Τα προσωπικά δεδομένα την εποχή του Κορωνοϊού

 

*Λίλιαν Μήτρου – Καθηγήτρια Πανεπιστημίου Αιγαίου

Χωρίς αμφιβολία,  βιώνουμε ως πολιτεία, κοινωνία, άτομα μία πρωτόγνωρη κατάσταση. Μία κατάσταση που συνιστά όχι μόνο δοκιμασία για τους ανθρώπους αλλά και μία κρίσιμη πρόκληση για τη συνταγματική και έννομη τάξη σε εθνικό και υπερεθνικό επίπεδο. Υπό τέτοιες συνθήκες ορισμένοι αντιμετωπίζουν τα ατομικά δικαιώματα ως εμπόδιο ή αγαθό πολυτελείας . «Δυστυχώς εδώ δεν είναι Κίνα», άκουσα να λέει κάποιος, υπονοώντας ότι στην Ευρώπη δεν είναι εφικτό να εφαρμοστούν ριζικά μέτρα ελέγχου. 

Ο έλεγχος της διάδοσης του κορωνοϊού απαιτεί πράγματι – τουλάχιστον σε ορισμένα στάδια – την λεγόμενη ιχνηλάτηση των κρουσμάτων ή/και των «επαφών» τους με τρόπο που μπορεί να προσδιορίσει ή και να εκθέσει την ιδιωτική ζωή τόσο των ασθενών/φορέων όσο και των προσώπων με τα οποία έχουν έλθει σε επαφή.  Η ανίχνευση κρουσμάτων ή ο έλεγχος της τήρησης οδηγιών και απαγορεύσεων οδηγεί , ή μπορεί να οδηγήσει , σε πρακτικές ευρείας προληπτικής επιτήρησης ή εκτεταμένων κατασταλτικών ελέγχων.

Σύμφωνα με σχετικές αναφορές σε πόλεις, όπως η Μόσχα, γίνεται χρήση τεχνολογιών αναγνώρισης προσώπου για την επιτήρηση της συμμόρφωσης με τις απαγορεύσεις. Αρκετές χώρες, όπως το Ισραήλ, υιοθετούν πολιτικές επιτήρησης,  όπως την εκτενή καταγραφή των δεδομένων θέσης που προκύπτουν από τη χρήση κινητών τηλεφώνων ώστε να παρακολουθούνται στενά οι κινήσεις των φορέων του ιού. H Ευρωπαϊκή Επιτροπή φέρεται να ζητά από τους τηλεπικοινωνιακούς παρόχους να εξετάσουν τον διαμοιρασμό  ανωνυμοποιημένων μεταδεδομένων ,  προκειμένου να γίνει εκπόνηση μοντέλων πρόγνωσης της εξάπλωσης του ιού. Ενώ το Think Tank του Ευρωπαϊκού Κοινοβουλίου επισημαίνει την δυνατότητα εφαρμογών τεχνητής νοημοσύνης για να παρακολουθηθεί και να ελεγχθεί η εξάπλωση της πανδημίας, τονίζοντας παράλληλα τους σοβαρούς κινδύνους για τα δικαιώματα των Ευρωπαίων πολιτών, το γερμανικό επιδημιολογικό ινστιτούτο Robert Koch καλεί τους Γερμανούς να δωρίσουν τα δεδομένα τους ώστε να χρησιμοποιηθούν σε άνευ προηγουμένου πείραμα, βασιζόμενο και στην τεχνητή νοημοσύνη, για την αντιμετώπιση του Covid19.

Η χρήση όλων αυτών των εργαλείων και μεθόδων προυποθέτει ή/και συνεπάγεται συλλογή και επεξεργασία μεγάλου όγκου προσωπικών πληροφοριών. Η προσπάθεια ελέγχου της διάδοσης του κορωνοϊού αναδεικνύει με τρόπο τόσο οξύ όσο και επιτακτικό μία γνωστή «σύγκρουση»: αυτή μεταξύ αφενός του δικαιώματος προστασίας της αυτοδιάθεσης, της ιδιωτικής ζωής και των προσωπικών δεδομένων και αφετέρου του δημοσίου συμφέροντος, κυρίως υπό την ειδικότερη εκδοχή της δημόσιας υγείας,  αλλά και  των δικαιωμάτων των άλλων. Ποια είναι εν προκειμένω τα κανονιστικά προαπαιτούμενα και τα όρια της συλλογής και επεξεργασίας των προσωπικών δεδομένων;

