logo-print

Πρόστιμο 15.000 ευρώ σε γιατρό για την αποστολή SMS πολιτικής επικοινωνίας σε ασθενείς (ΑΠΔΠΧ 37/2024)

Ο γιατρός αρνήθηκε πως είχε αντλήσει τα τηλέφωνα από τα αρχεία του νοσοκομείου, η έρευνα της Αρχής όμως έδειξε το αντίθετο

19/11/2024

20/11/2024

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση

Δύο καταγγελίες σε διάστημα δύο ημερών δέχθηκε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, από πολίτες που διαμαρτυρήθηκαν για τη λήψη SMS πολιτικής επικοινωνίας, το οποίο φαινόταν να έχει αποσταλεί από Επιμελητή Νοσοκομείου στο οποίο είχαν νοσηλευτεί, ο οποίος ήταν υποψήφιος βουλευτής. Αμφότερες οι καταγγέλλουσες διαμαρτυρήθηκαν στην Αρχή για την προέλευση των προσωπικών τους δεδομένων, η οποία όπως συνήγαγαν ήταν τα αρχεία του νοσοκομείου.

Λίγες ημέρες αργότερα, το Νοσοκομείο υπέβαλε προς την Αρχή γνωστοποίηση παραβίασης δεδομένων για τις ενέργειες του ίδιου γιατρού – υποψήφιου Βουλευτή. Το Νοσοκομείο ενημερώθηκε για το συμβάν από επιστολή υποκειμένου των δεδομένων και κατέληξε ότι «ο ιατρός - πρώην εργαζόμενος του Νοσοκομείου, είτε κατά την αποχώρησή του, είτε σε πρότερο χρόνο εξήγαγε προσωπικά δεδομένα από τα συστήματα του Νοσοκομείου (στα οποία είχε νομίμως πρόσβαση για τους σκοπούς εκτέλεσης των ιατρικών του καθηκόντων) και τα χρησιμοποίησε για άλλους, ασύμβατους σκοπούς». Με εξώδικη δήλωσή του την ίδια ημέρα, το Νοσοκομείο ζήτησε από τον πρώην εργαζόμενο να επιστρέψει οποιαδήποτε δεδομένα ασθενών έχει συλλέξει παρανόμως, για να πάρει την απάντηση πως «οι αριθμοί των παραληπτών της προεκλογικής του εκστρατείας προήλθαν αποκλειστικά από αρχείο προσωπικών του ασθενών και από δημόσια προσβάσιμες διά του διαδικτύου βάσεις δεδομένων αριθμών κινητών τηλεφώνων».

Κληθείς από την Αρχή για παροχή εξηγήσεων, ο καταγγελλόμενος γιατρός αρνήθηκε κατηγορηματικά τη συλλογή δεδομένων μέσα από τα αρχεία του Νοσοκομείου. Όπως ισχυρίστηκε, τα προωθητικά της υποψηφιότητάς του SMS εστάλησαν αποκλειστικά «σε άτομα του προσωπικού του κύκλου, σε άτομα που είναι μέλη του … , σε ασθενείς του (προσωπικοί του φίλοι, γνωστοί, συνάδελφοι και πρόσωπα που έχουν συμμετάσχει στο παρελθόν σε εκδηλώσεις και δράσεις που ο ίδιος έχει διοργανώσει), και σε αποδέκτες που προέκυψαν μετά τη χρήση γεννήτριας τηλεφωνικών αριθμών (www.ekepis.gr) και σε αριθμούς από δημόσια προσβάσιμους καταλόγους». Παράλληλα, θεμελίωσε την επεξεργασία των δεδομένων αυτών στο υπερέχον έννομο συμφέρον του, επικαλούμενος τη νομική βάση του άρθρου 6 παρ.1στ’ ΓΚΠΔ.

Η Αρχή ζήτησε πρόσθετες διευκρινίσεις επί των όσων ισχυρίστηκε ο καταγγελλόμενος, ζητώντας – μεταξύ άλλων – τον συνολικό αριθμό των προσώπων που έλαβαν επικοινωνία μέσω SMS, καθώς και το πόσοι από τους αποδέκτες αυτούς αντιστοιχούσαν σε κάθε μια από τις τέσσερις πηγές δεδομένων που είχε αυτός επικαλεστεί.

