Τον προηγούμενο μήνα μου ανατέθηκε από εταιρία με μεγάλο αριθμό εργαζομένων να ετοιμάσω την νέα πολιτική προστασίας προσωπικών δεδομένων για την καταγραφή του COVID-19 status των εργαζομένων, σύμφωνα με τις νομικές υποχρεώσεις του εργοδότη για εξασφάλιση ενός ασφαλούς και υγιούς εργασιακού περιβάλλοντος. Η εταιρία ήθελε επίσης να ανακοινώνεται στους ίδιους τους εργαζόμενους ποιος είναι και ποιος δεν είναι εμβολιασμένος και για τις περιπτώσεις των ανεμβολίαστων να εξεταστούν μέτρα που θα μπορούσαν να ληφούν για την προστασία των άλλων: εργαζομένων, πελατών, στελεχών, προμηθευτών, επισκεπτών του χώρου της εργασίας.
Αρχικά αναζήτησα ιατρικές πληροφορίες που αφορούσαν κατά πόσον οι εμβολιασμένοι είναι όντως ασφαλέστεροι ή λιγότερο επικίνδυνοι για τους άλλους, αφού είναι γνωστό ότι και αυτοί μπορούν να προσβληθούν, αλλά και να μεταδώσουν τον ιο. Οι μελέτες που εντόπισα ήταν ότι οι πλήρως εμβολιασμένοι μεταδίδουν τον ιό λιγότερο, καθώς έχουν ιικό φορτίο κατά 40% - 60% μικρότερο από τους ανεμβολίαστους, ενώ η δική τους προστασία, ειδικά για την μετάλλαξη Δέλτα, κυμαίνεται από το 62% έως το 95%, ανάλογα με το εμβόλιο. Επομένως, σύμφωνα με τα επιστημονικά στοιχεία, υπάρχει λόγος να γνωρίζει όποιος είναι υποχρεωμένος από υγειονομικές διατάξεις να διασφαλίζει ένα υγιές περιβάλλον εργασίας, με είσοδο στο κοινό, τον COVID-19 status των εργαζόμενων και στελεχών. Άρα, ο σκοπός της συλλογής αυτών των ιατρικών δεδομένων είναι συμβατός με την νομοθεσία και υποχρεωτικός σε έναν βαθμό για τους εργοδότες, προκειμένου να λάβουν τις κατάλληλες αποφάσεις για την κατανομή του ανθρώπινου δυναμικού. Ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή και προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον εργασίας με τη συνδρομή των εργαζομένων και αφετέρου οι εργαζόμενοι ομοίως υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων, αλλά και άλλων ατόμων που επηρεάζονται από τις πράξεις ή παραλείψεις τους, περιλαμβανομένης και της υποχρέωσής τους να αναφέρουν αμέσως τον εργοδότη ή/ και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία (άρθρα 42, 45 και 49 Ν.3850/2010).
Έψαξα για αρκετές μέρες και σε βάθος την διεθνή και ευρωπαϊκή νομική ανάλυση για το ζήτημα αυτό. Βρήκα λοιπόν ότι το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ήδη από τον Μάρτιο του 2020 είχε διακηρύξει ότι η προστασία προσωπικών δεδομένων και η καταπολέμηση της πανδημίας δεν είναι ασύμβατοι στόχοι, αλλά ότι ειδικά στις εργασιακές σχέσεις πρέπει να τηρείται η αρχή της αναλογικότητας. Μάλιστα, το Ε.Σ.Π.Δ., στο ερώτημα: “Μπορεί ένας εργοδότης να ανακοινώσει σε συναδέλφους ή σε εξωτερικούς ότι ένας εργαζόμενος έχει μολυνθεί με COVID-19;” η απάντηση που δίνει είναι: “Οι εργοδότες θα πρέπει να ενημερώνουν το προσωπικό για περιστατικά COVID-19 και να λαμβάνουν προστατευτικά μέτρα, αλλά δεν πρέπει να ανακοινώνουν πληροφορίες που είναι περισσότερες από αυτές που είναι απαραίτητες. Σε περίπτωση που είναι αναγκαίο να ανακοινωθεί το όνομα εργαζομένου (εργαζομένων) που εκτέθηκε στον ιό (π.χ. σε ένα προληπτικό στάδιο) και εφόσον η εθνική νομοθεσία το επιτρέπει, οι εν λόγω εργαζόμενοι ενημερώνονται εκ των προτέρων και η αξιοπρέπεια και ακεραιότητά τους θα πρέπει να προστατεύονται”. Μιλάμε βέβαια για την περίοδο πριν την ανακάλυψη και χρήση των εμβολίων. Αλλά αυτό το παράδειγμα αποτελεί αξιοποιήσιμο στοιχείο και για το θέμα του εμβολιασμού.
