Αρχή Προστασίας Δεδομένων: Τι διευκρινίζει για self test και GDPR

Διευκρινίσεις παρέχει η Αρχή Προστασίας Δεδομένων αναφορικά με το GDPR και τα self tests. Ειδικότερα, αναφέρεται χαρακτηριστικά πως: η επίδειξη του αρνητικού αποτελέσματος των αυτοδιαγνωστικών ελέγχων από τους μαθητές και τους εκπαιδευτικούς στο μέτρο που το αποτέλεσμα αυτό δεν περιλαμβάνεται σε σύστημα αρχειοθέτησης, ούτε υπόκειται σε αυτοματοποιημένη επεξεργασία, δεν συνιστά καταρχήν επεξεργασία προσωπικών δεδομένων εμπίπτουσα στο ρυθμιστικό πεδίο του ΓΚΠΔ (άρθρο 2) και του ν. 4624/2019 (άρθρο 2).

ΑΝΑΛΥΤΙΚΑ

Με αφορμή ερωτήματα που υποβάλλονται στην Αρχή από γονείς μαθητών, ως ασκούντες τη γονική μέριμνα των ανήλικων τέκνων τους, ενήλικους μαθητές, εκπαιδευτικούς, απασχολούμενους (ιδιωτικού και δημοσίου τομέα) και ναυτικούς, με την ιδιότητά τους ως υποκείμενα των δεδομένων, αναφορικά με τους αυτοδιαγνωστικούς ελέγχους στο πλαίσιο διαχείρισης της πανδημικής κρίσης λόγω κορωνοϊού και της επαναλειτουργίας δραστηριοτήτων της χώρας και δεδομένου ότι τα ζητήματα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά τη διενέργεια των αυτοδιαγνωστικών ελέγχων έχουν ρυθμιστεί με σχετικές Κοινές Υπουργικές Αποφάσεις [ΚΥΑ Δ1α/ΓΠ.οικ. 24525 (ΦΕΚ Β’ 1588/19-04-2021), ΚΥΑ Δ1α/ΓΠ.οικ. 26390 (ΦΕΚ Β’ 1686/24-04-2021) όπως τροποποιήθηκε με την ΚΥΑ Δ1α/Γ.Π.οικ.28499 (ΦΕΚ Β’ 1870/07-05-2021), ΚΥΑ Δ1α/ΓΠ.οικ. 27707 (ΦΕΚ Β’ 1825/05-05-2021), ΚΥΑ Δ1α/ΓΠ.οικ. 26389 (ΦΕΚ Β’ 1685/24-04-2021), ΚΥΑ Δ1α/Γ.Π.οικ. 24527 (ΦΕΚ Β’ 1582/19-04-2021), ΚΥΑ Δ1α/Γ.Π.Οικ. 28259 (ΦΕΚ Β΄ 1866/07-05-2021), ΚΥΑ Δ1α/Γ.Π.οικ 26394 (ΦΕΚ Β’ 1688/25-04-2021)] με τις οποίες, μεταξύ άλλων, προβλέπεται ότι υπεύθυνοι επεξεργασίας είναι η ΗΔΙΚΑ Α.Ε. και το Υπουργείο Εργασίας και Κοινωνικών Υποθέσεων αυτοτελώς για τους εργαζόμενους του ιδιωτικού τομέα (άρθρο 7), η ΗΔΙΚΑ Α.Ε. και το Υπουργείο Εσωτερικών αυτοτελώς για τους απασχολούμενους στο δημόσιο τομέα (άρθρο 6), η ΗΔΙΚΑ Α.Ε.  για τους μαθητές και εκπαιδευτικούς (άρθρο 7), η ΗΔΙΚΑ Α.Ε. και το Ναυτικό Απομαχικό Ταμείο αυτοτελώς για τους ναυτικούς (άρθρο 7), η ΗΔΙΚΑ Α.Ε. για τους δικαστικούς και εισαγγελικούς λειτουργούς (άρθρο 6), η ΗΔΙΚΑ Α.Ε. για τους φοιτητές, διδακτικό και λοιπό προσωπικό ΑΕΙ (άρθρο 6), και η ΗΔΙΚΑ Α.Ε., το Υπουργείο Εσωτερικών και το Υπουργείο Παιδείας και Θρησκευμάτων αυτοτελώς για τους θρησκευτικούς λειτουργούς (άρθρο 6), η Αρχή, στο πλαίσιο των αρμοδιοτήτων της κατά τον Κανονισμό (ΕΕ)2016/679 και τον ν. 4624/2019, επισημαίνει τα ακόλουθα:

1. Με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό μέγεθος του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον δε, ο υπεύθυνος επεξεργασίας βαρύνεται με το περαιτέρω καθήκον να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ.
2.  Υπό τον ΓΚΠΔ και τον ν. 4624/2019 προκειμένου το υποκείμενο των δεδομένων να ασκήσει αποτελεσματικά τα δικαιώματά του πρέπει να γνωρίζει την ταυτότητα του υπευθύνου επεξεργασίας και τα στοιχεία επικοινωνίας του. Επιπλέον, πρέπει, κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα να παρέχεται ενημέρωση για βασικά στοιχεία της επεξεργασίας, όπως οι σκοποί, η νομική βάση και οι αποδέκτες της επεξεργασίας.
3. Οι αρμοδιότητες της Αρχής καθορίζονται ρητά στις διατάξεις των άρθρων 57 ΓΚΠΔ και 13 του ν. 4624/2019. Εξάλλου, η Αρχή έχει ήδη επισημάνει με την απόφαση 52/2018 ότι δεν έχει αρμοδιότητα να απαντά σε ερωτήματα σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς σχετικά αιτήματα υποκειμένων των δεδομένων υποβάλλονται ενώπιον του αρμοδίου υπευθύνου επεξεργασίας.

Κατόπιν τούτων, και βάσει των προαναφερόμενων ΚΥΑ, τα υποκείμενα των δεδομένων, μαθητές, εκπαιδευτικοί, απασχολούμενοι στον ιδιωτικό και δημόσιο τομέα, ναυτικοί, δικαστικοί και εισαγγελικοί λειτουργοί, φοιτητές, διδακτικό και λοιπό προσωπικό ΑΕΙ και θρησκευτικοί λειτουργοί μπορούν στην περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο της δήλωσης του αποτελέσματος των αυτοδιαγνωστικών ελέγχων που πραγματοποιείται μέσω της πλατφόρμας https://self-testing.gov.gr/, να απευθύνονται στους αναφερόμενους στις αντίστοιχες ΚΥΑ υπευθύνους επεξεργασίας για την άσκηση των δικαιωμάτων τους, όπως αυτά απορρέουν από τον ΓΚΠΔ και τον ν. 4624/2019.

Διευκρινίζεται, περαιτέρω, ότι η επίδειξη του αρνητικού αποτελέσματος των αυτοδιαγνωστικών ελέγχων από τους μαθητές και τους εκπαιδευτικούς, σύμφωνα με το άρθρο 2 παρ. 3 της ΚΥΑ υπ’ αρ. Δ1α/ΓΠ.οικ. 27707 (ΦΕΚ Β΄ 1825/05.05.2021), στο μέτρο που το αποτέλεσμα αυτό δεν περιλαμβάνεται σε σύστημα αρχειοθέτησης, ούτε υπόκειται σε αυτοματοποιημένη επεξεργασία, δεν συνιστά καταρχήν επεξεργασία προσωπικών δεδομένων εμπίπτουσα στο ρυθμιστικό πεδίο του ΓΚΠΔ (άρθρο 2) και του ν. 4624/2019 (άρθρο 2).

Η Αρχή εξετάζει αυτεπάγγελτα το ζήτημα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διενέργειας των αυτοδιαγνωστικών ελέγχων.