Κορωνοϊός, επιχειρήσεις και προσωπικά δεδομένα (:διασφάλιση ζωής & υγείας ή προσωπικών δεδομένων);
Ο Κορωνοϊός SARS-CoV-2 είναι, το δίχως άλλο, μουσαφίρης-όχι νοικοκύρης. Ως τέτοιος αργά ή γρήγορα (ελπίζουμε τάχιστα) θα μας αποχαιρετίσει. Μαζί του και η σχετική πανδημία (COVID-19). Οι συνέπειες, όμως, από το πέρασμά τους ήδη μας στιγματίζουν. Η καθημερινότητά μας έχει εντυπωσιακά μεταβληθεί. Ακόμα και αγαπημένα πρόσωπα αναγκαζόμαστε να αποχωριστούμε προκειμένου να τα προστατέψουμε. Ή/και για να προστατευθούμε. Στο επίπεδο των επιχειρήσεων, ο εργοδότης έχει την υποχρέωση να λαμβάνει τα κατάλληλα μέτρα για την προστασία της ζωής και της υγείας των εργαζομένων του. Ως ποιο βαθμό άραγε; Δικαιούται, λ.χ., να θερμομετρεί τους εργαζομένους όταν εισέρχονται στον χώρο εργασίας; Τους πελάτες; Κι ο γιατρός εργασίας υποχρεούται να ενημερώνει το «αφεντικό» για τα («ύποπτα») συμπτώματα ενός από τους εργαζόμενους; Προέχει, άραγε, η διαφύλαξη των προσωπικών δεδομένων του ασθενούς εργαζόμενου ή η ζωή και υγεία των υπολοίπων;
Τα (σχετικά) ερωτήματα που απασχολούν ήδη τους εργοδότες και τις επιχειρήσεις.
Σειρά ερωτημάτων απασχολούν όλους μας. Κάποια από αυτά, προερχόμενα από εργοδότες/επιχειρήσεις, έχουν τεθεί υπόψη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (στο εξής: «Αρχή ΠΔΠΧ»). Αναφέρονται, από τη μία πλευρά, στις υποχρεώσεις τους για την εξασφάλιση της υγείας των εργαζομένων τους (βεβαίως και των ιδίων). Στην υποχρέωσή τους, από την άλλη, για την τήρηση της νομοθεσίας για τα προσωπικά δεδομένα. Ενδεικτικά:
(α) Επιτρέπεται η θερμομέτρηση των εισερχομένων στις εγκαταστάσεις της επιχείρησης;
(β) Επιτρέπεται η επιβολή συμπλήρωσης ερωτηματολογίου σχετικά με την κατάσταση της υγείας των εργαζομένων ή των οικείων τους;
(γ) Επιτρέπεται η επιβολή συμπλήρωσης ερωτηματολογίου σχετικά με πρόσφατο ιστορικό ταξιδίου, εργαζομένων ή οικείων τους, σε αλλοδαπό κράτος με αυξημένο κίνδυνο μετάδοσης του κορωνοϊού κλπ;
(δ) Επιτρέπεται η ενημέρωση των λοιπών εργαζομένων για το γεγονός ή/και τα στοιχεία ήδη νοσούντος εργαζομένου ή οικείων του;
Η υποχρέωση της διασφάλισης της ζωής και υγείας των εργαζομένων
Στο πρώτο από τη σειρά της, σχετικής με το παραπάνω θέμα, αρθρογραφίας μας (Κορωνοϊός Και Επιχειρήσεις: Ο Πρώτος Δεκάλογος Για Τη Λειτουργία Τους Και Τις Εργασιακές Σχέσεις)αναφερθήκαμε στις βασικές υποχρεώσεις των εργοδοτών για τη διασφάλιση της ζωής και υγείας των εργαζομένων.
Οι υποχρεώσεις αυτές δεν είναι ούτε θεωρητικές ούτε αόριστες. Απορρέουν από το υφιστάμενο θεσμικό πλαίσιο (προεχόντως: τον Κώδικα Νόμων για την Υγεία & Ασφάλεια των Εργαζομένων [ΚΝΥΑΕ-που κυρώθηκε με το άρθρο πρώτο του ν.3850/2010 (ΦΕΚ 84 Α ́)].
