Οι πρωτόγνωρες καταστάσεις που βιώνουμε τους τελευταίους μήνες έχουν βάλει σε δοκιμασία όλους μας. Για πρώτη φορά μετά από πολλές δεκαετίες οι άνθρωποι, ειδικά του δυτικού κόσμου, βρισκόμαστε ενώπιον μίας τρομαχτικής απειλής που θέτει σε κίνδυνο όχι μόνο την ευμάρεια και την βολή της καθημερινότητας αλλά την ίδια μας την ύπαρξη.
Παράλληλα, αντιμετωπίζουμε, με έναν αρκετά οδυνηρό τρόπο, την πραγμάτωση νομικών εννοιών που ποτέ δεν είχαν βιώσει οι νεότερες γενιές σε τέτοιο βαθμό, όπως η ανωτέρα βία και η κατίσχυση του δημόσιου συμφέροντος στα ατομικά μας δικαιώματα. Οι συνθήκες αυτές σηματοδοτούν μία εποχή που η Διοίκηση που αφενός οφείλει να αναλάβει με στιβαρότητα τα ηνία της διαχείρισης μίας εκτεταμένης κρίσης που απειλεί να διασαλεύσει την κοινωνική συνοχή, την δημόσια υγεία και την ίδια την σταθερότητα του Κράτους και αφετέρου θα δοκιμαστεί από τον περιορισμό σε σημαντικό βαθμό βασικών ατομικών δικαιωμάτων.
Η σύγκρουση των δικαιωμάτων αυτών μοιάζει αναπόφευκτη, το άρθρο 21 παρ. 3 κατοχυρώνεται ως (αρνητικό) ατομικό αλλά και ως κοινωνικό δικαίωμα, το ίδιο και το άρθρο 9 παρ. 1 που ορίζει απαραβίαστη την ιδιωτική και οικογενειακή ζωή του ατόμου. Το δικαίωμα στην προστασία των δεδομένων μας δεν είναι ένα απόλυτο δικαίωμα, το ορίζει αυτό εξαρχής ο ίδιος ο Γενικός Κανονισμός. Πρέπει να εκτιμάται κι αυτό σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας[1]. Το δικαίωμα στην πληροφόρηση[2] μπορεί και αυτό να περιορίζεται. Είτε ως ελευθερία της έκφρασης και ελευθερία του Τύπου είτε ως δικαίωμα να γνωρίζουμε τί συμβαίνει, μπορεί στην στάθμιση αυτή να πρέπει να γίνει ανεκτή τόσο η μη ανακοίνωση κάποιων δεδομένων όσο και η αποκάλυψη αυτών για τον έλεγχο μίας πανδημίας. Κι εδώ κριτήριο δεν μπορεί να είναι η «δίψα» του κοινού για πληροφορίες που πλήττουν την ιδιωτική ζωή χωρίς αξία για το δημόσιο συμφέρον. Το εύλογο ενδιαφέρον της κοινής γνώμης οριοθετείται από την ανάγκη διασφάλισης των πληροφοριών που δεν είναι ανακοινώσιμες και γι’ αυτό είναι εξόχως ενδιαφέρουσα η επιμέτρηση της αναλογικότητας σε αυτές τις περιπτώσεις[3]. Όπως εξόχως σημαντική είναι και η προσπάθεια περιορισμού της διακίνησης ψευδών και ανυπόστατων φημών που δύνανται να προκαλέσουν σημαντική ζημία τόσο στο δημόσιο όσο και στο ατομικό συμφέρον[4] και παράλληλα να προκαλέσουν κύματα «αγανακτισμένων» πολιτών ενάντια στους εντεταλμένους για την διαχείριση της κρίσης, τις κυβερνήσεις που εισηγούνται τα περιοριστικά μέτρα αλλά ακόμα και κάποιους ανθρώπους που ουδεμία σχέση έχουν με το ξέσπασμα της πανδημίας[5].
Το 1966, το Διεθνές Σύμφωνο για τα Ατομικά και Πολιτικά Δικαιώματα προέβλεπε ότι, σε περιόδους δημόσιας έκτακτης ανάγκης που απειλεί τη ζωή ενός έθνους, η ανάγκη προστασίας της δημόσιας υγείας αποτελεί επιτρεπόμενο έδαφος για τον περιορισμό ορισμένων δικαιωμάτων. Στην Ευρώπη, o Χάρτης των Θεμελιωδών Δικαιωμάτων της ΕΕ αναφέρει τόσο την ανάγκη διασφάλισης της προστασίας των προσωπικών δεδομένων (άρθρα 7-8) όσο και «ένα υψηλό επίπεδο προστασίας της ανθρώπινης υγείας» (άρθρο 35) στον καθορισμό και την εφαρμογή όλων των πολιτικών και δραστηριοτήτων της Ένωσης. Το άρθρο 15 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα επιτρέπει παρεκκλίσεις, υπό την προϋπόθεση ότι είναι προσωρινές, αναλογικές και αυστηρά απαιτούμενες από τις ανάγκες της κατάστασης. Και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει ήδη αποσαφηνίσει ότι τα μέτρα που αποδυναμώνουν την προστασία του δικαιώματος στην ιδιωτική ζωή πρέπει να συμμορφώνονται τόσο με την αναγκαιότητα όσο και με τη δοκιμή αναλογικότητας[6].
Πολλαπλή λοιπόν η δοκιμασία τόσο για τα πολιτειακά ζητήματα όσο και για την ίδια την απόληψη των δικαιωμάτων μας κατά την διάρκεια αλλά και μετά από μία τέτοια κρίση. Η πραγματικότητα και ο ρεαλισμός επιτάσσει, μεσούσης της κατάστασης ανάγκης, όλοι να εμπιστευόμαστε την Διοίκηση που έχουμε επιλέξει και, τηρουμένων των άκρων ορίων της πρόσκαιρης ανοχής στον περιορισμό, να ενεργοποιούμαστε μόνο όταν διασαλεύονται θεμελιώδεις αρχές σε τέτοιο βαθμό ώστε να μιλάμε για κατάχρηση ή δυσανάλογη εφαρμογή.
Το διακύβευμα μίας παράξενης εποχής
Σε όλη αυτή την περίοδο των περιορισμών στην μετακίνηση και την αναγκαία επεξεργασία προσωπικών δεδομένων και, δη, ευαίσθητων (ειδικής κατηγορίας κατά τον ΓΚΠΔ) αναπτύχθηκαν σχεδόν αυτόματα δύο εκ διαμέτρου αντίθετες απόψεις για την διαχείριση της κρίσης στα δικαιώματα. Η πρώτη θεωρεί αδιανόητη την συζήτηση για προστασία των προσωπικών δεδομένων και της ιδιωτικότητας σε τέτοιες καταστάσεις και επιμένει ότι στο πλαίσιο της αντιμετώπισης της πανδημίας θα πρέπει να ληφθούν ακόμα και τα πιο επαχθή μέτρα που εισάγουν μεθόδους πραγματικού γεωεντοπισμού του γενικού πληθυσμού και την επεξεργασία ταυτοποιήσιμων δεδομένων όχι μόνο για όσους νοσούν αλλά και για έναν ευρύ οικογενειακό και κοινωνικό κύκλο γύρω τους.
Η δεύτερη άποψη ακολουθώντας την ίδια απολυτότητα στην λογική της διαστρωμάτωσης των επιχειρημάτων θεωρεί ότι οποιαδήποτε μορφή περιορισμού της γενικής προστασίας και των περιορισμών στην επεξεργασία προσωπικών δεδομένων είναι αδιανόητη αφού ουσιαστικά θα οδηγήσει σε μία νέα κατάσταση εποπτείας των υποκειμένων που θα οδηγήσει σε μία κοινωνία υπό διαρκή εποπτεία (surveillance society).