Η ισχύουσα νομοθεσία περιέχει τις σχετικές προβλέψεις, εφαρμοστέες ακόμη και σε τέτοιες εξαιρετικές περιστάσεις. Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ/GDPR), η επεξεργασία προσωπικών δεδομένων, επιτρέπεται,  όταν είναι απαραίτητη για λόγους δημοσίου συμφέροντος [άρθρο 6 (1 ε )], ενώ αυτό το συμφέρον απαιτείται να είναι ουσιώδες, όταν πρόκειται για ευαίσθητα δεδομένα, όπως τα δεδομένα υγείας [άρθρο 9 (2ζ )΄]. Προβλέπεται μάλιστα ρητά η (νόμιμη) επεξεργασία ακόμη κι ευαίσθητων δεδομένων, «όταν είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας» [ άρθρο 9 (2θ)]. Με τον πυκνό, ενίοτε δυσνόητο, λόγο που χαρακτηρίζει τα προοίμια, η αιτιολογική σκέψη 46 αναφέρει  ότι «ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους …», ενώ η αιτιολογική σκέψη 52 εξειδικεύει το δημόσιο συμφέρον με την διευκρίνιση ότι η παρέκκλιση από την απαγόρευση επεξεργασίας ευαίσθητων δεδομένων επιτρέπεται «για σκοπούς υγειονομικής ασφάλειας, παρακολούθησης και συναγερμού και για την πρόληψη ή τον έλεγχο των μεταδοτικών ασθενειών και άλλων σοβαρών απειλών κατά της υγείας».

Είναι αδιαμφισβήτητο ότι οι αρμόδιες δημόσιες αρχές νομιμοποιούνται σε αναζήτηση, συλλογή και επεξεργασία των δεδομένων που είναι αναγκαία για την αντιμετώπιση των διαφόρων  αναγκών πρόληψης και καταπολέμησης της διάδοσης του νέου ιού. Κι αν δεν χωρεί αμφιβολία ότι η σχετική νομοθεσία επιβάλλει ή επιτρέπει την  κοινοποίηση σχετικών πληροφοριών, όπως η αναφορά για κρούσματα στις αρμόδιες  αρχές, ζητήματα εγείρονται αναφορικά με το επιτρεπτό και την έκταση της δημοσιοποίησης τέτοιων δεδομένων.

Μία ευρεία  δημοσιοποίηση πρέπει κατά κανόνα να κριθεί μη αποδεκτή, καθώς μάλιστα δεν είναι βέβαιο ότι θα ήταν και κατάλληλη να διασφαλίσει τον επιδιωκόμενο σκοπό που είναι η προστασία και η καλλιέργεια αισθήματος ευθύνης ως προς την αυτοπροστασία και την μέριμνα για τους άλλους: με δεδομένη την φύση της πανδημίας, την εκδήλωση των συμπτωμάτων και τους τρόπους μετάδοσης στον δημόσιο χώρο και συναναστροφή πρέπει να αντιμετωπίζουμε τον εαυτό μας και τους άλλους ωσάν να είμαστε/είναι δυνάμει φορείς του κορωνοϊού. Αξίζει να σημειωθεί ότι η Ιρλανδική αρχή προστασίας προσωπικών δεδομένων αποδέχθηκε ότι οι υπηρεσίες υγείας ενδέχεται να βρεθούν υποχρεωμένες να αποκαλύψουν προσωπικά δεδομένα προκειμένου να αποτρέψουν σοβαρές απειλές για τη δημόσια υγεία, ενώ ο Γερμανός Ομοσπονδιακός Επίτροπος Προστασίας Δεδομένων αποδέχεται κατ’ εξαίρεση την αποκάλυψη της ταυτότητας ενός προσώπου, μόνο εφόσον κριθεί απαραίτητη για την προστασία της δημόσιας υγείας αλλά και των δικαιωμάτων/ εννόμων συμφερόντων  τρίτων προσώπων. 

Μείζονα ζητήματα που χρήζουν αποτελεσματικής αλλά και σταθμισμένης αντιμετώπισης προκύπτουν αναφορικά με τον έλεγχο των εργαζομένων. Το βασικό ερώτημα αφορά την έκταση και τη φύση της συλλογής δεδομένων από τους εργοδότες. Καταρχήν πρέπει να σημειώσουμε ότι όχι μόνο είναι θεμιτό και αποδεκτό να λαμβάνονται μέτρα προκειμένου να προστατεύεται η υγεία όλων των εργαζομένων  , αλλά και επιβάλλεται από τις υποχρεώσεις για την φροντίδα, για την υγεία και την ασφάλεια των εργαζομένων. Όπως επισημαίνει και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις Κατευθυντήριες Γραμμές που εξέδωσε (18/3/20), ο εκάστοτε εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων, λαµβάνοντας τα αναγκαία προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων  ( άρθρα42,45 και 49ν. 3850/10 όπως τροποποιήθηκε από τον ν. 4578/18). Η επεξεργασία ακόμη και ευαίσθητων δεδομένων των εργαζομένων επιτρέπεται κατ’ εξαίρεση από την έννομη τάξη, τόσο για να διαπιστωθεί η καταλληλότητα για εργασία όσο και στο πλαίσιο υποχρεώσεων που απορρέουν από το εργατικό δίκαιο [ ΓΚΠΔ άρθρο 9 (2β, η)]. 