Ένας είναι ο βασικός πυλώνας του συγκεκριμένου θεσμικού πλαισίου: «η αποκλειστική ευθύνη του εργοδότη, ο οποίος υποχρεούται να εξασφαλίζει …την υγεία των εργαζομένων ως προς όλες τις πτυχές της εργασίας, να λαμβάνει μέτρα που να εξασφαλίζουν την υγεία …των τρίτων» (άρθρ.42, παρ.1. ΚΝΥΑΕ). Στο πλαίσιο μάλιστα των ευθυνών του, ο εργοδότης οφείλει, όχι μόνον να λαμβάνει τα αναγκαία μέτρα για την προστασία της υγείας και της ασφάλειας των εργαζομένων, αλλά και να επιβλέπει την εφαρμογή τους (άρθρ. 42, παρ. 5 και 6γ ΚΝΥΑΕ).
Κι όλα τούτα, δεν αρκούν!
Ο εργοδότης οφείλει να έχει στη διάθεσή του μια γραπτή εκτίμηση των υφισταμένων κατά την εργασία κινδύνων για την ασφάλεια και την υγεία. Η γραπτή εκτίμηση επαγγελματικού κινδύνου θα έπρεπε, ήδη, να έχει επικαιροποιηθεί και ως προς τους κινδύνους και τα μέτρα πρόληψης από τον COVID-19.
Το Υπουργείο Εργασίας είχε κάνει έγκαιρα τις σχετικές υπομνήσεις. Μεταξύ αυτών, με τις κατευθυντήριες οδηγίες και μέτρα πρόληψης στους εργασιακούς χώρους από το νέο Κορωνοϊό. Αρκετά νωρίς επίσης, με το υπ’ αριθμ. 94243/09.03.2020 έγγραφό του, εστίασε στις υποχρεώσεις των επιχειρήσεων και των εργαζομένων που συναρτώνται με την τρέχουσα πανδημία.
Η διασφάλιση της υγείας στο χώρο εργασίας-η θέση της Αρχής
H Αρχή ΠΔΠΧ αισθάνθηκε την ανάγκη να τοποθετηθεί στο θέμα της προστασίας από την πανδημία και των επιπτώσεών σε θέματα προσωπικών δεδομένων.
Στις Κατευθυντήριες Γραμμές της για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του COVID-19 (στο εξής: «Κατευθυντήριες Γραμμές») δέχεται-όσον αφορά τον ιδιωτικό τομέα- πως:
(α) Ο εργοδότης είναι υποχρεωμένος να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή-προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών. Επίσης να εγγυάται το ασφαλές και υγιές περιβάλλον εργασίας με τη συνδρομή των εργαζομένων.
(β) Οι εργαζόμενοι είναι, αντίστοιχα, υποχρεωμένοι να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων. Επίσης, και όσων επηρεάζονται από πράξεις ή παραλείψεις τους. Στο πλαίσιο αυτό, περιλαμβάνεται και η υποχρέωσή τους να αναφέρουν αμέσως στον εργοδότη ή/και στον ιατρό εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί ότι συνιστούν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία.
Ποια η θέση της Αρχής ΠΔΠΧ όσον αφορά τις υποχρεώσεις των επιχειρήσεων για τη διασφάλιση των προσωπικών δεδομένων σε σχέση με την πανδημία;
Η Αρχή ΠΔΠΧ κάνει δεκτά πως:
(α) Οι εργοδότες νομιμοποιούνται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εργαζομένων τους για την προστασία της υγείας τους. Η επεξεργασία αυτή γίνεται στη βάση του Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων (στο εξής: «Κανονισμός»). Και, αυτονοήτως, στο πλαίσιο των οδηγιών των αρμόδιων αρχών για την εφαρμογή των μέτρων που αποφασίσθηκαν με τις Πράξεις Νομοθετικού Περιεχομένου («ΠΝΠ»).
(β) Οι πληροφορίες που αφορούν την υγεία ενός φυσικού προσώπου (ή την παροχή υγειονομικής φροντίδας σ’ αυτό) συνιστούν ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα. Τα δεδομένα αυτά υπόκεινται σε αυστηρότερο καθεστώς προστασίας.
Στα ειδικής αυτής προστασίας δεδομένα –ευαίσθητα δεδομένα- εντάσσονται (ενδεικτικά): (α) Το γεγονός ότι νοσεί κάποιο πρόσωπο-ένας εργαζόμενος λ.χ. (που κατονομάζεται ή που, έστω, μπορεί να ταυτοποιηθεί), (β) Η κατ’ οίκον παραμονή του λόγω ασθένειας, (γ) Η διαπίστωση ενδείξεων ασθένειας, ενδεχομένως και μέσω της κλινικής του εικόνας (βήχας, καταρροή, θερμοκρασία ανώτερη της φυσιολογικής κ.λπ.).
