logo-print

Έλεγχος πιστοποιητικών και βεβαιώσεων τεστ Covid-19 εργαζομένων και προσωπικά δεδομένα

19/09/2021

05/10/2021

Δίκαιο της πληροφορικής Δ

ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΗΣ & ΠΝΕΥΜΑΤΙΚΗΣ ΙΔΙΟΚΤΗΣΙΑΣ - ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ - ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΓΓΛΕΖΑΚΗΣ ΙΩΑΝΝΗΣ

Δίκαιο της πληροφορικής Δ

ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΗΣ & ΠΝΕΥΜΑΤΙΚΗΣ ΙΔΙΟΚΤΗΣΙΑΣ - ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ - ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΓΓΛΕΖΑΚΗΣ ΙΩΑΝΝΗΣ

Επιμέλεια: Μαγδαληνή Σκόνδρα - Δημήτρης Βέρρας

Με την πανδημία να διανύει επίσημα το 19ο μήνα από την κήρυξή της από τον Παγκόσμιο Οργανισμό Υγείας, έχουμε όλοι πια εξοικειωθεί με την απολύμανση, τη μάσκα, τα εμβόλια και τους συχνούς αυτοδιαγνωστικούς ελέγχους, τα γνωστά self-test. Αυτά τα τελευταία, την εβδομάδα που μας πέρασε περιορίστηκαν δραστικά - ουσιαστικά μόνο στους μαθητές. Ο έλεγχος των χώρων εργασίας πλέον έχει μεταστραφεί σε επίδειξη των πιστοποιητικών εμβολιασμού ή νόσησης από τον εργαζόμενο στον εργοδότη, ή στην επίδειξη του αποτελέσματος του διαγνωστικού ελέγχου μέσω rapid test ή μοριακού PCR, στον οποίο οι εργαζόμενοι οφείλουν να υποβάλλονται σε διαγνωστικά κέντρα με δικές τους δαπάνες.

Οι νομοθετικές ρυθμίσεις που αφορούν ζητήματα σχετιζόμενα με την πανδημία αγγίζουν δυσθεώρητα νούμερα. Αρκεί να αναλογιστεί κανείς μόνο τις Κοινές Υπουργικές Αποφάσεις που δημοσιεύονται σε εβδομαδιαία βάση με τα μέτρα ανά τομέα δραστηριότητας. Όλη αυτή η πολυνομία επιφόρτισε με νέες υποχρεώσεις εργοδότες και καταστηματάρχες, οι οποίοιυποχρεούνται να ελέγχουν προ της εισόδου στην επιχείρησή τους εργαζόμενους ή πελάτες κατά περίπτωση.

Όσον αφορά ιδίως τον έλεγχο των εργαζομένων, σύμφωνα με τα έως σήμερα ισχύοντα, οι μεν εργαζόμενοι που έχουν εμβολιαστεί πλήρως ή έχουν νοσήσει με Covid-19 το τελευταίο εξάμηνο, υποχρεούνται να επιδεικνύουν στον εργοδότη το σχετικό πιστοποιητικό1, ο δε εργοδότης οφείλει να πραγματοποιεί έλεγχο του πιστοποιητικού εμβολιασμού ή νόσησης, μέσω της ειδικής εφαρμογής για έξυπνα τηλέφωνα του άρθρου 33 του Ν. 4816/21.

Ως προς τους εργαζόμενους που δεν ανήκουν στις κατηγορίες αυτές, ήτοι όσους δεν έχουν εμβολιαστεί, ή νοσήσει, τυγχάνει εφαρμογής το άρθρο 46 του Ν.4790/2021, στο οποίο προβλέπεται η δυνατότητα των συναρμοδίων Υπουργών να θεσπίζουν «ως προϋπόθεση προσέλευσης στον τόπο παροχής εργασίας ή άσκησης του λειτουργήματος των εν γένει απασχολουμένων» τη διενέργεια διαγνωστικού ελέγχου νόσησης. Με την εξουσιοδότηση της διάταξης αυτής έχουν ήδη εκδοθεί, μεταξύ άλλων η ΚΥΑ 32209 για τους εργαζόμενους του ιδιωτικού τομέα και οι 26390 και 55570 για τους υπαλλήλους του Δημοσίου.

Κατά ταύτα, αυτό που παρατηρείται εξαρχής είναι η διαφοροποίηση του κανονιστικού πλαισίου, όχι μόνο μεταξύ δημοσίου και ιδιωτικού τομέα, αλλά και μεταξύ κατηγοριών των επιδεικνυόμενων πιστοποιητικών και βεβαιώσεων. Και δη σε επίπεδο τυπικού νόμου.

