logo-print

Ανάθεση υπηρεσιών καθαριότητας και ζητήματα ασφάλειας προσωπικών δεδομένων

Σκέψεις με αφορμή ένα παράδειγμα του ΕΣΠΔ και μια απόφαση της ΑΕΠΠ

Δημήτρης Βέρρας

22/07/2021

10/09/2021

Παράδειγμα: Υπηρεσίες καθαριότητας

Η Εταιρεία Α συνάπτει σύμβαση με εταιρεία παροχής υπηρεσιών καθαριότητας για τον καθαρισμό των γραφείων της. Οι υπάλληλοι της εταιρείας καθαρισμού δεν προβλέπεται να έχουν πρόσβαση ή να επεξεργάζονται με οποιονδήποτε τρόπο προσωπικά δεδομένα. Μολονότι ενδέχεται να συναντήσουν τέτοια δεδομένα περιστασιακά, καθώς θα κινούνται μέσα στα γραφεία, αυτοί μπορούν να εκπληρώσουν τα καθήκοντά τους χωρίς να αποκτήσουν πρόσβαση σε δεδομένα, ενώ και η σύμβαση τούς απαγορεύει να αποκτήσουν πρόσβαση ή να επεξεργαστούν με οποιονδήποτε τρόπο προσωπικά δεδομένα, που τηρεί η Εταιρεία Α, ως υπεύθυνος επεξεργασίας. Οι υπάλληλοι της εταιρείας καθαρισμού δεν απασχολούνται από την Εταιρεία Α, ούτε μπορεί να θεωρηθεί ότι βρίσκονται υπό τον άμεσο έλεγχό της. Δεν υπάρχει καμία πρόθεση για την ανάμειξη της εταιρείας καθαρισμού ή των υπαλλήλων της στην επεξεργασία προσωπικών δεδομένων για λογαριασμό της Εταιρείας Α. Ως εκ τούτου, η εταιρεία παροχής υπηρεσιών καθαριότητας και οι υπάλληλοί της πρέπει να θεωρηθούν ως τρίτοι και ο υπεύθυνος επεξεργασίας οφείλει να διασφαλίσει ότι έχουν ληφθεί όλα να αναγκαία μέτρα ασφάλειας, ώστε να αποτραπεί η πρόσβασή τους στα δεδομένα, ενώ πρέπει και να θεσπίσει υποχρέωση εχεμύθειας, στην περίπτωση όπου αυτοί κατά λάθος συναντήσουν προσωπικά δεδομένα.

Το ως άνω, ανεπισήμως μεταφρασθέν, παράδειγμα προέρχεται από τις Κατευθυντήριες Γραμμές 7/2020 του ΕΣΠΔ «σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία υπό τον ΓΚΠΔ», που δημοσιεύτηκαν πρόσφατα στα αγγλικά.

Είναι ενδιαφέρων ο προβληματισμός που εγείρεται ως προς τα ζητήματα ασφάλειας που προκύπτουν από την είσοδο εταιρείας καθαρισμού στους χώρους του υπευθύνου επεξεργασίας, καθώς μάλιστα θυμίζει μια απόφαση του 2ου Κλιμακίου της Αρχής Εξέτασης Προδικαστικών Προσφυγών, που εκδόθηκε το Μάρτιο του 2020.

Στην απόφαση 301/2020 η ΑΕΠΠ εκλήθη να κρίνει επί προσφυγής κατά της διακήρυξης δημόσιου, ανοιχτού, διεθνούς ηλεκτρονικού διαγωνισμού, που διενεργήθηκε από Νοσοκομείο, για την ανάδειξη αναδόχου υπηρεσιών καθαριότητας.

Σύμφωνα με την Προδικαστική Προσφυγή, στη διακήρυξη περιλαμβανόταν όρος για την υποχρέωση των υποψηφίων οικονομικών φορέων «να κατέχουν πιστοποιητικό ISO 27001:2013 ή μεταγενέστερο»1, ο οποίος θεωρήθηκε από την προσφεύγουσα ως μη νόμιμος και αντίθετος ιδίως στις διατάξεις των άρθρων 18 παρ. 1 και 82 του ν. 4412/2016.

