Εισαγωγή
Οι Οργανισμοί παίρνουν τα απαραίτητα μέτρα για να περιορίσουν την εξάπλωση και να προφυλάξουν από τις συνέπειες τού COVID-19, γνωστός ως κορωναϊός». Πολλά από αυτά τα μέτρα θα έχουν ως συνέπεια την επεξεργασία προσωπικών δεδομένων φυσικών προσώπων (όπως ονοματεπώνυμο, διεύθυνση, εργασία, δεδομένα ταξιδιών) και πολλές φορές ευαίσθητων δεδομένων υγείας. Η νομοθεσία για την προστασία των προσωπικών δεδομένων δεν είναι σε καμία περίπτωση εμπόδιο για την διαφύλαξη της δημόσιας υγείας και της προστασίας των εργαζομένων. Σε κάθε περίπτωση, κάθε οργανισμός θα πρέπει να λαμβάνει υπόψη του κάποιες παραμέτρους όταν επεξεργάζεται προσωπικά δεδομένα για τους σκοπούς αυτούς, ιδίως δεδομένα υγείας και άλλα ευαίσθητα δεδομένα.
- Τα μέτρα τα οποία λαμβάνονται για την αντιμετώπιση τού Κορωναϊού και τα οποία εμπεριέχουν επεξεργασία προσωπικών δεδομένων, περιλαμβανομένων δεδομένων υγείας, θα πρέπει να είναι αναγκαία και αναλογικά!
Οι οργανισμοί θα πρέπει επίσης να έχουν υπόψη τους και τις λοιπές αρχές για την επεξεργασία των προσωπικών δεδομένων:
- Νομιμότητα
Όταν οι οργανισμοί ενεργούν σύμφωνα με οδηγίες Δημοσίων Αρχών Υγείας, η επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένων δεδομένων υγείας, είναι κατά πάσα πιθανότητα νόμιμη, υπό τον όρο να εφαρμόζονται τα κατάλληλα μέτρα ασφαλείας. Τέτοια μέτρα ασφαλείας μπορεί να περιλαμβάνουν περιορισμό της πρόσβασης στα δεδομένα, αυστηρά χρονικά πλαίσια διατήρησης, και άλλα μέτρα όπως κατάλληλη εκπαίδευση τού προσωπικού για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Οι εργοδότες έχουν επίσης νομική υποχρέωση να προστατεύουν τους εργαζομένους τους. Η υποχρέωση αυτή αποτελεί νομική βάση για την επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένων δεδομένων υγείας, όποτε αυτό κρίνεται απαραίτητο και πάντα υπό το πρίσμα της αναγκαιότητας/αναλογικότητας. Όλα τα δεδομένα πρέπει να τυγχάνουν επεξεργασίας με τρόπο που να εξασφαλίζει την εμπιστευτικότητα αυτών, π.χ. οποιαδήποτε γνωστοποίηση στο προσωπικό για την πιθανή εμφάνιση κορωναϊού στον τόπο εργασίας δεν θα πρέπει να γίνεται με αναφορά σε συγκεκριμένους εργαζόμενους.
- Διαφάνεια
Οι οργανισμοί που επεξεργάζονται προσωπικά δεδομένα πρέπει να είναι διαφανείς σε σχέση με τα μέτρα που εφαρμόζουν, συμπεριλαμβανομένου τού σκοπού για τον οποίο συλλέγουν προσωπικά δεδομένα και για πόσο καιρό τα διατηρούν. Πρέπει να παρέχουν στα φυσικά πρόσωπα όλες τις απαραίτητες πληροφορίες σχετικά με την επεξεργασία των προσωπικών τους δεδομένων σε μορφή η οποία είναι ακριβής, εύληπτη, εύκολα αντιληπτή και σε ξεκάθαρη και απλή γλώσσα.
