Προσωπικά δεδομένα και βεβαίωση εμβολιασμού: Η έκδοση της βεβαίωσης στο πλαίσιο άσκησης του δικαιώματος πρόσβασης

Στις 18-1-2021 δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως η ΚΥΑ 1163 [ΦΕΚ τ.Β’ 114/18-1-2021], για τη διαδικασία έκδοσης Βεβαίωσης Εμβολιασμού κατά του κορωνοϊού COVID-19. Η ΚΥΑ επαναλαμβάνει τις διατάξεις του άρθρου 55 παρ.5 του Ν.4764/2020, το οποίο και προβλέπει την έκδοσή της, με μια σημαντική προσθήκη: την αναφορά στο δικαίωμα πρόσβασης του Γενικού Κανονισμού Προστασίας Δεδομένων.

Ειδικότερα, με την παρ. 5 του άρθρου 55 Ν. 4764/2020 προβλέφθηκε η δημιουργία Ηλεκτρονικής Πλατφόρμας Έκδοσης Βεβαίωσης Εμβολιασμού κατά του κορωνοϊού COVID-19, η οποία λειτουργεί μέσω της Ενιαίας Ψηφιακής Πύλης Δημόσιας Διοίκησης. Σύμφωνα με τη διάταξη: «Μετά τη διενέργεια εμβολιασμού, κάθε πολίτης μπορεί να αιτηθεί την έκδοση βεβαίωσης εμβολιασμού, η οποία εμπεριέχει το όνομα, το επώνυμο, τον Αριθμό Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ), την ημερομηνία εμβολιασμού, το εμβολιαστικό κέντρο ή τη δομή όπου διενεργήθηκε ο εμβολιασμός και τον τύπο του εμβολίου. Τα στοιχεία αντλούνται από το Εθνικό Μητρώο Εμβολιασμών κατά του κορωνοϊού COVID-19. Η είσοδος των φυσικών προσώπων - χρηστών στην Πλατφόρμα πραγματοποιείται κατόπιν προηγούμενης αυθεντικοποίησής τους με την χρήση των κωδικών - διαπιστευτηρίων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης, σύμφωνα με τα οριζόμενα στο Κεφάλαιο ΣΤ` του Μέρους Α` του ν. 4727/2020 (Α` 184). Κάθε πολίτης μπορεί να αιτείται την έκδοση βεβαίωσης εμβολιασμού και μέσω των Κέντρων Εξυπηρέτησης Πολιτών».

Περαιτέρω, η παρ.6 του άρθρου παρέσχε νομοθετική εξουσιοδότηση στους αρμόδιους Υπουργούς, ως εξής: «Με κοινή απόφαση των Υπουργών Υγείας και Ψηφιακής Διακυβέρνησης δύνανται να ρυθμίζονται ειδικότερα τεχνικά ή λεπτομερειακά θέματα για: α) τη λειτουργία του Μητρώου με βάση τους ειδικότερους σκοπούς του, β) τη συλλογή, την τήρηση και κάθε περαιτέρω επεξεργασία στοιχείων και δεδομένων που καταχωρίζονται σε αυτό και την ασφάλεια της επεξεργασίας των δεδομένων, συμπεριλαμβανομένης της χρήσης τεχνικών ανωνυμοποίησης, ψευδωνυμοποίησης και κρυπτογράφησης, γ) την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και τον τρόπο επεξεργασίας αυτών από τους αποδέκτες, δ) τους ακριβείς όρους της διάθεσης συγκεντρωτικών στοιχείων στατιστικής φύσης, καθώς και κάθε άλλο θέμα σχετικό με την εφαρμογή του παρόντος. Με όμοια απόφαση δύνανται να ρυθμίζονται οι απαιτούμενες διαλειτουργικότητες, η διαδικασία της αυθεντικοποίησης, τα πρόσθετα στοιχεία που αναγράφονται στη βεβαίωση και τα ειδικότερα τεχνικά ή λεπτομερειακά θέματα για τη λειτουργία της ηλεκτρονικής πλατφόρμας».

Κατ’ εφαρμογήν του τελευταίου εδαφίου της παρ. 6 εκδόθηκε η ΚΥΑ 1163, η οποία, όπως προαναφέρθηκε, επαναλαμβάνει τις προβλέψεις του νόμου, εξειδικεύοντας και ορισμένες διαδικαστικές λεπτομέρειες. Προχωρώντας σε μια διευκρίνιση, η οποία δεν συναντάται στο νόμο, το άρθρο 1 της Κοινής Υπουργικής Απόφασης προσθέτει ότι η βεβαίωση εμβολιασμού αποτελεί «ειδική έκφανση του δικαιώματος πρόσβασης κάθε ατόμου στο Εθνικό Μητρώο Εμβολιασμών».

Πρόκειται, χωρίς αμφιβολία, για μια διατύπωση καθόλου τυχαία, δεδομένου ότι, εφόσον η έκδοση της βεβαίωσης εντάσσεται στο δικαίωμα πρόσβασης, αυτή δεν αντιμετωπίζεται ως νέα αυτοτελής πράξη επεξεργασίας προσωπικών δεδομένων και δεν βαρύνεται με τις προϋποθέσεις που ενδεχομένως θα συνόδευαν την επεξεργασία αυτή.

