Ο κορονοϊός COVID-19 και ο GDPR

Ο κορονοϊός COVID-19 και ο GDPR

Τη στιγμή που ο κόσμος αγωνίζεται να ελέγξει έναν μυστηριώδη νέο ιό γνωστό ως COVID-19, το βάρος πέφτει στην πρόληψη και την αντιμετώπιση πιθανής πανδημίας. Η προστασία δεδομένων προσωπικού χαρακτήρα και η διασφάλιση των βασικών ατομικών δικαιωμάτων των ατόμων δεν είναι σίγουρα μέσα στις πρώτες ανησυχίες των πολιτικών.

Είναι όμως ενδιαφέρον να δούμε τα όρια της ιδιωτικότητας και πως διασφαλίζονται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων προσωπικού χαρακτήρα κάτω από το ισχύον νομικό καθεστώς (GDPR) στην Ευρώπη και τη χώρα μας.

Ζωτικό συμφέρον φυσικών προσώπων και μαζική κοινή χρήση δεδομένων προσωπικού χαρακτήρα

Ο GDPR στο άρθρο 6.1(δ) το οποίο δηλώνει ότι «Η επεξεργασία είναι σύννομη μόνο εάν είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου». Για ειδικές κατηγορίες δεδομένων, στο άρθρο 9.2(γ) προβλέπει επίσης ότι η επεξεργασία είναι νόμιμη όταν «είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί».

Τα υπουργεία υγείας, οι υγειονομικές δομές (πχ. νοσοκομεία), τα ερευνητικά κέντρα, οι κρατικές αρχές επιβολής του νόμου (αστυνομία κλπ), αλλά και ιδιωτικές εταιρείες (πχ. αεροπορικές, εταιρείες διαχείρισης ακινήτων κ.ά.) εντός των χωρών και διακρατικά μοιράζονται δεδομένα σε μια άνευ προηγουμένου κλίμακα προκειμένου να εξουδετερώσουν την εξάπλωση του ιού COVID-19 και η βέλτιστη πρακτική δείχνει ότι η μαζική απρόσκοπτη ανταλλαγή δεδομένων είναι κρίσιμη. [David L Heymann “Data sharing and outbreaks: best practice exemplified” The Lancet 395:469-470, February 15, 2020].

Δημόσια ανταλλαγή δεδομένων

Εκτός από τους οργανισμούς που μοιράζονται δεδομένα προσωπικού χαρακτήρα απευθείας, έχουν γίνει αρκετές πρωτοβουλίες για να είναι εύκολα διαθέσιμα τα δεδομένα σε όσους ενδιαφέρονται. Το περιοδικό Lancet δημιούργησε ένα κεντρικό αποθετήριο πληροφοριών για τους επιβεβαιωμένους ασθενείς με COVID-19. Το αποθετήριο φιλοξενείται σε ένα φύλλο Google, ανοικτό στο κοινό και περιέχει ηλικία, τοποθεσία, φύλο, συμπτώματα, ημερομηνίες έναρξης, ιστορικό ταξιδιού. Για παράδειγμα, μια βάση δεδομένων δηλώνει (οι λεπτομέρειες έχουν τροποποιηθεί ελαφρώς για να είναι ψευδείς και να μην μπορούν να αναγνωριστούν ξανά) ότι μια γυναίκα 32 ετών από μια πόλη στην επαρχία Reggio Emilia της Ιταλίας διαγνώστηκε θετική κατά την επιστροφή της από την Κίνα στις 3 Φεβρουαρίου 2020, και είχε ερεθισμό στα μάτια και πυρετό. Υπό το πρίσμα πολλών ερευνών σχετικά με την επαναγνωρισιμότητα (re-identifiability) των δεδομένων και τη γνωμοδότηση 216 του WP29, είναι πιθανό ότι το πραγματικό αρχείο είναι ψευδώνυμο κι όχι ανώνυμο. Ο πληθυσμός της πόλης είναι σήμερα γύρω στις 10.000, οπότε η επαναπροσδιορισμός μάλλον είναι αρκετά απλός! Τα δεδομένα προσωπικού χαρακτήρα μοιράζονται δημοσίως λόγω των τεράστιων ωφελειών προς την ανθρωπότητα από την πρόσβαση στα δεδομένα αυτά. Ωστόσο, εξακολουθούν να είναι δεδομένα υγείας προσωπικού χαρακτήρα (ειδική κατηγορία) και διέπονται από τη νόμιμη βάση του «ζωτικού συμφέροντος». Αυτό σημαίνει, για παράδειγμα, ότι η χρήση των δεδομένων θα είναι νόμιμη μόνο σε κάποιον που ενεργεί με βάση τα ζωτικά συμφέροντα των υποκειμένων των δεδομένων ή άλλων ατόμων.

Ο κανονισμός GDPR έχει εξετάσει ρητά αυτό το είδος επεξεργασίας. Συγκεκριμένα, η αιτιολογική σκέψη 46 του GDPR αναφέρει ότι: «…Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών». Ας σημειώσουμε τη ρήτρα «αναγκαιότητας». Η επεξεργασία πρέπει να είναι απαραίτητη για τη ζωή των ανθρώπων. Επομένως, όποιος χρησιμοποιεί τα δεδομένα για το σκοπό αυτό είναι στη νόμιμη βάση.