Πρέπει πάντως να τονίσουμε ότι ιστορικά η μεγαλύτερη ανταμοιβή για τη χρήση παρεμβάσεων (και δη μέσω νέων τεχνολογιών) που εισδύουν στα άδυτα της προσωπικής μας ζωής είναι η ικανοποίηση του αισθήματος εκείνου που φαίνεται να κινδυνεύει περισσότερο… Το αίσθημα της ασφάλειας και της προστασίας! Διότι τις μεγαλύτερες υποχωρήσεις τις κάνουμε για να διαφυλάξουμε την προσωπική, οικογενειακή και εργασιακή μας ασφάλεια και όχι τον πυρήνα της ιδιωτικότητας μας[7].
Οι θεσμικές παρεμβάσεις
Ας δούμε καταρχήν την προβληματική και τις κατευθύνσεις των θεσμικών οργάνων και αρχών.
- ΑΠΔΠΧ
Όπως πολλές εθνικές Αρχές στην ΕΕ έτσι και η ΑΠΔΠΧ εξέδωσε κατευθύνσεις[8] σε ότι αφορά την διαχείριση προσωπικών δεδομένων σε καιρό πανδημίας. Οι κατευθύνσεις της κινούνται σε 3 άξονες;
- ο Κανονισμός έχει τα νομικά εργαλεία στα άρθρα 6 και 9 ώστε να γίνεται σύννομη επεξεργασία ακόμα και δεδομένων ειδικής κατηγορίας, τόσο από ιδιώτες (π.χ. στο πλαίσιο των εργασιακών σχέσεων) όσο και από τις δημόσιες αρχές (στο πλαίσιο έννομης υποχρέωσης, της προληπτικής ιατρικής και κυρίως όπου η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας).
- Αναγνωρίζοντας ότι το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν είναι απόλυτο η Αρχή επαναλαμβάνει ότι κάθε υπεύθυνος επεξεργασίας επιλέγει τον τρόπο επεξεργασίας και προβαίνει στις αναγκαίες και σύμφωνες προς τα άρθρα 5 και 6 ΓΚΠΔ πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόμενων σκοπών χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία.
- Επισημαίνει, δε, ότι ειδικά στο πλαίσιο των εργασιακών σχέσεων δύναται να υπερτερεί το δικαίωμα του εργοδότη αλλά και των λοιπών εργαζομένων στην διασφάλιση της υγείας των εργαζομένων έναντι κάποιων παρεμβατικών μέτρων επεξεργασίας κατά την είσοδο στους εργασιακούς χώρους (θερμομέτρηση, ερωτηματολόγιο κ.α.). Η νομιμότητα των μέτρων θα κριθεί τελικώς όμως από το κατά πόσο γίνεται σεβαστή η αρχή της αναλογικότητας του μέτρου με τον σκοπό επεξεργασίας, η έκταση της επεξεργασίας και, βεβαίως, εφόσον δεν υπήρχαν ηπιότερα αλλά ομοίως πρόσφορα μέτρα για να ληφθούν. Πάντως, όπως επισημαίνεται, η γενική επίβλεψη των υποκειμένων χωρίς να τηρείται αρχείο ή, σε κάθε περίπτωση, χωρίς να επιχειρείται συστηματική δημιουργία ιατρικού προφίλ των υποκειμένων φαίνεται, καταρχήν, να κινείται στο πλαίσιο της νομιμότητας.
- EDPB
Οι κατευθύνσεις του Ευρωπαϊκού Συμβούλιου Προσωπικών Δεδομένων, ως μετεξέλιξη της Ομάδας του Άρθρου 29 της Οδηγίας 46/95, αποτελούν πάντα έναν ασφαλή οδηγό στην εφαρμογή των κανόνων της προστασίας των προσωπικών δεδομένων σε χαρακτηριστικές περιπτώσεις επεξεργασίας. Στις Κατευθυντήριες Γραμμές (Guidelines) 3 και 4 του 2020 το Συμβούλιο προσπαθεί να αποκρυσταλλώσει τα καίρια ζητήματα της επεξεργασίας ευαίσθητων δεδομένων υγείας στο πλαίσιο της έρευνας για την πανδημία και της χρήσης δεδομένων θέσης και κίνησης (location data) και έξυπνων εφαρμογών ιχνηλάτισης για την προσπάθεια ελέγχου της εξάπλωσης του Covid-19.
α. Δεδομένα υγείας στην μάχη κατά της πανδημίας
Το Συμβούλιο εκ προοιμίου αναγνωρίζει την τεράστια σημασία που τα δεδομένα αυτά έχουν για την επιστημονική έρευνα και αντιμετώπιση της πανδημίας και μάλιστα σε διεθνές επίπεδο, που σημαίνει ότι εξίσου σημαντική είναι και η διαβίβαση εκτός ΕΟΧ.
Σε απάντηση, μάλιστα, σχετικής επιστολής της αντιπροσωπείας των ΗΠΑ στην Ευρωπαϊκή Ένωση, ο EDPB δήλωσε ότι εξετάζει την μεταφορά δεδομένων υγείας για ερευνητικούς σκοπούς, επιτρέποντας τη διεθνή συνεργασία για την ανάπτυξη εμβολίου, μία παρέκκλιση που ειδικότερα προβλέπεται στο Άρθρο 49 GDPR για την ενεργοποίηση διεθνών διαβιβάσεων. Ο EDPB αντιμετώπισε αυτό το θέμα λεπτομερώς στις πρόσφατα εγκριθείσες κατευθυντήριες γραμμές του (03/2020) σχετικά με την επεξεργασία δεδομένων υγείας για επιστημονική έρευνα και επανέλαβε ότι ο GDPR επιτρέπει τη συνεργασία μεταξύ επιστημόνων του ΕΟΧ και μη ΕΟΧ κατά την αναζήτηση εμβολίων και θεραπειών κατά του COVID-19, ενώ ταυτόχρονα προστατεύει τα θεμελιώδη δικαιώματα προστασίας δεδομένων στον ΕΟΧ. Ωστόσο, ο EDPB ενώ τονίζει ότι όταν τα δεδομένα διαβιβάζονται εκτός του ΕΟΧ, θα πρέπει να ευνοούνται λύσεις που εγγυώνται τη συνεχή προστασία των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων, όπως αποφάσεις επάρκειας ή κατάλληλες διασφαλίσεις (που περιλαμβάνονται στο άρθρο 46 του ΓΚΠΔ), παράλληλα θεωρεί ότι η καταπολέμηση του COVID-19 έχει αναγνωριστεί από την ΕΕ και τα κράτη μέλη ως σημαντικό δημόσιο συμφέρον, καθώς προκάλεσε εξαιρετική υγειονομική κρίση άνευ προηγουμένου, φύσης και κλίμακας κάτι που μπορεί να απαιτεί επείγουσα δράση στον τομέα της επιστημονικής έρευνας, απαιτώντας τη διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς. Σε αυτή την περίπτωση ο EDPB φαίνεται λοιπόν να θεωρεί ότι οι δημόσιες αρχές και οι ιδιωτικοί φορείς μπορούν επίσης να βασίζονται σε παρεκκλίσεις που περιλαμβάνονται στο άρθρο 49 του GDPR, επιτρέποντας έτσι την παρέκκλιση αυτή να χρησιμοποιηθεί ως πλατφόρμα ανταλλαγής δεδομένων που θα οδηγήσουν σε ταχύτερη εξεύρεση ιατρικής αντιμετώπισης της πανδημίας[9].
Περαιτέρω σε ότι αφορά την χρήση δεδομένων υγείας ο EDPB στις κατευθυντήριες οδηγίες του τονίζει ότι η βάση για κάθε επεξεργασία, ακόμα και για ερευνητικούς σκοπούς, δεν πρέπει να παύει να αποτελεί το άρθρο 9 του Χάρτη Θεμελιωδών Δικαιωμάτων, το οποίο όμως δεν θα πρέπει, σε οιαδήποτε περίπτωση, να θεωρήσουμε ότι υφίσταται σε σχέση υστέρησης ή υπεροχής απέναντι στο άρθρο 13 για την Ελευθερία της Τέχνης και της Επιστήμης. Αυτά τα δύο δικαιώματα θα πρέπει να εξισορροπούνται χωρίς να πλήττεται ο πυρήνας τους.
