Tax Alert

COVID-19: Πώς να ανταποκριθούν οι ελληνικές επιχειρήσεις σε εναρμόνιση με τον ΓΚΠΔ;

Υπό το φως του Κορωνοϊού («COVID-19»), οι εργοδότες υιοθετούν μέτρα για την πρόληψη ή/και τον περιορισμό της διάδοσης του ιού. Τα μέτρα αυτά μπορούν να περιλαμβάνουν εκτεταμένη συλλογή και επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένων δεδομένων που αφορούν την υγεία. Για το σκοπό αυτό, η προστασία δεδομένων πρέπει να αποτελεί αναπόσπαστο μέρος των μέτρων που λαμβάνονται τόσο από τις επιχειρήσεις όσο και από το κράτος.

Με την εξάπλωση του Κορωνοϊού ("COVID-19"), οι εταιρείες προβαίνουν σε εκτεταμένη συλλογή προσωπικών δεδομένων με σκοπό την πρόληψη ή/και τον περιορισμό του COVID-19 στις επιχειρήσεις τους. Τα εν λόγω μέτρα ενδέχεται να περιλαμβάνουν επεξεργασία τόσο προσωπικών δεδομένων όσο και ειδικών κατηγοριών δεδομένων. Τα πρώτα μπορεί να περιλαμβάνουν καταγραφή πληροφοριών σχετικών με ταξίδια, πληροφορίες σχετικά με συμβάντα που σχετίζονται με τη μόλυνση καθώς και την ιχνηλάτηση επαφών. Τα τελευταία αφορούν δεδομένα σχετικά με την υγεία, όπως εξετάσεις υγείας και καταγραφή συμπτωμάτων. 

Τέτοια δεδομένα δύνανται να συλλέγονται μέσω ερωτηματολογίων, ιατρικών ελέγχων και θερμικών καμερών, ενώ μπορεί να αφορούν εργαζόμενους, συνεργάτες καθώς και επισκέπτες ή / και εκπροσώπους πελατών. Η συμμόρφωση του δημόσιου τομέα με την νομοθεσία προστασίας προσωπικών δεδομένων κατά τη λήψη μέτρων κατά του COVID-19 είναι υποχρεωτική (άρθρο 1 παρ. 3 της Πράξης Νομοθετικού Περιεχομένου της 25.02.2020). Αντίστοιχα, τα μέτρα που λαμβάνονται από τις επιχειρήσεις κατά του COVID-19 απαιτείται να εναρμονίζονται πλήρως με τον ΓΚΠΔ και τον Ελληνικό Νόμο 4624/2019.

Τέτοια δεδομένα μπορούν να συλλέγονται μέσω ερωτηματολογίων, ιατρικών ελέγχων ή και θερμικών καμερών ενώ αφορούν υπαλλήλους, συνεργάτες και τους συγγενείς τους καθώς και επισκέπτες ή/και εκπροσώπους πελατών.

Η συμμόρφωση του δημόσιου τομέα με το νόμο περί προστασίας των δεδομένων κατά την πρόληψη και περιορισμό του COVID-19 ορίζεται ρητά ως νόμιμη απαίτηση στο άρθρο 1 § 3 της Πράξης Νομοθετικού Περιεχομένου της 25.02.2020 (ΦΕΚ Α’ 42/25-02 2020). Κατ’ αντιστοιχία, όλα τα μέτρα έκτακτης ανάγκης, που λαμβάνονται από τις επιχειρήσεις ως απάντηση στον COVID-19, πρέπει να συμμορφώνονται πλήρως με τον ΓΚΠΔ και τον Ελληνικό Νόμο 4624/2019.

1. Νομιμότητα Επεξεργασίας Προσωπικών Δεδομένων από τις Επιχειρήσεις

Ο Ν.3850/2010 προβλέπει την ευθύνη των εργοδοτών στην διασφάλιση της υγείας και της ασφάλειας του προσωπικού τους. Στο πλαίσιο αυτό, και υπό το φως της επιδημίας COVID-19, οι εργοδότες καλούνται να λάβουν τα αναγκαία προληπτικά μέτρα, συμπεριλαμβανομένων και συλλογικών μέτρων προστασίας (άρθρα 42 § 1, 5, 6 και 7 του Ν. 3850/2010). Στο πλαίσιο του τελευταίου νόμου, οι εργοδότες έχουν το δικαίωμα να επεξεργάζονται προσωπικά δεδομένα, σε περίπτωση που η επεξεργασία αυτή είναι αναγκαία για την συμμόρφωσή τους με τις παραπάνω υποχρεώσεις (άρθρο 6 § 1 γ’ ΓΚΠΔ).

