ΑΠΔΠΧ: Πρόστιμο για απώλεια ιατρικών γνωματεύσεων - παραβίαση δικαιώματος πρόσβασης (απόφαση 27/2022)

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε καταγγελία κατά Κέντρου Κοινωνικής Προστασίας για την απώλεια εγγράφων, και συγκεκριμένα δυο ιατρικών γνωματεύσεων που αφορούσαν τον καταγγέλλοντα και είχαν υποβληθεί ως συνημμένα (με τη συγκατάθεση του ιδίου) σε αίτηση που είχε καταθέσει στο καταγγελλόμενο η σύζυγός του (απόφαση 27/2022).

Η τελευταία εργάζεται ως κοινωνική λειτουργός στο καταγγελλόμενο Κέντρο και υπέβαλε σε αυτό αίτηση με θέμα «εκτέλεση υπηρεσίας back office», λόγω του ότι ο σύζυγός της και καταγγέλλων ανήκει στις ευπαθείς ομάδες, σύμφωνα και με τα μέτρα περιορισμού διάδοσης του νέου κορωνοϊού.

Η Αρχή διαπίστωσε, αρχικά, ότι οι δυο επίμαχες ιατρικές γνωματεύσεις περιείχαν δεδομένα προσωπικού χαρακτήρα και μάλιστα, μεταξύ άλλων, και δεδομένα προσωπικού χαρακτήρα ειδικών κατηγοριών κατ’ άρθρο 9 ΓΚΠΔ. Τα δεδομένα αυτά αφορούσαν ειδικότερα την υγεία του καταγγέλλοντα και σχετίζονταν με τη σωματική του υγεία, αποκάλυπταν δε πληροφορίες σχετικά με την κατάσταση της υγείας του, με αναφορά στο ιατρικό ιστορικό του και τη νόσο από την οποία πάσχει, πληροφορίες που αφορούν ταυτοποιήσιμο φυσικό πρόσωπο (τον καταγγέλλοντα), η ταυτότητα του οποίου μπορεί να εξακριβωθεί άμεσα.

Ακολούθως, έκρινε ότι πράγματι έλαβε χώρα απώλεια των δυο ιατρικών γνωματεύσεων, όπως συνομολογήθηκε από το καταγγελλόμενο. Αυτός ήταν και ο λόγος, εξάλλου, όπως επεσήμανε η Αρχή, που η Πρόεδρος του καταγγελλομένου ζήτησε από την σύζυγο του καταγγέλλοντα να προσκομίσει τα έγγραφα αυτά, καθώς έπρεπε να τοποθετηθούν εκ νέου εντός του υπηρεσιακού φακέλου της ως απαραίτητα έγγραφα που θεμελίωναν και δικαιολογούσαν την τοποθέτησή της στην συγκεκριμένη θέση απασχόλησης και υποχρεωτικώς έπρεπε να συνοδεύουν την υποβληθείσα αίτησή της.

Αβάσιμος δε κρίθηκε ο ισχυρισμός του καταγγελλομένου περί καταστροφής των επίμαχων ιατρικών γνωματεύσεων. Μεταξύ άλλων, η Αρχή τόνισε αφενός ότι δεν προσκομίστηκε από την πλευρά του καταγγελλομένου πρωτόκολλο καταστροφής ή άλλο παρεμφερές αποδεικτικό έγγραφο, αφετέρου ότι η Πρόεδρος του καταγγελλομένου είχε την δυνατότητα οποιαδήποτε στιγμή να επανεξετάσει το δικαίωμα της συζύγου του καταγγέλλοντα για την απασχόληση σε καθήκοντα, για τα οποία δεν απαιτείται καθημερινή επαφή με κοινό (back office). Συνεπώς, οι επίμαχες ιατρικές γνωματεύσεις θα ήταν χρήσιμες στην περίπτωση επανεξέτασης και έπρεπε να διατηρηθούν στον υπηρεσιακό φάκελο της υπαλλήλου, μαζί με την αίτησή της, ως έγγραφα που αποδείκνυαν και θεμελίωναν το ανωτέρω δικαίωμά της, και όχι να καταστραφούν, καθότι εξάλλου, πάγια τακτική του καταγγελλομένου –σύμφωνα με τα όσα το ίδιο ισχυρίζεται– είναι να καταστρέφονται μόνον όσα έγγραφα δεν είναι χρήσιμα και απαραίτητα για την λειτουργία των υπηρεσιών του.