Ο ορισμός για το τί είναι δεδομένα υγείας δίνεται ήδη στο άρθρο 4 παρ. 15 του Κανονισμού[10]. Από αυτόν συνάγεται ότι στα δεδομένα υγείας μίας πανδημίας θα μπορούσαν να περιλαμβάνονται όχι μόνο τα υποκείμενα που πράγματι νόσησαν από τον ιό αλλά και όσοι εμφάνισαν ψυχικές ή παράπλευρες ασθένειας εξαιτίας της πανδημίας. Εξάλλου ο Κανονισμός δεν περιορίζεται σε όσα δεδομένα συλλέγουν οι φορείς υπηρεσιών υγείας αλλά καταλαμβάνει κάθε πληροφορία που αποτελεί δεδομένο υγείας, αποσαφήνιση με αξία σε ότι αφορά την εθελοντική κοινοποίηση τέτοιων δεδομένων ή την χρήση τεχνολογιών ιχνηλάτησης και καταγραφής.
Αυτό που όμως αποτελεί καθοριστικό παράγοντα είναι ότι η χρήση των δεδομένων αυτών επιτρέπεται για λόγους επιστημονικούς και έρευνας, όπως αυτές προσδιορίζονται στην αιτιολ. σκέψη 159 του Κανονισμού. Η επισήμανση αυτή αποσκοπεί στο να διασφαλίσει ότι έχουν τηρηθεί κάποια πρότυπα και παραδοχές που επιβάλλονται στην επιστημονική έρευνα, όπως είναι ο έλεγχος της μεθοδολογίας και η τήρηση κανόνων ηθικής και καλής πρακτικής.
Η νομική βάση της επεξεργασίας μπορεί να είναι οποιαδήποτε από αυτές που προβλέπονται στα άρθρα 6 και 9. Η συγκατάθεση, όπου δίνεται, θα πρέπει να είναι ελεύθερη και δοσμένη σε μία σχέση που δεν ενέχει διαφορά ισχύος μεταξύ της θέσης του υποκειμένου και αυτής του υπεύθυνου επεξεργασίας. Και φυσικά τα δεδομένα δεν θα μπορούν να χρησιμοποιηθούν σε σκοπούς άλλους από αυτούς που δηλώθηκαν ενώ κάθε επεξεργασία θα πρέπει να πάψει όταν αυτή η συναίνεση αρθεί.
Πιο συχνή και πιο ισχυρή νόμιμη βάση επεξεργασίας σε τέτοιες περιόδους κρίσης φαίνεται ότι αποτελεί η πρόβλεψη νόμου και συνακόλουθα η συμμόρφωση με έννομη υποχρέωση που επιβάλλεται στον υπεύθυνο επεξεργασίας και καθιστά την επεξεργασία απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, ή όταν η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί[11]. Για τα ευαίσθητα μάλιστα από τα δεδομένα η νομική βάση θα είναι τα εδάφια θ και ι του άρθρου 9 παρ. 2[12]. Η επιλογή κατάλληλης νομικής βάσης είναι σημαντική ιδίως όταν η επεξεργασία των δεδομένων υγείας είναι η δευτερεύουσα επεξεργασία, όταν δηλ. τα δεδομένα αυτά δεν συλλέχθηκαν ειδικά για τον σκοπό της επιστημονικής έρευνας αλλά στο πλαίσιο μίας άλλης επεξεργασίας π.χ. μίας ιατρικής επίσκεψης.
Όλες οι προβλέψεις και οι υποχρεώσεις του Κανονισμού δεν παύουν στις επεξεργασίες αυτές με την εξαίρεση του άρθρου 14 παρ. 5β και 5γ για την υποχρέωση προηγούμενης ενημέρωσης[13] (εφόσον βέβαια λαμβάνονται τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων των υποκειμένων[14]), τον χρόνο διατήρησης των δεδομένων για σκοπούς αρχειοθέτησης[15], ακόμα και την άσκηση κάποιων δικαιωμάτων που νομίμως μπορεί να περιορισθούν σε αυτές τις περιπτώσεις, όπως το δικαίωμα πρόσβασης και το δικαίωμα διαγραφής[16].
β. εφαρμογές και τεχνολογίες παρακολούθησης και ιχνηλάτισης επαφών
Ο EDPB θεωρεί ότι το θεσμικό πλαίσιο για την προστασία των δεδομένων λαμβάνει ήδη υπόψη τις διαδικασίες επεξεργασίας δεδομένων που είναι απαραίτητες για να συμβάλουν στην καταπολέμηση μιας επιδημίας, επομένως δεν υπάρχει λόγος να αρθούν οι διατάξεις του GDPR, αλλά, αντιθέτως, θα πρέπει να τηρηθούν, ακόμα και στα άκρα όρια του. Όπως εξάλλου επισήμανε και η Andrea Jelinek, αναφερόμενη στις κατευθυντήριες γραμμές σχετικά με τα ζητήματα γεωγραφικής θέσης και άλλων εργαλείων εντοπισμού «ο GDPR έχει σχεδιαστεί για να είναι ένα ευέλικτο θεσμικό εργαλείο»[17]. Ως αποτέλεσμα, μπορεί να επιτρέψει μια αποτελεσματική αντίδραση για την υποστήριξη της καταπολέμησης της πανδημίας, ενώ ταυτόχρονα να προστατεύει τα θεμελιώδη ανθρώπινα δικαιώματα και ελευθερίες. «Όταν η επεξεργασία προσωπικών δεδομένων είναι απαραίτητη στο πλαίσιο του COVID-19, η προστασία δεδομένων είναι απαραίτητη για την οικοδόμηση εμπιστοσύνης, τη δημιουργία προϋποθέσεων για κοινωνική αποδοχή οποιασδήποτε πιθανής λύσης και, ως εκ τούτου, για τη διασφάλιση της αποτελεσματικότητας αυτών των μέτρων».
Ο EDPB είναι ξεκάθαρος σε ότι αφορά την χρήση εφαρμογών ιχνηλάτισης επαφών. Θα πρέπει να είναι μέρος μίας δομημένης δημόσιας πολιτικής πρόληψης της πανδημίας, που σημαίνει ότι συνοδεύεται από εγκεκριμένα κατάλληλα μέτρα και τονίζει ότι τόσο στο πλαίσιο του Κανονισμού όσο και της Οδηγίας 58/2002/ΕΕ (πρώτη ePrivacy Οδηγία) περιέχονται πολλά νομικά εργαλεία για την χρήση είτε προσωπικών είτε ανώνυμων δεδομένων με σκοπό την διαχείριση της πανδημίας. Πάντα θα πρέπει να προτιμώνται τα ανώνυμα δεδομένα και μόνο εφόσον οι στόχοι δεν επιτυγχάνονται να γίνεται επεξεργασία προσωπικών δεδομένων. Είναι βέβαια γνωστό ότι ειδικά στα δεδομένα θέσης και κίνησης η ανωνυμοποίηση συχνά μπορεί να μην είναι εφικτή αφού αυτές οι πληροφορίες μπορούν εύκολα να συνδυαστούν δίνοντας ισχυρές ενδείξεις για το υποκείμενο τους και την πραγματική του θέση.