Όπως είναι αυτονόητο, σε μια επιχείρηση που απασχολεί άνω των 2-3 ατόμων, ο εργοδότης, προκειμένου να είναι συνεπής στις έννομες αυτές υποχρεώσεις και να μην υποστεί κυρώσεις (πρόστιμα), έχει δύο δυνατότητες:

α) είτε να καταρτίσει μία λίστα με όσους είναι εμβολιασμένοι ή νοσήσαντες, ώστε να τους επιτρέπεται η ανάληψη εργασίας χωρίς άλλες διατυπώσεις και μία με όσους δεν ανήκουν σε αυτές τις κατηγορίες και συνεπώς δεν θα πρέπει να τους απασχολήσει εάν δεν διαθέτουν αρνητικό αποτέλεσμα διαγνωστικού ελέγχου,

β) είτε να ζητά καθημερινά από όλους να επιδεικνύουν κατά την είσοδό τους είτε πιστοποιητικό εμβολιασμού/νόσησης, είτε βεβαίωση αρνητικού αποτελέσματος. Και αυτό διότι ο νομοθέτης εμφατικώς και κατ’ επανάληψιν χρησιμοποιεί τη λέξη «επίδειξη», γεγονός που θα μπορούσε να θεωρηθεί πως υποδηλώνει τη βούλησή του να μην επιτρέπεται η περαιτέρω τήρηση οποιασδήποτε πληροφορίας.

Κατά μία τρίτη εκδοχή, ο εργοδότης πέραν της λίστας, τηρεί και αντίγραφα των επιδεικνυόμενων εγγράφων των εργαζομένων, τα οποία συχνά ζητείται να αποσταλούν μέσω ηλεκτρονικού ταχυδρομείου. Στην πράξη, έως σήμερα, παρατηρείται ότι ο κάθε εργοδότης ακολουθεί όποια εκ τριών παραπάνω βασικών εκδοχών θεωρεί ο ίδιος ή οι σύμβουλοί του ορθότερη, με αποτέλεσμα να επικρατεί πλήρης σύγχυση στην καθημερινότητα των επιχειρήσεων.

Τη σύγχυση αυτή επιτείνει το άρθρο 33 παρ. 3β του Ν. 4816/2021, που αφορά στον έλεγχο της εισόδου πελατών σε καταστήματα υγειονομικού ενδιαφέροντος και χώρους διασκέδασης. Η διάταξη αυτή προβλέπει τον έλεγχο των πιστοποιητικών εμβολιασμού από τους καταστηματάρχες με χρήση της ειδικής εφαρμογής για έξυπνα τηλέφωνα, η οποία κατασκευάστηκε γι’ αυτό το σκοπό και περιλαμβάνει ρητή απαγόρευση αποθήκευσης ή τήρησης οποιουδήποτε αντιγράφου των πιστοποιητικών, αλλά και οποιουδήποτε προσωπικού δεδομένου προκύπτει από τη σάρωση2. Και ο λόγος της σύγχυσης έγκειται στο γεγονός ότι το άρθρο 205 του ν. 4820/21 που προβλέπει την υποχρέωση επίδειξης πιστοποιητικών εργαζομένων προς τον εργοδότη, παραπέμπει στην ανωτέρω διάταξη που αφορά τους πελάτες χώρων διασκέδασης. Η παραπομπή αυτή θα μπορούσε να θεωρηθεί ότι συνεπάγεται πως ότι ο εργοδότης δεν θα πρέπει πέραν της επίδειξης και του ελέγχου του πιστοποιητικού μέσω της εφαρμογής, να προβαίνει σε οιουδήποτε είδους τήρηση ή αποθήκευση των ελεγχόμενων πιστοποιητικών ή των πληροφοριών που αναγράφονται σε αυτά. Ως αποτέλεσμα, γεννήθηκε το ερώτημα εάν απαγορεύεται και η δημιουργία και τήρηση οποιασδήποτε λίστας στην πράξη, αφού άλλωστε και το άρθρο 205 επιβάλλει μόνο επίδειξη.