Σύμφωνα με την απάντηση του γιατρού, το επίμαχο SMS εστάλη σε 4.772 αποδέκτες, εκ των οποίων «το 75% ανήκει σε προσωπικούς του φίλους γνωστούς και άτομα του άμεσου εργασιακού του κύκλου, και εν γένει πρόσωπα που έχουν συμμετάσχει στο παρελθόν σε εκδηλώσεις και δράσεις που έχει διοργανώσει, το 15% σε αποδέκτες για τους οποίους αξιοποιήθηκε γεννήτρια τηλεφωνικών αριθμών και το 10% σε αριθμούς που προέκυψαν από δημόσια προσβάσιμους καταλόγους».

Διαβάστε επίσης: Πρόστιμο σε γιατρό για παραβίαση δικαιώματος πρόσβασης γονέα σε ιατρικά δεδομένα ανήλικου τέκνου

Κληθείς σε ακρόαση ενώπιον της Αρχής, ο καταγγελλόμενος επανάλαβε πως τα προσωπικά δεδομένα των καταγγελλουσών δεν προήλθαν από το Νοσοκομείο, αλλά από τη γεννήτρια τυχαίων αριθμών ekepis.gr. Χορηγώντας του προθεσμία για την κατάθεση υπομνήματος, η Αρχή τού ζήτησε να προσκομίσει στοιχεία που να τεκμηριώνουν τον ισχυρισμό αυτό, ενώ αμέσως μετά, με νεότερο έγγραφό της, τον κάλεσε να προσκομίσει «συμπληρωματικά με το υπόμνημά του, τον πλήρη κατάλογο των 4.772 αποδεκτών του μηνύματος (sms) που εστάλη στις 4/5/2023, αναφέροντας συγκεκριμένα ποιοι αριθμοί ανήκουν σε ποια κατηγορία από τις αναφερόμενες σε μορφή ποσοστών στο Γ/ΕΙΣ/8274/21-11-2023 έγγραφό του».

Ο κατάλογος αυτός δεν προσκομίστηκε, καθώς ο καταγγελλόμενος ιατρός δήλωσε ότι «δεν έχει διατηρήσει καταγραφές αναφορικά με την επακριβή προέλευση εκάστου αριθμού και ως εκ τούτου δεν δύναται να προχωρήσει σε κατηγοριοποίησή τους βάση της προέλευσης». Ως προς την πηγή προέλευσης των τηλεφωνικών αριθμών των καταγγελλουσών, ο καταγγελλόμενος υποστήριξε και πάλι ότι «προήλθαν από την πλατφόρμα ekepis, ενώ προσκόμισε αποτύπωση οθόνης από την εν λόγω πλατφόρμα, που περιέχει όλους τους πιθανούς αριθμούς που ξεκινούν με τα ίδια ψηφία και στην οποία έχουν επισημανθεί οι αριθμοί των καταγγελλουσών».

Παράλληλα, ο καταγγελλόμενος αποπειράθηκε να αντιστρέψει το βάρος απόδειξης, προβάλλοντας τον ισχυρισμό ότι οι καταγγέλλουσες δεν τεκμηρίωσαν την καταγγελλόμενη επεξεργασία ως προς το σκέλος της προέλευσης των στοιχείων τους από το νοσοκομείο, ενώ αυτές φέρουν το βάρος απόδειξης των όσων ισχυρίζονται. Προς τούτο, επικαλέστηκε το άρθρο 145 παρ.1 του Κώδικα Διοικητικής Δικονομίας, «αλλά και τα εν γένει ισχύοντα για την απόδειξη ενώπιον της Διοίκησης κατά την έκδοση διοικητικών πράξεων […] ελλείψει ιδιαίτερης νομοθετικής πρόβλεψης».

Ελλείψει των αναγκαίων στοιχείων τεκμηρίωσης της προέλευσης των δεδομένων των παραληπτών, η Αρχή προχώρησε σε μια κίνηση απολύτως εύλογη, αλλά και εξαιρετικά ευφυή: ζήτησε από το Νοσοκομείο να της παραδώσει την πλήρη λίστα αριθμών κινητού τηλεφώνου των ασθενών του για διάστημα 5 ετών, προκειμένου να αντιπαραβάλει αυτά με τους αριθμούς που της είχε ήδη προσκομίσει ο καταγγελλόμενος.

