Αυστηρή σύσταση σε Δημόσιο Νοσοκομείο για παράνομη επεξεργασία ευαίσθητων δεδομένων υπαλλήλου (ΑΠΔΠΧ)

Καταγγελία για αναίτια δημοσιοποίηση ιατρικού πορίσματος αναπηρίας (ΚΕ.Π.Α.) στα Υπουργείο Εσωτερικών και Υγείας

ΣΥΝΤΑΚΤΗΣ:

Lawspot.gr

ΔΗΜΟΣΙΕΥΣΗ:

10/01/2019 - 13:41

ΤΕΛΕΥΤΑΙΑ ΤΡΟΠΟΠΟΙΗΣΗ:

11/01/2019 - 12:15

Με την υπ' αριθμ. 72/2018 απόφασή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα απηύθυνε αυστηρή σύσταση σε δημόσιο Νοσοκομείο να διακόψει την επεξεργασία ευαίσθητων δεδομένων εργαζομένου και να εφαρμόζει τις εθνικές και ευρωπαϊκές διατάξεις περί προστασίας προσωπικών δεδομένων.

Η απόφαση εκδόθηκε έπειτα από προσφυγή του Α, ο οποίος κατήγγειλε ότι το Γενικό Νοσοκοµείο Χ, στο οποίο εργάζεται ως βοηθός νοσηλευτής, «δηµοσιοποίησε αναίτια ευαίσθητα προσωπικά του δεδοµένα χωρίς να ερωτηθεί και να συναινέσει, ήτοι δηµοσιοποίησε το ιατρικό πόρισµα πιστοποίησης της αναπηρίας του (ΚΕ.Π.Α.) στην Υπηρεσία, στο Υπουργείο Εσωτερικών αλλά και στο Υπουργείο Υγείας».

Η Διοίκηση του Γενικού Νοσοκομείου υποστήριξε ότι ενήργησε στα πλαίσια άσκησης νοµίµων καθηκόντων της, καθώς η αναγραφή σε έγγραφο του νοσοκοµείου προς το αρµόδιο Υπουργείο Εσωτερικών, της πληροφορίας για την κατάσταση της υγείας του υπαλλήλου, συνιστά επεξεργασία προσωπικών δεδοµένων που συνδεόταν άµεσα µε τη δηµοσιοϋπαλληλική σχέση του καταγγέλλοντος και το αίτηµά του για χορήγηση ειδικής άδειας για λόγους υγείας.

Διαβάστε επίσης: Δικαίωμα στη λήθη: Μόνο σε επίπεδο Ευρωπαϊκής Ένωσης η υποχρέωση διαγραφής συνδέσμων για τις μηχανές αναζήτησης (Γεν. Εισαγγελέας ΔΕΕ)

«Η αποκάλυψη της κατάστασης της υγείας του υπαλλήλου ήταν απαραίτητη για να εκτιµηθεί ο λόγος χορήγησης της αιτηθείσας διευκόλυνσής του, οπότε δεν παραβιάσθηκε η αρχή της αναλογικότητας του άρθρου 4 παρ. 1 στοιχ. β΄του ν. 2472/19997, καθώς και η υποχρέωση του απορρήτου της επεξεργασίας, σύµφωνα µε το άρθρο 10 του ν. 2472/1997», υποστήριξε η Διοίκηση.

Η απόφαση της Αρχής

Η Αρχή διαπίστωσε στην προκειµένη περίπτωση ότι το Γενικό Νοσοκοµείο κοινολόγησε στο Υπουργείο Εσωτερικών και εκείνο στο Υπουργείο Υγείας, επικαλούµενο αρµοδιότητα του δεύτερου ως εποπτεύοντος Υπουργείου του Νοσοκοµείου, το ιατρικό πόρισµα πιστοποίησης της αναπηρίας (ΚΕ.Π.Α.) του προσφεύγοντος, ήτοι ευαίσθητα προσωπικά του δεδοµένα,  χωρίς ενηµέρωση και συγκατάθεσή του και σχετική άδεια της Αρχής.

Η Αρχή επισημαίνει ότι, σύµφωνα µε το άρθρο 4 παρ. 1 στ. β΄ του ν. 2472/1997, για να τύχουν νόµιµης επεξεργασίας τα δεδοµένα προσωπικού χαρακτήρα από το Γενικό Νοσοκοµείο Χ, πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας.

Ως εκ τούτου, η Αρχή έκρινε ότι στην προκειµένη περίπτωση, το Γενικό Νοσοκοµείο Χ, ως υπεύθυνος επεξεργασίας, αποστέλλοντας το σχετικό έγγραφο, χωρίς να διαγράψει το όνοµα του υπαλλήλου στον οποίο αναφερόταν (υποκειµένου των δεδοµένων), ώστε να µην είναι δυνατή η ταυτοποίηση αυτού από το αρµόδιο για γνωµοδότηση επί της χορήγηση ή µη ειδικής άδειας Υπουργείο και ταυτόχρονα να ικανοποιείται ο επικαλούµενος από το Νοσοκοµείο σκοπός της ικανοποίησης ή µη του αιτήµατος του υποκειµένου, παραβίασε και την αρχή της αναλογικότητας της επεξεργασίας των δεδοµένων.

Κρίνοντας τη βαρύτητα των παραβιάσεων, καθώς και την αρµοδιότητα και τα καθήκοντα του Νοσοκομείου καθ’ ου, απηύθυνε αυστηρή σύσταση στο Γενικό Νοσοκοµείο Χ όπως διακόψει τυχόν περαιτέρω επεξεργασία των ως άνω αναφερόµενων ευαίσθητων δεδοµένων του Α και όπως εφαρµόζει µε τη δέουσα επιµέλεια τις εθνικές και ευρωπαϊκές διατάξεις περί προστασίας προσωπικών δεδοµένων.

Η απόφαση είναι διαθέσιμη στο dpa.gr