I. Eισαγωγή
Η είσοδος ατόμων με ανοσία σε συγκεκριμένους χώρους εγείρει το ζήτημα του ελέγχου εγκυρότητας του σχετικού πιστοποιητικού. Η απλή δήλωση ότι κάποιος είναι εμβολιασμένος ή έχει νοσήσει δεν είναι πάντοτε πειστική. Η επίδειξη πιστοποιητικού πρέπει να γίνει κατά τρόπο αξιόπιστο μεν φιλικό δε προς την προστασία δεδομένων. Στο πλαίσιο της παρούσης συμβολής θα συζητηθεί ο σχετικός προβληματισμός περί της διεξαγωγής του ελέγχου εισόδου των κατόχων ψηφιακού πιστοποιητικού covid-19.
II. To κείμενο νομοθετικό πλαίσιο
Στο άρθρο 33 («Διευκολύνσεις ως προς τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης») του ν. 4816/2021[1] προβλέπεται η δημιουργία ειδικής ηλεκτρονικής εφαρμογής, η οποία θα χρησιμοποιείται από τους ιδιοκτήτες, τους νομίμους εκπροσώπους ή τους εξουσιοδοτημένους από αυτούς υπαλλήλους συγκεκριμένων κατηγοριών επιχειρήσεων ή χώρων συναθροίσεως για τον έλεγχο της εγκυρότητας, της γνησιότητας και της ακεραιότητας του Ψηφιακού Πιστοποιητικού COVID-19 και της βεβαιώσεως εμβολιασμού της παρ. 5 του άρθρου 55 του ν. 4764/2020 ή άλλου ισοδύναμου πιστοποιητικού τρίτης χώρας που φέρει το φυσικό πρόσωπο – κάτοχος κατά την είσοδό του στο χώρο.
Συγκεκριμένα,
«1α. Αναπτύσσεται ειδική ηλεκτρονική εφαρμογή για κινητές συσκευές (mobile application) αποκλειστικά προς τον σκοπό της ορθής εφαρμογής των μέτρων που λαμβάνονται δυνάμει της κοινής υπουργικής απόφασης της παρ. 1 του άρθρου τεσσαρακοστού τετάρτου της από 1.5.2020 Πράξης Νομοθετικού Περιεχομένου, η οποία κυρώθηκε με το άρθρο 2 του ν. 4690/2020 (Α’ 104). Η ειδική ηλεκτρονική εφαρμογή λειτουργεί για όσο χρονικό διάστημα εξακολουθεί να υφίσταται άμεσος κίνδυνος δημόσιας υγείας από τη διασπορά του κορωνοϊού COVID-19, η απουσία του οποίου διαπιστώνεται με απόφαση του Υπουργού Υγείας. Μέσω της ανωτέρω εφαρμογής πραγματοποιείται ο έλεγχος της εγκυρότητας, της γνησιότητας και της ακεραιότητας του Ψηφιακού Πιστοποιητικού COVID-19 της Ε.Ε. (EU Digital COVID Certificate – EUDCC) του Κανονισμού (ΕΕ) 2021/953 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Ιουνίου 2021 και του άρθρου πρώτου της από 30.5.2021 Πράξης Νομοθετικού Περιεχομένου (Α’ 87), η οποία κυρώθηκε με το άρθρο 1 του ν. 4806/2021 (Α’ 95) και της βεβαίωσης εμβολιασμού της παρ. 5 του άρθρου 55 του ν. 4764/2020 (Α’ 256) ή ισοδύναμου πιστοποιητικού ή βεβαίωσης τρίτης χώρας, που φέρει το φυσικό πρόσωπο – κάτοχος, διά της σάρωσης του σχετικού κωδικού QR.
1β. Στο ρυθμιστικό πεδίο των μέτρων της παρ. 1α δεν εμπίπτουν οι ανήλικοι, εφόσον, βάσει των κριτηρίων της Εθνικής Επιτροπής Εμβολιασμών, δεν εμπίπτουν σε κατηγορία φυσικών προσώπων προς εμβολιασμό κατά του κορωνοϊού COVID-19.
2α. Η χρήση της ηλεκτρονικής εφαρμογής πραγματοποιείται από τους ιδιοκτήτες ή νομίμους εκπροσώπους και από εξουσιοδοτημένους από αυτούς υπαλλήλους επιχειρήσεων εστίασης, επιχειρήσεων προβολής κινηματογραφικών ταινιών, κέντρων διασκέδασης, επιχειρήσεων διεξαγωγής ζωντανών θεαμάτων και ακροαμάτων, λοιπών παραστατικών τεχνών ή κάθε είδους πολιτιστικών ή αθλητικών ή εορταστικών εκδηλώσεων ή εμπορικών εκθέσεων, οι οποίες: i) στεγάζονται ή διοργανώνονται σε κλειστούς χώρους, ή ii) λειτουργούν ή διοργανώνονται σε υπαίθριους χώρους.
2β. Σε κάθε περίπτωση, τα αρμόδια κρατικά όργανα δύνανται να κάνουν χρήση της εφαρμογής της παρ. 1α για τον έλεγχο της εγκυρότητας, της γνησιότητας και της ακεραιότητας των πιστοποιητικών ή των βεβαιώσεων της ίδιας παραγράφου.