Στην όλη σύγχυση ήρθε να προστεθεί πριν από λίγες ημέρες και η υπ’ αριθ. 55570/12-9-21 Υπουργική Απόφαση, η οποία ρυθμίζει το ζήτημα του ελέγχου των πιστοποιητικών και βεβαιώσεων διαγνωστικών ελέγχων των εργαζομένων του δημοσίου τομέα. Η απόφαση αυτή επιβάλλει στους προϊσταμένους των δημόσιων φορέων να δημιουργήσουν λίστα υπόχρεων σε διαγνωστικούς ελέγχους και λίστα εξαιρουμένων από αυτήν την υποχρέωση, όπου θα καταχωρήσουν πλείστα όσα προσωπικά δεδομένα εργαζομένων, μακράν περισσότερα από όσα επιτάσσει ο σκοπός επεξεργασίας3. Και ναι μεν με την ΚΥΑ αυτή ρυθμίστηκε ο τρόπος διεξαγωγής του ελέγχου των εργαζομένων του δημοσίου τομέα, δημιουργήθηκε όμως προβληματισμός σχετικά με αυτούς του ιδιωτικού τομέα, για τους οποίους δεν υπήρξε αντίστοιχη ρύθμιση. Αντιθέτως, για τους τελευταίους, απαιτείται να ανατρέξει κανείς σε διάφορες διατάξεις, εκ των οποίων αναφέραμε μόνο τις κυριότερες, σε ένα κατακερματισμένο και εν πολλοίς ανεπίκαιρο ρυθμιστικό πλαίσιο, που κάνει λόγο ακόμη για υποχρεώσεις για τα εμμέσως καταργημένα self-test.

Ενόψει της σύγχυσης που περιγράψαμε παραπάνω, επιπροσθέτως δε του γεγονότος ότι αναφύονται ζητήματα συμμόρφωσης με τη νομοθεσία για την προστασία των προσωπικών δεδομένων4, είναι σαφές πως καθίσταται αναγκαίο να υπάρξει μία ξεκάθαρη, ενιαία και εναρμονισμένη ρύθμιση σε μία νομοθετική πράξη και στον ιδιωτικό τομέα, με ταυτόχρονη κατάργηση των ήδη ανεπίκαιρων ΚΥΑ ή διατάξεων των προηγούμενων μηνών.

Είναι αναγκαίο να διευκρινιστεί ποιος, πότε και πώς ελέγχει τα πιστοποιητικά εμβολιασμού και τις έχουσες χρονική περίοδο ισχύος βεβαιώσεις νόσησης, καθώς και εάν είναι σκόπιμο αυτά να ζητούνται και να ελέγχονται άπαξ ή είναι προτιμότερο να ζητούνται καθημερινώς προς αποφυγή διακρίσεων και στιγματισμού των ανεμβολίαστων.

Η διευκρίνιση αυτή είναι ακόμη πιο αναγκαία για τις βεβαιώσεις διαγνωστικού ελέγχου, οι οποίες πρέπει να εκδίδονται μια ή και δύο φορές την εβδομάδα και να επιδεικνύονται (κατά την πρόσφατη ΚΥΑ 55732), με «ταυτόχρονο έλεγχο ταυτοπροσωπίας του κατόχου», ακόμη και αν αυτοί ενδέχεται να απασχολούνται σε τοπικά υποκαταστήματα του εργοδότη.

Στο πλαίσιο αυτό, χρήσιμη θα ήταν και η παρέμβαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία, ως αρμόδια εποπτική αρχή, θα μπορούσε να συνδράμει το νομοθέτη, επισημαίνοντας τα κενά και τις αντιφάσεις του νόμου, αλλά και τους εργοδότες, προτείνοντας καλές πρακτικές.

Με δεδομένο ότι, όπως διαφαίνεται, τέτοιοι καθημερινοί έλεγχοι θα απαιτηθεί να διεξάγονται για αρκετό καιρό ακόμη, οι ανησυχίες για τις συνεπαγόμενες επεξεργασίες δεδομένων θα τείνουν να διογκώνονται, γεγονός που καθιστά τη ρύθμισή τους επιτακτική.