Επιπλέον, οι εργοδότες μπορούν νόμιμα να επεξεργάζονται προσωπικά δεδομένα, εφόσον η επεξεργασία αυτή είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσωπικού και των συγγενών τους (άρθρο 6 § 1 δ’ ΓΚΠΔ). Ένα συμφέρον θεωρείται ζωτικό μόνο όταν είναι ουσιώδες για τη ζωή του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. Η παρακολούθηση των επιδημιών συνιστά είδος επεξεργασίας, που μπορεί να εξυπηρετεί τόσο λόγους δημόσιου συμφέροντος όσο και ζωτικά συμφέροντα του υποκειμένου των δεδομένων (σκέψη 46 του ΓΚΠΔ). Δεδομένου ότι τα ποσοστά θνησιμότητας του COVID-19 είναι σχετικά υψηλά, οι εργοδότες μπορούν νομίμως να συλλέγουν και να επεξεργάζονται τα προσωπικά δεδομένα των εργαζομένων τους, ερειδόμενοι στο ότι η επεξεργασία αυτή είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσωπικού τους, αποτρέποντας ή περιορίζοντας την έκθεση των υπαλλήλων τους στο COVID-19. Ωστόσο, η επεξεργασία προσωπικών δεδομένων βασιζόμενη στο ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει καταρχήν να διεξάγεται μόνο όταν η επεξεργασία δεν μπορεί να βασίζεται προφανώς σε άλλη νομική βάση (βλ. σκέψη 46 του ΓΚΠΔ).

Από την άλλη πλευρά, οι εργοδότες δεν δύνανται να επεξεργάζονται προσωπικά δεδομένα για την εκπλήρωση καθηκόντων που εκτελούνται προς το δημόσιο συμφέρον (άρθρο 6 § 1 ε’ του ΓΚΠΔ). Η επεξεργασία αυτή θα πρέπει να ορίζεται ρητά σε νομοθετικές διατάξεις της ΕΕ ή της εθνικής νομοθεσίας, που είναι προσεκτικά σχεδιασμένες ώστε να εξισορροπούν τους σκοπούς δημοσίου συμφέροντος με τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων. Ωστόσο, οι σχετικές με τον COVID-19 πράξεις νομοθετικού περιεχομένου, που έχουν εκδοθεί τις τελευταίες ημέρες, δεν πληρούν τα κριτήρια αυτά.

Σε όλες τις περιπτώσεις, οι εργοδότες υποχρεούνται να συμμορφώνονται με τις γενικές αρχές επεξεργασίας του άρθρου 5 του Κανονισμού, με ιδιαίτερη σημασία στις αρχές της της ελαχιστοποίησης των δεδομένων και του περιορισμού της περιόδου αποθήκευσης.

2. Νομιμότητα Επεξεργασίας Δεδομένων που Αφορούν την Υγεία από τις Επιχειρήσεις 

Όσον αφορά δεδομένα υγείας των εργαζομένων, ισχύουν πολύ πιο αυστηροί κανόνες.

Κατά κανόνα, οι εργοδότες μπορούν νόμιμα να επεξεργάζονται ειδικές κατηγορίες προσωπικών δεδομένων, μόνο εφόσον η επεξεργασία είναι απαραίτητη για την εκτίμηση της ικανότητας προς εργασία ενός εργαζομένου και πραγματοποιείται από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου (άρθρο 9 § 2 η’ του ΓΚΠΔ). Η επεξεργασία αυτή μπορεί να αφορά μόνο συγκεκριμένες περιπτώσεις, όπου υπάρχει ισχυρή υποψία μόλυνσης και μπορεί να διεξάγεται μόνο από τον γιατρό εργασίας ή άλλο επαγγελματία υγείας. Συνεπώς, γενικά μέτρα επεξεργασίας δεδομένων υγείας ως προς όλους τους εργαζομένους, τους συνεργάτες και τους επισκέπτες μίας επιχείρησης, δεν μπορούν να λάβουν χώρα ερειδόμενα σε αυτή την νομική βάση.