Σκοπός του παρόντος σχολίου δεν είναι να εξετάσει το κατά πόσον είναι αναγκαίο, θεμιτό και εν τέλει νόμιμο να εκδίδονται βεβαιώσεις εμβολιασμού ή ποιες είναι οι προϋποθέσεις για νόμιμη έκδοσή τους, αν και η παρεμπίπτουσα εξέταση ορισμένων από τα ζητήματα αυτά δεν μπορεί να αποφευχθεί. Το σχόλιο επιδιώκει να εξετάσει το ειδικότερο ζήτημα της νομοθετικής σύνδεσης της έκδοσης μιας βεβαίωσης με το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ. Κατά πόσον κάτι τέτοιο είναι σύμφωνο με το πνεύμα του Γενικού Κανονισμού Προστασίας Δεδομένων και ποιες συνέπειες μπορεί μια τέτοια ερμηνεία να έχει.

1. Η αντίθεση με τη γνώμη της ΑΠΔΠΧ

Δεν είναι η πρώτη φορά που τίθεται ο προβληματισμός, ως προς το αν μπορεί ένα υποκείμενο να ζητά - κατ’ ουσίαν να απαιτεί - την έκδοση πιστοποιητικού ή βεβαίωσης, επικαλούμενο το δικαίωμά του στην πρόσβαση επί των προσωπικών δεδομένων του. Ούτε μπορεί κανείς να απαντήσει με ευκολία επί του ζητήματος αυτού, όπως άλλωστε διαπίστωσε και η ίδια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στη σχετικά πρόσφατη υπ’ αριθμ. 23/2020 απόφασή της.

Στην υπόθεση εκείνη, ο καταγγέλλων είχε ζητήσει από τον εργοδότη του [ΔΕΔΔΗΕ Α.Ε.], την έκδοση πιστοποιητικού υπηρεσιακών μεταβολών, αίτημα το οποίο δεν έγινε δεκτό. Μετά την απόρριψη αυτή, ο εργαζόμενος απευθύνθηκε στην Αρχή, ζητώντας να αναγνωριστεί η παραβίαση του δικαιώματος του άρθρου 15 ΓΚΠΔ, ήτοι του δικαιώματός του στην πρόσβαση. Σύμφωνα με την καταγγελία, η άρνηση ικανοποίησης του αιτήματός του συνιστούσε ευθεία παραβίαση της υποχρέωσης που θέτει το άρθρο 15 σε κάθε υπεύθυνο επεξεργασίας.

Η Αρχή όμως δεν ήταν τόσο σίγουρη πως τα πράγματα έχουν ακριβώς έτσι.

Σύμφωνα με το σκεπτικό της απόφασης, γίνεται καταρχήν δεκτό ότι «το πιστοποιητικό υπηρεσιακών μεταβολών ενός εργαζομένου περιλαμβάνει πληροφορίες που αφορούν ως υποκείμενο των δεδομένων, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 4 στοιχ. 1 του ΓΚΠΔ, τον ίδιο τον εργαζόμενο. Έτσι, πληροφορίες που αφορούν σε ταυτοποιητικά στοιχεία του εργαζομένου, πληροφορίες σχετικά με τη σχέση εργασίας και τυχόν μεταβολές αυτής, καθώς και οι πρόσθετες πληροφορίες που ζητούνται, δυνάμει της προαναφερόμενης υπ’ αρ. πρωτ. … ανακοίνωσης πρόσκλησης για τη στελέχωση του Ε.Κ.Ο.Μ.Ε. Α.Ε. (σημ. 6 γ), συνιστούν καταρχήν προσωπικά δεδομένα του εργαζομένου, επί των οποίων ο τελευταίος, ως υποκείμενο των δεδομένων, ασκώντας το δικαίωμα πρόσβασης των άρθρων 12 και 15 του ΓΚΠΔ και 33 του νόμου 4624/2019, δικαιούται να λάβει γνώση αυτών».

Στη συνέχεια, ωστόσο, η Αρχή επισημάνει ότι «Η ικανοποίηση του σχετικού αιτήματος προϋποθέτει την επιπλέον επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τηρούνται στο σύστημα αρχειοθέτησης που τηρείται για τον εργαζόμενο προκειμένου να παραχθεί το εν λόγω πιστοποιητικό. Κάθε φορά που ο εργαζόμενος αιτείται την έκδοση ενός πιστοποιητικού με βάση τα δεδομένα προσωπικού χαρακτήρα που τηρεί ο εργοδότης για τους σκοπούς που καθορίζονται στο νόμο, κατ’ ουσίαν αιτείται την από μέρους του εργοδότη επιπλέον επεξεργασία των δεδομένων του προκειμένου να δημιουργηθεί ένα νέο έγγραφο (πιστοποιητικό) το οποίο δεν υφίσταται και άρα δεν περιλαμβάνεται κατά τον χρόνο της αίτησης του. Επομένως, η απόρριψη του αιτήματος έκδοσης του πιστοποιητικού, ήτοι εγγράφου που δεν έχει ακόμη δημιουργηθεί, δεν μπορεί να συνιστά απόρριψη αιτήματος πρόσβασης σε δεδομένα προσωπικού χαρακτήρα καθώς με τις σχετικές διατάξεις προστατεύεται το δικαίωμα του υποκειμένου να γνωρίζει το σύνολο των δεδομένων του που τηρούνται στο σύστημα αρχειοθέτησης κατά τον χρόνο της αίτησης προκειμένου να ελέγξει τη νομιμότητα της συλλογής και της διατήρησης των δεδομένων κατά τα προεκτεθέντα». (Οι επισημάνσεις έχουν γίνει από το συντάκτη του παρόντος).

