Το αποτέλεσμα του Covid-19 test ως ευαίσθητο προσωπικό δεδομένο

του Γιώργου Καζολέα, δικηγόρου

Σύμφωνα με το Δίκαιο Προστασίας Προσωπικών Δεδομένων, οι πληροφορίες που συνδέονται με την υγεία ενός ατόμου συνιστούν ευαίσθητα προσωπικά δεδομένα. Στην έννοια των δεδομένων υγείας περιλαμβάνεται κάθε πληροφορία που ανάγεται τόσο στη βιολογική όσο και στην ψυχική κατάσταση υγείας του ανθρώπου. Στα δεδομένα υγείας εμπίπτουν ακόμα τα γενετικά δεδομένα, στο μέτρο που αποκαλύπτουν πληροφορίες σχετικά με την υγεία ή την προδιάθεση για ασθένεια. Τα βιομετρικά δεδομένα, όταν αποκαλύπτουν την ύπαρξη ή την προδιάθεση κάποιας ασθένειας ή αποκαλύπτουν τη γενετική ταυτότητα ενός προσώπου, εμπίπτουν και αυτά στα ευαίσθητα προσωπικά δεδομένα υγείας. Τέλος, τα δεδομένα που τηρούνται στα αρχεία των δωρητών και των ληπτών των ανθρωπίνων ιστών και οργάνων εμπίπτουν και αυτά στα ευαίσθητα προσωπικά δεδομένα[1].

Όπως είναι ευνόητο, ευαίσθητο προσωπικό δεδομένο συνιστά και το αποτέλεσμα κάθε ιατρικής εξέτασης και βιοχημικής ανάλυσης. Η πανδημία του Covid-19 που βρίσκεται σε εξέλιξη από τον Μάρτιο του 2020 φέρνει στη επιφάνεια την κρισιμότητα της διασφάλισης του αποτελέσματος του τεστ για τον κορωνοϊό, ως ευαίσθητο προσωπικό δεδομένο. Η κρισιμότητα αυτή εντείνεται από το γεγονός ότι λόγω των περιστάσεων και των χαρακτηριστικών του συγκεκριμένου ιού, η διενέργεια του συγκεκριμένου τεστ γίνεται με μαζικό τρόπο σε μεγάλο αριθμό ανθρώπων.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, επ’ αφορμής της έξαρσης του covid-19 τόνισε ότι τα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαία για την επίτευξη των επιδιωκόμενων στόχων θα πρέπει να υποβάλλονται σε επεξεργασία για καθορισμένους και ρητούς σκοπούς.

Επιπλέον, τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν σαφείς πληροφορίες σχετικά με τις εκτελούμενες δραστηριότητες επεξεργασίας και τα κύρια χαρακτηριστικά τους, μεταξύ των οποίων η περίοδος διατήρησης των συλλεγέντων δεδομένων και οι σκοποί της επεξεργασίας. Οι παρεχόμενες πληροφορίες θα πρέπει να είναι εύκολα προσβάσιμες και διατυπωμένες με σαφή και απλό τρόπο.

Ιδιαίτερα τονίζει το Συμβούλιο ότι είναι σημαντικό να καθιερωθούν κατάλληλα μέτρα ασφάλειας και πολιτικές εμπιστευτικότητας που να εξασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται σε μη εξουσιοδοτημένα πρόσωπα. Τα μέτρα που εφαρμόζονται για τη διαχείριση της τρέχουσας κατάστασης έκτακτης ανάγκης και η βασική διαδικασία λήψης αποφάσεων θα πρέπει να τεκμηριώνονται δεόντως[2].

Οι χώρες που συλλέγουν προσωπικά δεδομένα ως μέρος της αντιμετώπισης του COVID-19 οφείλουν να συμμορφώνονται με το GDPR και τους δικούς τους σχετικούς νόμους. Ενδεικτικά η Ιταλική Αρχή προστασίας δεδομένων της εξέδωσε ένα διάταγμα που αφορά τη σχέση μεταξύ του GDPR και του COVID-19, την ανάγκη επεξεργασίας ειδικών κατηγοριών προσωπικών δεδομένων καθώς και ότι ορισμένα δικαιώματα προστασίας δεδομένων θα μπορούσαν να ανασταλούν για την καταπολέμηση του ιού. Αντίστοιχα, στη Γαλλία και την Ιρλανδία έχουν δοθεί οδηγίες σχετικά με το χειρισμό προσωπικών δεδομένων στο πλαίσιο αντιμετώπισης του COVID-19.[3]

Σύμφωνα με τον GDPR, τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία θα πρέπει να περιλαμβάνουν όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του υποκειμένου των δεδομένων και τα οποία αποκαλύπτουν πληροφορίες για την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων. Μεταξύ αυτών και πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, μεταξύ άλλων από γενετικά δεδομένα και βιολογικά δείγματα και κάθε πληροφορία, παραδείγματος χάριν, σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, παραδείγματος χάριν, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro[4].