- Εμπιστευτικότητα
Οποιαδήποτε επεξεργασία προσωπικών δεδομένων γίνεται στο πλαίσιο περιορισμού της εξάπλωσης τού κορωναϊού πρέπει να γίνεται με τρόπο που να εγγυάται την ασφάλεια των δεδομένων και ιδίως των δεδομένων υγείας. Η ταυτότητα των προσβεβλημένων φυσικών προσώπων δεν θα πρέπει να αποκαλύπτεται σε τρίτα μέρη, ούτε στους συναδέλφους τους, χωρίς ξεκάθαρη αιτιολόγηση.
- Ελαχιστοποίηση Δεδομένων
Όπως με κάθε επεξεργασία δεδομένων, θα πρέπει να τυγχάνουν επεξεργασίας τα λιγότερα δυνατά δεδομένα για το σκοπό εφαρμογής μέτρων για την αντιμετώπιση ή τον περιορισμό τού COVID-19.
- Λογοδοσία
Οι υπεύθυνοι επεξεργασίας θα πρέπει να καταγράφουν κάθε απόφαση και διαδικασία που εφαρμόζουν για τον έλεγχο τού COVID-19, η οποία εμπεριέχει επεξεργασία προσωπικών δεδομένων.
ΕΡΩΤΗΣΕΙΣ
- Έχει δικαίωμα ένας εργοδότης να απαιτεί από όλο το προσωπικό και τους επισκέπτες τού κτιρίου να συμπληρώνουν ερωτηματολόγιο ζητώντας πληροφορίες για το πρόσφατο ταξιδιωτικό ιστορικό τους σε χώρες που έχουν πληγεί από τον ιό, και ιατρικές πληροφορίες όπως: συμπτώματα πυρετού, δύσπνοιας κλπ.;
Όπως αναφέρθηκε παραπάνω, οι εργοδότες έχουν νόμιμη υποχρέωση να προστατεύουν την υγεία των εργαζομένων τους και να διατηρούν τον τόπο εργασίας ασφαλή. Από την άποψη αυτή, και σύμφωνα με τις παρούσες συνθήκες, οι εργοδότες μπορούν να θεωρηθούν δικαιολογημένοι όταν ζητούν από εργαζομένους και επισκέπτες να τους πληροφορήσουν εάν έχουν επισκεφθεί μία πληγείσα περιοχή και/ή έχουν συμπτώματα μόλυνσης από τον ιό.
Εφαρμογή πιο αυστηρών μέτρων, όπως ένα ερωτηματολόγιο, θα πρέπει να έχει πιο αυστηρή αιτιολόγηση με βάση την αρχή της αναγκαιότητας και της αναλογικότητας καθώς και εκτίμηση τού αντικτύπου στην ιδιωτικότητα. Τέτοια εκτίμηση θα μπορούσε να λάβει υπόψη της ειδικές συνθήκες τού οργανισμού όπως ταξιδιωτική δραστηριότητα τού προσωπικού που συνδέεται με τα καθήκοντά τους, την παρουσία ευάλωτων προσώπων στον χώρο εργασίας, και τυχόν οδηγίες ή κατευθύνσεις από τις Δημόσιες Αρχές Υγείας.
Ερωτήσεις σχετικά με τα κατάλληλα μέτρα που πρέπει να λάβει ο οργανισμός για την προστασία από τον COVID-19 θα πρέπει να απευθύνονται στις αρμόδιες Δημόσιες Αρχές Υγείας.
- Μπορεί ένας εργοδότης να ζητήσει περισσότερες πληροφορίες σχετικά με την ασθένεια εργαζομένου που αναφέρεται σε ιατρικό πιστοποιητικό υπό το πρίσμα της κατάστασης που έχει δημιουργηθεί με τον COVID-19?
