Επικοινωνία με πατέρα ασθενούς για προγραμματισμένο ραντεβού
Η κυπριακή αρχή προστασίας δεδομένων απευθύνει επίπληξη σε γιατρό που παρέχει υπηρεσίες σε ιατρικό κέντρο, κρίνοντας πως υπεύθυνος επεξεργασίας είναι ο ίδιος, αφού η γραμματέας πληρώνεται από αυτόν
Επίπληξη απηύθυνε η Επίτροπος Προστασίας Προσωπικών Δεδομένων της Κύπρου σε γιατρό για την πραγματοποίηση τηλεφωνικής κλήσης στον πατέρα ασθενούς.
Η κυπριακή αρχή επελήφθη επί καταγγελίας πολίτη σχετικά με την παράνομη αποκάλυψη προσωπικών δεδομένων του στον πατέρα του. Η αποκάλυψη αυτή τελέστηκε με την πραγματοποίηση τηλεφωνικής κλήσης από τη γραμματέα του γιατρού, στον οποίο ο πολίτης είχε προγραμματίσει εξέταση. Σύμφωνα με τον καταγγέλλοντα, η γραμματέας αποπειράθηκε αρχικώς να επικοινωνήσει με τον ίδιο, προκειμένου να τον ενημερώσει για το προγραμματισμένο ιατρικό ραντεβού του, επειδή όμως δεν κατάφερε να μιλήσει μαζί του, αναζήτησε τα στοιχεία επικοινωνίας του πατέρα του, όπως αυτά είχαν δηλωθεί από τον ίδιο στην πλατφόρμα του Γενικού Συστήματος Υγείας (ΓεΣΥ) και επικοινώνησε με αυτόν. Αποτέλεσμα της επικοινωνίας αυτής ήταν ο καταγγέλλων να λάβει μήνυμα από τον πατέρα του, ο οποίος τον ρωτούσε σχετικά με το θέμα υγείας που έχει και «τους το κρύβει».
Η κυπριακή αρχή εξέτασε αρχικώς το πρόσωπο που ενεργεί εν προκειμένω ως υπεύθυνος επεξεργασίας. Αρχικά ζήτησε διευκρινίσεις από το ιατρικό κέντρο, στο οποίο θα πραγματοποιείτο το προγραμματισμένο ραντεβού, με το ιατρικό κέντρο να διευκρινίζει πως αυτό «διεξάγει εργασίες νοσηλευτηρίου και παρέχει νοσηλευτικές υπηρεσίες στους ασθενείς των ιατρών που συνεργάζονται με αυτό και/ή διατηρούν ιατρεία σε αυτό. Ο κάθε ιατρός, ο οποίος διατηρεί ιατρείο στο Ιατρικό Κέντρο, ενεργεί ως αυτό-εργοδοτούμενος ή εργαζόμενος της ιατρικής του εταιρείας. Στα πλαίσια της άσκησης του λειτουργήματος τους, οι ιατροί απασχολούν ως εργοδότες τις γραμματείς τους».