3α. Κατά τη σάρωση του σχετικού κωδικού QR, στην ηλεκτρονική εφαρμογή εμφανίζονται αποκλειστικά τα εξής στοιχεία: i) το ονοματεπώνυμο του φυσικού προσώπου και ii) ένδειξη σχετικά με την εγκυρότητα, γνησιότητα ή ακεραιότητα ή μη του σαρωθέντος πιστοποιητικού ή βεβαίωσης.
3β. Η Εθνική Αρχή Διαφάνειας ορίζεται ως υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα της παρ. 3α, κατά την έννοια της παρ. 7 του άρθρου 4 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 (L 119) (Γενικού Κανονισμού για την Προστασία Δεδομένων – Γ.Κ.Π.Δ.) κατά τη διενέργεια των ελέγχων με χρήση της ανωτέρω εφαρμογής. Οι ιδιοκτήτες ή οι νόμιμοι εκπρόσωποι της παρ. 2α ορίζονται επίσης ως αυτοτελώς υπεύθυνοι επεξεργασίας των ανωτέρω δεδομένων για τον σκοπό του ελέγχου της εγκυρότητας, της γνησιότητας και της ακεραιότητας των πιστοποιητικών ή των βεβαιώσεων της παρ. 1α.
3γ. Η ανώνυμη εταιρεία μη κερδοσκοπικού χαρακτήρα με την επωνυμία «ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΚΟΙΝΩΝΙΚΗΣ ΑΣΦΑΛΙΣΗΣ Ανώνυμη Εταιρεία» και τον διακριτικό τίτλο «Η.ΔΙ.Κ.Α. Α.Ε.» ορίζεται ως εκτελούσα την επεξεργασία, υπό τις προϋποθέσεις του άρθρου 28 του Γ.Κ.Π.Δ. Ως εκτελούσα την επεξεργασία αναλαμβάνει την υποχρέωση λήψης και διαρκούς τήρησης των κατάλληλων και αναγκαίων τεχνικών και οργανωτικών μέτρων ασφάλειας των λαμβανομένων στοιχείων και, κατ’ ελάχιστον, την καταγραφή και παρακολούθηση των προσβάσεων, τη διασφάλιση ιχνηλασιμότητας και την προστασία των διακινούμενων δεδομένων από κάθε παραβίαση, καθώς και από σκόπιμη ή τυχαία απειλή, ενεργώντας σύμφωνα με το ενωσιακό και εθνικό δίκαιο και, ιδίως, σύμφωνα με τον Γ.Κ.Π.Δ. και τον ν. 4624/2019 (Α’ 137). Στο πλαίσιο της ανωτέρω επεξεργασίας η Η.ΔΙ.Κ.Α. Α.Ε. επιφορτίζεται με όλες τις υποχρεώσεις του Γ.Κ.Π.Δ. για τον εκτελούντα την επεξεργασία και ιδίως: α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών της Εθνικής Αρχής Διαφάνειας, ως υπευθύνου επεξεργασίας, β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας, γ) λαμβάνει όλα τα απαιτούμενα μέτρα για τη διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας δυνάμει του άρθρου 32 του Γ.Κ.Π.Δ., δ) δύναται να προσλαμβάνει υποεκτελούντα την επεξεργασία μετά από ενημέρωση της Εθνικής Αρχής Διαφάνειας, ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί την Εθνική Αρχή Διαφάνειας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσής της να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο Κεφάλαιο III του Γ.Κ.Π.Δ. δικαιωμάτων του υποκειμένου των δεδομένων, στ) επικουρεί την Εθνική Αρχή Διαφάνειας, στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 34 του Γ.Κ.Π.Δ., λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει, ζ) θέτει στη διάθεση της Εθνικής Αρχής Διαφάνειας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 του Γ.Κ.Π.Δ., επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από την Εθνική Αρχή Διαφάνειας. Η ανώνυμη εταιρεία του Ελληνικού Δημοσίου με την επωνυμία «ΕΘΝΙΚΟ ΔΙΚΤΥΟ ΥΠΟΔΟΜΩΝ ΤΕΧΝΟΛΟΓΙΑΣ ΚΑΙ ΕΡΕΥΝΑΣ Α.Ε.» και διακριτικό τίτλο «Ε.Δ.Υ.Τ.Ε. Α.Ε.» ορίζεται ως υποεκτελούσα την επεξεργασία για τους σκοπούς εφαρμογής του παρόντος και αναπτύσσει, υλοποιεί και συντηρεί την ειδική ηλεκτρονική εφαρμογή της παρ. 1α. Για τους σκοπούς του παρόντος δύναται να συνάπτεται Μνημόνιο Συνεργασίας μεταξύ του «Ε.Δ.Υ.Τ.Ε. Α.Ε.» και της «Η.ΔΙ.Κ.Α. Α.Ε.», στο οποίο εξειδικεύονται οι μεταξύ τους σχέσεις.
4. Τα πρόσωπα των παρ. 2α και 2β προβαίνουν στην απολύτως αναγκαία επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στα πιστοποιητικά ή τις βεβαιώσεις της παρ. 1α για τον σκοπό του ελέγχου της εγκυρότητας, της γνησιότητας και της ακεραιότητας αυτών. Απαγορεύεται, ύστερα από την ολοκλήρωση της διαδικασίας ελέγχου ή επαλήθευσης, η καθ’ οιονδήποτε τρόπο αποθήκευση ή τήρηση αντιγράφων των πιστοποιητικών ή βεβαιώσεων της παρ. 1α ή των δεδομένων προσωπικού χαρακτήρα που εμφανίζονται κατά τη σάρωση.
