Λαμβάνοντας υπόψη την ιδιαίτερη περίοδο την οποία διανύουμε, δίνουμε την απάντηση σε κρίσιμα ερωτήματα που απασχολούν κάθε επιχείρηση. Η εφαρμογή του GDPR δεν εμποδίζει τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας. Ωστόσο, ακόμα και σε αυτές τις εξαιρετικές περιόδους, η επιχείρηση πρέπει να εξασφαλίσει τη νόμιμη επεξεργασία προσωπικών δεδομένων.
Επιχείρηση και εργαζόμενος
Ο εργοδότης μπορεί να ζητήσει από τους εργαζόμενούς του να του δηλώσουν αν έχουν ταξιδέψει σε κάποια χώρα που εμφάνισε υψηλό ποσοστό κρουσμάτων ή αν έχουν εκδηλώσει κάποιο από τα συμπτώματα του κορωνοϊού. Η επιχείρηση πρέπει να συλλέγει μόνο τα απαραίτητα δεδομένα, να τα διαγράφει μετά από κάποιο χρονικό διάστημα και να περιορίσει τη πρόσβαση σε αυτά στα ελάχιστα άτομα.
Η επιχείρηση πρέπει να αποφεύγει αδικαιολόγητους ή καταχρηστικούς ελέγχους και έρευνες στους εργαζομένους της (π.χ. συστηματική θερμομέτρηση για κατάρτιση προφίλ υγείας εργαζομένου), εκτός εάν τέτοια υποχρέωση προκύπτει από τις οδηγίες των αρμόδιων αρχών ή αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο λήψης αυτής της πληροφόρησης (π.χ. δήλωση αδιαθεσίας, εφόσον υπάρχει) Ωστόσο αν κάποιος εργαζόμενος παρουσιάζει συμπτώματα του κορωνοϊού, τότε ο εργοδότης μπορεί να προτείνει στον εργαζόμενο να υποβληθεί, με έξοδα του εργοδότη, σε εξέταση.
Σε περίπτωση που νοσήσει κάποιος εργαζόμενος, η επιχείρηση προτείνεται να μην ανακοινώσει στοιχεία του νοσούντα (ονοματεπώνυμο) στους υπόλοιπους εργαζόμενους, αλλά να τους προειδοποιήσει για την εμφάνιση του περιστατικού και να λάβει τα σχετικά μέτρα.
Στις περιπτώσεις που εφαρμόζεται τηλεργασία, η επιχείρηση οφείλει να παρέχει το ίδιο επίπεδο ασφάλειας και ιδιωτικότητας με τις περιπτώσεις όπου οι εργαζόμενοι εργάζονται στις εγκαταστάσεις της.
Επιχείρηση και επισκέπτες
Η Επιχείρηση μπορεί να συλλέξει τη δήλωση του επισκέπτη ότι εφαρμόζει τις Οδηγίες του Υπουργείoυ Υγείας και ότι δεν έχει εμφανίσει συμπτώματα του κορωνοϊού προτού εισέλθει στις εγκαταστάσεις της. Η επιχείρηση πρέπει να συλλέγει μόνο τα απαραίτητα δεδομένα, να τα διαγράφει μετά από κάποιο χρονικό διάστημα και να περιορίσει τη πρόσβαση σε αυτά στα ελάχιστα δυνατά άτομα.
Σε κάθε περίπτωση, προτείνεται να ενθαρρύνεται η διενέργεια τηλεδιασκέψεων και να διενεργούνται με φυσική παρουσία μόνον οι απολύτως απαραίτητες συναντήσεις.
Δημοσιότητα και προσωπικά δεδομένα
Η Επιχείρηση μπορεί να επεξεργαστεί δεδομένα υγείας που προδήλως έχουν δημοσιευθεί από τα φυσικά πρόσωπα που τους ανήκουν, εφόσον τηρεί τις βασικές αρχές που ορίζει το GDPR (Άρθρο 5) και την ισχύουσα ελληνική νομοθεσία.
Η επιχείρηση στην περίπτωση επεξεργασίας δεδομένων θανόντων προτείνεται να τα αντιμετωπίσει ως δεδομένα ζώντων και να τηρήσει τις απαιτήσεις του GDPR, στις περιπτώσεις που τα ανωτέρω δεδομένα δύναται να ταυτοποιήσουν ή να στοχοποιήσουν ζώντα φυσικά πρόσωπα (π.χ. εν ζωή συγγενείς).
Στην περίπτωση που η επιχείρηση θέλει να δημοσιεύσει δεδομένα προσώπων που νοσούν, θα πρέπει να αξιολογεί κάθε φορά την αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του νοσούντα (π.χ. ονοματεπώνυμο, φωτογραφία και άλλα προσδιοριστικά στοιχεία).
Ποιες επεξεργασίες προσωπικών δεδομένων επιτρέπονται στην παρούσα κατάσταση;
Σε περίπτωση που η επιχείρηση εκτελεί εντολές Δημόσιας Αρχής η επεξεργασία μπορεί να πραγματοποιηθεί για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας για την προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας (άρθρο 9.2 θ του GDPR).
Στην περίπτωση που η επιχείρηση αποφασίζει προληπτικά να προβεί σε επεξεργασίες προσωπικών δεδομένων, η επεξεργασία μπορεί να πραγματοποιηθεί στα πλαίσια της υποχρέωσης του εργοδότη να εξασφαλίζει την τήρηση της υγείας και της ασφάλειας των εργαζομένων (άρθρο 6.1 γ & 9.2.β. του GDPR)
Σύμφωνα με την πρόσφατη ανακοίνωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), η επεξεργασία μπορεί επίσης να πραγματοποιηθεί είτε στα πλαίσια ζωτικού συμφέροντος, είτε σε εκπλήρωση καθήκοντος που εκτελείται προς το Δημόσιο Συμφέρον (άρθρο 6.1 δ, ε του GDPR). Σε ορισμένες περιπτώσεις μπορεί να πραγματοποιηθεί επεξεργασία σε προδήλως δημοσιοποιημένα από το φυσικό πρόσωπο προσωπικά δεδομένα (αφορά ειδικές κατηγορίες/ πχ. δεδομένα υγείας άρθρο 9.2.ε του GDPR).
Σε κάθε περίπτωση, η επιχείρηση/ ή ο Φορέας πρέπει να συλλέγει και να επεξεργάζεται μόνο όσα δεδομένα είναι απαραίτητα για την επεξεργασία.
Οι συστηματικές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτους (ιδίως όταν αφορούν ειδικές κατηγορίες/ π.χ. δεδομένα υγείας) που πραγματοποιούνται στα πλαίσια προστασίας έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας, επιτρέπονται μόνο όταν προβλέπονται από σχετική εντολή Αρμόδιας Αρχής.
Η γνωστοποίηση δεδομένων (π.χ. δεδομένα υγείας) σε τρίτους, ακόμα και αν διενεργείται σύμφωνα με τις απαιτήσεις του GDPR δεν είναι επιτρεπτή αν δημιουργεί κλίμα προκατάληψης και στιγματισμού. Επιπλέον, η ανωτέρω γνωστοποίηση ενδέχεται να δράσει αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές µε αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητά τους.
Επιπλέον οδηγίες μπορείτε να βρείτε στον ακόλουθο σύνδεσμο της ΑΠΔΠΧ https://www.dpa.gr/APDPXPortlets/htdocs/documentSDisplay.jsp?docid=163,39,44,101,194,223,3,99