Τα δεδομένα θέσης διακρίνονται σε δύο κατηγορίες. Αυτά που συλλέγονται από τους παρόχους ηλεκτρονικών επικοινωνιών κατά την παροχή της τηλεπικοινωνιακής υπηρεσίας και αυτά που συλλέγονται από παρόχους υπηρεσιών ΚτΠ μέσω πρόσθετων εφαρμογών. Για τα πρώτα εφαρμόζονται οι ρυθμίσεις της 58/2002 που σημαίνει ότι ο πάροχος δεν μπορεί να τα διαβιβάσει σε δημόσιες αρχές, ως εξωτερικά χαρακτηριστικά της επικοινωνίας[18], παρά μόνο με συγκατάθεση του υποκειμένου ή αφού έχουν καταστεί ανώνυμα[19]. Κι εδώ όμως δεν λείπουν οι δικλείδες που διασφαλίζουν ότι μία κοινωνία θα μπορεί σε μία περίοδο κρίσης τα κράτη μέλη δύνανται να λαμβάνουν νομοθετικά μέτρα για να περιορίζουν τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 6 και 9 του Κανονισμού, εφόσον ο περιορισμός αυτός αποτελεί αναγκαίο, κατάλληλο και ανάλογο μέτρο σε μια δημοκρατική κοινωνία για τη διαφύλαξη της εθνικής ασφάλειας (δηλαδή της ασφάλειας του κράτους), της εθνικής άμυνας, της δημόσιας ασφάλειας, και για την πρόληψη, διερεύνηση, διαπίστωση και δίωξη ποινικών αδικημάτων ή της άνευ αδείας χρησιμοποίησης του συστήματος ηλεκτρονικών επικοινωνιών, όπως, εξάλλου, προβλεπόταν ήδη στο άρθρο 13 παράγραφος 1 της οδηγίας 95/46/ΕΚ[20]. Για το σκοπό αυτό, τα κράτη μέλη δύνανται, μεταξύ άλλων, να λαμβάνουν νομοθετικά μέτρα που θα προβλέπουν την διατήρηση δεδομένων για ορισμένο χρονικό διάστημα για τους ειδικούς λόγους που αναφέρονται ανωτέρω, σύμφωνα με τις γενικές αρχές του κοινοτικού δικαίου, συμπεριλαμβανομένων αυτών που αναφέρονται στο άρθρο 6 πα. 1 και 2 της Συνθήκης για την Ευρωπαϊκή Ένωση[21].
Οι εφαρμογές ιχνηλάτισης επαφών θα πρέπει να διέπονται από τις αρχές της ελαχιστοποίησης και της προστασίας των δεδομένων από τον σχεδιασμό και εξ’ ορισμού. Συνακόλουθα δεν φαίνεται απαραίτητο να γίνεται και γεωεντοπισμός του χρήστη αλλά μόνο τα δεδομένα εγγύτητας με άλλους χρήστες. Επίσης θα πρέπει τα δεδομένα να αποθηκεύονται καταρχήν στην συσκευή του χρήστη και μόνο οι απαραίτητες πληροφορίες και αφού υπάρχει ενεργοποίηση της επισήμανσης, να αποστέλλονται αυτές στον πάροχο ή/και τον διαχειριστή του προγράμματος. Το αποκεντρωμένο αυτό σύστημα (decentralized) φαίνεται να είναι το προτιμότερο για την μεγαλύτερη δυνατότητα προστασίας των υποκειμένων από περιττή επεξεργασία και δημιουργία προφίλ. Η πρακτική τα δεδομένα να αποθηκεύονται στην κινητή συσκευή του χρήστη και να διαβιβάζονται όχι σε έναν κεντρικό διακομιστή αφενός ενδυναμώνει την διασπορά πληροφοριών που μόνα τους δεν έχουν την περιγραφική δύναμη του συνόλου και αφετέρου δεν επιτρέπουν τυχόν καταχρήσεις στην επεξεργασία ή επεξεργασία που δεν είχε προβλεφθεί κατά την συλλογή (βλ. κατωτέρω την προβληματικής της ΠΝΠ).
Η νόμιμη βάση επεξεργασίας για τα δεδομένα που καταχωρούνται και παράγονται από τις εφαρμογές ιχνηλάτισης είναι αφενός το άρθρο 5 παρ. 3 της Οδηγίας 58/2002 και περαιτέρω είτε η συγκατάθεση (με ότι αυτή η βάση απαιτεί και συνεπάγεται), όταν η χρήση της εφαρμογής γίνεται σε εθελοντική βάση, είτε το άρθρο 6 παρ. 1.ε του Κανονισμού[22] όταν η χρήση της εφαρμογής είναι υποχρεωτική από τις αρχές για τον έλεγχο της εξάπλωσης της πανδημίας.
Ο EDPB πάντως επιμένει ότι το δίπολο προστασία της ιδιωτικότητας ή προστασία της υγείας δεν ισχύει και τα σχετικά διλήμματα δεν θα έπρεπε να υπάρχουν αφού η προστασία και των δύο αυτών μπορούν κάλλιστα να επιτευχθεί παράλληλα.
- Οι ΠΝΠ
Με τις Πράξεις Νομοθετικού Περιεχομένου, μία επιλογή νομοθέτησης με χαρακτηριστικά άμεσης και εξαιρετικής εφαρμογής, εισήχθησαν διάφορες διατάξεις διαχείρισης της πανδημίας, με κύρια χαρακτηριστικά τον αυστηρό περιορισμό στην κυκλοφορία των πολιτών και την σύσταση επιτροπών ελέγχου της πανδημίας[23]. Στην ΠΝΠ της 30ης Μαρτίου 2020 και ειδικότερα στο άρθρο 29 αυτής συστήνεται Εθνικό Μητρώο Ασθενών από τον κορωνοϊό Covid-19, με σκοπό την άμεση και ταχεία καταγραφή των κρουσμάτων και την γενικότερη επιδημιολογική μελέτη. Τα δεδομένα που καταγράφονται στο αρχείο είναι το ονοματεπώνυμο του ασθενούς, η ηλικία, το φύλο, τυχόν νοσήματα και η κατάσταση της υγείας του, τα οποία προφανώς δημιουργούν ένα προφίλ που μπορεί να έχει έννομα αποτελέσματα που επηρεάζουν τα υποκείμενα με σημαντικό τρόπο (Άρθρο 22 Κανονισμού). Γίνεται ρητή αναφορά στον Κανονισμό και τις υποχρεώσεις που προκύπτουν για τον υπεύθυνο επεξεργασίας (Υπουργείο Υγείας) και τους αποδέκτες των δεδομένων αυτών (κυρίως ο ΗΔΙΚΑ που αναφέρεται ως εκτελών την επεξεργασία) καθώς και πρόβλεψη για κάποια τεχνικά και οργανωτικά μέτρα. Νόμιμη βάση τίθεται το άρθρο 9 παρ. 2η και 2θ του Κανονισμού[24].
Στην παράγραφο 10 του ίδιου άρθρου γίνεται επίκληση του άρθρου 24 του προβληματικού[25] ν. 4624/2019 που επιτρέπει την επεξεργασία των δεδομένων του Μητρώου για σκοπούς άλλους από αυτούς για τους οποίους συλλέχθηκαν. Παρά το ότι ειδικώς στην ίδια παράγραφο ορίζεται ότι τα δεδομένα αυτά δεν δύνανται να διαβιβασθούν σε ασφαλιστικές εταιρείες και τράπεζες (sic), η παράγραφος παραμένει εξόχως προβληματική αφού έρχεται σε αντίθεση με τις Κατευθυντήριες Οδηγίες 3/2020 του EDPB (που φαίνεται ότι μόνη εξαίρεση που προβλέπουν είναι η χρήση για ερευνητικούς σκοπούς) αλλά και την σχετική Γνωμοδότηση 1/2020 της ΑΠΔΠΧ που ειδικώς αναφέρει ότι «δεν προκύπτει ότι ο ΓΚΠ∆ παρέχει εξουσιοδότηση στον εθνικό νομοθέτη να θεσπίσει νέες «εθνικές νομικές βάσεις», όπως αναφέρεται στην αιτιολογική έκθεση [ενν. του ν. 4624/2019], αλλά μόνον να εξειδικεύσει τις νομικές βάσεις του άρθρου 6 παρ. 1 εδ. γ’ και ε’ ΓΚΠ∆, υπό τους όρους και τις εγγυήσεις που προβλέπονται από τις διατάξεις των παρ. 2 και 4 του άρθρου 6 ΓΚΠ∆.»