Με βάση τα ως άνω συμπεράσματα και δεδομένου του γενικότερου ενδιαφέροντος του ερμηνευτικού αυτού ζητήματος, το Τμήμα αποφάσισε να παραπέμψει το ζήτημα στην Ολομέλεια της Αρχής, προκειμένου αυτή να το κρίνει εν συνόλω και οριστικά.

Τί είπε λοιπόν η ΑΠΔΠΧ, συνεδριάζοντας σε Τμήμα, στην 23/2020;

Ότι ratio του άρθρου 15 ΓΚΠΔ είναι η προστασία του δικαιώματος κάθε φυσικού προσώπου να γνωρίζει αν κάποιος υπεύθυνος επεξεργασίας διατηρεί και επεξεργάζεται προσωπικά δεδομένα του και, σε καταφατική περίπτωση, ποια είναι αυτά και υπό ποιες προϋποθέσεις αυτά τηρούνται.

Σε σχέση με το σκοπό αυτό, η αίτηση έκδοσης πιστοποιητικού ή βεβαίωσης από τον υπεύθυνο επεξεργασίας (συνήθως θα είναι ο εργοδότης ή το Δημόσιο) δεν μπορεί θα θεωρηθεί ότι εντάσσεται στο δικαίωμα πρόσβασης, για δύο βασικούς λόγους:

πρώτον, διότι η έκδοσή του απαιτεί επιπλέον επεξεργασία των ήδη τηρουμένων δεδομένων και

δεύτερον διότι η επεξεργασία αυτή οδηγεί στη δημιουργία ενός νέου εγγράφου, το οποίο κατά το χρόνο υποβολής του αιτήματος δεν υπήρχε.

2. Γιατί είναι σημαντική η επίκληση του δικαιώματος πρόσβασης στην έκδοση πιστοποιητικών/βεβαιώσεων;

Η απάντηση είναι προφανής. Διότι η επίκληση και εφαρμογή του Γενικού Κανονισμού μπορεί να οδηγήσει στην ικανοποίηση αιτημάτων, που μέχρι πρότινος απορρίπτονταν ή καθυστερούσαν σημαντικά. Κανείς δεν τολμά να τα βάλει με τις υποχρεώσεις του ΓΚΠΔ.

Είτε πρόκειται για τον εργοδότη, είτε για δημόσια υπηρεσία, τα δικαιώματα του Γενικού Κανονισμού Προστασίας Δεδομένων ίσως δίνουν στους πολίτες τη δυνατότητα να μετατοπίσουν τη νομική βάση ήδη υπαρχόντων δικαιωμάτων τους και να τα ενισχύσουν. Διότι, ασφαλώς, δεν περίμενε κανείς το Γενικό Κανονισμό προκειμένου να θεμελιώσει το δικαίωμά του στην υποβολή αίτησης προς τη Διοίκηση, ούτε έθεσε η νομοθεσία για την προστασία των προσωπικών δεδομένων κάποια νέα υποχρέωση της Διοίκησης να ενεργήσει προς το σκοπό της διεκπεραίωσης των υποθέσεων των διοικουμένων. Όλα αυτά ρυθμίζονταν και ρυθμίζονται από τις διατάξεις του Κώδικα Διοικητικής Διαδικασίας.

Η σημασία όμως την επίκλησης των διατάξεων του Γενικού Κανονισμού είναι προφανής και αδιαμφισβήτητη: ο Κανονισμός έχει προθεσμίες (το αυτό βέβαια ισχύει και στον ΚΔΔιαδ) και δεν συγχωρεί τις αδικαιολόγητες καθυστερήσεις. Με τον Κανονισμό δεν δικαιολογείται η, συχνά παρελκυστική, τακτική του αιτήματος-απαίτησης υποβολής από τον διοικούμενο σειράς δικαιολογητικών, τα οποία πολλές φορές βρίσκονται (ή θα έπρεπε να βρίσκονται) ήδη στη διάθεση της Υπηρεσίας. Δεν συζητάμε βέβαια για το πόσο ευεργετικές μπορούν να είναι οι συνέπειες της εφαρμογής του ΓΚΠΔ στην περίπτωση φορέων που δεν υπόκεινται στις διατάξεις της διοικητικής διαδικασίας.

