logo-print

Πρόστιμο σε νοσοκομείο για τη μη επίβλεψη των εκτελούντων την επεξεργασία

Η δανική αρχή προστασίας δεδομένων τονίζει πως η τήρηση των απαιτήσεων του ΓΚΠΔ δεν τελειώνει με το συμφωνητικό του άρθρου 28 ΓΚΠΔ

02/02/2024

09/02/2024

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Μια ιδιαίτερα ασυνήθιστη υπόθεση δημοσιοποίησε η αρχή προστασίας προσωπικών δεδομένων της Δανίας Datatilsynet, στην οποία κατέληξε στην εισήγηση για επιβολή προστίμου σε ιδιωτικό νοσοκομείο. Η ιδιαιτερότητα της υπόθεσης έγκειται στον λόγο της επιβολής προστίμου, που ήταν η μη επίβλεψη των εκτελούντων την επεξεργασία.

Σύμφωνα με την ανακοίνωση της δανικής αρχής, η οποία εισηγείται, αλλά δεν μπορεί να επιβάλλει πρόστιμα του ΓΚΠΔ:

"Η δανική αρχή προστασίας δεδομένων καταγγέλλει την Capio A/S στην αστυνομία για τη μη επίβλεψη των εκτελούντων την επεξεργασία. Το προτεινόμενο πρόστιμο για το ιδιωτικό νοσοκομείο είναι κατ’ ελάχιστον 1.5 εκατομμύριο κορώνες Δανίας (201.232 ευρώ)

Η δανική αρχή διεξήγαγε έρευνα ως προς την επίβλεψη των εκτελούντων την επεξεργασία από το νοσοκομείο. Στο πλαίσιο αυτό, η αρχή επέλεξε τυχαία τρεις από τους εκτελούντες την επεξεργασία του εν λόγω ιδιωτικού νοσοκομείου, ως αντικείμενο του ελέγχου.

Η έρευνα έδειξε πως το νοσοκομείο δεν είχε επιβλέψει τους εκτελούντες του, ενώ η πρώτη επίβλεψη του κάθε ενός εξ αυτών δεν έγινε παρά μόνο μετά την έναρξη των ελέγχων.

Στο πλαίσιο αυτό, η Datatilsynet αποφάσισε να καταγγείλει το νοσοκομείο στην αστυνομία για την παραβίαση της αρχής της λογοδοσίας σύμφωνα με τη νομοθεσία για την προστασία των προσωπικών δεδομένων. Η κρίση της αρχής είναι πως το νοσοκομείο δεν πέτυχε να διασφαλίσει και να αποδείξει πως τα προσωπικά δεδομένα τυγχάνουν σύννομης και θεμιτής επεξεργασίας, με τρόπο που να διασφαλίζει επαρκή ασφάλεια των δεδομένων αυτών. Η υποχρέωση αυτή ισχύει ακόμη και αν το νοσοκομείο είχε αναθέσει σε τρίτα μέρη (εκτελούντες την επεξεργασία) να επεξεργάζονται δεδομένα για λογαριασμό του.

Στην απόφασή της, η δανική αρχή επεσήμανε, μεταξύ άλλων, πως οι εκτελούντες την επεξεργασία δεν είχαν εδώ και χρόνια ελεγχθεί, μολονότι αυτοί επεξεργάζονταν δεδομένα μεγάλου αριθμού υποκειμένων. Η αρχή επίσης επεσήμανε πως οι εκτελούντες την επεξεργασία επεξεργάζονταν ειδικές κατηγορίες δεδομένων (ευαίσθητα), αλλά και απλά προσωπικά δεδομένα που χρήζουν προστασίας."

Η απόφαση της Datatilsynet μοιάζει ίσως ασυνήθιστη, η ίδια όμως έχει ήδη από τον Οκτώβριο του 2021 εκδώσει Οδηγίες για την επίβλεψη των εκτελούντων την επεξεργασία, παρατηρώντας εισαγωγικώς πως η κατάρτιση του συμφωνητικού του άρθρου 28 ΓΚΠΔ είναι η πρώτη υποχρέωση ενός υπευθύνου επεξεργασίας, με την επίβλεψη του εκτελούντος να αποτελεί τη δεύτερη.

 Στις Οδηγίες αυτές, η δανική αρχή αναπτύσσει ένα μοντέλο κλίμακας βαθμολόγησης των κινδύνων της επεξεργασίας και έξι πολιτικές για την επίβλεψη με βάση την κατάταξη στην κλίμακα.

Οι πολιτικές αυτές, με κατάταξη αυξανόμενης επικινδυνότητας, είναι:

1. Δεν κάνεις τίποτα, εκτός εάν αντιληφθείς πως κάτι δεν πάει καλά με τον εκτελούντα την επεξεργασία.

2. Ο εκτελών σού βεβαιώνει – κατά προτίμηση γραπτώς – πως όλες οι προϋποθέσεις επεξεργασίας που συμφωνήθηκαν τηρούνται.

3. Ο εκτελών σού παρέχει ετησίως μια γραπτή ανάλυση επί των ζητημάτων που καλύπτονται στο συμφωνητικό επεξεργασίας, καθώς και επί κάθε σχετικού ζητήματος.

4. Ο εκτελών λαμβάνει συναφή και επικαιροποιημένη πιστοποίηση ή ακολουθεί κώδικες δεοντολογίας που σχετίζονται με τις δικές σου πράξεις επεξεργασίας.

5. Ο εκτελών έχει ελεγχθεί από ανεξάρτητο τρίτο φορέα επί ζητημάτων που καλύπτουν και τις δικές σου πράξεις επεξεργασίας.

6. Αναλαμβάνεις ο ίδιος – ή και από κοινού με άλλους – να διενεργήσεις και να καταγράψεις την επίβλεψη του εκτελούντος.

Η μικρή και κλειστή οικογενειακή ανώνυμη εταιρία

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΓΕΝΙΚΟ ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

send