logo-print

Προσωπικά δεδομένα: Πρόστιμο στην ΑΑΔΕ λόγω διαβίβασης ιατρικής γνωμάτευσης υπαλλήλου ΔΟΥ προς το Σύλλογο Εργαζομένων (ΑΠΔΠΧ απόφαση 54/2021)

Παράβαση της διάταξης του άρθρου 5 του ΓΚΠΔ, παράλειψη γνωστοποίησης στην Αρχή κατ’ άρθρο 33 και ελλιπής ικανοποίηση στο δικαίωμα ενημέρωσης που άσκησε ο καταγγέλλων κατ’ άρθρο 13

13/01/2022

18/01/2022

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση

Πρόστιμο ύψους 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Ανεξάρτητη Αρχή Δημοσίεων Εσόδων για παραβίασητης νομοθεσίας περί προσωπικών δεδομένων.

Συγκεκριμένα, κατόπιν υποβολής σχετικής καταγγελίας, η Αρχή έκρινε πως η διαβίβαση ιατρικής γνωμάτευσης, την οποία ο καταγγέλλων δημόσιος υπάλληλος σε ΔΟΥ προσκόμισε στην υπηρεσία του για τον σκοπό της χορήγησης αιτούμενης ειδικής άδειας απουσίας, στον Σύλλογο Εργαζομένων, έγινε κατά παράβαση της διάταξης του άρθρου 5 παρ. 1 στοιχ. α΄ του ΓΚΠΔ (απόφαση 54/2021).

Αρχικά, η Αρχή έκρινε πως, εν προκειμένω, υπεύθυνος της καταγγελλόμενης επεξεργασίας είναι η ΑΑΔΕ, καθώς ο σκοπός και ο τρόπος της συλλογής, της διαβίβασης και εν γένει της επεξεργασίας του προσωπικού μητρώου των υπαλλήλων, με την παράλληλη διασφάλιση κατάλληλου επιπέδου ασφαλείας έναντι κινδύνων, καθορίζεται από την τελευταία, απορρίπτοντας τον προβληθέντα από την ΑΑΔΕ, το Αυτοτελές Τμήμα Υποστήριξης ΥΠΔ της ΑΑΔΕ και την αρμόδια ΔΟΥ ισχυρισμό ότι, λόγω του ότι υπεύθυνος για την τήρηση του προσωπικού μητρώου του καταγγέλλοντος υπαλλήλου ήταν ο Προϊστάμενος της ΔΟΥ, καθίσταται ο τελευταίος υπεύθυνος επεξεργασίας.

Ακολούθως, απορριπτέος ως αβάσιμος κρίθηκε ο ισχυρισμός της ΔΟΥ, περί αναγκαιότητας της διαβίβασης της επίμαχης ιατρικής γνωμάτευσης για λόγους προστασίας της δημόσιας υγείας, καθώς ο καταγγέλλων τυγχάνει αιμοδότης και, για το λόγο αυτό, κατέστη επιβεβλημένο να ενημερωθεί ο φορέας της αιμοδοσίας για την ύπαρξη των σχετικών ιατρικών συμβάντων, ώστε να διερευνηθεί ιατρικά η καταλληλότητα του εκάστοτε μεταγγιζόμενου αίματος και να επιτραπεί ή αποκλειστεί, αναλόγως των αποτελεσμάτων, η αιμοδοσία για τον συγκεκριμένο αιμοδότη.

Η Αρχή επεσήμανε πως νόμιμος αποδέκτης της επίμαχης ιατρικής γνωμάτευσης δεν δύναται να είναι ο Σύλλογος Εργαζομένων. Αρμόδια αρχή για τον έλεγχο της αιμοδοσίας είναι το Ε.ΚΕ.Α., ενώ ο έλεγχος της καταλληλότητας του αίματος του καταγγέλλοντος αιμοδότη πραγματοποιείται από το ιατρονοσηλευτικό προσωπικό του νοσοκομείου, το οποίο διαχειρίζεται την Τράπεζα Αίματος του Συλλόγου Εργαζομένων.