5. Με κοινή απόφαση των Υπουργών Εξωτερικών, Προστασίας του Πολίτη, Υγείας, Εσωτερικών και Ψηφιακής Διακυβέρνησης, εξειδικεύονται τα πιστοποιητικά ή οι βεβαιώσεις τρίτων χωρών που μπορούν να αποτελέσουν αντικείμενο σάρωσης σύμφωνα με την παρ. 1α.»
ΙΙΙ. Τα συγκρουόμενα έννομα αγαθά
Η προσέλευση με την επίδειξη πιστοποιητικού σε συγκεκριμένους χώρους απορρέει από την ανάγκη προστασίας της δημόσιας υγείας, της οικονομικής, πολιτιστικής και εκπαιδευτικής δραστηριότητας.[2] Ο μόνος τρόπος για να ανασάνει η δημόσια υγεία, η οικονομική και πολιτιστική δραστηριότητα είναι η δημιουργία τείχους ανοσίας μέσω του μαζικού εμβολιασμού. Ο εν λόγω εμβολιασμός δεν επιβάλλεται δια της βίας. Δεν μετουσιώνεται σε κάποιον που θα μας κυνηγάει με μια βελόνα για να μας εμβολιάσει είτε το θέλουμε είτε όχι.[3] Ωστόσο, όσοι δεν εμβολιάζονται είναι λογικό ως μέλη μιας κοινωνικής ομάδας να υφίστανται κάποιες συνέπειες ή ορθότερα όσοι εμβολιάζονται είναι δίκαιο να ανακτούν γρηγορότερα το πρότερο καθεστώς ελευθερίας τους. Οι μη εμβολιασθέντες είναι αναλογικό να αναμένουν να κοπάσει η πανδημία, προκειμένου να ανακτήσουν την πρότερη ελευθερία τους. Στο πλαίσιο αυτό, είναι συνταγματικά αποδεκτή η δημιουργία «χώρων πρότερης ελευθερίας» αποκλειστικά και μόνο για τους εμβολιασθέντες. Σχετική πιστοποίηση ανοσίας έχουν και οι νοσήσαντες, οι οποίοι μπορούν να φέρουν σχετική βεβαίωση.
Ο σχεδιασμός της προσβάσεως στους σχετικούς χώρους ελευθερίας απαιτεί πολλή προσοχή και περίσκεψη. Δεν θα πρέπει να μετενσαρκωθεί σε διχασμό του πληθυσμού, σε περιττή αποκάλυψη αλλά και επεξεργασία των συνταγματικά κατοχυρωμένων στο άρθρο 9Α Σ προσωπικών του δεδομένων. Είναι χώρος διευκολύνσεως ασκήσεως πρότερων ελευθεριών και όχι χώρος διαφοροποιήσεως. Η προστασία της δημόσιας υγείας πρέπει να έρχεται σε ισορροπία με την προστασία των προσωπικών δεδομένων. Επίσης, η προστασία των προσωπικών δεδομένων δεν θα πρέπει να στέκεται τροχοπέδη στην προστασία της δημόσιας υγείας.[4] Η προστασία των δεδομένων προσωπικού χαρακτήρα επιτυγχάνεται εάν πληρούνται οι βασικές προϋποθέσεις επεξεργασίας δεδομένων, που ορίζονται στο άρθρο 5 και 6 ΓΚΠΔ. Οι αρχές αυτές[5] συνοψίζονται στην αρχή της νομιμότητας (τα προσωπικά δεδομένα πρέπει να αποκτηθούν με νόμιμο και θεμιτό τρόπο), της διαφάνειας (το υποκείμενο των δεδομένων πρέπει να γνωρίζει αν και ποια προσωπικά δεδομένα τηρούνται για αυτό), της ελαχιστοποιήσεως των δεδομένων (τα προσωπικά δεδομένα πρέπει να είναι κατάλληλα, σχετικά και όχι περισσότερα απ’ ό,τι επιβάλλει ο σκοπός που δικαιολογεί την επεξεργασία τους, π.χ. στην περίπτωση του ψηφιακού πιστοποιητικού αρκεί η ένδειξη «ΝΑΙ» ή «ΟΧΙ» και είναι περιττό να αναγράφεται αν νόσησε ή αν εμβολιάστηκε και με ποιο εμβόλιο), του σκοπού της επεξεργασίας (τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία και τηρούνται με νόμιμο και θεμιτό τρόπο μόνο για περιορισμένους, σαφώς προσδιορισμένους και νόμιμους σκοπούς, μόνο δηλαδή για τον σκοπό της εισόδου σε έναν χώρο), του χρονικού περιορισμού (τα προσωπικά δεδομένα δεν μπορεί να τηρούνται περισσότερο από τον αναγκαίο χρόνο, μόνον για τον προκαθορισμένο σκοπό της πανδημίας), της ακρίβειας (τα προσωπικά δεδομένα πρέπει να είναι ακριβή και να ενημερώνονται τακτικά), της ακεραιότητας (λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας, προκειμένου να αποφεύγονταιμη εξουσιοδοτημένες προσβάσεις, αλλαγές, διαρροές προσωπικών δεδομένων και τυχαία απώλεια, καταστροφή φθορά αυτών).