Η εικόνα αυτή δεν άλλαξε ιδιαίτερα με την σχετική ΚΥΑ 2650/2020[26] με την οποία εξειδικεύεται η λειτουργία του Μητρώου και οι αρμοδιότητες μεταξύ Υπουργείου Υγείας και ΗΔΙΚΑ καθώς και η έκταση της πρόσβασης που θα έχουν οι χρήστες του. Η ΥΑ ήταν απαραίτητη όχι μόνο για να ρυθμίσει τις λεπτομέρειες της λειτουργίας του Μητρώου αλλά και για να εξειδικεύσει το δημόσιο συμφέρον που θα αποτελέσει νόμιμη βάση για την επεξεργασία των δεδομένων ειδικής κατηγορίας, σύμφωνα με το άρθρο 9 παρ. θ του Κανονισμού[27]. Επιπροσθέτως, μάλιστα, η υποχρέωση συλλογής και επεξεργασίας δεδομένων επεκτάθηκε και σε συγγενικά ή οικεία πρόσωπα των ασθενών[28] που το συνοδεύουν κατά την επίσκεψη του στους φορείς υγείας και τέθηκε ως χρόνος διατήρησης των δεδομένων η εικοσαετία[29]. Προφανώς, πριν την σύσταση και λειτουργία του εν λόγω Μητρώου θα πρέπει να εκπονηθεί η σχετική εκτίμηση αντικτύπου (DPIA) η οποία, μάλιστα, θα πρέπει να έχει τεθεί και στην γνωμοδοτική αρμοδιότητα της ΑΠΔΠΧ και να έχει ζητηθεί η γνώμη των υποκειμένων η σχετικών οργανώσεων, σύμφωνα με το άρθρο 35 παρ. 9 του Κανονισμού.
Η ανάγκη για εξισορρόπηση
Στην προσπάθεια δημιουργίας ενός εξαντλητικού δίπολου μεταξύ προστασίας της υγείας των πολιτών και της ιδιωτικότητας τους, η απάντηση πρέπει να είναι ο συγκερασμός των δύο αυτών θεμελιωδών δικαιωμάτων με προστασία τους χωρίς υπαναχωρήσεις που ξεπερνούν το μέτρο της αναλογικότητας. Προφανώς, στον ευρωπαϊκό χώρο οι πρακτικές που ακολουθούνται σε χώρες, όπως η Κίνα, θα είναι πολύ δύσκολο να γίνουν αποδεκτές. Από την άλλη η συνειδητοποίηση ότι όλοι θα υποστούμε μία υπαναχώρηση σε ότι αφορά τον έλεγχο της χρήσης δεδομένων που αφορούν την διασπορά της πανδημίας είναι αναπότρεπτη. Κι αυτό είναι το κλειδί σε όλη την προσπάθεια. Η σωστή ενημέρωση και η δυνατότητα επιλογής για ορισμένες μορφές επεξεργασίας. Είναι προφανές ότι πολλές όψεις της απόλαυσης των δικαιωμάτων μας θα αλλάξουν όπως και πολλές συνήθειες θα πρέπει να εγκαταλειφθούν για να ισχύσουν τα προστατευτικά μέτρα που πρέπει όλοι να λαμβάνουμε για την ατομική και συλλογική προστασία. Η εμμονή στην κατάσταση πριν εμφανιστεί μία τέτοια πανδημία αποτελεί αντικοινωνική συμπεριφορά, όπως και η απόρριψη της κεφαλαιώδους σημασίας που έχει η αντιμετώπιση της. Και πάλι, όμως, τίποτε από αυτά δεν οδηγεί στο συμπέρασμα ότι είμαστε στρατιώτες σε έναν πόλεμο, στον οποίο τα δικαιώματα μας είναι αναλώσιμα και ότι η προστασία δικαιωμάτων όπως τα προσωπικά δεδομένα και η ιδιωτικότητα αποτελεί πολυτέλεια που δεν μπορούμε να αντέξουμε. Η αντιμετώπιση μίας διεθνούς υγειονομικής κρίσης δεν είναι πόλεμος, δεν έχουμε εχθρούς απέναντι μας αλλά την μαζική προσπάθεια αντιμετώπισης μίας υγειονομικής πανδημίας που έχει λάβει εξαιρετικά μεγάλη έκταση. Η πολεμική ρητορική μπορεί δημοσιογραφικά να προβάλλει ως αναγκαία, ώστε να επισημάνει την ανάγκη τήρησης κάποιων μέτρων φυσικού περιορισμού και την αναγνώριση ενός κινδύνου που πιθανόν δεν είχαμε υπολογίσει, όμως δεν μπορεί να αποτελεί τον βωμό για την θυσία των κεκτημένων θεμελιωδών μας δικαιωμάτων.
Χαρακτηριστικά δείγματα αυτής της προσπάθειας για εξεύρεση μίας ισορροπίας βλέπουμε ακόμα και μέσα στην ΕΕ όπου τα κράτη μέλη αλλά και εθνικές αρχές προστασίας προσωπικών δεδομένων δεν ακολουθούν μία κοινή γραμμή σε ότι αφορά τις πρακτικές ελέγχου της υγείας των εργαζομένων και την εφαρμογή ψηφιακών εφαρμογών ιχνηλάτησης. Κι αυτό παρότι τόσο οι γενικές κατευθύνσεις του EDPB, ιδίως στο πλαίσιο της απασχόλησης, είναι ότι η επεξεργασία προσωπικών δεδομένων μπορεί να είναι απαραίτητη για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο εργοδότης, όπως υποχρεώσεις που σχετίζονται με την υγεία και την ασφάλεια στο χώρο εργασίας ή στο δημόσιο συμφέρον και ο έλεγχος ασθενειών και άλλων απειλών για την υγεία όσο και από τον Κανονισμό προβλέπονται επίσης παρεκκλίσεις από την απαγόρευση επεξεργασίας ορισμένων ειδικών κατηγοριών προσωπικά δεδομένα, όπως δεδομένα υγείας, όπου είναι απαραίτητα για λόγους σημαντικού δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας (άρθρο 9.2.i), βάσει του ενωσιακού ή του εθνικού δικαίου ή όπου υπάρχει ανάγκη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων (άρθρο 9.2.γ), καθώς η αιτιολογική σκέψη 46 αναφέρεται ρητά στον έλεγχο επιδημίας[30].
Έτσι, σε κάποιες χώρες παρατηρείται αυστηρή απαγόρευση στην λήψη πληροφοριών, είτε μέσω ερωτηματολογίων είτε μέσω θερμομέτρησης (όπως στο Βέλγιο και το Λουξεμβούργο), ενώ σε άλλες αφήνεται περισσότερο περιθώριο στους εργοδότες να ελέγξουν προληπτικά τους εργαζόμενους στο πλαίσιο της γενικής κατάστασης πρόληψης της πανδημίας και διασφάλισης της υγείας στο εργασιακό περιβάλλον (όπως στην Ιρλανδία και την Φιλανδία)[31]. Αυτό που φαίνεται να απορρίπτουν όμως όλες οι αρχές προστασίας δεδομένων είναι η συστηματική και γενικευμένη συλλογή δεδομένων από όλους τους εργαζόμενους και ιδίως η διείσδυση στην ιδιωτική ζωή τους μέσω π.χ. ερωτημάτων που αφορούν την ιδιωτική φύση ενός ταξιδιού[32], ενώ φαίνεται να συμπίπτουν στη διαπίστωση ότι πρέπει να υποδειχθεί στους εργαζόμενους η αναγκαιότητα, αν όχι η υποχρέωσή τους, να ενημερώνουν τον εργοδότη π.χ. για τυχόν αδιαθεσία ασθένεια, τυχόν παραμονή ή τον σκοπό τους να ταξιδέψουν σε περιοχές εκτεθειμένες στον ιό. Η συχνή αναφορά, από όλες τις εθνικές Αρχές, στην εθελοντική κοινοποίηση δεδομένων υγείας από τους εργαζόμενους, διευρύνει την νομιμότητα της συλλογής και επεξεργασίας, πρέπει όμως να γίνεται πάντα υπό τον έλεγχο της ανισότητας στην ισχύ των δύο μερών.