Με τις απόψεις που υπέβαλε ενώπιον της Αρχής, η αναθέτουσα αρχή ισχυρίστηκε ότι: «Η κατοχή πιστοποιητικού διασφάλισης ποιότητας συστήματος για τη διαχείριση της ασφάλειας των πληροφοριών κατά ISO 27001:2013, συνιστά όρο με τον οποίο το νοσοκομείο συμμορφώνεται με τις απαιτήσεις του Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων (Κανονισμός ΕΕ 2016/679 και ήδη ν. 4624/2019), που καθιερώνει υποχρέωση ειδικής μέριμνας στα νοσοκομεία, και όσον αφορά τους διαγωνισμούς που διενεργούν, να συμβάλουν και να εγγυηθούν την προστασία των ευαίσθητων προσωπικών δεδομένων των ασθενών τους, στα οποία λόγω της υπηρεσίας που προκηρύσσεται να παρέχουν οι υποψήφιοι ανάδοχοι έχουν την δυνατότητα να έχουν πρόσβαση, αντικειμενική απόδειξη ασφαλούς διαχείρισης των πληροφοριών σχετικά με τα οποία, σε συμμόρφωση με τις απαιτήσεις του Κανονισμού, αποτελεί το ζητούμενο πιστοποιητικό

Η ΑΕΠΠ δεν έκανε δεκτό τον ισχυρισμό αυτό και ακύρωσε τους σχετικούς όρους της διακήρυξης. Σύμφωνα με την απόφαση της Αρχής, μια τέτοια απαίτηση της διακήρυξης είναι δυσανάλογη με το αντικείμενο της σύμβασης, ενώ άλλωστε ευθύνη της αναθέτουσας αρχής, ως υπευθύνου επεξεργασίας, είναι να διασφαλίσει ότι τα προσωπικά δεδομένα των ασθενών του Νοσοκομείου δεν μπορούν να περιέλθουν σε γνώση τρίτων. Σε κάθε περίπτωση όμως, ο ανάδοχος καθαριότητας φέρει αυτοτελή υποχρέωση για την τήρηση των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων, ως προς την επεξεργασία δεδομένων που αφορούν στο προσωπικό του ή τρίτους.

Όπως ειδικότερα κρίθηκε (οι επισημάνσεις από τον συντάκτη του παρόντος):

«14. Επειδή, κατά την έννοια των διατάξεων του Κανονισμού κάθε φορέας, στον οποίο κατά την άσκηση της δραστηριότητάς του περιέρχονται στην κατοχή, χρήση ή έστω γνώση του προσωπικά δεδομένα τρίτων, πρέπει σε συμμόρφωση με τις διατάξεις του Κανονισμού να διασφαλιστεί ότι τα δεδομένα αυτά θα τύχουν νόμιμης επεξεργασίας. Στην περίπτωση αυτή, η κατοχή και η προσκόμιση του σχετικού με τη διαχείριση της ασφάλειας των πληροφοριών πιστοποιητικού διασφάλισης ποιότητας από ανεξάρτητο οργανισμό μπορεί να συνιστά μια αντικειμενική απόδειξη ότι ο φορέας συμμορφώνεται με τις διατάξεις του Κανονισμού. Αν αντιθέτως κατά την άσκηση της δραστηριότητάς του, ένας φορέας δεν λαμβάνει γνώση, ούτε περιέρχονται στην κατοχή του προσωπικά δεδομένα, δεν παρίσταται ανάγκη να διασφαλιστεί ότι αυτά θα τύχουν νόμιμης επεξεργασίας, ούτε και πολύ περισσότερο να αποδειχθεί ότι ο φορέας είναι πιστοποιημένος από ανεξάρτητο οργανισμό ότι τηρεί σύστημα συμμόρφωσης με τις διατάξεις του Κανονισμού. […]