Εν προκειμένω, σημειώνεται ότι ο απλός έλεγχος των προϋποθέσεων εισόδου δεν συνιστά επεξεργασία προσωπικών δεδομένων που εμπίπτει στον πεδίο εφαρμογής του ΓΚΠΔ, καθώς οι πληροφορίες δεν καταχωρίζονται σε σύστημα αρχειοθετήσεως, υπό την έννοια του άρθρου 4 παρ. 6 του ΓΚΠΔ. Όμως, ακόμα και αν τα δεδομένα δεν αρχειοθετούνται, τυγχάνει εφαρμογής η νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα λόγω της συνδρομής της αυτοματοποιημένης επεξεργασίας των δεδομένων, δυνάμει του άρθρου 2 παρ. 1 ΓΚΠΔ.
Η υποχρεωτικότητα του εμβολιασμού και εν προκειμένω της εισόδου με πιστοποιητικό θέτει το ερώτημα εάν παραβιάζεται η αρχή της ισότητας, καθώς αυτοί που θα εμβολιασθούν ή θα έχουν νοσήσει θα τυγχάνουν διαφορετικής μεταχειρίσεως από τους ανεμβολίαστους ή μη νοσήσαντες. Εγείρεται ζήτημα ισότητας ανάμεσα σε εμβολιασμένους ή νοσήσαντες πολίτες που απολαμβάνουν κάποιες ελευθερίες, π.χ. είσοδο σε γυμναστήρια, θέατρα, κινηματογράφους, έναντι των ανεμβολίαστων ή μη νοσησάντων που θα πρέπει να αποδείξουν ότι δεν είναι φορείς μεταδοτικού ιού. Ο διαχωρισμός των πολιτών σε εμβολιασμένους και μη και σε νοσήσαντες και μη συνιστά διάκριση, επιφέρει εν τοις πράγμασι εμπόδια στην απόλαυση δικαιωμάτων σε ποικίλους τομείς και θέτει υπό δοκιμασία την αρχή της ισότητας, η οποία τόσο σε εθνικό όσο και υπερεθνικό επίπεδο επιτάσσει όμοια μεταχείριση ομοίων καταστάσεων και ανόμοια των ανομοίων, εκτός κι αν η διάκριση δικαιολογείται με αντικειμενικά κριτήρια. Σύμφωνα με την απόφαση 583/2008 του ΣτΕ, «ο κοινός νομοθέτης ή η κατ’ εξουσιοδότηση νομοθετούσα διοίκηση μπορεί βέβαια να ρυθμίζει με ενιαίο ή διαφορετικό τρόπο τις ποικίλες πραγματικές ή προσωπικές καταστάσεις και σχέσεις, λαμβάνοντας υπ’ όψη τις υφιστάμενες κοινωνικές, οικονομικές, επαγγελματικές ή άλλες συνθήκες, που συνδέονται με κάθε μία από τις καταστάσεις ή σχέσεις αυτές και στηριζόμενη σε γενικά και αντικειμενικά κριτήρια που βρίσκονται σε συνάφεια με το αντικείμενο της ρυθμίσεως, για την οποία εκάστοτε πρόκειται, πρέπει όμως, κατά την επιλογή των διαφόρων τρόπων ρυθμίσεως, να κινείται μέσα στα όρια που διαγράφονται από την αρχή της ισότητας, τα οποία αποκλείουν την έκδηλη και αδικαιολόγητη άνιση μεταχείριση, όπως είναι ο αυθαίρετος περιορισμός δικαιωμάτων κατ’ εξαίρεση του υφισταμένου γενικότερου κανόνα». Εν προκειμένω, κρίνεται ότι η διάκριση ανάμεσα σε εμβολιασμένους και ανεμβολίαστους και νοσήσαντες και μη νοσήσαντες δεν είναι αδικαιολόγητη σε περίπτωση πανδημίας. Στηρίζεται σε αντικειμενικά γεγονότα που δύνανται να επιφέρουν διαφοροποιήσεις ως προς το επιτρεπτό λ.χ. της προσβάσεως σε ειδικούς χώρους.
ΙV. Η σχετική θέση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
Το Υπουργείο Ψηφιακής Διακυβερνήσεως διαβίβασε στην Αρχή σχέδιο διατάξεων με τίτλο «Διευκολύνσεις ως προς τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης», αναφορικά με τη χρήση ειδικής ηλεκτρονικής εφαρμογής σε κινητές συσκευές, μέσω της οποίας θα πραγματοποιείται «ο έλεγχος της εγκυρότητας, της γνησιότητας και της ακεραιότητας του Ψηφιακού Πιστοποιητικού COVID-19 της Ε.Ε. (EU Digital COVID Certificate – EUDCC) του Κανονισμού (ΕΕ) 2021/953 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Ιουνίου 2021 και της από 30.5.2021 Πράξης Νομοθετικού Περιεχομένου (Α’ 87), η οποία κυρώθηκε με το άρθρο 1 του ν. 4806/2021 (Α΄ 95) ή ισοδύναμου πιστοποιητικού ή βεβαίωσης τρίτης χώρας, που φέρει το φυσικό πρόσωπο – κάτοχος, διά της σάρωσης του σχετικού κωδικού QR».