Kατά τον GDPR, η επεξεργασία δεδομένων προσωπικού χαρακτήρα θεωρείται σύννομη όταν είναι αναγκαία για την προστασία συμφέροντος που είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Ορισμένοι τύποι επεξεργασίας μπορούν να χρησιμεύσουν αφενός για σημαντικούς λόγους δημόσιου συμφέροντος και αφετέρου για τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων, όπως, για παράδειγμα, όταν η επεξεργασία είναι απαραίτητη για ανθρωπιστικούς σκοπούς, μεταξύ άλλων για την παρακολούθηση επιδημιών και της εξάπλωσής τους ή σε καταστάσεις επείγουσας ανθρωπιστικής ανάγκης, ιδίως δε σε περιπτώσεις φυσικών και ανθρωπογενών καταστροφών.[5]

Εν προκειμένω, οι Υπεύθυνοι Επεξεργασίας των φορέων (νοσοκομείων, εργαστηρίων κλπ) που διενεργούν τα τεστ για τον κορωνοϊό είναι επιφορτισμένοι για την πιστή τήρηση των παραπάνω υποχρεώσεων που πηγάζουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) και τις αντίστοιχες εθνικές νομοθεσίες.

Σε μια ενδεικτική περίπτωση, η Επίτροπος Προστασίας Δεδομένων της Κύπρου, έκανε συστάσεις σε ιδιωτικό νοσοκομείο κατά τη διερεύνηση παραπόνου που υποβλήθηκε από πολίτες για τον τρόπο με τον οποίο το νοσοκομείο χειρίστηκε τα προσωπικά τους δεδομένα, τα οποία αναγράφονταν στο “Έντυπο διερεύνησης / δήλωσης περιστατικού ύποπτου για λοίμωξη με τον νέο κορωνοϊό (SARS-Cov-2)” και το οποίο αφορούσε δείγμα ασθενή που προέβη στο εν λόγω προ-εγχειρητικό τεστ.

Οι παραπονούμενοι κατήγγειλαν ότι το εν λόγω έντυπο βρέθηκε στα χέρια μη εξουσιοδοτημένων ατόμων που εργάζονται σε διάφορα τμήματα του Νοσοκομείου, συμπεριλαμβανομένου του χειρουργικού τμήματος και ότι οι ίδιοι, αν και άμεσα ενδιαφερόμενοι, δεν είχαν ενημερωθεί κατάλληλα από τον υπεύθυνο επεξεργασίας.

Το Γραφείο Επιτρόπου Προστασίας Δεδομένων διαπίστωσε ότι νοσοκόμος του Χειρουργικού Τμήματος έλαβε γνώση του αποτελέσματος του τεστ, χωρίς να είναι ενδιαφερόμενο μέρος. Σχετικά με το γεγονός αυτό, ο υπεύθυνος επεξεργασίας προέβη σε γραπτή επίπληξη προς το συγκεκριμένο νοσηλευτή.[6]

Από τα παραπάνω προκύπτει η σοβαρότητα με την οποία πρέπει να αντιμετωπίζεται το αποτέλεσμα του τεστ για τον covid19 σε σχέση με το θέμα της διαφύλαξης του ως ευαίσθητου προσωπικού δεδομένου. Η κοινοποίηση του αποτελέσματος σε μη εξουσιοδοτημένα άτομα αποτελεί καταφανή παράβαση του ΓΚΠΔ και σε συνθήκες μάλιστα υπερπροβολής του θέματος της πανδημίας, όπως αυτές που επικρατούν, θα μπορούσε να έχει δυσμενείς συνέπειες στην προσωπικότητα και ηθική υπόσταση του υποβληθέντος στο τεστ ασθενούς.


[1] Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

[2] Δήλωση ΕΣΠΔ σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιδημικής έξαρσης της νόσου COVID-19 (19 Μαρτίου 2020)

[3] Άρθρο της Cathy Cosgrove “COVID-19 response and data protection law in the EU and US” δημοσιευμένο στο iapp.org

[4] GDPR Recital 35

[5] GDPR Recital 46

[6] Γραφείο Επιτρόπου Προστασίας Προσωπικών Δεδομένων Κύπρου

Σχόλια

Top Legal Stories

Πρόστιμο 30.000 ευρώ σε εταιρεία αλουμινίων από την Υπηρεσία Προστασίας Καταναλωτή

Καθίσματα προς αποφυγή παρατεταμένης ορθοστασίας : Περί Ασφάλειας και Υγείας στην Εργασία Τροποποιητικός Νόμος του 2023

Κατάργηση ετήσιου τέλους εταιρειών από το έτος 2024 και μετά

Οκτώ (8) θέσεις Δικηγόρων στη Νομική Υπηρεσία

Νέο Διάταγμα για τον Κατώτατο Μισθό: Στα 1000 ευρώ από 1η Ιανουαρίου 2024