  • 1. Το άρθρο 205 ν. 4820/2021 συγκεκριμένα προβλέπει ότι: «Οι εργαζόμενοι στον δημόσιο και ιδιωτικό τομέα, οι οποίοι έχουν ολοκληρώσει τον εμβολιασμό απέναντι στον κορωνοϊό COVID-19 ή έχουν νοσήσει εντός του τελευταίου εξαμήνου, υποχρεούνται, όπως επιδεικνύουν στον προϊστάμενο της οργανικής μονάδας όπου υπηρετούν ή στον εργοδότη τους, αντίστοιχα, Ψηφιακό Πιστοποιητικό COVID-19 της Ε.Ε. (EU Digital COVID Certificate - EUDCC) του Κανονισμού (ΕΕ) 2021/953 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Ιουνίου 2021 και του άρθρου πρώτου της από 30.5.2021 Πράξης Νομοθετικού Περιεχομένου (Α' 87), η οποία κυρώθηκε με το άρθρο 1 του ν. 4806/2021 (Α' 95) με πληροφορίες σχετικά με την κατάσταση του φυσικού προσώπου - κατόχου του όσον αφορά στον εμβολιασμό ή στη νόσηση από τον κορωνοϊό COVID-19, ή βεβαίωση εμβολιασμού της παρ. 5 του άρθρου 55 του ν. 4764/2020 (Α' 256), ή βεβαίωση θετικού διαγνωστικού ελέγχου της παρ. 1 του άρθρου 5 της υπ' αρ. 2650/10.4.2020 (Β' 1298) κοινής απόφασης των Υπουργών Υγείας και Επικρατείας, ή ισοδύναμο πιστοποιητικό ή βεβαίωση τρίτης χώρας, εφόσον υφίστανται. Το πιστοποιητικό ή η βεβαίωση του πρώτου εδαφίου ελέγχεται από τον εργοδότη μέσω της ειδικής ηλεκτρονικής εφαρμογής της παρ. 1α του άρθρου 33 του ν. 4816/2021 (Α' 118), τηρουμένων και των λοιπών διατάξεων του ανωτέρω άρθρου. Η υποχρέωση επίδειξης ισχύει έως τις 31.12.2021.»
  • 2. Συγκεκριμένα, το άρθρο 33 παρ. 3β του Ν. 4816/21 προβλέπει ότι «Τα πρόσωπα των παρ. 2α και 2β προβαίνουν στην απολύτως αναγκαία επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στα πιστοποιητικά ή τις βεβαιώσεις της παρ. 1α για τον σκοπό του ελέγχου της εγκυρότητας, της γνησιότητας και της ακεραιότητας αυτών. Απαγορεύεται , ύστερα από την ολοκλήρωση της διαδικασίας ελέγχου ή επαλήθευσης, η καθ` οιονδήποτε τρόπο αποθήκευση ή τήρηση αντιγράφων των πιστοποιητικών ή βεβαιώσεων της παρ. 1α ή των δεδομένων προσωπικού χαρακτήρα που εμφανίζονται κατά τη σάρωση.»
  • 3. Η λίστα των υπόχρεων σε διενέργεια διαγνωστικού ελέγχου νόσησης και η λίστα των εξαιρούμενων από τη διενέργεια διαγνωστικού νόσησης περιέχουν, ανά φορέα, τα εξής: α) στοιχεία ταυτοποίησης των φυσικών προσώπων ως εξής: ονοματεπώνυμο, όνομα πατρός, όνομα μητρός, Αριθμό Φορολογικού Μητρώου (Α.Φ.Μ.), Αριθμό Μητρώου Κοινωνικής Ασφάλισης (Α.Μ.Κ.Α.) ή Προσωρινό Αριθμό Μητρώου Κοινωνικής Ασφάλισης (Π.Α.Μ.Κ.Α.), β) για τους εξαιρούμενους από την υποχρέωση διενέργειας διαγνωστικού ελέγχου, στοιχεία ως προς τους λόγους εξαίρεσης από την υποχρέωση διενέργειας διαγνωστικού ελέγχου νόσησης ως εξής: βα) λόγος εξαίρεσης (ολοκλήρωση εμβολιασμού, νόσηση κατά το τελευταίο εξάμηνο, νόσηση και μία δόση εμβολίου, απαλλαγή από εμβολιασμό για ιατρικούς λόγους) και ββ) τήρηση ή όχι της υποχρέωσης επίδειξης του απαιτούμενου πιστοποιητικού, και γ) για τους υπόχρεους σε διενέργεια διαγνωστικού ελέγχου, στοιχεία ως προς τη συμμόρφωσή τους με την υποχρέωση ως εξής: γα) τύπος του διαγνωστικού ελέγχου που διενεργήθηκε και γβ) ημερομηνία διενέργειας του διαγνωστικού ελέγχου.