Η επεξεργασία ειδικών κατηγοριών δεδομένων για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία από σοβαρές διασυνοριακές απειλές κατά της υγείας, μπορεί επίσης να συντρέχει ως νομική βάση (άρθρο 9 § 2 θ’ του ΓΚΠΔ). Συναφώς, η αιτιολογική σκέψη 52 του Κανονισμού αναφέρει ρητά την πρόληψη ή τον έλεγχο των μεταδοτικών ασθενειών και άλλων σοβαρών απειλών για την υγεία ως συγκεκριμένο παράδειγμα για την επεξεργασία ειδικών κατηγοριών δεδομένων προς το δημόσιο συμφέρον.

Ωστόσο, η επεξεργασία αυτή πρέπει να πραγματοποιείται δυνάμει Ευρωπαϊκής νομοθεσίας ή νομοθεσίας κράτους μέλους, η οποία προβλέπει κατάλληλα και ειδικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, και ιδίως του επαγγελματικού απορρήτου. Όπως αναφέρθηκε και πριν, οι σχετικές με τον COVID-19 πράξεις νομοθετικού περιεχομένου, που έχουν εκδοθεί τις τελευταίες ημέρες, δεν πληρούν αυτά τα κριτήρια.

Ωστόσο, σύμφωνα με το άρθρο 49 παρ. 1 και 2 του Ν.3850/2010, οι εργαζόμενοι έχουν την υποχρέωση να συμμορφώνονται με τους κανόνες περί υγείας και ασφάλειας των επιχειρήσεων και να μεριμνούν τόσο για την υγεία τους όσο και για την υγεία άλλων προσώπων, μεταξύ άλλων αναφέροντας αμέσως στον εργοδότη τους τυχόν συμβάντα, τα οποία ευλόγως θεωρείται ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την υγεία και την ασφάλεια στην εργασία. Ως εκ τούτου, οι εργοδότες μπορούν νόμιμα να επιβάλλουν υποχρεώσεις αναφοράς στους υπαλλήλους σχετικά με υποψίες κρουσμάτων μόλυνσης από τον COVID-19 και να συλλέγουν νομίμως αυτές τις πληροφορίες σύμφωνα με το άρθρο 9 § 2θ του GDPR.

Σε περίπτωση επεξεργασίας δεδομένων υγείας, οι εργοδότες οφείλουν να συμμορφώνονται πλήρως με τις γενικές αρχές επεξεργασίας που αναφέρονται στο άρθρο 5 του Κανονισμού, με ιδιαίτερη προσοχή στις αρχές της ασφάλειας των δεδομένων, της ελαχιστοποίησης των δεδομένων και του περιορισμού της περιόδου αποθήκευσης.

3. Οδηγίες Εποπτικών Αρχών σε Θέματα Προστασίας Δεδομένων στο Πλαίσιο του COVID-19 

Η Γαλλική εποπτική αρχή (CNIL), με την οδηγίες της για τον COVID-19, καλεί τους εργοδότες να απέχουν από τη συστηματική και γενικευμένη συλλογή προσωπικών δεδομένων, εφαρμόζοντας για παράδειγμα, τακτικούς υποχρεωτικούς ελέγχους της θερμοκρασίας του σώματος όλων των εργαζομένων και συνεργατών, σε μια προσπάθεια αναζήτησης και εντοπισμού πιθανών συμπτωμάτων. Εντούτοις, σε περίπτωση περιστατικού μόλυνσης, ο εργοδότης μπορεί να καταγράφει την ημερομηνία και την ταυτότητα του προσώπου που πιθανώς έχει εκτεθεί καθώς και τα αντίστοιχα οργανωτικά μέτρα που έχουν ληφθεί (περιορισμός, τηλεργασία, επικοινωνία με τον γιατρό εργασίας κ.λπ.).