Με τη θεμελίωση του αιτήματος στο δικαίωμα πρόσβασης, όλα γίνονται ευκολότερα για τον πολίτη. «Δεν με απασχολεί αν και πού τηρείτε τις πληροφορίες που σας ζητώ. Εφόσον έχετε την υποχρέωση να τις τηρείτε, θα τις ανασύρετε και θα τις επεξεργαστείτε προς το σκοπό της ικανοποίησης του αιτήματός μου, χωρίς καθυστερήσεις και υπεκφυγές».

3. Ο κίνδυνος καταχρηστικής επίκλησης και άσκησης του δικαιώματος πρόσβασης.

Το μείζον, κατά ταύτα, ερώτημα που τίθεται είναι το εξής: η επίκληση του άρθρου 15, για την έκδοση βεβαιώσεων, συνιστά αξιοποίηση του «όπλου» που έχει δώσει ο Γενικός Κανονισμός ή ανεπίτρεπτη κατάχρησή αυτού;

Όπως αναφέρθηκε ήδη, η Αρχή Προστασίας Δεδομένων φάνηκε να κινείται προς τη δεύτερη απάντηση.

Ο σκοπός του δικαιώματος είναι να μαθαίνεις πού βρίσκονται τα προσωπικά δεδομένα σου και, εφόσον το επιθυμείς, να λαμβάνεις αντίγραφό τους. Πρόκειται για τον πυρήνα του δικαιώματος πληροφοριακής αυτοδιάθεσης, του δικαιώματος να ελέγχεις πού βρίσκονται οι προσωπικές σου πληροφορίες και για ποιο λόγο. Δεν είναι τυχαίο άλλωστε, ότι το δικαίωμα πρόσβασης αποτελεί συνήθως το πρώτο βήμα για την άσκηση όλων των υπολοίπων δικαιωμάτων του Γενικού Κανονισμού. Από τη στιγμή που θα μάθεις πού και ποια δεδομένα σου τηρούνται, μπορείς να ζητήσεις τη διόρθωση, τη φορητότητα, τον περιορισμό και φυσικά τη διαγραφή τους.

Αυτός ο σκοπός δεν φαίνεται να εξυπηρετείται, ούτε να συνάδει με την έκδοση ενός πιστοποιητικού. Όταν ζητάς πιστοποιητικό, δεν έχεις κάποια απορία ή αγωνία για την τήρηση των προσωπικών δεδομένων σου, δεν ζητάς αντίγραφο αυτών, έστω και συγκεκριμένο μέρος τους. Αυτό που ζητάς είναι ένα νέο έγγραφο, που να βεβαιώνει ορισμένες από τις πληροφορίες σου, με σκοπό, όχι να προστατεύσεις τον πληροφοριακό σου αυτοκαθορισμό, αλλά να το χρησιμοποιήσεις περαιτέρω για δικούς σου σκοπούς.

Ο υπεύθυνος επεξεργασίας, αντίστοιχα, όταν λαμβάνει αίτημά σου για έκδοση βεβαίωσης ή πιστοποιητικού, δεν καλείται να ικανοποιήσει τις προβλέψεις του άρθρου 15, να σε ενημερώσει για όλες αυτές τις πληροφορίες που το άρθρο προβλέπει. Αυτές οι πληροφορίες (ενδ. οι σκοποί, οι κατηγορίες δεδομένων, οι αποδέκτες και τα δικαιώματα) είτε βρίσκονται ήδη σε γνώση σου ή δεν σε απασχολούν καν τη δεδομένη χρονική στιγμή.

Αυτό που καλείται να κάνει ο υπεύθυνος επεξεργασίας είναι να ανασύρει πληροφορίες, που πιθανώς βρίσκονται σε καθεστώς αδράνειας/διατήρησης, να τις επεξεργαστεί εκ νέου και να δημιουργήσει ένα νέο έγγραφο, το οποίο, λαμβάνοντας ειδικά αναγνωριστικά χαρακτηριστικά (ημερομηνία έκδοσης, αριθμός πρωτοκόλλου, ψηφιακή/φυσική υπογραφή, εσχάτως και QR code) με τη σειρά του θα συνθέσει νέα προσωπικά δεδομένα, που θα πρέπει να ενταχθούν στο προσωπικό σου αρχείο.

Θα μπορούσαμε, συνεπώς, να πούμε ότι οι σκοποί της υποβολής του αιτήματος, οι υποχρεώσεις που αναλαμβάνει ο υπεύθυνος επεξεργασίας, τα αποτελέσματα των ενεργειών του αυτών, καμία σχέση δεν έχουν με τα όσα περιγράφει ο Γενικός Κανονισμός στα άρθρα 12-22 αυτού και ειδικά στο άρθρο 15.

Θα μπορούσαμε επίσης να πούμε ότι, όταν ο ενωσιακός νομοθέτης ανέφερε στην αιτιολογική σκέψη 63 ότι το δικαίωμα πρόσβασης αφορά στη δυνατότητα του υποκειμένου των δεδομένων «να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας», δεν είχε στο μυαλό του την έκδοση ενός πιστοποιητικού. Ή μιας βεβαίωσης περί εμβολιασμού.

