θεμελιώνεται στο άρθρο 9 παρ. 2 περ. η «Η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει δικαίου ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας με υποχρέωση επαγγελματικού απορρήτου και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 9.3 (άρθρο 9.2 η)».
Επιτρέπεται η τηλεργασία προσωπικού του Νοσοκομείου;
Ναι. Με την επιφύλαξη έκδοσης νεότερης οδηγίας από το Υπουργείο Εσωτερικών, σύμφωνα με την ήδη εκδοθείσα Εγκ φ69/109/οικ.8000/16.03.2020, που αφορά σε υπηρεσίες του Δημοσίου, αλλά και σύμφωνα με τις διατάξεις της παρ. 6 του άρθρου 5 της από 11-3-2020 ΠΝΠ, όπως τροποποιήθηκε με την παρ. 8 του άρ. εικοστού τέταρτου της από 14/3/2020 ΠΝΠ, ο οικείος Υπουργός ή το αρμόδιο όργανο διοίκησης κάθε φορέα καλείται να προβεί σε πλάνο εργασιών έκτακτης ανάγκης, λαμβάνοντας υπόψη του τον αριθμό των υπηρετούντων υπαλλήλων και κυρίως αυτών που δύνανται να εργαστούν είτε με αυτοπρόσωπη παρουσία στην υπηρεσία είτε με εξ αποστάσεως παροχή εργασίας (τηλεργασία). Είναι αυτονόητο ότι στους υπαλλήλους αυτούς δεν θα συνυπολογίζονται οι ευπαθείς ομάδες, οι τελούντες σε άδεια ειδικού σκοπού καθώς εκείνοι οι υπάλληλοι, οι οποίοι απουσιάζουν ήδη με μακροχρόνια άδεια (π.χ. αναρρωτική, άνευ αποδοχών, άδεια ανατροφής, άδεια κυοφορίας λόγω επαπειλούμενης κύησης κ.α.). Υπό τις δεδομένες συνθήκες και για την άμεση εφαρμογή του μέτρου της εξ αποστάσεως παροχής εργασίας οι υπάλληλοι θα πρέπει να διαθέτουν πρόσβαση στο διαδίκτυο, σταθερό ή φορητό ηλεκτρονικό υπολογιστή, σταθερό ή κινητό τηλέφωνο για τη δυνατότητα επικοινωνίας, καθώς επίσης και λογαριασμό ηλεκτρονικού ταχυδρομείου.