16. Επειδή, από τους προπαρατεθέντες όρους της διακήρυξης συνάγεται ότι απορρίπτεται η προσφορά συμμετέχοντος αν δεν διαθέτει και δεν προσκομίσει πιστοποιητικό κατά ISO 27001:2013 ή μεταγενέστερο για την ασφάλεια Πληροφοριών για το πεδίο εφαρμογής Γενικές Υπηρεσίες Καθαριότητας σε δημόσιους και Ιδιωτικούς Χώρους. Κατά τη διατύπωση των όρων του άρθρου 2.2.9.2.Α της διακήρυξης, μάλιστα, προκύπτει ότι το εν λόγω πιστοποιητικό απαιτείται να το διαθέτει ήδη κατά τον χρόνο υποβολής της προσφοράς του, χωρίς να μπορεί να στηριχτεί σε τρίτον οικονομικό φορέα για αυτό. Από το σύνολο των λοιπών όρων της διακήρυξης, όμως, και ιδίως από το Παράρτημα Ι αυτής, με τίτλο «Τεχνικές Προδιαγραφές - Αναλυτική Περιγραφή», δεν συνάγεται ότι στον ανάδοχο της σύμβασης καθαριότητας των νοσοκομείων, στο πλαίσιο παροχής της υπηρεσίας του περιέρχονται σε γνώση του προσωπικά δεδομένα ασθενών των νοσοκομείου, όπως αναπόδεικτα υποστηρίζει η αναθέτουσα αρχή στις απόψεις της, ούτε ότι έχει πρόσβαση σε αυτά. Και τούτο, διότι κατά την άσκηση του έργου καθαριότητας, δεν προκύπτει ότι υπάρχει λόγος ή επιβάλλεται για ιατρικούς ή άλλους λόγους το προσωπικό του αναδόχου να λαμβάνει γνώση ποιοι ασθενείς νοσηλεύονται στους θαλάμους νοσηλείας, ούτε από τι πάσχουν, ούτε σε ποιους διενεργούνται εξετάσεις στα εξεταστήρια ή ιατρικές πράξεις στα χειρουργεία και αλλού και τι είδους, παρά μόνον αν η αναθέτουσα αρχή δεν συμμορφών[ε]ται με τις διατάξεις του Κανονισμού, με κίνδυνο τα προσωπικά δεδομένα των ασθενών να μπορούν να περιέλθουν σε γνώση τρίτων, χωρίς λόγο. Η τήρηση του Κανονισμού, άλλωστε, και από τον ανάδοχο καθαριότητας στο βαθμό που επεξεργάζεται πράγματι προσωπικά δεδομένα, του προσωπικού του ή τρίτων, εφόσον περιέρχονται σε γνώση του, είναι νόμιμη υποχρέωσή του, η μη τήρηση της οποίας συνεπάγεται βαρύτατες συνέπειες στο πρόσωπό του. Κατά συνέπεια, δεν αποδεικνύεται ότι η απαίτηση ο υποψήφιος συμμετέχων για την προκηρυσσόμενη σύμβαση καθαριότητας των νοσοκομείων είναι ανάγκη για την επιτυχή και απρόσκοπτη παροχή της υπηρεσίας του να διαθέτει και να προσκομίσει πιστοποιητικό κατά ISO 27001:2013 ή μεταγενέστερο για την ασφάλεια πληροφοριών, η σχετική δε απαίτηση της διακήρυξης είναι δυσανάλογη με το αντικείμενο της σύμβασης και ικανή να αποτρέψει επαρκείς κατά τα λοιπά υποψηφίους να συμμετάσχουν στο διαγωνισμό, κατά παράβαση των αρχών της ίσης μεταχείρισης και της προστασίας του ανταγωνισμού. Συνακόλουθα, ενόψει και των όσων γίνονται δεκτά στη 12η σκέψη της παρούσας, ο πρώτος λόγος της προσφυγής πρέπει να γίνει δεκτός, οι δε όροι των άρθρων 2.2.7 δ) και 2.2.9.2 Β.5 δ) της διακήρυξης ως μη νόμιμοι πρέπει να ακυρωθούν».

Το παράδειγμα του ΕΣΠΔ φαίνεται να επιβεβαιώνει την ορθότητα της ως άνω κρίσης της Αρχής. Κύριο μέλημα του υπευθύνου επεξεργασίας, που αναθέτει τον καθαρισμό των χώρων του σε τρίτο φορέα, δεν πρέπει να είναι το ποιους όρους θα του θέσει για την περίπτωση όπου οι υπάλληλοί του βρεθούν μπροστά σε εκτεθειμένα προσωπικά δεδομένα. Αυτό που πρέπει να τον απασχολεί είναι το πώς θα αποτρέψει εξαρχής ένα τέτοιο ενδεχόμενο. Άλλωστε, η ευθύνη από την τυχαία απώλεια, καταστροφή ή διαρροή κάποιας πληροφορίας, ως παραβίαση της υποχρέωσης ασφάλειας, ανήκει στον ίδιο.