Ακόμη, όμως, και αν ευσταθούσε ο ισχυρισμός ότι η διαβίβαση έγινε για λόγους προστασίας της δημόσιας υγείας, αρκούσε η διαβίβασή της και όχι και η αναγραφή της συγκεκριμένης πάθησης του καταγγέλλοντος στο διαβιβαστικό έγγραφο της ΔΟΥ προς τον Σύλλογο Εργαζομένων. Συνεπώς, κρίθηκε πως η καταγγελλόμενη επεξεργασία έγινε κατά παράβαση της αρχής της ελαχιστοποίησης των δεδομένων.

Κατά το σκεπτικό της Αρχής, η ΑΑΔΕ όφειλε, ως υπεύθυνος επεξεργασίας, με έγκαιρη αντίδραση για τον περιορισμό της παραβίασης να διαγράψει από τα αρχεία της το διαβιβαστικό έγγραφο της ΔΟΥ που δεν ήταν διαβαθμισμένο και αναγραφόταν στο σώμα αυτού η πάθηση του καταγγέλλοντος υπαλλήλου.

Η δε παράνομη διαβίβαση της επίμαχης ιατρικής γνωμάτευσης του καταγγέλλοντος κρίθηκε πιθανό να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες του καταγγέλλοντος. Και τούτο, διότι οδήγησε σε αποκάλυψη κατάστασης της υγείας που προστατεύονταν από το ιατρικό απόρρητο, ήταν επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούσαν την υγεία, συνιστούσε επεξεργασία ευάλωτου προσώπου, υπαγόμενου – έστω και εν δυνάμει – στις ομάδες αυξημένου κινδύνου για νόσηση από τον COVID-19, διενεργήθηκε στο πλαίσιο της εκτίμησης της εργασιακής κατάστασης/καταλληλότητας του συγκεκριμένου υπαλλήλου, ενείχε τον κίνδυνο διάκρισης του συγκεκριμένου υπαλλήλου έναντι των υπολοίπων συναδέλφων του και πιθανώς μελών του εν λόγω Σωματείου Εργαζομένων, ως και εθελοντών αιμοδοτών.

Συνεπώς, η Αρχή έκρινε ότι η καταγγελλόμενη παράνομη επεξεργασία συνιστά παραβίαση δεδομένων που έπρεπε να γνωστοποιηθεί στην Αρχή, κατ΄ άρθρο 33 παρ. 1 του ΓΚΠΔ.

Τέλος, κρίθηκε πως η ΑΑΔΕ, ως υπεύθυνος επεξεργασίας, ικανοποίησε μεν το δικαίωμα ενημέρωσης που άσκησε ο καταγγέλλων και μάλιστα εμπρόθεσμα, ωστόσο, όφειλε προς εξασφάλιση θεμιτής και διαφανούς επεξεργασίας να παράσχει στο υποκείμενο των δεδομένων την ενημέρωση ότι έχει δικαίωμα να ασκήσει τα δικαιώματα διαγραφής ή/και περιορισμού της επίμαχης επεξεργασίας, κατ’ άρθρο 13 παρ. 2 στοιχ. β΄ του ΓΚΠΔ. Με τον τρόπο αυτό, θα μετριάζονταν ο κίνδυνος που προκλήθηκε στα δικαιώματα και τις ελευθερίες του καταγγέλλοντος από την παράνομη επεξεργασία της αποκάλυψης δεδομένων υγείας του.