Από την άλλη πλευρά, το Συμβούλιο της Ευρώπης εξέδωσε μια κοινή δήλωση τον Μάρτιο του 2021, σχετικά με την επεξεργασία προσωπικών δεδομένων για την αντιμετώπιση της πανδημίας, όπου υποστηρίχθηκε ότι τέτοια μέτρα πρέπει να τηρούν τόσο της Σύσταση 2/2019 των Υπουργών Εξωτερικών για τα δεδομένα υγείας, όσο και την Σύσταση 5/2015 των Υπουργών εξωτερικών για την προστασία δεδομένων στο πλαίσιο της εργασίας.
Λίγο πριν η Ε.Ε. ψηφίσει το Ευρωπαϊκό Πιστοποιητικό Εμβολιασμού ή Νόσησης (το ψηφιακό πιστοποιητικό), γνωμοδότησαν για τα θέματα προσωπικών δεδομένων από κοινού το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων. Το ψηφιακό πιστοποιητικό αφορά αμιγώς τις μετακινήσεις εντός της ΕΕ, από χώρα σε χώρα. Οπότε, η περαιτέρω χρήση του πιστοποιητικού για άλλους σκοπούς είναι προς εξέταση για το κατά πόσον συμβαδίζει με την νομοθεσία. Βέβαια στην γνωμοδότηση αναφέρεται ότι "μια τέτοια περαιτέρω χρήση δεν απαγορεύεται εφόσον συμμορφώνεται με το άρθρο 6 παρ. 4 του Γ.Κ.Π.Δ., δηλαδή την εξέταση της σχέσης μεταξύ του αρχικού και του επιγενόμενου σκοπού, του πλαισίου εντός του οποίου συνελέγησαν τα δεδομένα, την φύση των δεδομένων, τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων και την ύπαρξη κατάλληλων εγγυήσεων (λ.χ. κρυπτογράφηση ή ψευδωνυμοποίηση)." Αν και αυτό το θέμα αφορά ενδεχομένως μόνο τους επισκέπτες από άλλες χώρες, καθως υπάρχει και το εθνικό πιστοποιητικό εμβολιασμού που μπορεί να συλλέγει ο εργοδότης, χωρίς να τον ενδιαφέρει το πράσινο πιστοποιητικό.