Από την άλλη πλευρά, δεν μπορούμε να παραβλέψουμε ότι μπορεί να αναπτυχθεί αντίλογος και δη σημαντικός.

Εφόσον το υποκείμενο μπορεί να ζητήσει τη λήψη αντιγράφου του συνόλου των προσωπικών δεδομένων του, γιατί να μην έχει τη δυνατότητα να ζητήσει να λάβει ορισμένα μόνο από τα δεδομένα αυτά, υπό τύπον συγκεκριμένου εγγράφου; Μια βεβαίωση άλλωστε δεν είναι τίποτα παραπάνω από μια ενημέρωση του υπευθύνου επεξεργασίας ως προς ένα πολύ συγκεκριμένο τμήμα του προσωπικού φακέλου του αιτούντος. Υπέρ της ερμηνευτικής αυτής προσέγγισης συνηγορούν και οι αρνητικές για το υποκείμενο συνέπειες της αντίθετης παραδοχής. Εάν εξαιρέσουμε την έκδοση πιστοποιητικών από το δικαίωμα πρόσβασης ενδέχεται να περιορίσουμε αδικαιολόγητα το σημαντικότερο από τα δικαιώματα του υποκειμένου των δεδομένων. Κι αυτό είναι κάτι που δεν μπορεί κανείς να το κρίνει με ευκολία, όπως άλλωστε φάνηκε και από την απόφαση της Αρχής.

4. Η ειδική περίπτωση της βεβαίωσης εμβολιασμού της ΚΥΑ 1163.

Από το άρθρο 1 της ΚΥΑ 1163 φαίνεται πως ο νομοθέτης τάσσεται υπέρ της τελευταίας, κατά τα ως άνω, ερμηνευτικής εκδοχής. Σύμφωνα με τη ρητή διατύπωση του άρθρου, η έκδοση της Βεβαίωσης Εμβολιασμού αποτελεί «ειδική έκφανση του δικαιώματος πρόσβασης» των υποκειμένων-εμβολιασθέντων. Πέραν του γεγονότος πως η προσέγγιση αυτή φαίνεται να βρίσκεται σε αντίθεση με τη θέση της ΑΠΔΠΧ (γεγονός που από μόνο του δεν είναι καθόλου αμελητέο), η πρόβλεψη του άρθρου 1 προκαλεί σειρά προβληματισμών.

Α. Υπάρχουν ειδικές εκφάνσεις στα δικαιώματα του Γενικού Κανονισμού;

Εισαγωγικώς, δεν μπορεί να μην επισημάνει κανείς την αναφορά του άρθρου 1 της ΚΥΑ σε «ειδική έκφανση» του δικαιώματος πρόσβασης. Το δικαίωμα πρόσβασης όμως δεν έχει ειδικές και γενικές εκφάνσεις, ακόμη και όταν αυτές τίθενται κανονιστικώς. Η διάκριση αυτή βρίσκεται εκτός των διατάξεων και του πνεύματος του Γενικού Κανονισμού, ο οποίος δεν θεσπίζει ένα δικαίωμα à la carte. Το άρθρο 23 ΓΚΠΔ δίνει μεν τη δυνατότητα στον εθνικό νομοθέτη να περιορίσει, υπό προϋποθέσεις, το πεδίο εφαρμογής των δικαιωμάτων, τούτο όμως δεν τυγχάνει εφαρμογής στην περίπτωση αυτή.

Η αναφορά στην «ειδική έκφανση» φαίνεται να σχετίζεται με το άρθρο 4 παρ.11 της ΥΑ 6677 (ΦΕΚ B' 4792/30.10.2020) για το Εθνικό Μητρώο Εμβολιασμών, το οποίο προβλέπει αυτονοήτως ότι τα υποκείμενα των δεδομένων έχουν τα δικαιώματα που τους αναγνωρίζει ο ΓΚΠΔ. Με τον τρόπο αυτό, η ΚΥΑ αποπειράται να παρεκκλίνει της πρόβλεψης εκείνης, εισάγοντας ένα «υποδικαίωμα», χωρίς όμως να διευκρινίζει εάν η ειδική ρύθμιση και έκφανση αποκλείει ή συντρέχει με τη γενική πρόβλεψη για το Εθνικό Μητρώο Εμβολιασμών.

Δεδομένου ότι, σύμφωνα με το άρθρο 55 του Ν.4764/2020, το Εθνικό Μητρώο Εμβολιασμών κατά του κορωνοϊού COVID-19 αποτελεί υπομητρώο του Εθνικού Μητρώου Εμβολιασμών, δεν θα ήταν παράλογο να δεχθούμε ότι ο εμβολιασθείς κατά του COVID-19 μπορεί να ασκήσει το δικαίωμα πρόσβασης που του έχει ήδη αναγνωρίσει ο Υπουργός Υγείας, παρακάμπτοντας την ειδική διαδικασία της ΚΥΑ 1163. Αυτό όμως, αφενός δεν διευκρινίζεται, αφετέρου δεν φαίνεται να είναι σύμφωνο με το πνεύμα των ειδικών διατάξεων που ρυθμίζουν τον εμβολιασμό για τον COVID-19.