Απόσπασμα απόφασης

Λαμβάνοντας υπόψη τα ανωτέρω, από το σύνολο των στοιχείων του φακέλου της υπόθεσης προκύπτει ότι η καταγγελλόμενη επεξεργασία της διαβίβασης της επίμαχης από … ιατρικής γνωμάτευσης του ιατρού Β, την οποία ο καταγγέλλων προσκόμισε στην υπηρεσία του για τον σκοπό της χορήγησης της αιτούμενης ειδικής άδειας απουσίας, στον Σύλλογο Εργαζομένων Φ έγινε κατά παράβαση της διάταξης του άρθρου 5 παρ. 1 στοιχ. α΄ του ΓΚΠΔ. Συγκεκριμένα, ο ισχυρισμός της Δ.Ο.Υ. Χ στην υπ’ αρ. … απάντηση προς το Αυτοτελές Τμήμα Υποστήριξης ΥΠΔ – ισχυρισμός, ο οποίος επαναλαμβάνεται στην υπ’ αρ. … απάντηση της Δ.Ο.Υ. Χ προς τον καταγγέλλοντα, σε ικανοποίηση του από … αιτήματος που απηύθυνε στο Αυτοτελές Τμήμα Υποστήριξης ΥΠΔ της ΑΑΔΕ – ότι, δηλ. η διαβίβαση της επίμαχης ιατρικής γνωμάτευσης ήταν επιβεβλημένη «για λόγους προστασίας της δημόσιας υγείας, ήτοι αορίστου αριθμού ασθενών που τυχόν θα χρειαστούν και θα λάβουν το μεταγγιζόμενο αίμα, αλλά και του ιδίου του υπαλλήλου που παρέχει το αίμα χωρίς τυχόν να έχει ενημερώσει προηγουμένως το κέντρο αιμοδοσίας για την κατάσταση της υγείας, όπως ενημερώσουμε τον φορέα της αιμοδοσίας για την ύπαρξη των ως άνω ιατρικών συμβάντων, ώστε να διερευνηθεί ιατρικά η καταλληλότητα του εκάστοτε μεταγγιζόμενου αίματος και να επιτραπεί ή αποκλειστεί, αναλόγως των αποτελεσμάτων, η αιμοδοσία για τον συγκεκριμένο αιμοδότη (…) » τυγχάνει απορριπτέος ως αβάσιμος.

Και τούτο, διότι νόμιμος αποδέκτης της επίμαχης ιατρικής γνωμάτευσης δεν δύναται να είναι ο Σύλλογος Εργαζομένων στις Δ.ΟΥ. Φ, καθώς σύμφωνα με τις προαναφερθείσες διατάξεις του ν. 3402/2005 αρμόδια αρχή για τον έλεγχο της αιμοδοσίας είναι το Ε.ΚΕ.Α., ενώ ο έλεγχος της καταλληλότητας του αίματος του καταγγέλλοντος αιμοδότη πραγματοποιείται από το ιατρονοσηλευτικό προσωπικό του […] Νοσοκομείου …, το οποίο διαχειρίζεται την Τράπεζα Αίματος … του ως άνω Συλλόγου Εργαζομένων.

Περαιτέρω, η Αρχή κρίνει ότι η καταγγελλόμενη επεξεργασία της διαβίβασης της επίμαχης ιατρικής γνωμάτευσης έγινε κατά παράβαση της αρχής της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ. 1 στοιχ. γ’ ΓΚΠΔ), καθώς ακόμα και αν ευσταθούσε ο ισχυρισμός ότι η διαβίβαση έγινε για λόγους προστασίας της δημόσιας υγείας, αρκούσε η διαβίβασή της και όχι και η αναγραφή της πάθησης (…) του καταγγέλλοντος στο υπ’ αρ. πρωτ. … διαβιβαστικό έγγραφο της Δ.Ο.Υ. Χ προς τον Σύλλογο Εργαζομένων στις Δ.Ο.Υ. Φ.

Εξάλλου, η Αρχή κρίνει ότι εφόσον η διαβίβαση της επίμαχης ιατρικής γνωμάτευσης πραγματοποιήθηκε κατά παράβαση των αρχών του άρθρου 5 παρ. 1 στοιχ. α΄ και γ΄ ΓΚΠΔ, παρέλκει η εξέταση τυχόν νόμιμων θεμελίων κατ΄ άρθρα 9 ΓΚΠΔ, 22 και 24 ν. 4624/2019, καθώς αφενός η ύπαρξη τυχόν νόμιμων θεμελίων δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από την τήρηση και εφαρμογή των γενικών αρχών επεξεργασίας του άρθρου 5 παρ. 1 ΓΚΠΔ κατά τα ανωτέρω διαλαμβανόμενα, αφετέρου η χορήγηση αδειών αιμοδοσίας, ως και αναρρωτικών αδειών, και η διαδικασία ελέγχου της πλήρωσης των προϋποθέσεων για την χορήγησή τους ρυθμίζεται ειδικώς από τις διατάξεις του ν. 3528/2007 (ιδίως, άρθρα 50 και 54 επ.).

Δείτε αναλυτικά την απόφαση της Αρχής στο dpa.gr

Δίκαιο Αναγκαστικής Εκτελέσεως ΙΙΙ/α Β έκδοση
Δίκαιο πληροφορικής - E έκδοση