Η Αρχή εξέδωσε τη Γνωμοδότηση 2/2021 βάσει των αρμοδιοτήτων της δυνάμει των διατάξεων των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α ́ 137).
Οι βασικές θέσεις της Αρχής αποτυπώνουν στην πράξη τις θεμελιώδεις αρχές επεξεργασίας δεδομένων. Συγκεκριμένα, η χρήση του πιστοποιητικού πρέπει να περιορισθεί χρονικώς ως έκτακτο μέτρο για όσο χρονικό διάστημα μόνο διαρκεί η πανδημία. Περαιτέρω, η Αρχή επισημαίνει ότι η παράθεση των περιπτώσεων χρήσεως της εφαρμογής είναι ευρεία, αφού δεν συγκεκριμενοποιεί τις συνθήκες και τις προϋποθέσεις χρήσεως της, ούτε τον τρόπο με τον οποίο οι χρήστες της εφαρμογής θα προβαίνουν σε δήλωση ότι θα την χρησιμοποιούν και με βάση ποια διάταξη. Για παράδειγμα, υπάρχει μια γενική αναφορά σε υπαίθριους χώρους χωρίς να προσδιορίζονται κριτήρια για τη χρήση της εφαρμογής. Η περιπτωσιολογική αναφορά που συνιστά η Αρχή φαίνεται εκ πρώτης όψεως επιθυμητή, καθώς θα δημιουργήσει ασφάλεια δικαίου, επισείει όμως τον κίνδυνο να μην είναι εφικτή η πλήρης κάλυψη όλων των περιπτώσεων.
Σύμφωνα με την Αρχή, πρέπει να οριστούν επαρκώς και σαφώς οι διαδικασίες και ο τρόπος δηλώσεως των χρηστών ανάλογα με την κατηγορία στην οποία εμπίπτουν, καθώς επίσης και ο τρόπος λήψεως και χρήσεως της εφαρμογής. Αυτό που έχει σημασία δεν είναι αν κάποιος έχει εμβολιαστεί ή όχι, αλλά αν είναι επικίνδυνος προς μετάδοση. Ως εκ τούτου, η επαλήθευση των πιστοποιητικών μέσω της εφαρμογής θα πρέπει να οδηγεί σε ένα αποτέλεσμα της μορφής «ναι/όχι» (π.χ. πράσινο ή κόκκινο χρώμα), επιπλέον της ταυτότητας του κατόχου τους, έτσι ώστε να εξάγεται η πληροφορία αν ο πολίτης που εισέρχεται σε ένα χώρο είναι «υγειονομικά ασφαλής», χωρίς όμως να αποκαλύπτονται ειδικότερες πληροφορίες σχετικά με το εάν έχει εμβολιαστεί, έκανε τεστ ή έχει νοσήσει προηγουμένως από λοίμωξη με COVID-19. Η θέση αυτή συνιστά ορθή αποτύπωση της αρχής της ελαχιστοποιήσεως των δεδομένων.
Η Αρχή εγείρει ζήτημα αναφορικά με τον ορισμό του Υπουργείου Υγείας και της Γενικής Γραμματείας Πολιτικής Προστασίας ως αυτοτελώς Υπευθύνων Επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας. Σύμφωνα με την Αρχή, δεν παρέχονται επαρκή στοιχεία που να διασαφηνίζουν τον λόγο για τον οποίο ορίζονται το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας ως υπεύθυνοι επεξεργασίας, αφού τα δεδομένα αφορούν στο αποτέλεσμα από τον τρόπο λειτουργίας της εφαρμογής μόνο. Εξάλλου, δεν προσδιορίζεται με ποιο τρόπο και για ποια επεξεργασία το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας καθορίζουν το σκοπό και τα μέσα της επεξεργασίας, καθώς επίσης και ποιος ο ρόλος τους στην άσκηση των δικαιωμάτων των υποκειμένων, ώστε να δικαιολογείται ο χαρακτηρισμός τους ως αυτοτελώς Υπευθύνων Επεξεργασίας. Προβληματισμός υπάρχει επίσης εκ μέρους της Αρχής για τον ορισμό των ιδιοκτητών και διοργανωτών ως αυτοτελών Υπευθύνων Επεξεργασίας για τον σκοπό του ελέγχου της εγκυρότητας, της γνησιότητας και της ακεραιότητας των πιστοποιητικών ή των βεβαιώσεων. Όσον αφορά τη συμμόρφωση με τις υποχρεώσεις διαφάνειας, οι εν λόγω υπεύθυνοι επεξεργασίας δεδομένων πρέπει να παρέχουν στους ενδιαφερόμενους κατάλληλες πληροφορίες, σύμφωνα με τα άρθρα 12 και 13 του ΓΚΠΔ. Οι πληροφορίες, κατανοητές από όσο το δυνατόν περισσότερα άτομα, θα πρέπει ιδίως να είναι διαθέσιμες το νωρίτερο δυνατό πριν από την επαλήθευση (για παράδειγμα, σε ιστότοπους κρατήσεων συναυλιών κ.λπ.) και να τοποθετούνται σε θέσεις προσβάσιμες και ορατές κατά την πρόσβαση στον τόπο, την εγκατάσταση ή εκδήλωση που αφορά η επεξεργασία. Προκειμένου να διασφαλιστεί η συνοχή και η συμμόρφωση αυτών των ενημερωτικών μέτρων με τα άρθρα 12 και 13 του ΓΚΠΔ, η Αρχή συστήνει να διατίθενται από την κυβέρνηση υποδείγματα πληροφοριών στους ενδιαφερόμενους επαγγελματίες. Ορθότερο είναι οι ιδιοκτήτες να μην είναι υπεύθυνοι επεξεργασίας και η όλη ευθύνη να υπάγεται στην Εθνική Αρχή Διαφάνειας.