Β. Συνιστά η αυτοματοποιημένη διαδικασία έκδοσης της Βεβαίωσης την πρόσθετη επεξεργασία, στην οποία αναφέρεται η Αρχή;

Σύμφωνα και πάλι με το άρθρο 1, προκειμένου να λάβει τη Βεβαίωση, το υποκείμενο των δεδομένων δεν χρειάζεται να κάνει αίτηση, κατά τη συνήθη διοικητική πρακτική, ενώ για την έκδοσή της δεν θα απαιτηθεί η προσωπική εργασία αρμοδίου υπαλλήλου. Το μόνο που ζητείται από τον πολίτη είναι να εισέλθει, μέσω της Ενιαίας Πληροφοριακής Πύλης Δημόσιας Διοίκησης, στην ηλεκτρονική Πλατφόρμα Έκδοσης Βεβαίωσης Εμβολιασμού, εισάγοντας τα διαπιστευτήρια-κωδικούς του. Η βεβαίωση εκδίδεται αυτοματοποιημένα, περιλαμβάνοντας τις ήδη προβλεφθείσες από το νόμο και το άρθρο 1 της ΚΥΑ πληροφορίες.

Θα μπορούσε, συνεπώς, κάποιος να ισχυριστεί ότι η διαδικασία που προβλέπεται από τις διατάξεις αυτές δεν συνιστά τη «σχετική πρόσθετη επεξεργασία» στην οποία αναφέρεται η ΑΠΔΠΧ 23/2020. Οι πληροφορίες είναι ήδη διαθέσιμες, η βεβαίωση είναι ήδη διαμορφωμένη ως προς τα πεδία αυτής, ενώ το μόνο που απαιτείται η είσοδος του υποκειμένου στην πλατφόρμα, η άντληση των πληροφοριών και η καταχώρισή τους στο ηλεκτρονικό έντυπο.

Εκεί όμως βρίσκεται και η απάντηση επί του ερωτήματος αυτού: σύμφωνα με τη διάταξη, οι πληροφορίες που θα καταχωρηθούν στη Βεβαίωση βρίσκονται στο Εθνικό Μητρώο Εμβολιασμών, το οποίο τηρείται από την Η.ΔΙ.Κ.Α. Α.Ε., ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας. Για την έκδοση της Βεβαίωσης, οι πληροφορίες αυτές «αντλούνται» από το Μητρώο (παράλληλα με την άντληση του ΑΜΚΑ από το αντίστοιχο Μητρώο της Η.ΔΙ.Κ.Α.) και μεταφέρονται στην Πλατφόρμα, με την εφαρμογή «κατάλληλων τεχνικών μέτρων κρυπτογράφησης».

Έχουμε λοιπόν ως δεδομένο το ότι οι πληροφορίες (οι οποίες συνιστούν δεδομένα υγείας, μην το ξεχνάμε) βγαίνουν από το Μητρώο για να μεταφερθούν στην Πλατφόρμα, η οποία δεν καθίσταται σαφές υπό τον έλεγχο ποιου φορέα λειτουργεί. Ελέγχεται από το Υπουργείο Υγείας, ως υπευθύνου επεξεργασίας των δεδομένων, ή από το Υπουργείο Ψηφιακής Διακυβέρνησης; Σε σχετικά υποδείγματα που είδαν πρόσφατα το φως της δημοσιότητας, η βεβαίωση φέρει το έμβλημα της Ελληνικής Δημοκρατίας, με βεβαίωση του γνησίου από το Υπουργείο Ψηφιακής Διακυβέρνησης. Μένει να δούμε αν στην τελική μορφή της, αυτή θα φαίνεται ως εκδοθείσα από το Υπουργείο Υγείας.

Σε κάθε περίπτωση όμως, ανεξάρτητα από τα στοιχεία του εκδότη της Βεβαίωσης Εμβολιασμού, δεν μπορούμε παρά να δεχθούμε ότι η διαδικασία της άντλησης πληροφοριών από διαφορετικές βάσεις δεδομένων και μεταφοράς τους για το σκοπό της σύνθεσης ενός νέου ψηφιακού εγγράφου συνιστά πρόσθετη, διακριτή και αυτοτελή πράξη επεξεργασίας δεδομένων. Η διαπίστωση αυτή δεν μπορεί να αναιρεθεί από τον αυτοματοποιημένο χαρακτήρα της διαδικασίας.

Γ. Μπορεί ο υπεύθυνος επεξεργασίας να ικανοποιεί το δικαίωμα πρόσβασης ανεξάρτητα από τη βούληση του υποκειμένου, ακόμη και πέραν των ορίων αυτής;

Σε συνέχεια του προαναφερθέντος προβληματισμού, ο νομοθέτης του Ν.4764/2020 ρυθμίζει κανονιστικώς το πλαίσιο εντός του οποίου, το υποκείμενο δύναται να ασκήσει το δικαίωμά του.