  • 4. Ενδ. η Αρχή Προστασίας Προσωπικών Δεδομένων έχει ήδη από μηνός Μαΐου 2021 διατυπώσει τη γνώμη πως η απλή επίδειξη αρνητικού αποτελέσματος «των αυτοδιαγνωστικών ελέγχων από τους μαθητές και τους εκπαιδευτικούς, σύμφωνα με το άρθρο 2 παρ. 3 της ΚΥΑ υπ’ αρ. Δ1α/ΓΠ.οικ. 27707 (ΦΕΚ Β΄ 1825/05.05.2021), στο μέτρο που το αποτέλεσμα αυτό δεν περιλαμβάνεται σε σύστημα αρχειοθέτησης, ούτε υπόκειται σε αυτοματοποιημένη επεξεργασία, δεν συνιστά καταρχήν επεξεργασία προσωπικών δεδομένων εμπίπτουσα στο ρυθμιστικό πεδίο του ΓΚΠΔ (άρθρο 2) και του ν. 4624/2019 (άρθρο 2).», ενώ ο νομοθέτης του αρ.33 Ν.4816/2021 έχει ορίσει πως ο έλεγχος της εγκυρότητας των πιστοποιητικών μέσω της χρήσης του app συνιστά επεξεργασία δεδομένων για την οποία ο ελέγχων καθίσταται αυτοτελώς υπεύθυνος επεξεργασίας. Συνεπώς, το κατά πόσον απαιτείται νομοθετικώς ο ηλεκτρονικός έλεγχος της εγκυρότητας του εγγράφου είναι κρίσιμο ως προς την υπαγωγή ή μη στις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων. Παράλληλα, στην υπ’ αριθμ. 2/2021 ΑΠΔΠΧ, που εκδόθηκε επί των διατάξεων αυτών, παρατηρείται ότι «Όσον αφορά τη συμμόρφωση με τις υποχρεώσεις διαφάνειας, οι εν λόγω υπεύθυνοι επεξεργασίας δεδομένων πρέπει να παρέχουν στους ενδιαφερόμενους κατάλληλες πληροφορίες, σύμφωνα με τα άρθρα 12 και 13 του ΓΚΠΔ. Οι πληροφορίες, κατανοητές από όσο το δυνατόν περισσότερα άτομα, θα πρέπει ιδίως να είναι διαθέσιμες το νωρίτερο δυνατό πριν από την επαλήθευση (για παράδειγμα, σε ιστότοπους κρατήσεων συναυλιών κ.λπ.) και να τοποθετούνται σε θέσεις προσβάσιμες και ορατές κατά την πρόσβαση στον τόπο, την εγκατάσταση ή εκδήλωση που αφορά η επεξεργασία.» Ακόμη και αν δεχθούμε ότι η παρατήρηση αυτή της Αρχής δεν τυγχάνει εφαρμογής στην περίπτωση του ελέγχου πιστοποιητικών των εργαζομένων από τον εργοδότη, προκύπτει ζήτημα ως προς τις πράξεις επεξεργασίας που ο ίδιος ο νομοθέτης υποχρεώνει τον εργοδότη να διενεργήσει. Τούτο διότι, ως προελέχθη, το άρθρο 205 Ν.4820/2021 υποχρεώνει δημόσιο και ιδιωτικό τομέα στον έλεγχο εγκυρότητας μέσω της εφαρμογής, άρα καθιστά τους εργοδότες υπευθύνους επεξεργασίας για τα δεδομένα των εμβολιασθέντων και νοσησάντων εργαζομένων τους. Την ίδια στιγμή, το άρθρο 7 της ΚΥΑ 55570 υποχρεώνει τους φορείς του δημοσίου να δημιουργήσουν αρχείο υποχρέων σε διαγνωστικό έλεγχο και αρχείο εξαιρουμένων, ήτοι να επεξεργαστούν δεδομένα υγείας των μελών του προσωπικού τους τους, καθιστώντας αυτούς και πάλι υπευθύνους επεξεργασίας, χωρίς να υπάρχει αντίστοιχη ρύθμιση για τον ιδιωτικό τομέα.
Θεωρία και πράξη του επιτελικού κράτους

ΑΠΟΣΤΟΛΟΣ ΠΑΠΑΤΟΛΙΑΣ

ΔΗΜΟΣΙΑ ΔΙΟΙΚΗΣΗ

Η άσκηση διοικητικού έργου μέσω ιδιωτών

ΓΕΝΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ - ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ - ΔΗΜΟΣΙΕΣ ΣΥΜΒΑΣΕΙΣ

ΠΑΡΑΣΚΕΥΗ ΜΟΥΖΟΥΡΑΚΗ

send