Παρόμοιες οδηγίες έχουν υιοθετηθεί από την Ιταλική εποπτική αρχή («Garante»), η οποία επίσης καλεί τους εργοδότες να αποφεύγουν την γενικευμένη συλλογή δεδομένων υγείας των εργαζομένων ως απάντηση στον COVID-19, υποστηρίζοντας ότι η επεξεργασία αυτή αποτελεί αποκλειστική αρμοδιότητα των επαγγελματιών υγείας και των δημόσιων φορέων που είναι επιφορτισμένοι με καθήκοντα που σχετίζονται με την προστασία της δημόσιας υγείας.

Αντίθετα, ο Γερμανός ομοσπονδιακός Επίτροπος για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφορίας ("BFDI") υιοθέτησε μια πολύ πιο ευέλικτη προσέγγιση στις σχετικές οδηγίες, που εν μέρει δικαιολογείται δυνάμει του γερμανικού εργατικού δικαίου, σύμφωνα με τις οποίες οι εργοδότες μπορούν νόμιμα να επεξεργάζονται προσωπικά δεδομένα (συμπεριλαμβανομένων των δεδομένων για την υγεία), όταν έχει εντοπιστεί περιστατικό μόλυνσης ή εάν το υποκείμενο των δεδομένων έχει έρθει σε επαφή με μολυσμένο άτομο ή το υποκείμενο των δεδομένων έχει επισκεφθεί χώρα υψηλού κινδύνου. Μπορούν επίσης να συλλεχθούν δεδομένα από επισκέπτες για να διαπιστωθεί εάν έχουν μολυνθεί ή έχουν έρθει σε επαφή με ένα μολυσμένο άτομο ή έχουν επισκεφθεί μια χώρα υψηλού κινδύνου.

4. Καλές / Κακές Πρακτικές

Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο χώρο της εργασίας, στο πλαίσιο των μέτρων πρόληψης/περιορισμού που υιοθετούν οι εργοδότες, μπορούν να εξαχθούν τα ακόλουθα συμπεράσματα:

Α. Προσωπικά Δεδομένα

• Η επεξεργασία προσωπικών δεδομένων όλων των εργαζομένων επιτρέπεται στον βαθμό που είναι αναγκαία και αναλογική προς το σκοπό πρόληψης/περιορισμού των μολύνσεων από COVID-19,

• Σε περίπτωση υποψίας μόλυνσης, επιτρέπεται η επεξεργασία δεδομένων συγκεκριμένου υπαλλήλου, στο μέτρο που είναι αναγκαίο για την ιχνηλάτηση των επαφών και την επιβολή μέτρων απομόνωσης ενώ η επεξεργασία προσωπικών δεδομένων που αναφέρονται από τους ίδιους τους υπαλλήλους ενόψει συναφούς υποψίας, είναι επιτρεπτή.

Β. Δεδομένα Υγείας

• Η συστηματική και γενικευμένη επεξεργασία δεδομένων υγείας δεν είναι επιτρεπτή, ενώ η επεξεργασία δεδομένων υγείας επισκεπτών και πελατών κατά κανόνα δεν επιτρέπεται.

• Σε περίπτωση υποψίας μόλυνσης, επιτρέπεται η επεξεργασία δεδομένων υγείας συγκεκριμένου εργαζομένου, με την προϋπόθεση ότι η επεξεργασία αυτή διεξάγεται από επαγγελματία υγείας που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου.

• Η επεξεργασία δεδομένων υγείας που έχουν αναφερθεί από τον ίδιο τον εργαζόμενο, στο πλαίσιο υποψίας μόλυνσης, είναι επιτρεπτή.

5. Check-List Συμμόρφωσης

Υπό το πρίσμα της αρχής της λογοδοσίας και της υποχρέωσης ‘Προστασίας Δεδομένων από τον Σχεδιασμό και εξ Ορισμού’, οι εργοδότες οφείλουν να τηρούν τα ακόλουθα, κατά την εφαρμογή των μέτρων που λαμβάνουν έναντι του COVID-19: 

• Να ζητούν τη γνώμη του Υπευθύνου Προστασίας Δεδομένων ήδη από τον σχεδιασμό των μέτρων, εφόσον αυτός υφίσταται,

• Να σχεδιάζουν τα σχετικά μέτρα σύμφωνα με την Προστασία των Δεδομένων ήδη από τον Σχεδιασμό και εξ Ορισμού,