Από την άλλη πλευρά, υπάρχουν κι άλλες πληροφορίες που θα ήταν δυνατό να ενδιαφέρουν στο πλαίσιο της τρέχουσας πανδημίας. Ενδεικτικά: εάν κάποιος ταξίδεψε πρόσφατα σε αλλοδαπό κράτος με εκτεταμένη διάδοση του κορωνοϊού ή εάν οικείος του εργαζόμενου ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό. Οι συγκεκριμένες πληροφορίες δεν αφορούν την υγεία του συγκεκριμένου υποκειμένου-λ.χ. εργαζόμενου. Κατά συνέπεια, δεν αποτελούν δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας. Θα ήταν δυνατό, εντούτοις, να συνιστούν απλά δεδομένα προσωπικού χαρακτήρα. Επίσης, δηλ., προστατευτέα.
Ποιο το πεδίο εφαρμογής της νομοθεσίας για τα Προσωπικά Δεδομένα;
Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται (άρθρο 2 παρ. 1 Κανονισμού και άρθρο 2 ν. 4624/2019) σε δύο περιπτώσεις. Συγκεκριμένα όταν έχουμε: (α) αυτοματοποιημένη (συνολικά ή μερικά) επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και (β) μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Στο παραπάνω πλαίσιο, η προφορική ενημέρωση ότι το υποκείμενο των δεδομένων (λ.χ. εργαζόμενος νοσεί από τον κορωνοϊό ή ότι η σωματική θερμοκρασία του έχει μετρηθεί ως ανώτερη του φυσιολογικού), συνιστούν πράγματι δεδομένα προσωπικού χαρακτήρα. Η σχετική νομοθεσία εντούτοις δεν εφαρμόζεται όταν οι ανωτέρω πληροφορίες δεν περιλαμβάνονται σε σύστημα: (α) συνολικά (ή μερικά) αυτοματοποιημένης επεξεργασίας ή, εναλλακτικά, (β) μη αυτοματοποιημένης επεξεργασία εφόσον περιλαμβάνονται (ή πρόκειται να περιληφθούν) σε σύστημα αρχειοθέτησης.
Σημαντικό πάντως να τονισθεί πως το πεδίο εφαρμογής του Κανονισμού προσδιορίζεται κατά τρόπο δεσμευτικό (άρθρο 2 §1). Δεν είναι δυνατή οποιαδήποτε επέκταση του με διατάξεις της εθνικής νομοθεσίας.
Περιττό να τονίσουμε πως τέτοια επέκταση (ή προσπάθεια επέκτασης) δεν υφίσταται στη χώρα μας.
Τι πρέπει να κάνει, εν τέλει, ο εργοδότης;
Ο υπεύθυνος επεξεργασίας, στην προκειμένη περίπτωση ο εργοδότης, προβαίνει στις (αναγκαίες και σύμφωνες προς τον Κανονισμό) πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Πάντοτε προς την κατεύθυνση της επίτευξης των σκοπών που κάθε φορά επιδιώκονται.
Στην παρούσα φάση (όσον αφορά την Covid-19), δεν είναι δυνατό να αποκλεισθεί ως, εκ των προτέρων, απαγορευμένη οποιαδήποτε πράξη επεξεργασίας. Άλλωστε, ο ΓΚΠΔ παρέχει τη νομική βάση επιτρεπτής επεξεργασίας στο άρθρο 6. Ιδίως, στις περιπτώσεις που είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου (περ. δ΄), καθώς και για λόγους δημοσίου συμφέροντος (περ. ε΄). Ωστόσο, δεδομένου ότι πρόκειται για δεδομένα ειδικής κατηγορίας (υγείας), η επεξεργασία επιτρέπεται κατ’ εξαίρεση (άρ. 9). Μεταξύ άλλων, όταν «επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας…» (παρ. 2 περ. θ΄).
Τα δεδομένα είναι τέτοια που εκείνο που προέχει (και αυτονοήτως όλοι μας καλούμαστε να διαφυλάξουμε) είναι η ανθρώπινη ζωή και υγεία. Με σεβασμό πάντως στη νομοθεσία για τα Προσωπικά Δεδομένα.