—-

Είναι αξιοσημείωτο ότι πολλές ευρωπαϊκές αρχές προστασίας δεδομένων  (Γαλλία, Γερμανία, Ιταλία, Δανία, ΗΒ) αποδέχονται τη συλλογή δεδομένων στην περίπτωση που διαπιστώνεται πιθανότητα προσβολής από τον ιό ή επαφή με κρούσμα ή υπάρχει ταξίδι/ παραμονή σε μία χώρα που κατατάσσεται σε αυτές, όπου έχουν καταγραφεί κρούσματα. Αυτό που απορρίπτουν οι αρχές προστασίας δεδομένων είναι η συστηματική και γενικευμένη συλλογή δεδομένων από όλους τους εργαζομένους  και ιδίως η διείσδυση στην ιδιωτική ζωή τους μέσω π.χ. ερωτημάτων που αφορούν την ιδιωτική φύση ενός ταξιδιού. Ταυτόχρονα οι αρχές προστασίας συμπίπτουν στη διαπίστωση, ότι πρέπει να υποδειχθεί στους εργαζομένους η αναγκαιότητα, αν όχι η υποχρέωσή τους, να ενημερώνουν τον εργοδότη π.χ. για τυχόν αδιαθεσία, ασθένεια, τυχόν παραμονή ή τον σκοπό τους να ταξιδέψουν σε περιοχές εκτεθειμένες στον ιό.

Όπως επισημαίνει η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις Κατευθυντήριες Γραμμές, η προστασία προσωπικών δεδομένων δεν συνιστά  απόλυτο δικαίωμα. Σύμφωνα με το άρθρο 8 παρ. 2 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου  προβλέπεται ότι μπορεί να επιβληθούν από τον νόμο περιορισμοί  στο δικαίωμα προστασίας της ιδιωτικής ζωής και της αλληλογραφίας, μεταξύ άλλων, και για την προστασία της υγείας,  εφόσον και στο μέτρο που είναι αναγκαίοι σε μία δημοκρατική κοινωνία.   Θεσμικό κριτήριο προσδιορισμού και περιορισμού του δικαιώματος αποτελεί βέβαια  η αρχή της αναλογικότητας που ρητά πλέον εισάγεται στο Σύνταγμα στο άρθρο 25.

Η νομοθεσία για την προστασία προσωπικών δεδομένων εμπεριέχει – ανεξάρτητα από τις παρούσες όλως εξαιρετικές συνθήκες – ως εγγενές χαρακτηριστικό το στοιχείο της στάθμισης μεταξύ δικαιωμάτων  αλλά και μεταξύ του δικαιώματος προστασίας προσωπικών δεδομένων και του δημοσίου συμφέροντος  και συνακόλουθα δεν είναι εμπόδιο για την προστασία της δημόσιας υγείας.  Ωστόσο, εξακολουθεί να ισχύει. Όπως υπογράμμισε η Andrea Jelinek, Πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), ακόμη και σε αυτήν την εξαιρετική περίοδο, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα των προσώπων.

Η  σχετική νομοθεσία επιβάλλει καταρχήν την τήρηση της θεμελιώδους σημασίας αρχής της ελαχιστοποίησης (αναλογικότητας) ως προς το είδος των δεδομένων και την έκταση της συλλογής, διάδοσης ή/και κοινοποίησής τους. Δεν είναι αποδεκτή η συλλογή περισσότερων δεδομένων από αυτά που απαιτούνται για την προστασία και την πρόληψη. «Η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα», αναφέρει ρητά η Αρχή. Προφανώς βέβαια λόγω της γεωμετρικής, αν όχι εκθετικής,   αύξησης /διάδοσης των κρουσμάτων και της κήρυξης πανδημίας από τον Παγκόσμιο Οργανισμό Υγείας θα πρέπει να επανεξετάζονται διαρκώς οι προϋποθέσεις, οι συνθήκες, οι όροι και τα όρια της συλλογής και επεξεργασίας των προσωπικών δεδομένων.