Το Νοσοκομείο παρέδωσε στην Αρχή αρχείο excel αποτελούμενο από 6.707 αριθμούς, η σύγκριση του οποίου με το αντίστοιχο αρχείο του καταγγελλόμενου απέδωσε ενδιαφέροντα αποτελέσματα. Όπως παρατηρήθηκε, «από τους 4.772 αριθμούς αποδεκτών του από 4/5/2023 μηνύματος του καταγγελλόμενου, οι 3.392 περιλαμβάνονται στο αρχείο κινητών τηλεφώνων ασθενών … στο Νοσοκομείο Χ τα τελευταία 5 έτη», ενώ μάλιστα με ιδιαίτερο ενδιαφέρον επισημάνθηκε πως «και στις δύο λίστες εντοπίστηκαν 17 αριθμοί που περιέχουν ίδιο σφάλμα, δηλαδή αποτελούνται είτε από λιγότερα είτε από περισσότερα των 10 ψηφίων».

Η Αρχή κάλεσε εκ νέου τον καταγγελλόμενο γιατρό σε ακρόαση, γνωστοποιώντας του τα νέα ευρήματα και ζητώντας του να διατυπώσει τις απόψεις του σχετικά με αυτά. Ο γιατρός υποστήριξε ότι «το γεγονός ότι ένα μεγάλο ποσοστό των αποδεκτών του από 4/5/2023 προεκλογικού του μηνύματος ήταν ταυτόχρονα και ασθενείς του Νοσοκομείου Χ, δεν αποδεικνύει ότι ο ίδιος άντλησε τους αριθμούς του κινητού τους τηλεφώνου από το αρχείο του Νοσοκομείου, αλλά ότι οι ίδιοι ασθενείς ανήκαν στην κατηγορία «προσωπικοί φίλοι και γνωστοί», την οποία κατονόμασε εξ αρχής ως πηγή των αποδεκτών του μηνύματός του, σημειώνοντας ότι εκ παραδρομής είχε παραλείψει να διευκρινίσει στην Αρχή ότι σε αυτούς ανήκαν και «προσωπικοί του ασθενείς», δηλαδή ασθενείς τους οποίους είχε περιθάλψει ο ίδιος στα 36 χρόνια της απασχόλησής του, ανάμεσα σε αυτούς και ασθενείς από το Νοσοκομείο Χ». Περαιτέρω, τα τηλέφωνα των ασθενών αυτών δεν προήλθαν από τα αρχεία του Νοσοκομείου, αλλά από ένα προσωπικό φυσικό αρχείο που είχε ο ίδιος δημιουργήσει, «μια ατζέντα με τα ονοματεπώνυμα και τα στοιχεία επικοινωνίας των ασθενών, με τους οποίους επικοινωνούσε … προκειμένου να απαντάει σε ερωτήσεις τους». Το αρχείο αυτό, όπως διευκρίνισε, είχε πλέον καταστραφεί.

Ερωτηθείς από την Αρχή για το πώς γνωρίζει ότι συγκεκριμένος τηλεφωνικός αριθμός προήλθε από τη γεννήτρια ή από την ατζέντα του, δεδομένου ότι δεν τηρεί κανένα στοιχείο τεκμηρίωσης, ο καταγγελλόμενος ανέφερε ότι «θυμάται όλους» τους γνωστούς και ασθενείς του, «επομένως όσοι αποδέκτες δεν ανήκουν σε αυτούς που θυμάται, προήλθαν από τη γεννήτρια». Παράλληλα και ως προς το ζήτημα του εντοπισμού 17 κοινών εσφαλμένων καταχωρίσεων και στις δύο λίστες, ο καταγγελλόμενος υποστήριξε πως αυτό οφείλεται στο γεγονός ότι «σε αρκετές περιπτώσεις ο ίδιος συνέλεγε τα στοιχεία των ασθενών και τα έδινε στη συνέχεια στη Γραμματεία του Νοσοκομείου για να τα καταγράψει στα ηλεκτρονικά αρχεία του Νοσοκομείου». Ο τελευταίος αυτός ισχυρισμός διαψεύστηκε από το Νοσοκομείο, το οποίο ερωτηθέν σχετικά από την Αρχή διευκρίνισε πως «τα στοιχεία αυτά δηλώνονται μόνο από τους ασθενείς με προσωπική τους παρουσία στην Γραμματεία Εξωτερικών Ιατρείων και δεν επιτρέπεται παρέμβαση ή τροποποίηση των στοιχείων της καρτέλας τους από τρίτο πρόσωπο».