Η Αρχή διαπίστωσε ότι δεν ικανοποιήθηκε το δικαίωμα πρόσβασης του καταγγέλλοντα στις γνωματεύσεις αυτές, το οποίο αυτός είχε ασκήσει με σχετική έγγραφη αίτησή του προς το καταγγελλόμενο.

Επιπλέον, έκρινε ότι η διαδικασία διαχείρισης από την πλευρά του καταγγελλομένου της αίτησης αυτής, μετά των συνημμένων σε αυτήν ιατρικών γνωματεύσεων, δεν ανταποκρίνεται στο επίπεδο προστασίας του ΓΚΠΔ και στο γενικότερο πνεύμα του, ειδικά στην αρχή της λογοδοσίας, καθώς και ότι δεν είχαν ληφθεί κατάλληλα τεχνικά και οργανωτικά μέτρα. Κατά την εξέταση της υπόθεσης, διαπιστώθηκε, περαιτέρω, ότι το καταγγελλόμενο δεν είχε ορίσει Υπεύθυνο Προστασίας Δεδομένων κατά το επίμαχο χρονικό διάστημα.

Κατόπιν των ανωτέρω, η Αρχή επέβαλλε στο καταγγελλόμενο Κέντρο Κοινωνικής Προστασίας, ως υπεύθυνο επεξεργασίας, πρόστιμο ύψους 3.000 ευρώ για την παράβαση του άρθρου 15 του Κανονισμού (ΕΕ) 2016/679, πρόστιμο ύψους τριών χιλιάδων 3.000 ευρώ για την παράβαση του άρθρου 32 του Κανονισμού (ΕΕ) 2016/679, και πρόστιμο ύψους τριών χιλιάδων 3.000 ευρώ για την παράβαση του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679, σύμφωνα και με το άρθρο 58 παρ. 2 θ΄ του ΓΚΠΔ σε συνδυασμό με το άρθρο 83 παρ. 4 και 5 του ΓΚΠΔ και τα άρθρα 39 παρ. 1 του ν. 4624/2019.

Απόσπασμα απόφασης

Κατόπιν όλων των ανωτέρω προκύπτουν τα ακόλουθα συμπεράσματα:

Α) Η διαδικασία διαχείρισης, από την πλευρά του καταγγελλομένου, αιτήσεων που περιέχουν και προσωπικά δεδομένα ειδικών κατηγοριών δεν ανταποκρίνεται στο επίπεδο προστασίας του ΓΚΠΔ και στο γενικότερο πνεύμα του, ειδικά στην αρχή της λογοδοσίας. Επίσης, δεν ελήφθησαν υπόψιν κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφαλείας οι κίνδυνοι που απορρέουν από τη συγκεκριμένη επεξεργασία από τυχαία ή παράνομη απώλεια,

Β) Έτι περαιτέρω, δεν είχαν ληφθεί κατάλληλα τεχνικά και οργανωτικά μέτρα (άρθρο 32 ΓΚΠΔ) κατά την επεξεργασία των δεδομένων του καταγγέλλοντα, προκειμένου να επιτυγχάνεται η ασφάλεια των δεδομένων από απαγορευμένη διάδοση ή πρόσβαση,

