logo-print

Covid-19 και προσωπικά δεδομένα: Προϋποθέσεις νομιμότητας στη συλλογή δεδομένων εμβολιασμού φοιτητών

Καταγγελία για συλλογή και επεξεργασία δεδομένων μέσω ηλεκτρονικής εφαρμογής από Πανεπιστήμιο στην Κύπρο

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Μία ενδιαφέρουσα απόφαση για συλλογή και επεξεργασία δεδομένων που αφορούσαν στον εμβολιασμό ή τη νόσηση από COVID - 19 εκ μέρους Πανεπιστημίου, μέσω ηλεκτρονικού εντύπου, εξέδωσε η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κυπριακής Δημοκρατίας.

Αναλυτικά το δελτίο τύπου αναφέρει:

Με αφορμή γραπτή και τηλεφωνική επικοινωνία του Γραφείου μου με φοιτητές και εκπροσώπους Συνδικαλιστικών Οργανώσεων του Ακαδημαϊκού Προσωπικού του Τεχνολογικού Πανεπιστημίου Κύπρου (ΤΕΠΑΚ), κατά την οποίαν διατύπωσαν τις έντονες ανησυχίες τους σχετικά με τη συλλογή και επεξεργασία από το ΤΕΠΑΚ δεδομένων προσωπικού χαρακτήρα που αφορούσαν στον εμβολιασμό ή τη νόσησή τους από την COVID - 19, για σκοπούς ελέγχου της κατοχής των εν λόγω πιστοποιητικών, Αποφάσισα να διερευνήσω το σύννομο της επεξεργασίας αυτή.

Η έρευνα του Γραφείου μου και η επικοινωνία μου με το ΤΕΠΑΚ κατέδειξε ότι μέσω του διαδικτύου και της χρήσης ηλεκτρονικού εντύπου της πλατφόρμας Lime Survey γινόταν συλλογή προσωπικών δεδομένων και μεταφόρτωση των σχετικών πιστοποιητικών. Συγκεκριμένα η συλλογή αφορούσε στα ακόλουθα στοιχεία: ΑΔΤ, Θέση, Τμήμα, πιστοποιητικό (νόσησης και εμβολιασμού) και ημερ. έκδοσης τους. Η διατήρηση των δεδομένων καθορίστηκε για χρονική περίοδο ενός έτους.

Οι θέσεις και το σκεπτικό της Απόφασης συνοψίζονται ως ακολούθως:

- η συλλογή και επεξεργασία των ως άνω δεδομένων δεν μπορεί να εδράζεται στη συγκατάθεση των υποκειμένων των δεδομένων λόγω της ετεροβαρούς σχέσης μεταξύ εργοδότη και εργοδοτούμενου,

- η συλλογή των δεδομένων μέσω ηλεκτρονικού εντύπου και η διατήρηση τους σε ηλεκτρονική και /ή έντυπη μορφή για χρονική περίοδο ενός έτους υπερβαίνει τα όρια του σύννομου και θεμιτού καθ’ όσων τίθεται εκτός επιταγής του νόμου (Διάταγμα)

- η εν λόγω επεξεργασία αναιρεί και /ή παραβαίνει τις βασικές αρχές της σύννομης επεξεργασίας δεδομένων (βλ. άρθρο 5(1)), όπως τις Αρχές της Νομιμότητας, Αναλογικότητας, και περιορισμού της περιόδου αποθήκευσης / διατήρησης των δεδομένων,

- η συλλογή των δεδομένων μέσω του διαδικτύου αποτελεί επεξεργασία που από τη φύση της εγκυμονεί και/ή ελλοχεύει κινδύνους που σχετίζονται με την ασφάλεια της επεξεργασίας και των προσωπικών δεδομένων.

Αφού έλαβα υπόψιν κατά την κρίση μου όλες τις περιστάσεις της υπόθεσης συμπεριλαμβανομένων των μεμονωμένων ενεργειών στις οποίες προέβη το ΤΕΠΑΚ προς αποκατάσταση της νομιμότητας της επεξεργασίας, έκρινα τη συγκεκριμένη επεξεργασία αντιβαίνουσα με τις Αρχές