Ενώ οι εργοδότες έχουν νόμιμη υποχρέωση να προστατεύουν την υγεία των εργαζομένων τους, οι εργαζόμενοι έχουν επίσης καθήκον να παίρνουν τα απαραίτητα μέτρα για την προστασία της υγείας τους και της υγείας κάθε άλλου προσώπου στον χώρο εργασίας. Υπό το πρίσμα αυτό, οι εργοδότες θα θεωρηθούν δικαιολογημένοι εάν ζητήσουν από τους εργαζομένους να τους ενημερώσουν εάν έχουν ιατρική διάγνωση για μόλυνση από τον COVID-19, προκειμένου να μπορέσουν να λάβουν τα κατάλληλα μέτρα.
Παρ ’όλα αυτά, είναι σημαντικό να θυμόμαστε ότι η καταγραφή κάθε πληροφορίας που αφορά την υγεία πρέπει να είναι δικαιολογημένη και τεκμηριωμένη, και πρέπει να περιορίζεται σε ό,τι είναι απαραίτητο για να επιτρέψει στον εργοδότη να εφαρμόσει μέτρα υγείας και ασφάλειας.
Οι εργοδότες θα πρέπει να ακολουθούν τις συμβουλές και οδηγίες των Δημόσιων Αρχών Υγείας, οι οποίες μπορεί να απαιτήσουν την αποκάλυψη προσωπικών δεδομένων όταν αυτή αφορά το δημόσιο συμφέρον για προστασία έναντι σοβαρών κινδύνων για τη δημόσια υγεία.
Οι εργαζόμενοι θα πρέπει να ακολουθούν τις συμβουλές των ιατρών τους καθώς και των Δημόσιων Αρχών Υγείας σε αυτές τις περιπτώσεις, οι οποί θα τους δώσουν οδηγίες αναφορικά με το τι πρέπει να κάνουν σε περίπτωση που εμφανίζουν συμπτώματα τού COVID-19
- Μπορεί ένας εργοδότης να στείλει τους εργαζόμενους σπίτι τους από την εργασία εάν έχουν διαπιστωμένα μολυνθεί από τον ιό;
Οι εργοδότες έχουν υποχρέωση να φροντίζουν τους εργαζομένους τους προκειμένου να παρέχουν ασφάλεια στο χώρο εργασίας, η οποία μπορεί να απαιτήσει την εφαρμογή διακρίσεων αναφορικά με την πρόσβαση στον εργασιακό χώρο. Σε περίπτωση που εργαζόμενος διαπιστωθεί ότι έχει μολυνθεί από COVID-19, ο εργοδότης θα πρέπει να αναζητήσει επειγόντως συμβουλές από τις Δημόσιες Αρχές Υγείας σχετικά με τα μέτρα που θα πρέπει να λάβει. Η απόφαση να στείλει εργαζομένους στο σπίτι από την εργασία δεν είναι θέμα προστασίας προσωπικών δεδομένων και μπορεί να έχει άλλες συνέπειες για τους εργοδότες που απορρέουν από το εργατικό δίκαιο, π.χ. δικαίωμα για αναρρωτικές αποδοχές.
- Μπορεί ένας εργοδότης να αποκαλύψει ότι ένας εργαζόμενος έχει μολυνθεί από τον ιό στους συναδέλφους του;
Αυτό θα πρέπει να αποφευχθεί, υπό το πρίσμα της διατήρησης της εμπιστευτικότητας των προσωπικών δεδομένων τού εργαζομένου. Για παράδειγμα, ένας εργοδότης δικαιολογημένα ενημερώνει το προσωπικό ότι εμφανίστηκε ένα κρούσμα, ή πιθανό κρούσμα, τού COVID–19 στον οργανισμό και να ζητήσει από το προσωπικά να εργαστούν από το σπίτι. Η επικοινωνία αυτή όμως δεν θα πρέπει να περιλαμβάνει το όνομα τού εργαζομένου που νόσησε, ή πιθανολογείται να νόσησε, από τον ιό.
Αλλά: Η αποκάλυψη της πληροφορίας αυτής μπορεί να απαιτηθεί από τις Δημόσιες Αρχές Υγείας προκειμένου να επιτελέσουν τις δικές τους λειτουργίες.