Διαβάστε επίσης: Πρόστιμο 14.000 ευρώ σε γιατρό για δημοσίευση βίντεο με ασθενή στο Instagram
Η Επίτροπος δέχθηκε τον ισχυρισμό αυτό και διαπίστωσε πως υπεύθυνος επεξεργασίας για την επίμαχη πράξη επεξεργασίας υπήρξε ο γιατρός. Σύμφωνα με την απόφασή της, «στο υπό αναφορά περιστατικό, ρόλο υπεύθυνου επεξεργασίας έχει ο Καθ’ ου, αφού ο ίδιος έχει καθορίσει τον σκοπό της υπό διερεύνηση πράξης επεξεργασίας, δηλαδή την επικοινωνία με τον πατέρα του καταγγέλλοντος, για λόγους υπενθύμισης και επιβεβαίωσης του ραντεβού. Άλλωστε, ως ο ίδιος ο Καθ’ ου ανέφερε, η γραμματέας του έχει εντολή να επικοινωνεί με τους ασθενείς μία ή δύο ημέρες πριν το ραντεβού τους. [...] Το Ιατρικό Κέντρο δεν αποτελεί τον υπεύθυνο επεξεργασίας, αφού η γραμματέας εργοδοτείται από τον Καθ’ ου (και από άλλους ιατρούς) και, επομένως, λαμβάνει εντολές από τον Καθ’ ου (και τους άλλους ιατρούς αντίστοιχα). Το γεγονός ότι η γραμματέας του Καθ’ ου απασχολείται στις εγκαταστάσεις του Ιατρικού Κέντρου δεν αποδίδει στο Ιατρικό Κέντρο ρόλο υπεύθυνου επεξεργασίας, όσον αφορά στη συγκεκριμένη επεξεργασία, δηλαδή στην επικοινωνία με τον πατέρα του καταγγέλλοντος. Ούτε αποδίδεται ευθύνη στον Ιατρικό Κέντρο, επειδή, ως ανέφερε ο Καθ’ ου, η γραμματέας έχει εκπαιδευτεί από αυτό, στη Διαχείριση Προσωπικών Δεδομένων, με βάση τις αρχές ISO».
Ακολούθως, η εποπτική αρχή εξέτασε το πλαίσιο στο οποίο πραγματοποιήθηκε η επεξεργασία των προσωπικών δεδομένων του καταγγέλλοντος. Για την εξέταση αυτή, η αρχή αναζήτησε τα στοιχεία που υποβάλλονται από τους πολίτες στην πλατφόρμα του ΓεΣΥ και διαπίστωσε πως στα στοιχεία αυτά περιλαμβάνονται, ως υποχρεωτικά, το όνομα του πλησιέστερου συγγενή και ο αριθμός του τηλεφώνου του και ως προαιρετικά τα εναλλακτικά στοιχεία επικοινωνίας του ίδιου του χρήστη.
Οι δύο αυτές κατηγορίες στοιχείων δεν ταυτίζονται, αφού εξυπηρετούν διαφορετικούς σκοπούς. Κατά συνέπεια, η άντληση και χρήση των στοιχείων επικοινωνίας του πατέρα, ως εναλλακτικών στοιχείων επικοινωνίας του ασθενούς, υπήρξε εσφαλμένη και μη νόμιμη. Τα στοιχεία αυτά δηλώνονταν στο σύστημα προς τον σκοπό της ενημέρωσης συγγενών σχετικά με σοβαρό περιστατικό, όπως για παράδειγμα όταν ο δικαιούχος του ΓεΣΥ είναι αναίσθητος και του παρέχεται επείγουσα θεραπεία ή σε περίπτωση σοβαρού ατυχήματος, και όχι προς τον σκοπό της επικοινωνίας για υπενθύμιση ή επιβεβαίωση ιατρικού ραντεβού.
Με βάση τα ανωτέρω, η κυπριακή αρχή διαπίστωσε την παραβίαση της αρχής του περιορισμού του σκοπού (άρθρο 5 παρ.1β’ ΓΚΠΔ), σύμφωνα με την οποία τα δεδομένα «συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς». Κατά τούτο και σύμφωνα με τα όσα κρίθηκαν, η έννοια της «περαιτέρω επεξεργασίας» καταλαμβάνει και πράξεις επεξεργασίας από τρίτα πρόσωπα σε σχέση με αυτόν που έχει συλλέξει τα δεδομένα, τα οποία πρόσωπα οφείλουν και αυτά να διασφαλίζουν τη συμβατότητα των σκοπών του αρχικού υπευθύνου επεξεργασίας με τους δικούς τους σκοπούς.
Για την παράβαση αυτή, η Επίτροπος απεύθυνε επίπληξη στον γιατρό.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο εδώ.