(α) της νομιμότητας (καθ’ υπέρβαση της νομικής επιταγής του Διατάγματος), αντικειμενικότητας, διαφάνειας, (ελλειπής και ανεπαρκής ενημέρωση αφού το πληροφοριακό μέρος στην αρχή του εντύπου δεν παρέχει την απαραίτητη και ελάχιστη πληροφόρηση για τη διασφάλιση της αναγκαίας διαφάνειας στη βάση των άρθρων 12 και 13 του του Κανονισμού (ΕΕ) 2016/679, ως εκτίθενται στο Μέρος Β πιο πάνω,

(β) της αναγκαιότητας και αναλογικότητας, με την έννοια ότι η επεξεργασία υπερέβη το μέτρο του αναγκαίου και του ανάλογου τόσο αναφορικά με τη χρήση του ηλεκτρονικού εντύπου της υπό αναφορά πλατφόρμας, εκτιμώντας ότι αφενός υπήρχαν άλλες λύσεις λιγότερο παρεμβατικές (xls file μέσω ενδοδικτύου), όσο και αναφορικά με την ποσότητα και ποιότητα των δεδομένων που έχουν συλλεγεί πριν από τη διαμόρφωση του εντύπου π.χ πιστοποιητικό νόσησης, πιστοποιητικό εμβολιασμού,

(γ) της περιόδου τήρησης των δεδομένων (ένα έτος) η οποία δεν δικαιολογείται από τη νομική επιταγή ήτοι το Διάταγμα, το οποίο δεν προβλέπει καν τη διατήρηση των δεδομένων αυτών, καθώς και

(δ) της ασφάλειας των δεδομένων, ένεκα της έκθεσής τους σε περιβάλλον του διαδικτύου και λογισμικό τρίτου ήτοι του παρόχου της συγκεκριμένης πλατφόρμας αντί της διενέργειας της επεξεργασίας σε ψηφιακό περιβάλλον εσωτερικού δικτύου ή ενδοδικτύου του ΤΕΠΑΚ.

Αποφάσισα την επιβολή στο ΤΕΠΑΚ της διοικητικής κύρωσης της Εντολής, τηρουμένων των διατάξεων του άρθρου 58(2)(δ) του Κανονισμού (ΕΕ) 2016/679, την οποία θεωρώ κατάλληλη και ανάλογη υπό τις περιστάσεις.

Ασκώντας τις υπό αναφορά εξουσίες που μου απονέμει ο Κανονισμός έχω απευθύνει τις ακόλουθες Εντολές στο ΤΕΠΑΚ-

Εντολή 1η: Τερματίσει άμεσα την επεξεργασία μέσω του ηλεκτρονικού εντύπου.

Εντολή 2η: Διαγράψει ή καταστρέψει ανάλογα με την περίπτωση τα πιστοποιητικά εμβολιασμού και νόσησης από τη βάση δεδομένων ή τα αρχεία του, τα οποία έχει ήδη συλλέξει.

Εντολή 3η: Προβεί σε όλες τις απαραίτητες, σύννομες ενέργειες ώστε να καταστήσει την επεξεργασία σύννομη, θεμιτή και συμμορφούμενη με τις ως άνω βασικές αρχές του Κανονισμού σύμφωνα με τις εισηγήσεις μου.

Εντολή 4η: Γνωστοποιήσει στο Γραφείο μου εντός αποκλειστικής προθεσμίας 2 εβδομάδων από την παραλαβή της παρούσας όλες τις ενέργειες προς υλοποίηση των Εντολών 1 - 3.

Υπήρξε συμμόρφωση του ΤΕΠΑΚ, αφού διακόπηκε η λειτουργία της συλλογής δεδομένων μέσω του συγκεκριμένου ηλεκτρονικού εντύπου και διαγράφηκαν τα πιστοποιητικά εμβολιασμού.

Δείτε ολόκληρη την απόφαση στο dataprotection.gov.cy

Το δικαίωμα διεξαγωγής αποδείξεων του κατηγορουμένου

ΜΙΧΑΗΛ ΤΣΕΡΤΣΙΔΗΣ

ΠΟΙΝΙΚΕΣ ΕΠΙΣΤΗΜΕΣ / ΠΟΙΝΙΚΗ ΔΙΚΟΝΟΜΙΑ

Βασική Νομοθεσία Ναυτικού Δικαίου

ΑΧΙΛΛΕΑΣ ΜΠΕΧΛΙΒΑΝΗΣ - ΙΩΑΝΝΗΣ ΓΚΕΚΑΣ

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΝΑΥΤΙΚΟ ΔΙΚΑΙΟ

send