Σε ότι αφορά, δε, την τεχνολογία και τις εφαρμογές της στην αντιμετώπιση της πανδημίας, η υφέρπουσα υποψία ότι η τεχνολογία μας αναγκάζει να παύουμε εν πολλοίς να είμαστε κύριοι των δεδομένων μας δεν πρέπει να μας οδηγήσει σε τεχνοφοβικά σύνδρομα και ύψωση τειχών απέναντι στην καινοτομία, ιδίως όταν είναι τόσο απαραίτητη για την έξοδο από την κρίση. Αντιθέτως πρέπει να μας οδηγήσει στη χρήση της τεχνολογίας με συναίσθηση της εμπλοκής μας και στην επιλογή εκείνων των υπηρεσιών και προϊόντων που περιέχουν τις βέλτιστες πολιτικές διαφύλαξης των ατομικών δικαιωμάτων μας[33], όπως το δικαίωμα στην διαφύλαξη της υγείας[34]. Κι εδώ η εφαρμογή της αρχής της αναλογικότητας καθίσταται θεμελιώδης για την υποστήριξη μίας εξισορρόπησης των αντικρουόμενων δικαιωμάτων[35]. Οι απαραίτητες ρυθμίσεις για τον έλεγχο των εφαρμογών ιχνηλάτισης υπάρχουν ήδη στον Κανονισμό και την ενωσιακή και την παράγωγη εθνική νομοθεσία[36], ώστε να διασφαλιστεί ότι σέβονται το απόρρητο των υποκειμένων και συμμορφώνονται ανάλογα. Τα κράτη μέλη της ΕΕ, με την υποστήριξη της Επιτροπής, ανέπτυξαν μια εργαλειοθήκη (Toolbox) σχετικά με τη χρήση εφαρμογών για κινητές συσκευές με σκοπό την ιχνηλάτηση επαφών και την αποστολή ειδοποιήσεων στο πλαίσιο της αντιμετώπισης της πανδημίας του κορονοϊού. Η εργαλειοθήκη αποτελεί τμήμα μιας κοινής συντονισμένης προσέγγισης για τη στήριξη της σταδιακής άρσης των μέτρων εγκλεισμού, όπως ορίζεται στην σχετική σύσταση της Επιτροπής. Οι εφαρμογές ιχνηλάτησης επαφών, εφόσον συμμορφώνονται πλήρως με τους κανόνες της ΕΕ και είναι καλά συντονισμένες, μπορούν να έχουν καθοριστικό ρόλο σε όλες τις φάσεις διαχείρισης της κρίσης, ιδίως όταν θα είναι πλέον ώριμη η σταδιακή άρση των μέτρων κοινωνικής αποστασιοποίησης (social distancing). Μπορούν να λειτουργούν συμπληρωματικά στην υφιστάμενη μη ψηφιακή ιχνηλάτηση επαφών και να συμβάλλουν στη διακοπή της αλυσίδας μετάδοσης του ιού. Η εργαλειοθήκη συνοδεύεται από έγγραφο καθοδήγησης σχετικά με την προστασία των δεδομένων όσον αφορά τις εν λόγω εφαρμογές για κινητές συσκευές και δεν σημαίνει υπαναχώρηση από την διασφάλιση επαρκούς επιπέδου προστασίας της ιδιωτική ζωής, όπως εξάλλου αναγνωρίζει και ο κ. Thierry Breton, επίτροπος αρμόδιος για την εσωτερική αγορά[37]. Τα δεδομένα αυτά είναι πολύτιμα για την έρευνα και για τον λόγο αυτό ακόμα και ο EDPB δεν αντιστέκεται στην ιδέα της ελεύθερης διακίνησης τους προς τις ΗΠΑ[38]. Παράλληλα, όμως, δεν θα πρέπει να ξεχνάμε ότι στις ΗΠΑ δεν νοείται να τεθεί οποιοδήποτε εμπόδιο στην πρόσβαση στην κάθε πληροφορία αφού κάτι τέτοιο ισοδυναμεί με καταστρατήγηση θεμελιωδών δικαιωμάτων[39] και ιδίως της ελευθερίας του λόγου που θεσπίζεται στο First Amendment[40]. Περαιτέρω οι διαφορές μεταξύ ΗΠΑ και ΕΕ στη νομοθεσία για τα προσωπικά δεδομένα και την ιδιωτικότητα προκαλούν διαφοροποιήσεις και στην δυνατότητα για έρευνα στοιχείων. Στις ΗΠΑ ακόμα και ιδιώτες ερευνητές έχουν την δυνατότητα της άμεσης και εύκολης πρόσβασης σε κάθε στοιχείο ενός ατόμου ώστε να προσδιοριστεί η ταυτότητα του και η διαμονή του. Στην ΕΕ αντίθετα τα πράγματα είναι πιο σύνθετα. Η πρόσβαση επιτρέπεται μόνο για πιστοποιημένα στελέχη οργανώσεων, μέσα από ειδικές διαδικασίες και για συγκεκριμένους σκοπούς[41]. Τέλος, ας μην ξεχνάμε ότι ένα από τα μεγαλύτερα σκάνδαλα παράνομης επεξεργασίας προσωπικών δεδομένων και χειραγώγησης της κοινής γνώμης έγινε με κύριο πρωταγωνιστή μία εταιρεία που υποτίθεται ότι χειριζόταν δεδομένα στο πλαίσιο έρευνας (Cambridge Analytica).
Συνακόλουθα, οι βασικές απαιτήσεις των εφαρμογών αυτών πρέπει να εγκριθούν από την κάθε εθνική υγειονομική αρχή και να διασφαλιστεί ότι το απόρρητο διατηρείται μέσω της χρήσης κρυπτογράφησης και ότι τα προσωπικά δεδομένα διαγράφονται ή καθίστανται στατιστικά και ανώνυμα όταν πλέον δεν είναι απαραίτητα. Απαραίτητος είναι επίσης ο ατομικός έλεγχος των εφαρμογών παρακολούθησης και ιχνηλάτησης για την οικοδόμηση της εμπιστοσύνης των υποκειμένων στη χρήση αυτών των εφαρμογών και να υπάρξει πρόβλεψη για μη καταγραφή της τοποθεσίας και γενική ελαχιστοποίηση δεδομένων[42]. Στο σημείο αυτό ο EDPB παίρνει μια αυστηρότερη θέση σε σύγκριση με την Επιτροπή και επιβάλλει περισσότερους περιορισμούς. Ενώ η Επιτροπή συνιστά τη χρήση ανώνυμων και συγκεντρωτικών δεδομένων σχετικά με την κινητικότητα των πληθυσμών, ως μέσο πρόβλεψης της εξέλιξης της νόσου και παρακολούθησης της, ο EPDB προειδοποιεί για τους κινδύνους που βασίζονται ακόμα και σε ανωνυμοποιημένα δεδομένα, κυρίως επειδή είναι γνωστό ότι είναι δύσκολο να ανωνυμοποιηθούν επαρκώς τα δεδομένα που αφορούν κυρίως την θέση του υποκειμένου όταν λαμβάνονται μαζί με πλήθος άλλων δεδομένων από την συσκευή κινητής τηλεφωνίας.
Όσον αφορά, δε, τους αποδέκτες των δεδομένων υγείας, που συλλέγονται μέσω των εφαρμογών αυτών, πρέπει να διασφαλιστεί ότι αυτοί υπόκεινται σε ιατρικό απόρρητο ή σε αυξημένη υποχρέωση εμπιστευτικότητας, ενώ συναφής είναι και ο ορθολογικός προσδιορισμός των καταλληλότερων περιόδων διατήρησης, οι οποίες δεν θα έπρεπε να είναι οριζόντιες για όλα τα είδη δεδομένων. Η διάρκεια της περιόδου επώασης του ιού ή της περιόδου καραντίνας που καθορίστηκε από τις αρμόδιες αρχές θα μπορούσαν να είναι χρήσιμοι δείκτες για τον προσδιορισμό της κατάλληλης περιόδου διατήρησης για δεδομένα υγείας και στη συνέχεια θα έπρεπε να διαγραφούν, εκτός εάν πράγματι είναι προς το δημόσιο όφελος (και τεκμηριώνεται επαρκώς) να γνωρίζουμε με ταυτοποιήσιμα δεδομένα για 20 έτη ποιοι νόσησαν κάποτε από τον ιό αυτόν. Η διασπορά των αποδεκτών και ο μεγάλος χρόνος διατήρησης ενέχει, εξάλλου, και μεγαλύτερους κινδύνους για την αποτελεσματική ασφάλεια των δεδομένων αυτών αλλά και των συστημάτων που τα φιλοξενούν. Τέλος, θα πρέπει να διασφαλιστεί ότι οι εφαρμογές αυτές δεν επιτρέπουν τη δημιουργία «προφίλ» που θα μπορούσε να χρησιμοποιηθεί για αυτοματοποιημένη λήψη αποφάσεων για τον αποκλεισμό των χρηστών της από υπηρεσίες υγειονομικής περίθαλψης με βάση τα χαρακτηριστικά που συλλέγονται μέσω των εφαρμογών.