Σύμφωνα με το άρθρο 55 του νόμου, αλλά και την παρ.1 του άρθρου 1 της ΚΥΑ, η Βεβαίωση Εμβολιασμού εκδίδεται αποκλειστικά με δύο τρόπους, ενώ «εμπεριέχει το όνομα, το επώνυμο, τον Αριθμό Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ), την ημερομηνία εμβολιασμού (1η και 2η συνεδρία), το εμβολιαστικό κέντρο ή τη δομή όπου διενεργήθηκε ο εμβολιασμός και τον τύπο του εμβολίου». Τούτο φαίνεται να είναι αντίθετο στο πνεύμα του Γενικού Κανονισμού, συνιστώντας μια ανεπίτρεπτη επέμβαση στα όρια άσκησής του δικαιώματος.

Γιατί δεν μπορεί το υποκείμενο των δεδομένων να απευθυνθεί απευθείας στον υπεύθυνο επεξεργασίας, με όποιον τρόπο αυτό επιθυμεί, εφόσον και ο ίδιος ο νομοθέτης τού αναγνωρίζει το δικαίωμα; Για ποιο λόγο περιλαμβάνονται υποχρεωτικά πληροφορίες, οι οποίες πιθανότατα δεν θα ενδιαφέρουν ούτε το υποκείμενο, αλλά ούτε και τρίτα πρόσωπα, ενώπιον των οποίων η Βεβαίωση θα προσκομιστεί;

Δύσκολα θα μπορούσε να αντικρούσει κανείς τη διαπίστωση πως οι πληροφορίες που υποχρεωτικώς περιλαμβάνονται στη Βεβαίωση Εμβολιασμού είναι περισσότερες από τη μια και μοναδική πληροφορία που θέλει ο εμβολιασθείς να βεβαιωθεί: αν έχει κάνει το εμβόλιο.

Δύσκολα θα μπορούσε κανείς να δικαιολογήσει γιατί ο υπεύθυνος επεξεργασίας πρέπει να δώσει τόσο πολλές πληροφορίες, ως προς το κέντρο εμβολιασμού, την ημερομηνία ή ακόμη και τον τύπο του εμβολίου, χωρίς να ζητηθεί η γνώμη του υποκειμένου των δεδομένων, του οποίου το δικαίωμα φέρεται να ικανοποιεί, τη στιγμή μάλιστα που το έγγραφο αυτό θα εμφανιστεί και θα δοθεί σε τρίτα πρόσωπα, εργοδότες, αερομεταφορείς, ξενοδόχους κοκ.

Θα είχε σημασία να μιλήσουμε για ικανοποίηση του δικαιώματος του άρθρου 15 ΓΚΠΔ, και δη αυτοματοποιημένη, στην περίπτωση όπου το υποκείμενο των δεδομένων θα είχε τη δυνατότητα να αποφασίσει για τις πληροφορίες που επιθυμεί ή χρειάζεται να λάβει, ανάλογα με τους σκοπούς του.

Επιπλέον, για την πλήρη ικανοποίηση του δικαιώματος πρόσβασης, η Πλατφόρμα θα έπρεπε να βεβαιώνει και τον μη εισέτι εμβολιασμό του πολίτη. Μην ξεχνάμε ότι η ικανοποίηση του αιτήματος πρόσβασης μπορεί να μην έχει ειδικές εκφάνσεις, σίγουρα όμως έχει αρνητική.

5. Η λογική της ένταξης στο δικαίωμα πρόσβασης και οι συνέπειες αυτής.

Οι προβληματισμοί αυτοί αποτελούν, κατά την εκτίμηση του γράφοντος, και τους λόγους για τους οποίους κρίθηκε σκόπιμη η υπαγωγή της έκδοσης Βεβαίωσης στο δικαίωμα πρόσβασης του ΓΚΠΔ. Με την υπαγωγή αυτή, η ΚΥΑ φαίνεται να επιδιώκει να αντιμετωπίσει ζητήματα νομιμότητας της επεξεργασίας, που θα μπορούσαν να προκύψουν από τις ρυθμίσεις του άρθρου 55 του Ν.4764/2020, εξαιρώντας την έκδοση Βεβαίωσης από τις απαιτήσεις του Γενικού Κανονισμού.

Κατά το πνεύμα της ΚΥΑ, η έκδοση δεν συνιστά μια αυτοτελή πράξη επεξεργασίας προσωπικών δεδομένων, αλλά μια απλή ικανοποίηση δικαιώματος τού πολίτη. Κατά συνέπεια, δεν προσδιορίζονται σκοπός και νομική βάση, δεν ελέγχεται η αναλογικότητα/αναγκαιότητα της επεξεργασίας, δεν ρυθμίζονται η ασφάλεια και η διατήρηση των δεδομένων από τους εμπλεκόμενους φορείς, δεν προσδιορίζονται καν οι εμπλεκόμενοι φορείς. Όλα μοιάζουν να γίνονται απλούστερα, για το σκοπό της ικανοποίησης του δικαιώματος.