Η Αρχή σχολιάζει τον ορισμό της Η.ΔΙ.Κ.Α. Α.Ε. ως εκτελούσας την επεξεργασία, ενώ η ίδια έχει οριστεί ως υπεύθυνος επεξεργασίας για το ψηφιακό πιστοποιητικό, σύμφωνα με τη σχετική Πράξη Νομοθετικού Περιεχομένου (ΦΕΚ Α’87/30.05.2021) που κυρώθηκε με το ν. 4806/2021 (ΦΕΚ Α΄95/10.6.2021).[6] Επίσης η «Ε.Δ.Υ.Τ.Ε. Α.Ε.» ορίζεται ως υποεκτελούσα την επεξεργασία για τους σκοπούς εφαρμογής του παρόντος και αναπτύσσει την ειδική ηλεκτρονική εφαρμογή της παρ. 1. Δεδομένου ότι η ανάπτυξη εφαρμογής δεν συνιστά επεξεργασία προσωπικών δεδομένων, είναι σκόπιμο να προσδιοριστεί ο ρόλος της «Ε.Δ.Υ.Τ.Ε. Α.Ε.» στην όλη λειτουργία της εφαρμογής, καθώς και τυχόν επεξεργασία προσωπικών δεδομένων που της έχει ανατεθεί. Επίσης θα πρέπει η εκτέλεση επεξεργασίας να καλύπτεται από απαραίτητες συμβάσεις, ή έστω από μνημόνια συνεργασίας, στις οποίες θα προβλέπονται οι κατάλληλες εγγυήσεις για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων (όπως αναφέρεται και στη Σκέψη 78 του ΓΚΠΔ, «κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπ’ όψιν τους το δικαίωμα προστασίας των δεδομένων, κατά την ανάπτυξη και τον σχεδιασμό τέτοιων προϊόντων, υπηρεσιών και εφαρμογών, ώστε, λαμβανομένων υπ’ όψιν των τελευταίων εξελίξεων, να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων»). Στο σημείο αυτό θα πρέπει να σημειωθεί ότι δεν είναι ασυνεπής ο ορισμός της Η.ΔΙ.Κ.Α. Α.Ε. ως εκτελούσας για άλλο σκοπό επεξεργασίας. Υπεύθυνη επεξεργασίας ήταν για το ψηφιακό πιστοποιητικό. Ζήτημα, ωστόσο, θέτει η νομοθετική δυνατότητα συνάψεως μνημονίου συνεργασίας μεταξύ «ΕΘΝΙΚΟΥ ΔΙΚΤΥΟΥ ΥΠΟΔΟΜΩΝ ΤΕΧΝΟΛΟΓΙΑΣ ΚΑΙ ΕΡΕΥΝΑΣ Α.Ε.» (Ε.Δ.Υ.Τ.Ε. Α.Ε.) και της Η.ΔΙ.Κ.Α. Α.Ε. και όχι η αναγκαιότητα, βάσει του άρθρου 28 Γ.Κ.Π.Δ..
Η Αρχή σχολιάζει τη μη πρόβλεψη για έκδοση κανονιστικής πράξεως που θα προσδιορίζει τα τεχνικά και οργανωτικά μέτρα για τη λειτουργία της σαρώσεως μετά από κοινή απόφαση των Υπουργών Εξωτερικών, Προστασίας του Πολίτη, Υγείας και Ψηφιακής Διακυβέρνησης και τη μη πρόβλεψη για τη διενέργεια της απαιτούμενης – σύμφωνα με το άρθρο 35 παρ. 3 του ΓΚΠΔ, αλλά και σύμφωνα με την υπ’ αριθμ. 65/2018 Απόφαση της Αρχής – διενέργεια εκτιμήσεως αντικτύπου στην προστασία προσωπικών δεδομένων (ΕΑΠΔ). Επίσης, δεν έχουν κοινοποιηθεί στην Αρχή οι τελικές τεχνικές και λειτουργικές προδιαγραφές της εφαρμογής που απαιτούνται ώστε ο Υπεύθυνος Επεξεργασίας να τεκμηριώσει και η Αρχή να κρίνει την επάρκεια των εφαρμοζόμενων μέτρων όσον αφορά την τήρηση των αρχών στην προστασία προσωπικών δεδομένων, όπως είναι η νομιμότητα, αναλογικότητα, ασφάλεια, ελαχιστοποίηση, προστασία δεδομένων εκ σχεδιασμού και εξ ορισμού. Πρέπει, επίσης, να ληφθεί υπ’ όψιν ότι η χρήση «έξυπνων» εφαρμογών εγείρει διάφορα ζητήματα ιδιωτικότητας αν δεν ληφθούν εγκαίρως κατάλληλα μέτρα κατά την ανάπτυξή τους, όπως για παράδειγμα ο κίνδυνος διαρροής δεδομένων σε τρίτα μέλη (third parties) αν χρησιμοποιηθούν έτοιμες βιβλιοθήκες κώδικα τρίτων μελών. Η ΕΑΠΔ θα πρέπει να απαριθμήσει τα τεχνικά και οργανωτικά μέτρα που σχεδιάστηκαν για την ελαχιστοποίηση των εντοπισθέντων κινδύνων. Οι κίνδυνοι που απορρέουν από τη δόλια έκδοση, την παράνομη χρήση ή ακόμη και την παραποίηση των ψηφιακών στοιχείων που περιέχονται στα πιστοποιητικά θα πρέπει να ληφθούν υπ’ όψιν στην ανάλυση, εάν αυτοί οι κίνδυνοι έχουν αντίκτυπο σχετικά με τα δικαιώματα και τις ελευθερίες των ατόμων που επιθυμούν να έχουν πρόσβαση σε τόπους, εγκαταστάσεις ή εκδηλώσεις, που η πρόσβαση υπόκειται σε έλεγχο ως προς την υγειονομική τους κατάσταση. Σκόπιμο είναι επίσης, για λόγους διαφάνειας και προκειμένου να ενισχυθεί η εμπιστοσύνη των πολιτών, η εν λόγω εφαρμογή να είναι ανοιχτού κώδικα (open source). Στο σημείο αυτό, η Αρχή τονίζει τη σημασία εκπονήσεως μελέτης εκτιμήσεως αντικτύπου, η οποία είναι εξαιρετικά αναγκαία για τον σχεδιασμό αυτών των εφαρμογών.
V. Παρατηρήσεις
Η πρόβλεψη εισόδου σε συγκεκριμένους χώρους κατόπιν επιδείξεως πιστοποιητικού κρίνεται αναγκαία για όσο χρονικό διάστημα μαστιζόμαστε από την πανδημία. Ο χρονικός αυτός περιορισμός πρέπει να τονισθεί μετ’ επιτάσεως, προκειμένου η εξαιρετικότητα να μη λάβει τον μανδύα της κανονικότητας.[7] Πρόκειται εν τοις πράγμασι για χώρους απολαύσεως πρότερης ελευθερίας. Η απλή επίδειξη του πιστοποιητικού, καίτοι είναι φιλική προς την προστασία δεδομένων, εγείρει ιδίως σε περίοδο πανδημίας ζητήματα εγκυρότητας του πιστοποιητικού. Ως εκ τούτου, καίτοι ελλοχεύει κινδύνους για την προστασία των προσωπικών δεδομένων, σε μια περίοδο πανδημίας, φαίνεται αναγκαίος ο ψηφιακός έλεγχος. Ο ψηφιακός όμως έλεγχος δεν είναι άμοιρος προβληματισμού.
Η επεξεργασία πρέπει να γίνεται αποκλειστικά και μόνο για τον σκοπό της εισόδου και τα δεδομένα δεν πρέπει να καταχωρίζονται σε βάση. Ζητούμενο δεν είναι αν κάποιος εμβολιάστηκε, αν είναι αρνητής του εμβολίου ή του κορωνοϊού, αλλά αν είναι επικίνδυνος προς μετάδοση. Ως εκ τούτου, η αρχή της ελαχιστοποιήσεως επιτάσσει την ένδειξη «ΝΑΙ» ή «ΟΧΙ» χωρίς τη χορήγηση άλλης πληροφορίας. Τέλος, φιλικότερη προς την προστασία δεδομένων θα ήταν η αυτόματη διαγραφή των δεδομένων άμα τη εισόδω του υποκειμένου σε συγκεκριμένο χώρο. Αν η είσοδος δεν επιτραπεί, τα δεδομένα θα μπορούσαν να αποθηκευτούν για εύλογο χρονικό διάστημα, προκειμένου το υποκείμενο να ασκήσει τα νόμιμα δικαιώματα του. Οι ιδιοκτήτες των χώρων δεν θα πρέπει να έχουν πρόσβαση στα δεδομένα.