Η όποια επεξεργασία από μέρους του εργοδότη διέπεται από την αρχή της λογοδοσίας. Με άλλα λόγια στην παρούσα περίπτωση: Όπως και να διαχειριστεί ο εργοδότης προσωπικά δεδομένα θα πρέπει να είναι, πάντοτε, σε θέση να αποδείξει το σύννομο της επεξεργασία τους.
Η συγκέντρωση μεγάλου όγκου πληροφοριών είναι εύκολη και, εν τέλει, απολύτως ολιγοδάπανη. Η επιλογή υλικών φορέων που δέχονται την εγγραφή μεγάλου όγκου είναι απολύτως ευχερής. Όσον αφορά όμως τη συλλογή προσωπικών δεδομένων, θα πρέπει να επιδιώκουμε τον αυτοπεριορισμό μας. Η συλλογή τους θα πρέπει να περιορίζεται στις πληροφορίες που χαρακτηρίζονται ως απολύτως αναγκαίες. Εκείνες δηλ. που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό-εν προκειμένω, την πρόληψη της διάδοσης του κορωνοϊού και κατ΄επέκταση, την προστασία της υγείας των ευρισκομένων στο χώρο εργασίας (αρχές του σκοπού και του περιορισμού της επεξεργασίας, σε συνδυασμό με την αρχή της αναλογικότητας), λαμβανομένης υπόψη και της αρχής της ασφαλούς επεξεργασίας (ιδίως της εμπιστευτικότητας πληροφοριών). Κι όλα τούτα μέσω της λήψης της απαραίτητων τεχνικών και οργανωτικών μέτρων ασφαλείας.
Μάλιστα, δεν αποκλείεται, στην περίπτωση εκείνη της επεξεργασίας των ευαίσθητων δεδομένων της υγείας σε μεγάλη κλίμακα, να απαιτηθεί η διενέργεια εκτίμησης αντικτύπου. Δηλαδή, να πραγματοποιηθεί, πριν την επεξεργασία, εκτίμηση των συνεπειών των πράξεων επεξεργασίας των προσωπικών δεδομένων.
Η συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, θα πρέπει να λαμβάνει χώρα με ιδιαίτερη φειδώ. Ο υπεύθυνος επεξεργασίας (εν προκειμένω ο εργοδότης) θα πρέπει πάντοτε να φροντίζει να τηρούνται οι, σχετικές, νόμιμες προϋποθέσεις. Ιδίως η αρχή της αναλογικότητας. Τα μέτρα που εν τέλει θα λάβει οφείλουν να είναι τα λιγότερο επαχθή-αφού βέβαια θα έχει αποκλεισθεί, ως απρόσφορο, οποιοδήποτε άλλο (λιγότερο επαχθές) μέτρο.
Εύκολα θα ήταν δυνατό να διολισθήσουμε, ιδίως υπό τις παρούσες συνθήκες, σε μια συστηματική, διαρκή και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα. Θα αξιολογούσαμε, ενδεχομένως, ως ιδιαίτερα χρηστική και ασφαλή τη δημιουργία και διαρκή ανανέωση ενός αρχείου που θα αφορούσε την εξέλιξη της υγείας ενός εκάστου των εργαζομένων. Η δημιουργία ενός τέτοιου αρχείου, εντούτοις-κατά την Αρχή ΠΔΠΧ, «δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας».
Η δυνατότητα των ασθενών υπαλλήλων να γνωστοποιήσουν την κατάσταση της υγείας τους.
Τα πράγματα διαφοροποιούνται έντονα όταν οι ήδη νοσούντες από τον κορωνοϊό ασθενείς (υπάλληλοι εν προκειμένω), οικειοθελώς δημοσιοποιούν την κατάσταση της υγείας τους. Στην περίπτωση αυτή έχουμε μια διαφορετική (νόμιμη πάντως) βάση επεξεργασίας των συγκεκριμένων δεδομένων υγείας (άρθρο 9 §2 εδ. ε’ Κανονισμού). Αρκεί, πάντοτε, να τηρούνται οι αρχές του Κανονισμού και οι τυχόν ειδικότερες διατάξεις της εθνικής νομοθεσίας (των ΠΝΠ περιλαμβανομένων).
Η δυνατότητα(;) των εργοδοτών να κοινοποιούν σε τρίτους την κατάσταση της υγείας ασθενών υπαλλήλων τους.