- Τα χρονικά πλαίσια για ανταπόκριση σε αιτήματα υποκειμένων υπό τον GDPR εξακολουθούν να έχουν εφαρμογή όταν ένας οργανισμός είναι προσωρινά κλειστός ή η ικανότητά του να ανταποκρίνεται σε αιτήματα υπονομεύεται εξαιτίας τού COVID-19?
Οι Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναγνωρίζουν τη σημαντική επίπτωση που έχει η Κρίση που ο COVID-19 επέφερε στους οργανισμούς και την ικανότητά τους να ανταποκρίνονται σε αιτήματα υποκειμένων υπό τον GDPR, όπως αιτήματα πρόσβασης, διαγραφής κλπ. Τα χρονικά πλαίσια για απάντηση στα αιτήματα των υποκειμένων καθορίζονται στο νόμο (GDPR) και δεν μπορούν να αλλάξουν, αναπόφευκτες καθυστερήσεις όμως μπορεί να προκύψουν ως άμεσο αποτέλεσμα των επιπτώσεων τού COVID-19.
Εάν ένας οργανισμός αντιμετωπίζει δυσκολίες στην ανταπόκριση σε αιτήματα, θα πρέπει να το γνωστοποιήσει στα φυσικά πρόσωπα που τα υποβάλλουν, συμπεριλαμβάνοντας στην απάντηση τυχόν παράταση στο χρονικό διάστημα ανταπόκρισης στο αίτημα και τους λόγους της καθυστέρησης. Ο GDPR προβλέπει μία παράταση δύο μηνών για να απαντηθεί ένα αίτημα, λαμβανομένης υπόψη της πολυπλοκότητας τού αιτήματος και του αριθμού των αιτημάτων.
Οργανισμοί οι οποίοι αντιμετωπίζουν δυσκολίες στην απάντηση αιτημάτων θα πρέπει επίσης να εξετάσουν το ενδεχόμενο να απαντήσουν στα αιτήματα σε στάδια. Για παράδειγμα, ένας οργανισμός οι εργαζόμενοι τού οποίου εργάζονται απομακρυσμένα μπορεί να έχει δυσκολία στην πρόσβαση σε φυσικά αρχεία. Στην περίπτωση αυτή, μπορεί να είναι δυνατόν να χορηγήσει στον αιτούντα ηλεκτρονικά αρχεία, και τα φυσικά αρχεία να δοθούν σε μεταγενέστερο στάδιο. Σε κάθε περίπτωση, οι οργανισμοί θα πρέπει να είναι ξεκάθαροι στην επικοινωνία τους με τα φυσικά πρόσωπα.
Όταν ένας οργανισμός, λόγω των επιπτώσεων τού COVID-19, δεν μπορεί να ανταποκριθεί εν όλω ή εν μέρει σε ένα αίτημα μέσα στα νόμιμα χρονικά πλαίσια, συνεχίζει να είναι υπόχρεος να το πράξει και πρέπει να διασφαλίσει ότι το αίτημα θα τύχει απάντησης το συντομότερο δυνατόν. Για λόγους λογοδοσίας και διαφάνειας, οι λόγοι για τους οποίους δεν μπορεί να συμμορφωθεί με τα χρονικά πλαίσια ανταπόκρισης θα πρέπει να καταγραφούν από τον οργανισμό και να γνωστοποιηθούν με ξεκάθαρο τρόπο στα φυσικά πρόσωπα που επηρεάζονται.
Παρόλο που ένας οργανισμός δεν απαλλάσσεται από τις υποχρεώσεις του, εάν γίνει μία καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τα δεδομένα κάθε ξεχωριστής περίπτωσης, συμπεριλαμβανομένων των ειδικότερων περιστάσεων που προέκυψαν σε κάθε οργανισμό, θα ληφθούν πλήρως υπόψη από την Αρχή.
Πρόσφατα σχόλια