Οι συστάσεις αυτές του Συμβουλίου είναι βέβαια αυτονόητες και δη παρεμπίπτουσες, καθώς δεν πρέπει να παραβλέψουμε πως το παράδειγμα τίθεται στο πλαίσιο επεξήγησης της έννοιας του τρίτου και όχι ως σύσταση για τα μέτρα ασφάλειας. Είναι σαφές ότι ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει όλα τα αναγκαία μέτρα για την αποτροπή της μη εξουσιοδοτημένης πρόσβασης τρίτων σε φυσικά και ηλεκτρονικά αρχεία. Ο σχεδιασμός και κυρίως η εφαρμογή των μέτρων αυτών είναι ευχερής στην περίπτωση γραφείων που δεν λειτουργούν κατά τις ώρες επίσκεψης του συνεργείου καθαρισμού, τούτο όμως δεν ισχύει σε φορείς, όπως ένα Νοσοκομείο στην εξετασθείσα περίπτωση. Στην περίπτωση αυτή, τα συνεργεία καθαρισμού καλούνται να εργαστούν παράλληλα με το προσωπικό του Νοσοκομείου, ενώ δεν πρέπει να παραβλέπουμε και τη φύση των προσωπικών δεδομένων που εκτίθενται σε κίνδυνο.

Σε κάθε περίπτωση, όπως επισημαίνει το ΕΣΠΔ, και επειδή ποτέ δεν μπορεί κανείς να προβλέψει όλα τα πιθανά ενδεχόμενα, χρήσιμο είναι να τίθεται και μια δέσμευση εχεμύθειας/εμπιστευτικότητας στις σχετικές συμβάσεις.

  • 1. Ειδικότερα, στο άρθρο 2.2.7 της διακήρυξης με τίτλο «Πρότυπα διασφάλισης ποιότητας», μεταξύ άλλων, προβλεπόταν ότι: «Οι οικονομικοί φορείς απαιτείται να τηρούν τα παρακάτω πρότυπα διασφάλισης ποιότητας: … (δ) σύστημα Διαχείρισης Ασφάλειας Πληροφοριών για το πεδίο εφαρμογής Γενικές Υπηρεσίες Καθαριότητας σε δημόσιους και Ιδιωτικούς Χώρους. …», ενώ στο άρθρο 2.2.9 με τίτλο «Κανόνες απόδειξης ποιοτικής επιλογής», μεταξύ άλλων ότι: «Β.5. Για την απόδειξη της συμμόρφωσής τους με πρότυπα διασφάλισης ποιότητας και πρότυπα περιβαλλοντικής διαχείρισης της παραγράφου 2.2.7 οι οικονομικοί φορείς προσκομίζουν: … δ) σύστημα Διαχείρισης Ασφάλειας Πληροφοριών για το πεδίο εφαρμογής Γενικές Υπηρεσίες Καθαριότητας σε δημόσιους και Ιδιωτικούς Χώρους, σύμφωνο με το πρότυπο ISO 27001:2013, ή μεταγενέστερο αυτού. …»,

Δημήτρης Βέρρας

Προφίλ Αρθρογραφία

ΔΗΜΟΦΙΛΗΣ ΑΡΘΡΟΓΡΑΦΙΑ

Έληξε το συμβόλαιο της μίσθωσής μου. Τι να κάνω; (Mέρος Α' - Μίσθωση Κατοικίας)

Τι είναι εξύβριση, δυσφήμιση και συκοφαντική δυσφήμιση;

Τα parking στην πυλωτή της πολυκατοικίας

Ενδικοφανής προσφυγή: Απαντήσεις στα συχνότερα ερωτήματα

ΣΤΗΝ ΙΔΙΑ ΚΑΤΗΓΟΡΙΑ

Συγκατάθεση ή πληρωμή: Κοινή επιστολή φορέων παροχής υπηρεσιών διαφήμισης προς το ΕΣΠΔ

Το δικαίωμα πρόσβασης στο μικροσκόπιο του ΕΣΠΔ

Δυσκολία στην ανεύρεση εργασίας και διαγραφή αποτελεσμάτων από τη Google (ΑΠΔΠΧ 38/2023)

Εξέταση καταγγελιών και λήψη διορθωτικών μέτρων από τις αρχές προστασίας δεδομένων (Γενικός Εισαγγελέας ΔΕΕ C-768/21)
Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση
Το δικαίωμα υπαναχώρησης στην Πνευματική Ιδιοκτησία - Συμβολές Αστικού Δικαίου Νο 13 21