 

 Ανεξαρτήτως όμως των επιτακτικών συνθηκών πρέπει να τηρείται η υποχρέωση της  εμπιστευτικότητας  και της ασφάλειας των δεδομένων μέσω τεχνικών και οργανωτικών μέτρων και να αποφεύγεται τυχόν στιγματισμός των προσώπων.  Η νομοθεσία επιβάλλει  επίσης τη δέσμευση από την  αρχή του σκοπού: τα δεδομένα αυτά επιτρέπεται να χρησιμοποιηθούν μόνο για τον σκοπό και στο πλαίσιο της καταπολέμησης των συνεπειών και της πρόληψης της διάδοσης του κορωνοϊού και όχι για άλλους σκοπούς.  Στο πλαίσιο αυτό πρέπει να υπογραμμιστεί ότι σύμφωνα με την Πολιτική Προστασίας Προσωπικών Δεδομένων που δημοσιεύτηκε στον ιστότοπο της Πολιτικής Προστασίας αναφορικά με τη χρήση των δεδομένων που συλλέγονται μέσω του εντύπου/ της εφαρμογής Βεβαίωσης Μετακίνησης (forma.gov.gr) υπάρχει ρητή δέσμευση ότι τα δεδομένα τηρούνται αποκλειστικά για τον σκοπό της πρόσβασης στην υπηρεσία του 13033.

Σε ορισμένες χώρες, όπως η Ιταλία, εισάγεται ειδική νομοθεσία, ώστε να καθοριστούν εγγύτερα προϋποθέσεις, όροι και όρια επεξεργασίας. Είναι αξιοσημείωτο ότι η πρόσφατη ΠΝΠ 64/14.03.20(Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19) περιλαμβάνει ειδικές ρυθμίσεις για τη διαβίβαση/ κοινοποίηση δεδομένων από τον Εθνικό Οργανισμό Δημόσιας Υγείας (Ε.Ο.Δ.Υ.) προς τη Γενική Γραμματεία Πολιτικής Προστασίας. Το άρθρο 5 της ΠΝΠ προσδιορίζει ρητά τις κατηγορίες προσωπικών δεδομένων που επιτρέπεται να κοινοποιούνται, τεχνικά και οργανωτικά μέτρα ασφάλειας των δεδομένων και περιλαμβάνει πρόβλεψη του  διαστήματος τήρησης των εν λόγω δεδομένων.  Ταυτόχρονα πρέπει να σημειωθεί ότι -σύμφωνα με την προαναφερόμενη Πολιτική Προστασίας Προσωπικών Δεδομένων – τα δεδομένα που σχετίζονται με τη χρήση της υπηρεσίας 13033 «τηρούνται από την Γενική Γραμματεία Πολικής Προστασίας για το χρονικό διάστημα από την αποστολή του γραπτού μηνύματος του πολίτη στο 13033 και μέχρι την απάντηση που λαμβάνει ο πολίτης. Όταν ο πολίτης λαμβάνει την απάντηση στο κινητό του τα προσωπικά του δεδομένα είτε διαγράφονται είτε ανωνυμοποιούνται και τηρούνται αποκλειστικά για στατιστικούς σκοπούς».  Είναι δε προφανές ότι σε περίπτωση που χρησιμοποιούνται  για την επεξεργασία των δεδομένων και την υποστήριξη αυτής της υπηρεσίας, οι ως άνω δεσμεύσεις ισχύουν και για αυτούς.

Αρκετοί διατυπώνουν τον φόβο μήπως οι εκτεταμένες πρακτικές επιτήρησης που καταγράφονται παγκοσμίως για την αντιμετώπιση του Covid 19 εμπεδωθούν και υποσκάψουν σε βάθος χρόνου βασικές δημοκρατικές αρχές, στις οποίες συγκαταλέγεται η προστασία της πληροφοριακής ιδιωτικότητας, ενός δικαιώματος που επιτρέπει στον πολίτη να αναπτύσσει την προσωπικότητά του και να ασκεί ελεύθερα και ανεμπόδιστα και άλλα θεμελιώδη δικαιώματα.

Ο αδιαμφισβήτητα πολύ μεγάλος κίνδυνος για την υγεία του πληθυσμού, την εύρυθμη λειτουργία του συστήματος υγείας, την αρμονική κοινωνική συνύπαρξη και την οικονομία της χώρας πρέπει να αντιμετωπιστεί  με ταχύτητα και αποτελεσματικότητα. Στα δημοκρατικά καθεστώτα η υπεύθυνη Πολιτεία καλείται να ανταποκριθεί στις έκτακτες ανάγκες και συνθήκες διαφυλάττοντας τη ζωή αλλά και τον πυρήνα της δημοκρατίας, την ελευθερία. Δεν πρέπει να αποτελέσει η πανδημία την θρυαλλίδα νέων μορφών κρατικού ή/και κοινωνικού ελέγχου ή μίας γενικευμένης εισβολής στην ιδιωτική ζωή των ανθρώπων. Η συμμόρφωση των πολιτών, με βάση την ατομική ευθύνη κι όχι την έξωθεν επιβολή, δεν αποτρέπει μόνο την εξάπλωση του κορωνοϊού αλλά – σε τελευταία ανάλυση – προστατεύει και τις ατομικές ελευθερίες.

Ο Δικηγόρος όλοι εμείς μαζί - Δημήτρης Αναστασόπουλος © 2019