• Να παρέχουν την απαιτούμενη ενημέρωση στα υποκείμενα των δεδομένων σχετικά με κάθε επιδιωκόμενη επεξεργασία,

• Να σέβονται τα δικαιώματα των Υποκειμένων των Δεδομένων καθ’ όλη την διάρκεια των πράξεων επεξεργασίας,

• Να εφαρμόζουν Εταιρικές Πολιτικές και Διαδικασίες (π.χ. Πολιτική για την υγεία στο χώρο εργασίας κατά την διάρκεια του COVID-19, Σχέδια Επιχειρησιακής Συνέχειας),

• Να διατηρούν εσωτερική τεκμηρίωση αναφορικά με τις νομικές βάσεις των σχεδιαζόμενων μέτρων προστασίας, συμπεριλαμβανομένων των σχετικών ασκήσεων στάθμισης,

• Να εκπονούν Εκτιμήσεις Αντικτύπου για την Προστασία Δεδομένων,

• Να διατηρούν κατάλληλα μέτρα για την ασφάλεια και την εμπιστευτικότητα των δεδομένων.

Η παρούσα νομική ενημέρωση ενδέχεται να τροποποιηθεί λόγω έκδοσης σχετικών Κατευθυντήριων Γραμμών από την Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Πλατής – Αναστασιάδης και Συνεργάτες, Δικηγορική Εταιρεία

Η Δικηγορική Εταιρεία Πλατής – Αναστασιάδης και Συνεργάτες είναι μέλος ενός Εξειδικευμένου Νομικού Δικτύου (EY Law) το οποίο λειτουργεί σε 80+ χώρες παγκοσμίως και αποτελείται από δυναμικό 2000 συνεργατών.

Πιο συγκεκριμένα, είμαστε μία ανεξάρτητη δικηγορική εταιρεία η οποία αποτελείται από 25 δικηγόρους. Η Εταιρεία μας παρέχει νομικές υπηρεσίες υψηλής ποιότητας σε ένα ευρύ πλαίσιο εμπορικών και χρηματοοικονομικών συναλλαγών.

Ιδιαίτερα στη γεωγραφική μας περιφέρεια, έχουμε διαρκή συνεργασία με τις αντίστοιχες δικηγορικές εταιρείες συνεργαζόμενες με την EY, προκειμένου να προσφέρουμε με επαγγελματισμό και συνέπεια υπηρεσίες στους πελάτες μας με διασυνοριακές συναλλαγές.

Η εμπειρία μας, μας επιτρέπει να αντιλαμβανόμαστε καλύτερα τις ανάγκες των πελατών μας και να τους προσφέρουμε ολοκληρωμένες λύσεις που λαμβάνουν υπόψιν τους τομείς της λογιστικής, της φορολογίας και των χρηματοοικονομικών συμβουλευτικών υπηρεσιών.

Η πρακτική που υιοθετείται από τη Δικηγορική Εταιρεία Πλατής – Αναστασιάδης και Συνεργάτες είναι η έμφαση στην εξεύρεση λύσεων. Συνεργαζόμαστε στενά με τους πελάτες μας προκειμένου να υιοθετήσουμε καινοτόμους και πρακτικούς τρόπους αντιμετώπισης των θεμάτων που τους απασχολούν. Βασική προτεραιότητά μας είναι να βοηθήσουμε τους πελάτες μας να επιτύχουν τους επαγγελματικούς τους στόχους. Η πείρα, η αφοσίωση και ο ενθουσιασμός που μας διακρίνει έχουν σαν αποτέλεσμα τη δημιουργία ενός ισχυρού πελατολογίου στο οποίο περιλαμβάνονται εγχώριες και διεθνείς εισηγμένες εταιρείες, εταιρείες Δημοσίου και Ιδιωτικού τομέα και χρηματοπιστωτικά ιδρύματα.

Για περισσότερες πληροφορίες σχετικά με θέματα εργατικού δικαίου, μπορείτε να επικοινωνείτε με τους:

Ειρηνικό Πλατή Partner

Αντώνιο Μπρούμα Manager

στη δικηγορική εταιρεία Πλατής – Αναστασιάδης και Συνεργάτες Τηλ.: +30 210 2886 512 Email: platisanastassiadis@gr.ey.com