Η κρίση της Αρχής

Η Αρχή απέρριψε ευθύς εξαρχής τον ισχυρισμό του καταγγελλόμενου περί αντιστροφής του βάρους απόδειξης σύμφωνα με τις διατάξεις του Κώδικα Διοικητικής Δικονομίας, υπενθυμίζοντας πως η αρχή της λογοδοσίας του άρθρου 5 παρ.2 ΓΚΠΔ συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να αποδεικνύει τη συμμόρφωσή του. Ο ισχυρισμός μάλιστα αυτός όχι μόνο δεν έγινε δεκτός από την Αρχή, αλλά ελήφθη υπόψιν και επιβαρυντικώς κατά τον υπολογισμό του προστίμου, καθώς κρίθηκε πως «ο επαναλαμβανόμενος ισχυρισμός του ιατρού ότι δεν φέρει ο ίδιος το βάρος απόδειξης, παρά την αρχή της λογοδοσίας, […] καταδεικνύει όχι μόνο άγνοια αλλά και απουσία διάθεσης συμμόρφωσης με τον ΓΚΠΔ»

Η Αρχή επανέλαβε τους κανόνες νομιμότητας που διέπουν την πολιτική επικοινωνία, όπως αυτοί διαμορφώθηκαν μετά τις υπ’ αριθμ. 1343-5/2022 αποφάσεις του Συμβουλίου της Επικρατείας και τις Κατευθυντήριες Γραμμές 1/2023 ΑΠΔΠΧ, υπενθυμίζοντας πως ως μη επιτρεπτή χρήση προσωπικών δεδομένων θεωρείται η συλλογή δεδομένων από το διαδίκτυο με τη χρήση ανιχνευτή ιστού, αλλά και η συλλογή δεδομένων πολιτών που είχαν παρασχεθεί στο πλαίσιο των συναλλαγών του με την υπηρεσία στην οποία απασχολήθηκε ο υποψήφιος.

Διαβάστε επίσης: Ανάρτηση φωτογραφιών πλαστικής επέμβασης στο Instagram: Πρόστιμο σε γιατρό και κλινική

Με βάση τα στοιχεία του φακέλου, η Αρχή διαπίστωσε πως ο καταγγελλόμενος γιατρός δεν κατάφερε να τεκμηριώσει την προέλευση των 4.772 τηλεφωνικών αριθμών που έλαβαν το προωθητικό μήνυμά του, επισημαίνοντας μάλιστα ότι αυτός προέβαλε αντιφατικούς ισχυρισμούς, «οι οποίοι μεταβάλλονταν και προσαρμόζονταν διαρκώς αναλόγως με το στάδιο της έρευνας, ώστε να ανταποκρίνονται κάθε φορά στα νεότερα στοιχεία που είχε η Αρχή στη διάθεσή της».

Λαμβάνοντας υπόψιν της αφενός την ταύτιση των τηλεφωνικών αριθμών από τις δύο λίστες σε ποσοστό 70%, και την εμφάνιση των ίδιων 17 εσφαλμένων καταχωρήσεων, αφετέρου τη διαδικασία συλλογής δεδομένων ασθενών, η οποία γίνεται από το Νοσοκομείο και όχι από τον γιατρό, η Αρχή κατέληξε στο «εύλογο συμπέρασμα» ότι ο καταγγελλόμενος άντλησε τα στοιχεία επικοινωνίας ασθενών από το αρχείο του Νοσοκομείου, είτε ενεργώντας μόνος του, είτε αξιοποιώντας τη βοήθεια τρίτου προσώπου. Παράλληλα όμως, η Αρχή επεσήμανε πως, ακόμη και αν γινόταν δεκτός ο ισχυρισμός περί προσωπικής συλλογής δεδομένων ασθενών, η επεξεργασία αυτή «λάμβανε χώρα χωρίς σαφή και καθορισμένο σκοπό, χωρίς νομική βάση και χωρίς ενημέρωση των υποκειμένων, παραβιάζοντας τις αρχές της νομιμότητας, αντικειμενικότητας, διαφάνειας και περιορισμού του σκοπού (άρθρα 5 παρ. 1 α’ και β’ ΓΚΠΔ)» και χωρίς τη συνδρομή κάποιας από τις εξαιρέσεις του άρθρου 9 παρ.2 ΓΚΠΔ για την επεξεργασία ειδικών κατηγοριών δεδομένων.

