ΑΠΔΠΧ: Προειδοποίηση σε δημόσιο νοσοκομείο για τη διαβίβαση δεδομένων ιατρικού φακέλου σε τρίτον για δικαστική χρήση (διαδικασία εργατικών διαφορών)

450

Με απόφασή της (4/2019) η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε την κύρωση της προειδοποίησης σε δημόσιο νοσοκομείο για μη ενημέρωση ασθενούς του σχετικά με διαβίβαση δεδομένων ιατρικού του φακέλου σε τρίτον για δικαστική χρήση (διαδικασία εργατικών διαφορών).

Η υπόθεση αφορά σε καταγγελία ασθενούς σχετικά με τη χορήγηση του πλήρους ιατρικού της φακέλου που τηρείται στο  Γενικό Νοσοκοµείο Θεσσαλονίκης «Παπαγεωργίου», σε τρίτρο πρόσωπο, για δικαστική χρήση, χωρίς την προηγούµενη ενηµέρωση και συγκατάθεσή της.

Σύμφωνα με την απόφαση της Αρχής, η διαβίβαση των συγκεκριµένων ευαίσθητων προσωπικών δεδοµένων υγείας του ιατρικού φακέλου της προσφεύγουσας δεν έγινε νοµίµως διότι δεν προηγήθηκε ενηµέρωση του υποκειµένου των δεδοµένων όπως απαιτεί το άρθρο 11 παρ. 3 του ν. 2472/1997, η ενηµέρωση δε αυτή ήταν απαραίτητη, προκειµένου η προσφεύγουσα, ως υποκείµενο των δεδοµένων, να ασκήσει το δικαίωµα αντίρρησης του άρθρου 13 ν. 2472/1997, το οποίο έχει σε κάθε περίπτωση.

Εξάλλου, η ενέργεια του νοσοκοµείου να διαβιβάσει τα δεδοµένα της προσφεύγουσας σε τρίτο παραβιάζει την υποχρέωση ενηµέρωσης του υποκειµένου των δεδοµένων και µε βάση το άρθρο 13 του Γενικού Κανονισµού.

Επιπλέον, παρόλο που µε την απόφαση της Αρχής 46/2018 η τελευταία δεν έχει πλέον αρµοδιότητα χορηγήσεως αδειών για την επεξεργασία µέσω της διαβίβασης ευαίσθητων δεδοµένων σε τρίτο, κατά το χρονικό σηµείο που έγινε η διαβίβαση στην κρινόµενη υπόθεση (…), απαιτείτο η άδεια της Αρχής.

Μάλιστα, η ύπαρξη εισαγγελικής παραγγελίας που να επιτρέπει τη διαβίβαση λόγω ύπαρξης εννόµου συµφέροντος στερείται νοµικής σηµασίας.

Εποµένως η διαβίβαση δεν είχε πραγµατοποιηθεί µε τήρηση των νοµίµων όρων.

Για τους λόγους αυτούς η Αρχή :

1) έκρινε ότι το Γενικό Νοσοκοµείο Θεσσαλονίκης «Παπαγεωργίου», ως υπεύθυνος επεξεργασίας, όφειλε να ενηµερώσει προηγουµένως την προσφεύγουσα Α για τη διαβίβαση των ευαίσθητων προσωπικών της δεδοµένων για τους λόγους που αναφέρονται στο σκεπτικό της παρούσας

2) επέβαλε στο Γενικό Νοσοκοµείο Θεσσαλονίκης «Παπαγεωργίου», ως υπεύθυνο επεξεργασίας, για τη µη τήρηση της ως άνω υποχρέωσης προηγούµενης ενηµέρωσης της προσφεύγουσας και για τους λόγους που αναφέρονται στο σκεπτικό της παρούσας, την κύρωση της προειδοποίησης, επισηµαίνοντας ότι εφεξής θα πρέπει να ενηµερώνει τους ασθενείς- υποκείµενα των δεδοµένων για την διαβίβαση των προσωπικών τους δεδοµένων σε τρίτους.

Δείτε αναλυτικά την απόφαση στο dpa.gr