Είναι, άραγε, επιτρεπτή ή όχι η γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειμένων των δεδομένων (εδώ των εργαζομένων) από μέρους των υπευθύνων επεξεργασίας (εδώ των εργοδοτών);
Κατά την Αρχή ΠΔΠΧ «δεν είναι επιτρεπτή αν δημιουργεί κλίμα προκατάληψης και στιγματισμού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές με αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους». Και τούτο ακόμη και αν καταρχήν διενεργείται στο πλαίσιο των ρυθμίσεων του υφιστάμενου νομοθετικού πλαισίου.
Ο Κανονισμός θέτει κατευθυντήριες γραμμές. Αυτονόητο είναι πως δεν θα ήταν δυνατό να ρυθμίζει, περιπτωσιολογικά, κάθε μια περίπτωση σχετική με προσωπικά δεδομένα. Ούτε και να απαντά, περιπτωσιολογικά, σε απολύτως συγκεκριμένα ερωτήματα.
Ωστόσο, στο προοίμιό του ο Κανονισμός (αιτιολογική σκέψη 46) δέχεται ως χρήσιμη την επεξεργασία προσωπικών δεδομένων όταν «…είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους…».
Ενώ στη συνέχεια, εξειδικεύοντας το δημόσιο συμφέρον, δέχεται την επεξεργασία ευαίσθητων δεδομένων «…για την πρόληψη ή τον έλεγχο των μεταδοτικών ασθενειών και άλλων σοβαρών απειλών κατά της υγείας» (αιτιολογική σκέψη 52). Οι αιτιολογικές σκέψεις, μολονότι καθοδηγητικές για τον εργοδότη και τις επιχειρήσεις, δεν τους απαλλάσσουν από τις υποχρεώσεις τους.
Τον εργοδότη και τις επιχειρήσεις βαρύνουν συγκεκριμένες υποχρεώσεις για την διασφάλιση της υγείας στους χώρους εργασίας. Βεβαίως και η προστασία των προσωπικών δεδομένων (και) των υπαλλήλων τους.
Τα ερωτήματα που τους βαρύνουν είναι πολλά και σοβαρά.
Απαντήσεις δεν είναι δυνατό να δοθούν, εκ προοιμίου, στα περισσότερα από αυτά. Η Αρχή ΠΔΠΧ αποφεύγει να δώσει απολύτως συγκεκριμένες απαντήσεις και κατευθύνσεις.
Η θέση της είναι πως «Η Αρχή υπενθυμίζει ότι ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες και σύμφωνες προς τα άρθρα 5 και 6 ΓΚΠ∆ πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόμενων σκοπών χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις που περιλαμβάνονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της αρχής της λογοδοσίας».
Με άλλα λόγια: κάντε ό,τι καταλαβαίνετε («δύσκολα είναι τα πράγματα») αλλά, να ξέρετε, «μπορεί και να σας ζητήσω το λόγο».
Η περιπτωσιολογική αντιμετώπιση επαφίεται σε καθεμιά επιχείρηση, στον DPO και στους συμβούλους της.
Καμιά αμφιβολία όμως δεν είναι δυνατό να έχουμε πως κάθε μέτρο που θα πρέπει να λαμβάνει, υπό τις παρούσες συνθήκες, ο εργοδότης/η επιχείρηση μια, μόνον, κεντρική στόχευση θα πρέπει έχει: Τη διαφύλαξη της ζωής και της υγείας των εργαζομένων.
Με σεβασμό βέβαια στη νομοθεσία για τα προσωπικά δεδομένα.
Με ακόμα μεγαλύτερο, όμως, σεβασμό στη ζωή και την υγεία των ανθρώπων τους.
Σταύρος Κουμεντάκης
Managing Partner
Υ.Γ. Συνοπτική έκδοση του άρθρου δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 19 Απριλίου 2020.
Η πληροφόρηση που εμπεριέχεται στο παρόν άρθρο δεν συνιστά (ούτε και έχει σκοπό να αποτελέσει) νομική συμβουλή. Μια τέτοια νομική συμβουλή είναι δυνατό να παρασχεθεί μόνον από αρμόδιο δικηγόρο ο οποίος θα λάβει υπόψη του το σύνολο των δεδομένων που θα του εκθέσετε για την υπόθεσή σας. Αναλυτικά.