Νομική βάση δημοσίου συμφέροντος

Ο GDPR στο άρθρο 9.2(ζ) επιτρέπει συγκεκριμένα την επεξεργασία υγειονομικών δεδομένων όταν «είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων». Ο GDPR επιτρέπει στα κράτη μέλη να παρεκκλίνουν από την απαγόρευση επεξεργασίας ειδικών κατηγοριών για προσωπικά δεδομένα (αιτιολογική σκέψη 52), για σημαντικό δημόσιο συμφέρον, όπως: «για σκοπούς υγειονομικής ασφάλειας, παρακολούθησης και συναγερμού και για την πρόληψη ή τον έλεγχο των μεταδοτικών ασθενειών και άλλων σοβαρών απειλών κατά της υγείας». Έτσι, η πρόληψη των μεταδοτικών ασθενειών αποτελεί κατάλληλο λόγο για τα κράτη μέλη να παρεκκλίνουν από την απαγόρευση του άρθρου 9.

Άρα, τώρα εφαρμόζεται στην Ευρώπη το άρθρο 9.2 (ζ) του GDPR. Για την ιστορία, ο ιρλανδικός εθνικός νόμος περί προστασίας δεδομένων άρθρο 53 αναφέρει: «η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα είναι νόμιμη όταν είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, συμπεριλαμβανομένης της προστασίας από σοβαρές διασυνοριακές απειλές για την υγεία». Ο αντίστοιχος εθνικός βρετανικός νόμος του 2018 προσθέτει μια προειδοποίηση (Πρόγραμμα 1, Μέρος 1, Τμήμα 3): «η επεξεργασία πρέπει να είναι απαραίτητη για λόγους δημόσιου ενδιαφέροντος στον τομέα της δημόσιας υγείας και να διεξάγεται είτε (i) από ή υπό την ευθύνη ενός επαγγελματία υγείας, ή (ii) από άλλο πρόσωπο το οποίο, υπό τις συγκεκριμένες περιστάσεις, έχει υποχρέωση εμπιστευτικότητας βάσει νομοθετικής ρύθμισης ή κανόνα δικαίου». Άρα για το Ηνωμένο Βασίλειο, η ουσιαστική βάση δημοσίου συμφέροντος σε μια τέτοια περίπτωση μπορεί να ζητηθεί μόνο από έναν επαγγελματία υγείας ή από άλλο πρόσωπο με νόμιμες υποχρεώσεις εμπιστευτικότητας. Οι αεροπορικές εταιρείες, για παράδειγμα, μπορεί να μην μπορούν να βασίζονται σε αυτή τη βάση.

Διεθνής μεταφορά

Τέλος, η ανταλλαγή δεδομένων δεν είναι μόνο περιφερειακή ή εθνική, αλλά διασυνοριακή. Αυτό προβλέπεται από τον GDPR στο άρθρο 49.1(στ), το οποίο επιτρέπει τη διεθνή μεταφορά χωρίς άλλο μηχανισμό (τυποποιημένες συμβατικές ρήτρες, επάρκεια κ.λπ.) για την προστασία ζωτικών συμφερόντων. Το άρθρο 49.1(δ) προβλέπει μια παρέκκλιση «δημοσίου συμφέροντος» και η αιτιολογική σκέψη 112 εξηγεί ότι: «Οι εν λόγω παρεκκλίσεις θα πρέπει να εφαρμόζονται ιδίως σε διαβιβάσεις δεδομένων που ζητήθηκαν και είναι αναγκαίες για σημαντικούς λόγους δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών ανταλλαγών δεδομένων μεταξύ αρχών ανταγωνισμού, …, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή δημόσιας υγείας, λόγου χάρη σε περίπτωση ιχνηλάτησης επαφών για τη διαπίστωση μολυσματικών νόσων..».

Έτσι, ο GDPR διαθέτει μηχανισμό που επιτρέπει όχι μόνο μαζική ανταλλαγή προσωπικών δεδομένων για την καταπολέμηση του ιού COVID-19, αλλά και διασυνοριακή ανταλλαγή.

Συμπέρασμα

Ο GDPR θέτει τις προϋποθέσεις για σημαντική διασυνοριακή ανταλλαγή δεδομένων υγείας προσωπικού χαρακτήρα, με βάση το ζωτικό συμφέρον των πολιτών και το δημόσιο συμφέρον. Καθώς εκτυλίσσεται η πρόκληση της διαχείρισης της εξάπλωσης του ιού COVID-19, είναι προφανές ο GDPR φαίνεται να έχει επιτύχει μια πραγματική ισορροπία, επιτρέποντας στα σχετικά μέρη να εκτελούν το έργο τους για την καταπολέμηση της εξάπλωσης του ιού, με παράλληλη εύλογη χρήση των δεδομένων υγείας προσωπικού χαρακτήρα και ελέγχοντας τυχόν καταχρήσεις. Έτσι, οποιοσδήποτε δεν μπορεί να βασιστεί σε αυτές τις νόμιμες βάσεις, θα παραβιάζει το άρθρο 9 εάν επεξεργάζεται δεδομένα υγείας προσωπικού χαρακτήρα. Ας κρατήσουμε ότι η συλλογή δεδομένων προσωπικού χαρακτήρα πρέπει να ακολουθεί τις αρχές της αναγκαιότητας, της νομιμότητας, αντικειμενικότητας και διαφάνειας, του περιορισμού του σκοπού, του περιορισμού της περιόδου αποθήκευσης, της ακεραιότητας και της εμπιστευτικότητας και της ελαχιστοποίησης και όλοι πρέπει να λαμβάνουν τα κατάλληλα τεχνικά κι οργανωτικά μέτρα (όπως η κρυπτογράφηση) για την αποφυγή παραβίασης τους.

Κάθε υγειονομική κρίση τύπου COVID-19 υπόσχεται να παράσχει μερικά πολύ σημαντικά διδάγματα για το ρόλο των δεδομένων υγείας προσωπικού χαρακτήρα, της προστασίας και της ανταλλαγής τους, τα οποία ελπίζουμε ότι θα συμβάλλουν στη βέλτιστη αντιμετώπιση τέτοιων επιδημιών στο μέλλον.