Αυτό που είναι άξιο συζητήσεως είναι η πρακτική δυνατότητα του απλού πολίτη, ανεξαρτήτως φορολογικού Κωδικού Ασκήσεως Δραστηριότητας (ΚΑΔ), να εγκαθιστά την εφαρμογή στην έξυπνη συσκευή του. Με τον τρόπο αυτό ο απλός πολίτης δύναται να γίνει ελεγκτής των πάντων. Για να έλθει κάποιος στο σπίτι μου θα μπορώ να τον ελέγξω αν είναι επικίνδυνος προς μετάδοση. Ο έλεγχος θα γίνεται με τη συγκατάθεσή του εισερχομένου, ο οποίος θα επιδεικνύει το πιστοποιητικό του στην εφαρμογή του ιδιώτη. Εύλογα ανακύπτει το ερώτημα αν ο ιδιώτης έχει αρμοδιότητα να ελέγχει ιδιώτη. Μπορεί αυτού του είδους ο έλεγχος να οδηγήσει σε καταχρήσεις; Η ιδέα εκ πρώτης όψεως μπορεί να προκαλεί εύλογο προβληματισμό, ωστόσο, δεν θα πρέπει να παραγνωρίσουμε το γεγονός ότι ο καθένας έχει τη δυνατότητα να ελέγχει τον χώρο δράσεώς του. Επίσης, δεν πρέπει να διαλάθει της προσοχής μας ότι αυτή η δυνατότητα – ξένη ενδεχομένως προς τις εσωτερικές μας συνήθειες – δεν είναι ελληνικός νεωτερισμός. Προβλέπεται βάσει του Ευρωπαϊκού Κανονισμού 2021/953 της 14/06/2021. Δεν λύνεται το ζήτημα αν η Ελλάδα αποφασίσει να ακολουθήσει έναν μοναχικό δρόμο απαγορεύοντας τη δυνατότητα αυτή. Οι έντονες απαγορεύσεις και οι διαφοροποιήσεις από την ευρωπαϊκή επιλογή δεν οδηγούν πάντοτε στις βέλτιστες εγγυήσεις. Ο έλεγχος, εξάλλου, λαμβάνει χώρα με τη συγκατάθεση του εισερχομένου, ο οποίος μπορεί να δηλώσει ότι δεν θέλει να ελεγχθεί και δεν θέλει να μπει στο σπίτι μου, το μαγαζί μου, το εστιατόριό μου κ.ο.κ.. Αντίστοιχα, θα μπορούσα να ζητήσω από τον εισερχόμενο στο σπίτι μου τη διεξαγωγή αυτοδιαγνωστικής εξετάσεως. Εάν ο επισκέπτης τη θεωρεί υποτιμητική, μπορεί να μην προσέλθει. Δεν είναι παράλογο να θέλω στον χώρο μου να εισέλθουν μόνον υγειονομικά ασφαλείς προσκεκλημένοι. Εκεί που θα πρέπει να αποδοθεί η δέουσα προσοχή είναι οι ιδιώτες να μη φέρουν την ιδιότητα του υπευθύνου προστασίας δεδομένων, να μην επεξεργάζονται δεδομένα, διότι δεν έχουν τα κατάλληλα εχέγγυα προστασίας τους. Σε αυτόν τον τομέα πρέπει να δώσει ιδιαίτερη έμφαση η διενεργηθείσα μελέτη εκτιμήσεως αντικτύπου της σχετικής εφαρμογής.
Φερενίκη Παναγοπούλου-Κουτνατζή
Επίκουρη Καθηγήτρια Παντείου Πανεπιστημίου
Δ.Ν. (Humboldt), Μ.Δ.Ε. (Ε.Κ.Π.Α.), Μ.P.H. (Harvard)
Υποσημειώσεις:
[1] Ν. 4816/2021, Πρόληψη και καταστολή της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας – Τροποποίηση του ν. 4557/2018 – Ενσωμάτωση της Οδηγίας (ΕΕ) 2018/1673 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, σχετικά με την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες μέσω του ποινικού δικαίου, επιτάχυνση της απονομής της δικαιοσύνης και άλλες επείγουσες διατάξεις.
[2] Για την προστασία της δημόσιας υγείας ως έκφνανση προστασίας του δημοσίου συμφέροντος βλ. Φερενίκη Παναγοπούλου-Κουτνατζή, H προστασία προσωπικών δεδομένων σε περίοδο πανδημίας, constitutionalism, 28.3.2020, διαθέσιμο σε: https://www.constitutionalism.gr/wpcontent/uploads/2020/03/2020.03.28_Panagopoulou_privacycoronavirus.pdf =.
[3] Βλ. Φερενίκη Παναγοπούλου-Κουτνατζή, Η νεοσυσταθείσα Εθνική Επιτροπή Βιοηθικής και Τεχνοηθικής και η Σύστασή της περί της υποχρεωτικότητας των εμβολιασμών στο χώρο εργασίας, Syntagma Watch, 14.7.2021, διαθέσιμο σε: https://www.syntagmawatch.gr/trending-issues/h-neosystatheisa-epitroph-viohthikhs-kai-texnohthikis-kai-h-systash-ths-peri-ths-ypoxrewtikothtas-twn-emvoliasmwn-ston-xwro-ergasias/.
[4] Πρβλ. EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate).
[5] Βλ. Λίλιαν Μήτρου, Ο γενικός κανονισμός προστασίας προσωπικών δεδομένων, νέο δίκαιο-νέες υποχρεώσεις-νέα δικαιώματα, Εκδόσεις Σάκκουλα, Αθήνα-Θεσσαλονίκη 2017, σ. 57 επ..
[6] Για τη διάκριση μεταξύ υπευθύνου και εκτελούντος την επεξεργασία βλ. τις κατευθυντήριες γραμμές 7/2020 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, οι οποίες επικαιροποίησαν τη Γνώμη 1/2010 της Ομάδας Εργασίας του Άρθρου 29 «σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία».
[7] Βλ. Φερενίκη Παναγοπούλου-Κουτνατζή, Προστασία δεδομένων σε περίοδο πανδημίας, Eισήγηση σε εκδήλωση του Ιδρύματος Καραμανλή την Τετάρτη, 10 Ιουνίου 2020, Ινστιτούτο Δημοκρατίας Κωνσταντίνος Καραμανλής, Κείμενα Εργασίας 04, διαθέσιμο σε: https://idkaramanlis.gr/wp-content/uploads/2020/10/keimena_ergasias_04.pdf.