Έπειτα, εντόπισα ότι ο GDPR - ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 προβλέπει μεν ότι τα δεδομένα που είναι σχετικά με την υγεία απαγορεύεται να συλλέγονται και να τυγχάνουν επεξεργασίας, αλλά στις προβλεπόμενες εξαιρέσεις περιλαμβάνονται τόσο οι υποχρεώσεις των εργοδοτών βάσει του εργατικού δικαίου, όσο και η συλλογή για λόγους "ουσιαστικού δημοσίου συμφέροντος", στο οποίο περιλαμβάνεται και η δημόσια υγεία. Ακόμη ειδικότερα, ο GDPR έχει διευκρινίσει στον αρ. 46 του Προοιμίου του ότι όταν λέμε "ουσιαστικό δημόσιο συμφέρον"εννοούμε και την "παρακολούθηση επιδημιών και της εξάπλωσής τους". Ο όρος δεν είναι το απλό δημόσιο συμφέρον (για το οποίο υπεύθυνα είναι μόνο τα δημόσια όργανα), αλλά το "ουσιαστικό δημόσιο συμφέρον" που μπορεί να επιδιώκει κι ένας ιδιώτης, όπως ένας εργοδότης. Συνεπώς, η βάση για την δημιουργία ενός νέου αρχείου στις επιχειρήσεις, στο οποίο θα καταγράφεται ο status των εργαζομένων σχετικά με τον εμβολιασμό τους είναι το άρθρο 9 παρ. 2 στοιχεία β' και ζ' του GDPR.
Κομβικό ρόλο βεβαίως παίζει ο ιατρός εργασίας. Αυτός είναι ο μόνος αρμόδιος να τηρεί το νέο αρχείο με τα πιστοποιητικά εμβολιασμού των εργαζομένων και έχει όλες τις υποχρεώσεις για την τήρηση του απορρήτου.
Η εταιρία βέβαια έχει νέες υποχρεώσεις. Αφού ξεκινά μια νέα συλλογή προσωπικών δεδομένων, οφείλει να επικαιροποιήσει το "Αρχείο δραστηριοτήτων επεξεργασιών" του άρθρου 30 GDPR με βάση τα νέα στοιχεία που θα αρχίσει να συλλέγει. Με προβλημάτισε μήπως θα αρκούσε η απλή επίδειξη των πιστοποιητικών και όχι και η αρχειοθέτησή τους από τον εργοδότη. Όμως, ο εργοδότης για να αντεπεξέλθει στην υποχρέωσή του για διασφάλιση υγιούς περιβάλλοντος πρέπει να γνωρίζει και το πότε εμβολιάστηκε ο εργαζόμενος, ώστε να μπορεί να υπολογίσει από πότε αρχίζει η περίοδος των 14 ημερών μετά το εμβόλιο (ανάπτυξη αντισωμάτων), αλλά και μέχρι πότε λήγει και η αντισωματική απάντηση του εργαζομένου μετά τον εμβολιασμό. Αυτό σημαίνει ότι ο εργοδότης πρέπει να τηρεί συγκεκριμένα στοιχεία εμβολιασμού κι όχι απλά να του έχει επιδειχθεί το πιστοποιητικό.
Παράλληλα, η εταιρία οφείλει να ενημερώσει τους εργαζομένους για την υποχρέωσή τους να την ενημερώσουν σχετικά με τον COVID-19 status, υποβάλλοντας τα πιστοποιητικά εμβολιασμού ή νόσησής τους στον ιατρό εργασίας. Αυτό επιβάλλεται από το άρθρο 14 GDPR και ο εργοδότης πρέπει να είναι σε θέση να αποδείξει ότι οι εργαζόμενοι έχουν ενημερωθεί. Συνεπώς, ετοιμάστηκε νέο Privacy Notice που ενημερώνονται οι εργαζόμενοι για την νέα συλλογή των στοιχείων τους από τον ιατρό εργασίας και αντίγραφα με τις υπογραφές τους ότι έλαβαν γνώση οφείλει να τηρεί ο υπεύθυνος επεξεργασίας στο πλαίσιο του καθήκοντός του να αποδείξει ότι όντως τους ενημέρωσε. Ενημερώθηκαν επίσης ότι αν δεν χορηγήσουν τα στοιχεία, ο εργοδότης επιφυλάσσεται να εφαρμόσει τα νόμιμα κατά την εργατική νομοθεσία. Αντίστοιχες προσθήκες περιλήφθηκαν στην γενικότερη πολιτική προστασίας προσωπικών δεδομένων της εταιρίας για την πλήρη ενημέρωση και των εργαζομένων, αλλά και οποιουδήποτε έχει κάποια σχέση με την εταιρία.