Συμπέρασμα
Χρειάζεται μία εξισορρόπηση του κοινωνικού οφέλους για την υγεία του κοινού έναντι του κρατικού περιορισμού των ατομικών δικαιωμάτων, αναπτύσσοντας δοκιμές εξισορρόπησης ώστε να μπορούν να οριοθετηθούν οι συγκεκριμένες συνθήκες υπό τις οποίες είναι απαραίτητο να περιοριστεί ένα ατομικό δικαίωμα. Για να παραμείνουμε σε ορολογία προσωπικών δεδομένων, φαίνεται ότι πριν την εφαρμογή διοικητικών μέτρων περιορισμού των ατομικών δικαιωμάτων με σκοπό την πρόληψη ασθενειών χρειαζόμαστε «εκτιμήσεις επιπτώσεων στα ανθρώπινα δικαιώματα» και ένα σύστημα λογοδοσίας τόσο σε εθνικό επίπεδο όσο και σε επίπεδο διεθνών οργανισμών[43].
Υπάρχει επίσης ένα μεγάλο πρόβλημα. Ήδη, μετά την εμφάνιση μείζονων κινδύνων όπως οι επιθέσεις της 11ης Σεπτεμβρίου και η διεθνοποιημένη θρησκευτική τρομοκρατία, πολλές δικαιοδοσίες προχώρησαν στην παραχώρηση πρωτοφανών εξουσιών επιτήρησης που συχνά απέτυχαν να επιτύχουν τους στόχους τους κατά της τρομοκρατίας, διατήρησαν όμως την υπαναχώρηση στα δικαιώματα ως μέτρο γενικότερου ελέγχου[44].
Θα πρέπει λοιπόν να γίνει κατανοητό ότι για να δεχτούμε να ελεγχόμαστε σε υπερβολικό βαθμό και να υπάρχουν περίοδοι περιορισμού και υπαναχώρησης θα πρέπει να χαράσσονται άμεσα τα απολύτως άκρα όρια σε αυτή την περίοδο περιορισμού, ώστε να μην επιβιώσουν οι πρακτικές αυτές όταν οι καταστάσεις έκτακτης ανάγκης εκλείψουν ή όταν γίνεται προσπάθεια τεχνητής διατήρησης της κατάστασης ανάγκης. Όσοι υπηρετήσαμε την θητεία μας μέχρι το 2002 θυμόμαστε, ίσως, ότι οι τυχόν λιποταξίες, ανυποταξίες, εγκατάλειψη σκοπιάς κλπ στρατιωτικά αδικήματα τιμωρούνταν με βαρύτατες ποινές, διότι η κατάσταση γενικής επιστράτευσης του 1974 δεν είχε ποτέ λήξει[45]! Αυτό σήμαινε ότι, για διάφορους λόγους, συντηρούνταν τεχνητά μία κατάσταση ανάγκης που περιόριζε σε μεγαλύτερο, αναλογικά, βαθμό κάποια δικαιώματα και ενέτεινε την απαξία κάποιων αδικημάτων. Τα όρια μεταξύ της πραγματικής ανάγκης και της κατάχρησης της ανάγκης δεν είναι πάντα ευδιάκριτα και ο κίνδυνος είναι να συνηθίσουμε έναν τέτοιο περιορισμό των δικαιωμάτων μας ως απαραίτητο για την επιβίωση μας[46].
Γι’ αυτούς τους λόγους, λοιπόν, δεν πρέπει να υπηρετούμε την ιδέα μίας σύγκρουσης των δικαιωμάτων μας και να οδηγούμαστε σε διλλήματα τα οποία ουδεμία αξία έχουν σε μία τέτοια κρίσιμη περίοδο για μία δημοκρατική κοινωνία, που έχει τα εχέγγυα και τα νομικά εργαλεία να μην επιτρέπει την διαζευκτική εφαρμογή αλλά να επιβάλλει την σωρευτική προστασία των δικαιωμάτων. Διότι πρωταρχικός στόχος μίας δημοκρατικής κοινωνίας δεν είναι να εισαγάγει τα σκληρότερα αλλά τα αναλογούντα προς τον κίνδυνο μέτρα.
[1] Αιτιολ. σκ. 4
[2] Άρθρο 5Α Συντάγματος
[3] βλ. και Σπ. Τάσση, Ελευθερία του τύπου και ιδιωτικότητα στο κεφάλαιο «Η ελευθερία της έκφρασης – τύπος – ραδιοτηλέοραση», σε Σπ. Βλαχόπουλο, Θεμελιώδη Δικαιώματα, Νομική Βιβλιοθήκη 2017.
[4] Peter Suciu, «During COVID-19 Pandemic It Isn’t Just Fake News But Seriously Bad Misinformation That Is Spreading On Social Media», https://www.forbes.com/sites/petersuciu/2020/04/08/during-covid-19-pandemic-it-isnt-just-fake-news-but-seriously-bad-misinformation-that-is-spreading-on-social-media/
[5] Valerie Strauss, «No, Bill Gates did not engineer the covid-19 pandemic — and other lessons on fake news» https://www.washingtonpost.com/education/2020/04/21/no-bill-gates-did-not-engineer-covid-19-pandemic-other-lessons-fake-news/
[6] EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, https://edps.europa.eu/sites/edp/files/publication/19-12-19_edps_proportionality_guidelines_en.pdf
[7] Σ. Τάσσης, Η ιδιωτικότητα ως αντάλλαγμα για την ανάπτυξη τεχνολογικών καινοτομιών, ΔιΜΕΕ 2/2014.
[8] Κατευθυντήριες Γραμμές για την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα στο πλαίσιο διαχείρισης του COVID-19 https://www.dpa.gr/APDPXPortlets/htdocs/documentSDisplay.jsp?docid=163,39,44,101,194,223,3,99
[9] Η πρόεδρος του EDPB, Andrea Jelinek, δηλώνει χαρακτηριστικά: «Η παγκόσμια επιστημονική κοινότητα αγωνίζεται συνεχώς για να αναπτύξει ένα εμβόλιο ή θεραπεία COVID-19. Το EDPB επιβεβαιώνει ότι ο GDPR προσφέρει εργαλεία που παρέχουν τις καλύτερες εγγυήσεις για τη διεθνή μεταφορά δεδομένων υγείας και είναι αρκετά ευέλικτο ώστε να προσφέρει ταχύτερες προσωρινές λύσεις ενόψει της επείγουσας ιατρικής κατάστασης»
[10] «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.
[11] Άρθρα 6 παρ. 1ε και 1στ του Κανονισμού.
[12] η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
[13] Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν και εφόσον: …………….. β) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, ιδίως όσον αφορά επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 παράγραφος 1 ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. Στις περιπτώσεις αυτές, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό, ή γ) η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων.
[14] βλ. και «Guidelines on transparency under Regulation 2016/679 of the former Article-29 Working-Party from 11.4.2018» WP260 rev.01, 17/EN, page 29 (endorsed by the EDPB).
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227.
[15] Άρθρο 5 παρ. 1ε εδ, β «τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»).
[16] Άρθρα 15 παρ. 4 και 17 παρ. 3δ.
[17] Statement on the processing of personal data in the context of the COVID-19 outbreak, Adopted on 19 March 2020
[18] Για λόγους οικονομίας του παρόντος δεν θα εισέλθουμε στην προβληματική που αναπτύχθηκε στην Ελλάδα για το αν τα εξωτερικά χαρακτηριστικά των ηλεκτρονικών επικοινωνιών εμπίπτουν στο απόρρητο της επικοινωνίας… (βλ. γνωμοδοτήσεις ΕισΑΠ κ.κ. Σανιδά και Τέντε και αντιρρήσεις ΑΔΑΕ).
[19] Άρθρα 6 και 9.
[20] Για την ερμηνεία του Άρθρου 15, βλ και ΔΕΕ υπόθεση C-275/06 «Productores de Música de España (Promusicae) v. Telefónica de España SAU»
[21] Άρθρο 15 παρ. 1.
[22] η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
[23] Υπολογίζεται ότι πάνω από 240 νομοθετικά κείμενα (ΠΝΠ, ΥΑ κλπ) έχουν εκδοθεί σε σχέση με την πανδημία μέχρι τέλος Απριλίου 2020.
[24] η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3, και η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου.
[25] βλ. σχετικά Γνωμοδότηση 1/2020 της ΑΠΔΠΧ (https://www.dpa.gr/APDPXPortlets/htdocs/documentSDisplay.jsp?docid=182,151,200,123,234,153,149,126)
[26] ΦΕΚ Β’ 1298/2020.
[27] που προβλέπει επεξεργασία βάσει δημόσιου συμφέροντος «βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους».
[28] Άρθρο 4 παρ. 5 εδ. β: Επίσης, εφόσον ο ασθενής συνοδεύεται, θα υπάρχουν οπωσδήποτε διαθέσιμα τα ακόλουθα δεδομένα προσωπικού χαρακτήρα του συνοδού: (α) Όνομα, (β) Επώνυμο, Διεύθυνση (Δήμος/Κοινότητα, Νομός, Ταχυδρομικός Κώδικας), (η) Στοιχεία επικοινωνίας (Τηλέφωνο/Κινητό τηλέφωνο/ Email).
[29] χρόνος που ίσως κριθεί προβληματικός για τα καθαρά τηλεπικοινωνιακά δεδομένα, σε περίπτωση που αργότερα το Μητρώο συνδυαστεί και με ψηφιακές εφαρμογές ιχνηλάτισης. Βλ. Σ. Τάσση, ΔΕΕ – δύο θεμελιώδεις αποφάσεις για τα προσωπικά μας δεδομένα και τα ηλεκτρονικά δίκτυα: Απόφαση C-131/12 (Google) και συνεκδικαζόμενες C-293/12 και C-594/12 (νομιμότητα υποχρεωτικής διατήρησης τηλεπικοινωνιακών δεδομένων), ΔιΜΕΕ 3/2014.
[30] Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020
[31] Στην Ελλάδα συνυπάρχει η υποχρέωση του εργοδότη για διασφάλιση της υγείας των εργαζομένων (άρθρα 42 επ. Ν. 3850/2010) και οι κατευθύνσεις της ΑΠΔΠΧ αυτό να γίνεται καταρχήν χωρίς δημιουργία αρχείου (βλ. ανωτέρω σημ. 7).
[32] Λ. Μήτρου, Τα προσωπικά δεδομένα στην εποχή του Κορωνοϊού, https://www.syntagmawatch.gr/trending-issues/ta-prosopika-dedomena-stin-epoxi-tou-koronoiou/
[33] βλ. Σπ. Τάσση, Η ιδιωτικότητα ως αντάλλαγμα για την ανάπτυξη τεχνολογικών καινοτομιών, ΔιΜΕΕ 2/2014
[34] Άρθρο 5 παρ. 5 Συντάγματος.
[35] Να επισημάνουμε ότι η μόνη προσπάθεια παρέκκλισης από τον γενικό κανόνα της αναγκαιότητας και αναλογικότητας που προβλέπει η βασική Οδηγία 2002/58 επιχειρήθηκε με την Οδηγία 2006/24 που επέβαλλε τη διατήρησή τους για συγκεκριμένο χρονικό διάστημα έως δύο έτη. Η Οδηγία έχει ακυρωθεί από το ΔΕΕ (υποθέσεις C‑293/12 και C‑594/12 Digital Rights Ireland, ΔιΜΕΕ 3/2014), όμως ο Ελληνικός νόμος 3917/2011 που την εφάρμοσε, επιζεί. Βλ. και ΔΕΚ υπόθ. C-301/2006, σημ. Σ. Τάσσης, ΔιΜΕΕ 1/2009.
[36] Βλ. Σ. Τάσση, Συνοπτική παρουσίαση του νέου νόμου για τις ηλεκτρονικές επικοινωνίες (Ν 4070/2012), ΔiΜΕΕ 2/2012
[37] «Οι εφαρμογές ιχνηλάτησης επαφών για τον περιορισμό της διασποράς του κορονοϊού μπορεί να είναι χρήσιμες, ιδίως στο πλαίσιο των στρατηγικών εξόδου που ακολουθούν τα κράτη μέλη. Ωστόσο, η ύπαρξη αυστηρών διασφαλίσεων για την προστασία της ιδιωτικής ζωής συνιστά προϋπόθεση για την υιοθέτηση των εφαρμογών αυτών και, ως εκ τούτου, για τη χρησιμότητά τους. Μολονότι θα πρέπει να είμαστε καινοτόμοι και να αξιοποιούμε με τον καλύτερο δυνατό τρόπο την τεχνολογία για την καταπολέμηση της πανδημίας, δεν είμαστε διατεθειμένοι να υπονομεύσουμε τις αξίες μας και τις απαιτήσεις μας όσον αφορά την προστασία της ιδιωτικής ζωής.»
[38] βλ. EDPB response to the US Mission to the EU – 24/04/2020, https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-us-mission-eu-24042020_en
[39] Thomas Davenport & Jeanne Harris, «Competing on Analytics» (2007). Επίσης Paul M. Schwartz, «Privacy, Ethics & Analytics», IEEE Security & Privacy (no 3, May/June 2011).
[40] Schwartz, «Privacy Collision – The E.U.-US Privacy Collision: A Turn to Institutions and Procedures» www.harvardlawreview.org%2Fsymposium%2Fpapers2012%2Fschwartz.pdf&ei=7BxKUeT_JYTFPcT5gLgB&usg=AFQjCNGq72FDoSucvFpO4ndOVg6aq2
[41] Σ. Τάσσης, Η ιδιωτικότητα ως πεδίο εμπορικής διαμάχης ΕΕ και ΗΠΑ, ΔιΜΕΕ 1/2013.
[42] Για τις εφαρμογές ιχνηλάτησης Βλ. Γ. Τσίρτσης και Σπ. Τάσσης, «Κορωνοϊός: Ιχνηλάτηση επαφών (Contact Tracing) και Ειδοποίηση Έκθεσης (Exposure Notification)» (https://www.lawspot.gr/nomika-blogs/spiros_tassis/koronoios-ihnilatisi-epafon-contact-tracing-kai-eidopoiisi-ekthesis?fbclid=IwAR1BywXG64gjecQlS-sGIawle-2fiCCNrmk_3u89OYb5alXXhaGdWfHCEok) και Τάσος Τέλλογλου, «Οι «ανώνυμοι» ύποπτοι και οι ψηφιακές ιχνηλατήσεις» (https://www.kathimerini.gr/1078500/article/epikairothta/ellada/oi-anwnymoi-ypoptoi-kai-oi-yhfiakes-ixnhlathseis?fbclid=IwAR2WGVVuFt5DjFG8-8MuzAidRzww9aY1yze880eR32GLkDcnCNtyLojaJLc)
[43] Benjamin Mason Meier, Dabney P. Evans & Alexandra Phelan, Rights-Based Approaches to Preventing, Detecting, and Responding to Infectious Disease Outbreaks, SSRN https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3560669
[44] βλ. υπόθεση NSA και Σνόουντεν και τις καταχρήσεις που κατήγγειλε.
[45] έληξε στις 24 Μαΐου 2002…
[46] Σπ. Βλαχόπουλος, «Όχι» στον συνταγματικό μιθριδατισμό, https://www.kathimerini.gr/1071326/opinion/epikairothta/politikh/oxi-ston-syntagmatiko-mi8ridatismo
Προδημοσίευση από το περιοδικό «Δίκαιο Τεχνολογιών και Επικοινωνίας» 1/2020, εκδόσεις Νομική Βιβλιοθήκη.