Της Ευαγγελίας Κουκουμτζή,
Διανύοντας δύο χρόνια σχεδόν «υπό το καθεστώς» της πανδημικής νόσου COVID-19, και με δεδομένο ότι πέρυσι τον χειμώνα ξεκίνησε η εμβολιαστική εκστρατεία με μια σημαντική μερίδα ανθρώπων του πληθυσμού, κυρίως υγειονομικοί και άτομα που ανήκαν σε ευπαθείς ομάδες, να εμβολιάζεται με στόχο, πρωτευόντως, η τυχόν νόσηση από τον ιό να αντιμετωπιστεί από τον οργανισμό όσο το δυνατόν πιο αναίμακτα, αλλά και δευτερευόντως, σε κάθε περίπτωση, να αποφευχθεί η ραγδαία μετάδοση του ιικού φορτίου.
Με τις ανακοινώσεις που έλαβαν χώρα σχετικά με τη νέα κανονικότητα στους εργασιακούς χώρους, στην εστίαση, στο σινεμά, στα θέατρα και με το άνοιγμα των πανεπιστημίων και την, όπως ήταν αναμενόμενο, επιστροφή των φοιτητών στα έδρανα, μετά από ενάμιση χρόνο διαδικτυακής διδασκαλίας, αναμενόμενη ήταν η λήψη κατασταλτικών μέτρων προς αποτροπή της έξαρσης της νόσου.
Πιο συγκεκριμένα, η είσοδος στους παραπάνω χώρους καθίσταται, πλέον, επιτρεπτή υπό ορισμένες προϋποθέσεις, οι οποίες, φυσικά, έγκεινται στην επίδειξη πιστοποιητικού εμβολιασμού, πιστοποιητικού νόσησης ή πιστοποιητικού αρνητικού διαγνωστικού ελέγχου, τα οποία σκανάρονται από την εφαρμογή Covid Free GR, η οποία είναι σχεδιασμένη ακριβώς για αυτόν τον λόγο, για να ελέγχει δηλαδή την εγκυρότητα των παραπάνω εγγράφων μέσω ενός κωδικού QR.
Τίθεται όμως, ευλόγως, το εξής ερώτημα: γίνεται με το σκανάρισμα των κωδικών QR συλλογή των, εν λόγω, δεδομένων της υγείας του εκάστοτε πολίτη και αν η απάντηση είναι καταφατική, κατά πόσο αυτό είναι νόμιμο;
Αφορμή αποτέλεσε μια ανώνυμη απόφαση που εξεδόθη από την Επίτροπο Προστασίας Προσωπικών Δεδομένων της Κυπριακής Δημοκρατίας και η οποία αναφέρεται στη συλλογή και επεξεργασία των προσωπικών δεδομένων από το Τεχνολογικό Πανεπιστήμιο της Κύπρου (ΤΕΠΑΚ) σχετιζόμενων με το πιστοποιητικό εμβολιασμού και το πιστοποιητικό νόσησης από τον COVID-19.
Πιο συγκεκριμένα, έγινε καταγγελία τόσο από τους φοιτητές όσο και από συνδικαλιστικές οργανώσεις εργαζομένων στο Πανεπιστήμιο και υπήρξε αναταραχή σχετικά με τη σκοπιμότητα του ελέγχου της κατοχής των πιστοποιητικών αυτών. Η συλλογή και η επεξεργασία των παραπάνω δεδομένων υγείας και των υπολοίπων δεδομένων προσωπικού χαρακτήρα έλαβε χώρα διαδικτυακά μέσω ηλεκτρονικού εντύπου, το οποίο ανήκει στην πλατφόρμα της κατασκευής ηλεκτρονικών ερωτηματολογίων της εταιρείας LimeSurvey, που έχει ως έδρα τη Γερμανία και λειτουργεί μέσω διαδικτύου. Τόσο η δημιουργία όσο και η επεξεργασία δεδομένων στον χώρο του υπολογιστικού νέφους (cloud), συμπεριλαμβάνονται στις παρεχόμενες υπηρεσίας της εταιρείας.