Το ακανθώδες θέμα της ενημέρωσης των εργαζομένων περί του εάν κάποιος συνάδελφός τους είναι ανεμβολίαστος θα σήμαινε ότι οι ίδιοι οι εργαζόμενοι θα αποκτούσαν πρόσβαση σε ιατρικά δεδομένα συναδέλφων τους, πράγμα που κατ' αρχήν απαγορεύεται αυστηρότατα. Εδώ χρειάστηκε η γνωμοδότηση του Υπεύθυνου Προστασίας Δεδομένων της εταιρίας, καθώς και η εκπόνηση εκτίμησης αντικτύπου, κατά το άρθρο 35 του GDPR. Οι γενικές ανακοινώσεις "οι τάδε είναι ανεμβολίαστοι", απορρίφθηκαν. Δεν έχει δικαίωμα κάθε εργαζόμενος ή κάθε επισκέπτης να μαθαίνει ποιος ειναι ανεμβολίαστος. Καταλήξαμε πάντως, ότι ένας εργαζόμενος έχει δικαίωμα να ζητήσει από τον ιατρό εργασίας να πληροφορηθεί αν οι συνάδελφοί του που βρίσκονται στον ίδιο χώρο εργασίας, π.χ. στο ίδιο γραφείο ή στον ίδιο όροφο της εταιρίας είναι εμβολιασμένοι. Αυτό είναι ένα ατομικό αίτημα που υποβάλλεται από τον εργαζόμενο στον ιατρό εργασίας και αυτός θα κρίνει ανάλογα με την εγγύτητα αν υπάρχει έννομο συμφέρον του ερωτώντος να μάθει τα στοιχεία του ερωτώμενου. Πάντως, στην ενημέρωση κατά το άρθρο 14, όλοι γνωρίζουν εξ αρχής ότι υπάρχει αυτή η δυνατότητα υποβολής ατομικού ερωτήματος και με βάση την στάθμιση περί εννόμου συμφέροντος (δηλαδή της εγγύτητας) από τον ιατρό εργασίας, μπορεί να χορηγηθούν σχετικά στοιχεία. Νομική βάση της επεξεργασίας αυτής είναι και πάλι το άρθρο 9 παρ. 2 στοιχ. β και ζ, δηλαδή το εργατικό δίκαιο και το ουσιαστικό δημόσιο συμφέρον.
Σε ορισμένες έννομες τάξεις, το πιστοποιητικό εμβολιασμού είναι νομικά εξισωμένο με το πιστοποιητικό νόσησης, καθώς και με την βεβαίωση εξέτασης PCR 72 ωρών. Σε αυτές τις περιπτώσεις, αναγκαστικά ο ανεμβολίαστος με εξέταση PCR αντιμετωπίζεται επί ίσοις όροις με τον εμβολιασμένο ή με τον αποδεδειγμένα νοσήσαντα. Και πάλι όμως, παρά την νομική εξομοίωση, η ιατρική υπεροχή του εμβολίου ως προς τον περιορισμό της μεταδοτικότητας επιτρέπει την χρήση των στοιχείων.
Το παραδοτέο μου ως νομικός σύμβουλος ήταν τέσσερα κείμενα: ένα επεξηγηματικό υπόμνημα που ανέλυα όλες τις παραμέτρους από νομικής απόψεως με τις νέες υποχρεώσεις της εταιρίας, το έγγραφο για την ατομική ενημέρωση κάθε εργαζομένου σχετικά με την νέα συλλογή ιατρικών δεδομένων τους, έγγραφο τροποποίησης της πολιτικής προστασίας προσωπικών δεδομένων που περιλάμβανε τις αναγκαίες προσθήκες και η εκτίμηση αντικτύπου για την δυνατότητα πρόσβασης των ενδιαφερομένων στα δεδομένα συναδέλφων τους σχετικά με τον εμβολιασμό.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου