Article by lawyers Christina Kampisiouli and Ira Chioni, on the website of the Athens Chamber of Commerce, entitled ” Personal data protection issues in the context of taking preventive measures against Covid-19″ (www.eea.gr, 20 October 2021)

Από την έναρξη της πανδημίας Covid-19, οι επιχειρήσεις βρέθηκαν αντιμέτωπες με πρωτόγνωρες συνθήκες, αλλάζοντας, σε πολλές περιπτώσεις, τον τρόπο λειτουργίας και εσωτερικής οργάνωσής τους. Ένα από τα ζητήματα που ανέκυψε ήδη από την αρχή της πανδημίας ήταν η ανάγκη προστασίας της υγείας των εργαζομένων κατά την εκτέλεση της εργασίας τους, στο πλαίσιο της γενικότερης διασφάλισης της δημόσιας υγείας.

Έκτοτε έχει ληφθεί σε εθνικό επίπεδο μία πληθώρα νομοθετικών μέτρων, τα οποία έχουν ως κύριο άξονα την προστασία του δημοσίου συμφέροντος στον τομέα προστασίας της δημόσιας υγείας. Τα μέτρα αυτά αφορούν τόσο στην υιοθέτηση μέτρων προστασίας ευάλωτων (ευπαθών) ομάδων, τη θέσπιση ποσοστού τηλεργασίας, στην προτροπή (και για ορισμένες κατηγορίες εργαζομένων/ επαγγελματιών υποχρεωτικότητα) προς εμβολιασμό, καθώς και στη διενέργεια αυτοδιαγνωστικών εξετάσεων. Όλα αυτά τα μέτρα επιφόρτισαν τις επιχειρήσεις με νέες υποχρεώσεις, καθώς πλέον καλούνται να παρακολουθούν στενά τις εκάστοτε εκδιδόμενες Κ.Υ.Α. και να προβαίνουν σε ελέγχους των εργαζομένων τους για τη διασφάλιση της υγείας στο χώρο εργασίας.

Στόχος του παρόντος είναι η καταγραφή των βασικών σημείων προσοχής για τις επιχειρήσεις κατά τη διαμόρφωση του εσωτερικού σχεδίου λήψης μέτρων πρόληψης στον εργασιακό χώρο σύμφωνα με τις νομοθετικές ρυθμίσεις που αφορούν στη διαχείριση πληροφοριών σχετικών με την κατάσταση εμβολιασμού/ νόσησης των εργαζομένων, υπό το πρίσμα της εθνικής και ενωσιακής νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα.

Ειδικότερα:

Σύμφωνα με το άρθρο 205 N.4820/2021 «Υποχρέωση επίδειξης πιστοποιητικού ή βεβαίωσης εμβολιασμού ή νόσησης», ορίζεται ότι Οι εργαζόμενοι στον δημόσιο και ιδιωτικό τομέαοι οποίοι έχουν ολοκληρώσει τον εμβολιασμό απέναντι στον κορωνοϊό COVID-19 ή έχουν νοσήσει εντός του τελευταίου εξαμήνου, υποχρεούνται, όπως επιδεικνύουν στον προϊστάμενο της οργανικής μονάδας όπου υπηρετούν ή στον εργοδότη τους, αντίστοιχα: (α) Ψηφιακό Πιστοποιητικό COVID-19, ή (β) βεβαίωση εμβολιασμού, ή (γ) βεβαίωση θετικού διαγνωστικού ελέγχουή ισοδύναμο πιστοποιητικό ή βεβαίωση τρίτης χώρας, εφόσον υφίστανται. Στο άρθρο 206 του ίδιου ως άνω νόμου, προβλέπεται ρητά και η υποχρεωτικότητα εμβολιασμού για συγκεκριμένες κατηγορίες εργαζομένων για επιτακτικούς λόγους προστασίας της δημόσιας υγείας. Στις κατηγορίες αυτές περιλαμβάνονται τα μέλη του προσωπικού των ιδιωτικών, δημοσίων και δημοτικών μονάδων φροντίδας ηλικιωμένων και ατόμων με αναπηρία, καθώς και όλα τα μέλη του προσωπικού (ιατρικού, παραϊατρικού, νοσηλευτικού, διοικητικού και υποστηρικτικού) σε ιδιωτικές, δημόσιες και δημοτικές δομές υγείας.

Το ανωτέρω πιστοποιητικό ή η βεβαίωση ελέγχεται από τον εργοδότη μέσω της ειδικής ηλεκτρονικής εφαρμογής, η οποία αναπτύχθηκε για το σκοπό αυτό και στην οποία δεν αποθηκεύονται ή τηρούνται οποιαδήποτε αντίγραφα των πιστοποιητικών/ βεβαιώσεων. Πιο συγκεκριμένα, οι εργοδότες προβαίνουν στην απολύτως αναγκαία επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στα πιστοποιητικά ή τις βεβαιώσεις για τον σκοπό του ελέγχου της εγκυρότητας, της γνησιότητας και της ακεραιότητας αυτών. Απαγορεύεται, ύστερα από την ολοκλήρωση της διαδικασίας ελέγχου ή επαλήθευσης, η με οποιονδήποτε τρόπο αποθήκευση ή τήρηση αντιγράφων των πιστοποιητικών ή βεβαιώσεων που εμφανίζονται κατά τη σάρωση.

Τα επιμέρους θέματα εφαρμογής του ελέγχου πιστοποιητικών/ βεβαιώσεων αλλά και της διενέργειας των αυτοδιαγνωστικών ελέγχων ρυθμίζονται με τις εβδομαδιαίως εκδιδόμενες Κ.Υ.Α. Σε αυτές προβλέπονται οι κατηγορίες εργαζομένων οι οποίες είναι υπόχρεες σε διενέργεια αυτοδιαγνωστικού ελέγχου (ανά τομέα/ δραστηριότητα), η συχνότητα διενέργειας των αυτοδιαγνωστικών ελέγχων, αλλά και ο τρόπος ελέγχου από τον εργοδότη.

Λαμβάνοντας υπόψη τα ανωτέρω, το Τμήμα Ανθρώπινου Δυναμικού κάθε επιχείρησης δύναται προς διευκόλυνση της συμμόρφωσής του με τις υποχρεώσεις που απορρέουν από την εκάστοτε ισχύουσα νομοθεσία σχετικά με τον περιορισμό της πανδημίας, να τηρεί αρχείο με τους εργαζόμενους που έχουν επιδείξει το ως άνω πιστοποιητικό/βεβαίωση εμβολιασμού/νόσησης, στην οποία θα καταχωρούνται μόνο τα εξής προσωπικά δεδομένα:

  • ο μοναδικός αριθμός εργαζομένου/ID ή, αν δεν υπάρχει τέτοιος αριθμός,
  • το όνομα και το επώνυμό του για λόγους ταυτοποίησης καθώς και
  • η ημερομηνία επίδειξης.

Σημειώνεται ότι η τήρηση του αρχείου είναι προαιρετική για τον ιδιωτικό τομέα και γίνεται για την διευκόλυνση της εργοδότριας επιχείρησης, η οποία ενεργεί τον έλεγχο της εγκυρότητας, της γνησιότητας και της ακεραιότητας των επιδεικνυόμενων πιστοποιητικών/βεβαιώσεων καθώς και των εγγράφων ταυτοπροσωπίας ως Υπεύθυνος Επεξεργασίας.

Εναλλακτικά, ο εργοδότης δύναται να ζητά καθημερινά από τους εργαζόμενους που παρέχουν την εργασία τους με φυσική παρουσία στις εγκαταστάσεις της επιχείρησης την επίδειξη του ως άνω πιστοποιητικού/ βεβαίωσης κατά την είσοδο στο χώρο εργασίας.

Σε κάθε περίπτωση, η τήρηση δεδομένων των εργαζομένων σχετικών με την κατάσταση εμβολιασμού/ νόσησης των εργαζομένων  πρέπει να διενεργείται σύμφωνα με τις ισχύουσες Πολιτικές και Διαδικασίες περί Προστασίας Προσωπικών Δεδομένων της εργοδότριας επιχείρησης και να λαμβάνονται τεχνικά και οργανωτικά μέτρα για τη διαφύλαξη της ακεραιότητας και της ασφάλειας αυτών. Ειδικότερα, σε περίπτωση τήρησης αρχείου εμβολιασμένων/ νοσησάντων, θα πρέπει το εν λόγω αρχείο να τηρείται αποκλειστικά από το Τμήμα Ανθρώπινου Δυναμικού της επιχείρησης και να μην επιτρέπεται πρόσβαση σε αυτό από μη εξουσιοδοτημένα πρόσωπα, τόσο εκτός όσο και εντός της επιχείρησης.

Συμπερασματικά, λόγω της πανδημίας του ιού COVID-19, οι Εργοδότες ως Υπεύθυνοι Επεξεργασίας επεξεργάζονται προσωπικά δεδομένα ειδικών κατηγοριών των εργαζομένων τους. Για το λόγο αυτό, θα πρέπει να υπάρχει ιδιαίτερη προσοχή κατά τις διενεργούμενες επεξεργασίες.

Συγκεκριμένα, συνίσταται οι αρμόδιοι υπάλληλοι του Τμήματος Ανθρώπινου Δυναμικού:

  1. Να εφαρμόζουν αυστηρά τις Πολιτικές και Διαδικασίες Προστασίας Προσωπικών Δεδομένων της επιχείρησης.
  2. Να παρακολουθούν σε συνεργασία με τον DPO τις εκάστοτε ισχύουσες νομοθετικές διατάξεις.
  3. Να επεξεργάζονται μόνο τα απολύτως απαραίτητα προσωπικά δεδομένα των εργαζομένων.
  4. Να τηρούν χωριστά αρχεία με προσωπικά δεδομένα εργαζομένων που αφορούν εμβολιασμό/νόσηση, τα οποία να είναι κρυπτογραφημένα και προσβάσιμα με κωδικό ασφαλείας.
  5. Να μην διαβιβάζουν σε οποιονδήποτε τρίτο εντός και εκτός της επιχείρησης τα ως άνω δεδομένα χωρίς προηγούμενη διαβούλευση με τον DPO.

Για τη «ΝΙΚΟΛΑΣ ΚΑΝΕΛΛΟΠΟΥΛΟΣ – ΧΑΡΑ ΖΕΡΒΑ & ΣΥΝΕΡΓΑΤΕΣ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ»

Ήρα Χιώνη

Senior Counsel – CIPP/E, CIPM

Χριστίνα Καμπισιούλη

Associate – Certified DPO