Αναλυτικότερα, με βάση την απόφαση ανάμεσα στα δεδομένα που τέθηκαν προς συλλογή και, ακολούθως, προς διαχείριση ήταν: ο Α.Δ.Τ., θέση, τμήμα, πιστοποιητικό νόσησης ή εμβολιασμού, καθώς και η ημερομηνία έκδοσής τους. Τα ανωτέρω στοιχεία εμπίπτουν κατά το Άρθρο 4 παρ. 1 του Κανονισμού της Ε.Ε. 2016/679 στην έννοια των «δεδομένων προσωπικού χαρακτήρα». Στα δεδομένα προσωπικού χαρακτήρα συγκαταλέγεται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Ταυτοποιήσιμο είναι το πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας (όπως όνομα), αριθμό ταυτότητας, δεδομένα θέσης, επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Για την επεξεργασία –η οποία αφορά κάθε πράξη που πραγματοποιείται με τη συνδρομή ή χωρίς αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα τέτοιων δεδομένων–, καθορίζεται κάθε φορά κάποιος υπεύθυνος. Ως υπεύθυνος επεξεργασίας, νοείται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων αυτών (Άρθρο 4 παρ. 7, Κανονισμός 2016/679). Η διαγραφή των εν λόγω δεδομένων θα γίνει μετά την παρέλευση ενός έτους.
Τα συμπεράσματα που διεξήχθησαν από την απόφαση, είναι τα ακόλουθα. Αρχικά, η συλλογή και η επεξεργασία των εν λόγω δεδομένων δεν μπορεί να βασίζεται στη συγκατάθεση των υποκειμένων των δεδομένων, λόγω της ετεροβαρούς σύμβασης μεταξύ εργοδότη και εργοδοτουμένου, ενώ η συλλογή και μέσω ηλεκτρονικού εντύπου και η διατήρησή τους σε έντυπη ή ηλεκτρονική μορφή για ένα έτος υπερβαίνει τα όρια του σύννομου και του θεμιτού. Παράλληλα, η επεξεργασία αυτών παραβαίνει τις βασικές αρχές της σύννομης επεξεργασίας των δεδομένων – δηλαδή τις αρχές της νομιμότητας, της αντικειμενικότητας, της διαφάνειας (Άρθρο 5 παρ. 1, Κανονισμός 2016/679). Επιπροσθέτως, αναιρεί τις αρχές της αναγκαιότητας και της αναλογικότητας, υπό την έννοια ότι η επεξεργασία είχε ως απόρροια την υπέρβαση του αναγκαίου μέτρου, καθόσον υπήρχαν εναλλακτικές λύσεις λιγότερο παρεμβατικές (xls files μέσω ενδοδικτύου/Intranet). Ακόμα, η διατήρηση των δεδομένων για τη χρονική περίοδο ενός έτους δεν δικαιολογείται από το Διάταγμα – στο οποίο δεν υφίσταται πρόβλεψη για τη διατήρηση των στοιχείων αυτών.
Εν κατακλείδι, η νέα κανονικότητα είναι εδώ και είναι αδύνατο να την αποφύγουμε. Είναι απαραίτητο, όμως, να νιώθουμε ασφάλεια και σιγουριά πως ο έλεγχος αυτός δεν είναι «παρά ένας έλεγχος ρουτίνας», χωρίς την ύπαρξη ανησυχίας αναφορικά με την παρελκόμενη αποθήκευση και χρήση των προσωπικών μας στοιχείων. Διότι, υποθετικά, σε μια τέτοια καθεστηκυία τάξη, ελλοχεύει ο κίνδυνος της υπονόμευσης του ανθρώπου…
ΕΝΔΕΙΚΤΙΚΕΣ ΠΗΓΕΣ
- “Ανωνυμοποιημένη Απόφαση για συλλογή και επεξεργασία δεδομένων TEPAK – LimeSurvey “, διαθέσιμη εδώ
- “Κανονισμός ΕΕ 2016/679 για την προστασία των φυσικών προσώπων έναντι των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών”, διαθέσιμος εδώ
- “Covid-19 και προσωπικά δεδομένα: Προϋποθέσεις νομιμότητας στη συλλογή δεδομένων εμβολιασμού φοιτητών”, διαθέσιμο εδώ