Πρόκειται, χωρίς αμφιβολία, για μια εξαιρετικά ενδιαφέρουσα κατασκευή, η οποία όμως δεν φαίνεται να θεραπεύει τυχόν προβλήματα νομιμότητας, ενώ ενδέχεται να έχει περαιτέρω ερμηνευτικές και πρακτικές συνέπειες.

Ως προς τη θεραπεία των προβλημάτων, είναι καταρχήν δύσκολο να γίνει δεκτό ότι η έκδοση μιας Βεβαίωσης δεν συνιστά διακριτή πράξη επεξεργασίας, υποκείμενη σε κανόνες και προϋποθέσεις, αλλά μια απλή ικανοποίηση του δικαιώματος πρόσβασης. Τούτο όμως, σε κάθε περίπτωση, βρίσκεται στην ερμηνευτική ευχέρεια του νομοθέτη και της Αρχής.

Ακόμη όμως και στην περίπτωση αυτή, είναι δύσκολο να δεχθούμε ότι ο υπεύθυνος επεξεργασίας ή ο ίδιος ο νομοθέτης έχουν την εξουσία να περιορίζουν κατά τον τρόπο αυτό το σημαντικότερο των δικαιωμάτων του Γενικού Κανονισμού Προστασίας Δεδομένων. Να αποφασίζουν εκ των προτέρων και αναιτιολόγητα, αφενός για τους τρόπους που αυτό θα ασκηθεί, αφετέρου για το περιεχόμενο της βεβαίωσης που θα εκδοθεί. Διότι από κανένα σημείο του νόμου ή της Κοινής Υπουργικής Απόφασης δεν προκύπτει ο λόγος για τον οποίο, το υποκείμενο των δεδομένων υποχρεούται να λαμβάνει ένα έγγραφο με τόσο πολλές, μη συναφείς με την αποστολή του, πληροφορίες. Κανείς δεν ενδιαφέρεται να μάθει ποιο εμβόλιο έχει κάνει ο κάθε πολίτης και κανείς δεν πρέπει να ενδιαφέρεται να μάθει, εκτός από τις αρμόδιες για την προστασία της δημόσιας υγείας αρχές. Οι οποίες όμως, είτε το γνωρίζουν ήδη, είτε μπορούν να το πληροφορηθούν.

Στην περίπτωση όπου η Πολιτεία κρίνει αιτιολογημένα πως ορισμένες ή ακόμη και όλες αυτές οι πληροφορίες είναι αναγκαίες για την εκπλήρωση συγκεκριμένων σκοπών και πραγματικά αποσκοπεί στην ικανοποίηση του δικαιώματος του άρθρου 15 ΓΚΠΔ, θα μπορούσε ενδεχομένως:

i. να δώσει στο υποκείμενο των δεδομένων τη δυνατότητα να δει τις σχετικές πληροφορίες και να επιλέξει εκείνες μόνο που χρειάζεται για την ικανοποίηση των σκοπών του, ή

ii. να διαμορφώσει ειδικούς τύπους βεβαιώσεων, ανάλογα με τη χρήση τους (ενδ. ταξιδιωτική, ιατρική, εργασιακή). Τα ιατρικά δεδομένα που θα χρειαστεί να δει και να διατηρήσει μια αεροπορική εταιρεία ή ένας εργοδότης δεν είναι τα ίδια με αυτά που θα χρειαστεί ένας ιατρός ή μια δημόσια αρχή της αλλοδαπής.

Ως προς τη δημιουργία περαιτέρω ζητημάτων, από τη διατύπωση της παρ. 1 του αρ. 1 της ΚΥΑ δημιουργείται και ένα ερμηνευτικό δεδομένο, το οποίο δεν μπορούμε να παραβλέψουμε. Ερμηνεύοντας αυθεντικά το άρθρο 15 ΓΚΠΔ, ο νομοθέτης παίρνει σαφή θέση επί του διλήμματος που είχε απασχολήσει την Αρχή Προστασίας Δεδομένων και εκκρεμεί ενώπιον της Ολομελείας της.

Η διάσταση αυτή απόψεων προκαλεί ανασφάλεια δικαίου και θα μπορούσε να δημιουργήσει προβλήματα στις υπηρεσίες του Δημοσίου, αλλά και σε ιδιώτες. Διότι παρά τις αντιρρήσεις της ΑΠΔΠΧ, την επόμενη φορά που αρμόδια υπηρεσία ή εργοδότης θα κρίνει ότι δεν μπορεί να ικανοποιήσει το αίτημα για έκδοση βεβαίωσης/πιστοποιητικού, στη βάση του άρθρου 15 ΓΚΠΔ, θα πρέπει να λάβει υπόψιν της/του ότι η ελληνική πολιτεία έχει ήδη πάρει θέση επ’ αυτού: Η έκδοση βεβαιώσεων και πιστοποιητικών πρέπει να διεκπεραιώνεται σύμφωνα με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων, ως αποτελούσα «ειδική έκφανση» του δικαιώματος πρόσβασης στα προσωπικά δεδομένα.