Γ) Ο δε ισχυρισμός του καταγγελλομένου ότι τα έγγραφα καταστράφηκαν, απορρίπτεται ως οψίμως προβληθείς, όλως προσχηματικός και αβάσιμος, δεδομένου μάλιστα ότι η τυχαία ή παράνομη «καταστροφή» και η «απώλεια» των δεδομένων διακρίνονται εννοιολογικά μεταξύ τους ως συνέπειες της παραβίασης ασφαλείας των δεδομένων (άρθρο 4 περ. 12 ΓΚΠΔ), και στην περίπτωση που συντρέχει η πρώτη, αποκλείεται η δεύτερη, ενώ ο όρος «καταστροφή» μπορεί να αφορά και την τύχη των δεδομένων μετά την λήξη του χρόνου τήρησης. Μάλιστα, το καταγγελλόμενο κάνει στο υπόμνημά του χρήση του όρου «απώλεια-καταστροφή», η οποία είναι ενδεικτική της παραδοχής εκ μέρους του ότι δεν έχει μέχρι και σήμερα σαφή εικόνα σχετικά με το τι απέγιναν τελικά οι επίμαχες ιατρικές γνωματεύσεις,

Δ) Ο καταγγέλλων με την αίτησή του με αρ. πρωτ. … προς το καταγγελλόμενο για χορήγηση αντιγράφων των ιατρικών εγγράφων άσκησε το δικαίωμα πρόσβασης, το οποίο ωστόσο δεν ικανοποιήθηκε, λόγω της ήδη προηγηθείσας απώλειας των δεδομένων (ά. 15 ΓΚΠΔ),

Ε) Κατόπιν σχετικής αναζήτησης στο μητρώο Υπευθύνων Προστασίας Δεδομένων που τηρεί η Αρχή, δεν βρέθηκε κατά την επίμαχη χρονική περίοδο ανακοίνωση στοιχείων επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων από το ως άνω καταγγελλόμενο, ως όφειλε σύμφωνα με το άρθρο 37 παρ. 1 και 7 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 ΓΚΠΔ),

ΣΤ) Τέλος, σχετικά με το αίτημα του καταγγέλλοντα να του κοινοποιηθούν τα έγγραφα που έχουν κατατεθεί από το καταγγελλόμενο στην Αρχή, όπως αυτό περιγράφεται στο υπόμνημά του, αλλά και στην με αρ. πρωτ. Γ/ΕΙΣ/2507/18-02-2022 αίτησή του προς την Αρχή, η Αρχή δέχεται εν μέρει το εν λόγω αίτημα και αποφαίνεται να χορηγηθούν στον καταγγέλλοντα η απάντηση του καταγγελλομένου στο έγγραφο διευκρινίσεων της Αρχής με αρ. πρωτ. Γ/ΕΙΣ/6044/28-09-2022, καθώς και το με αρ. πρωτ. Γ/ΕΙΣ/4740/18-03-2022 υπόμνημα του καταγγελλομένου, και να μην χορηγηθούν τα υπόλοιπα έγγραφα που αφορούν την διαδικασία της ΕΔΕ, κάποια εκ των οποίων έχουν χαρακτηρισθεί ως εμπιστευτικά από τα διοικητικά όργανα που τα εξέδωσαν, λόγω του ότι εμπεριέχουν στοιχεία και προσωπικά δεδομένα τρίτων προσώπων, τα οποία θεωρούνται απόρρητα (βλ. και άρθρο 6 παρ. 5 του Κανονισμού Λειτουργίας της Αρχής).

Τέλος, απορριπτομένου και του σχετικού ισχυρισμού του καταγγελλομένου περί καταστροφής των επίμαχων γνωματεύσεων, σύμφωνα με τα ανωτέρω, παρέλκει η εξέταση των ισχυρισμών του καταγγέλλοντα αναφορικά με τον χρόνο τήρησης και καταστροφής των ιατρικών γνωματεύσεων

Δείτε ολόκληρη την απόφαση στο dpa.gr.