Ως προς τον ισχυρισμό περί χρήσης γεννήτριας τυχαίων αριθμών, η Αρχή επεσήμανε πως η χρήση αυτή δεν αποτελεί νόμιμη πρακτική, ενώ αντίστοιχα ως προς τον ισχυρισμό περί άντλησης δεδομένων από δημόσια προσβάσιμους καταλόγους, η Αρχή παρατήρησε ότι η επεξεργασία αυτή δεν πληροί τις προϋποθέσεις εφαρμογής της νομικής βάσης του εννόμου συμφέροντος.

Πλημμέλειες διαπιστώθηκαν και σε σχέση με τη διαφάνεια της επεξεργασίας και την άσκηση δικαιωμάτων των υποκειμένων. Η Αρχή διαπίστωσε πως η μοναδική ενέργεια στην οποία προέβη ο καταγγελλόμενος προς εκπλήρωση της υποχρέωσης διαφάνειας ήταν η ανάρτηση κειμένου στη σελίδα του στο Facebook, αρκετές ημέρες μετά την αποστολή των επίμαχων μηνυμάτων και με αναφορά στη συγκατάθεση των υποκειμένων. Επιπρόσθετα, διαπιστώθηκε και η παραβίαση της υποχρέωσης του άρθρου 12 παρ.2 ΓΚΠΔ για διευκόλυνση στην άσκηση των δικαιωμάτων των υποκειμένων, με την Αρχή να επισημαίνει πως η απλή παραπομπή στη σελίδα του καταγγελλόμενου στο Facebook δεν καθιστά σαφή τη δυνατότητα άσκησης δικαιωμάτων του ΓΚΠΔ, ενώ δεν παρέχει και τρόπο επικοινωνίας για όσους αποδέκτες δεν διαθέτουν λογαριασμό στο συγκεκριμένο μέσο κοινωνικής δικτύωσης.

Το επιβληθέν πρόστιμο

Για τον υπολογισμό του διοικητικού προστίμου, η Αρχή έλαβε υπόψιν της επιβαρυντικά, μεταξύ άλλων, την ιδιότητα του καταγγελλόμενου, που ως γιατρός «φέρει ιδιαίτερη υποχρέωση τήρησης του επαγγελματικού απορρήτου», επισημαίνοντας μάλιστα πως «δεν νοείται άγνοια των σχετικών διατάξεων περί προστασίας δεδομένων από επαγγελματία που υποχρεούται να τηρεί το ιατρικό απόρρητο». Επιβαρυντικά λειτούργησε και η προβολή αντιφατικών ισχυρισμών, «που μεταβάλλονταν ανάλογα με τα στοιχεία που είχε η Αρχή στη διάθεσή της, από την οποία συνάγεται προσπάθεια αποπροσανατολισμού της Αρχής και μη συνεργασία κατά τον έλεγχο».

Με βάση τα ανωτέρω, η Αρχή επέβαλε στον καταγγελλόμενο διοικητικό πρόστιμο συνολικού ύψους δεκαπέντε χιλιάδων (15.000) ευρώ και ειδικότερα:

α) διοικητικό πρόστιμο ύψους δώδεκα χιλιάδων (12.000€) ευρώ, για τη διαπιστωθείσα παράβαση της βασικής αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας (άρθρο 5 παρ. 1 εδ. α΄ σε συνδ. με άρθρα 6 παρ. 1, 6 παρ. 4, 9 παρ. 1 και 2, 13 και 14 ΓΚΠΔ) και

β) διοικητικό πρόστιμο ύψους τριών χιλιάδων (3.000€) ευρώ, για τη διαπιστωθείσα παράβαση της υποχρέωσης διευκόλυνσης των υποκειμένων στην άσκηση των δικαιωμάτων τους (άρθρο 12 παρ. 2 ΓΚΠΔ).

Το πλήρες κείμενο της απόφασης είναι διαθέσιμο στον ιστότοπο της Αρχής

Οικογενειακό Δίκαιο - Τρίτη έκδοση

ΑΠΟΣΤΟΛΟΣ ΓΕΩΡΓΙΑΔΗΣ

ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΟΙΚΟΓΕΝΕΙΑΚΟ ΔΙΚΑΙΟ

Παροχή διόδου κατά ΑΚ 1012-1017, 3η έκδ., 2024
send