Καταγραφή στοιχείων στο 401 Γενικό Στρατιωτικό Νοσοκομείο Αθηνών και υποχρέωση ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO)
Μία ενδιαφέρουσα απόφαση σχετικά με την έννοια της εθνικής ασφάλειας στο δίκαιο προσωπικών δεδομένων και την υποχρέωση ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO) από δημόσια αρχή ή φορέα, εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Η υπόθεση αφορά σε καταγγελία υποκειμένου των δεδομένων (Α) κατά του 401 Γενικού Στρατιωτικού Νοσοκομείου Αθηνών (ΓΣΝΑ) για παράνομη επεξεργασία προσωπικών δεδομένων κατά την είσοδό του στην πύλη του Νοσοκομείου.
Σύμφωνα με την καταγγελία της Α, κατά την είσοδό της στην πύλη του 401 ΓΣΝΑ της ζητήθηκε να επιδείξει την ταυτότητα μέλους οικογενείας ε.α. στρατιωτικού, παρακρατήθηκε το δελτίο της αστυνομικής της ταυτότητας μέχρι την έξοδό της από το χώρο του Νοσοκομείου και, τέλος, καταγράφηκαν χωρίς τη συγκατάθεσή της σε ημερήσιο δελτίο στοιχεία της αστυνομικής της ταυτότητας.
Η έννοια της “εθνικής ασφάλειας” και η αρμοδιότητα της ΑΠΔΠΧ
Η Αρχή, οριοθετώντας την αρμοδιότητά της, υπογράμμισε ότι έχει αρμοδιότητα να επιληφθεί για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, δηλαδή των στοιχείων της αστυνομικής ταυτότητας και κάλεσε το 401 ΓΣΝΑ να παράσχει συγκεκριμένες εξηγήσεις.
Σε απάντηση των ανωτέρω εγγράφων της Αρχής, το 401 ΓΣΝΑ υποστήριξε, μεταξύ άλλων, ότι τα δεδομένα που καταχωρούνται είναι απολύτως αναγκαία σύμφωνα με τα διαλαμβανόμενα σε σχετικούς κανονισμούς – διαταγές για την ασφάλεια των στρατιωτικών εγκαταστάσεων.
Επιπρόσθετα, το 401 ΓΣΝΑ επικαλούμενο το άρθρο 10 του νόμου 4624/2019 υποστηρίζει ότι : «(…) φρονούμε πως δεν έχετε αρμοδιότητα για ζητήματα σχετιζόμενα με την εθνική ασφάλεια. Επιπροσθέτως, σας αναφέρεται ότι, το 401 ΓΣΝΑ είναι Οργανικός Σχηματισμός του ΓΕΣ, υπαγόμενος με σχέση Διοικητικής Διοίκησης και ως απόρροια αυτού υποχρεούται να συμμορφώνεται με τα διαλαμβανόμενα στους στρατιωτικούς κανονισμούς. Συνεπεία αυτού διαπιστώνεται ότι ο Στρατιωτικός Κανονισμός (…) και οι συναφείς διαβαθμισμένες διαταγές (…) που καθορίζουν το πώς διενεργείται ο έλεγχος για την είσοδο και την έξοδο σε στρατιωτικές εγκαταστάσεις, αποτελούν τη νομική βάση επεξεργασίας των προσωπικών δεδομένων».
Η Αρχή επισημαίνει στην απόφασή της ότι από τη διατύπωση της παραγράφου 5 του άρθρου 10 του νόμου 4624/2019 προκύπτει ότι η Αρχή δεν έχει αρμοδιότητα ελέγχου των πράξεων επεξεργασίας που διενεργούνται για δραστηριότητες που αφορούν την εθνική ασφάλεια εφόσον συντρέχουν σωρευτικά οι ακόλουθες δυο προϋποθέσεις:
α) πρόκειται για πράξεις επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα, και ορθότερα, πληροφοριών καταχωρημένων σε συστήματα αρχειοθέτησης που έχουν αρμοδίως διαβαθμισθεί και οι οποίες συνιστούν δεδομένα προσωπικού χαρακτήρα και
β) πρόκειται για πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται για δραστηριότητες που αφορούν την εθνική ασφάλεια.
Στη προκειμένη περίπτωση, η Αρχή θεώρησε ότι δεν αποδείχθηκε πως συντρέχει η πρώτη προϋπόθεση και επομένως είναι αρμόδια να ασκήσει τις αρμοδιότητες της, απορρίπτοντας ως αβάσιμο του σχετικό ισχυρισμό του 401 ΓΣΝΑ.
Συγκεκριμένα, το 401 ΓΣΝΑ δεν επικαλέσθηκε πραγματικά περιστατικά, ούτε προσκόμισε σχετικά αποδεικτικά μέσα από τα οποία να προκύπτει ότι η καταγραφή στο ημερήσιο δελτίο των δεδομένων προσωπικού χαρακτήρα των εισερχομένων υποκειμένων στις νοσοκομειακές εγκαταστάσεις του για την παροχή υπηρεσιών υγείας συνιστά «δραστηριότητα που αφορά την εθνική ασφάλεια».
Η Αρχή σημειώνει πως ακόμη και εάν συνέτρεχε η πρώτη προϋπόθεση, θα έπρεπε να αποδειχθεί, ότι συντρέχει και η δεύτερη προϋπόθεση, ήτοι ότι η εν λόγω επεξεργασία διαβαθμισμένων πληροφοριών που αποδίδονται σε φυσικό πρόσωπο (δεδομένα προσωπικού χαρακτήρα) διενεργείται για δραστηριότητες που αφορούν την εθνική ασφάλεια.
Όπως αναφέρεται στην απόφαση, η «εθνική ασφάλεια» συνιστά αόριστη νομική έννοια, η οποία πρέπει, με βάση τα δεδομένα που συντρέχουν σε κάθε περίπτωση, να ερμηνεύεται, προσδιορίζεται και τεκμηριώνεται ad hoc από τον υπεύθυνο επεξεργασίας.
Συνεπώς, δεν αρκεί η αόριστη και γενική επίκληση της συνδρομής της εθνικής ασφάλειας για τον αποκλεισμό της Αρχής από την άσκηση των αρμοδιοτήτων της, αλλά απαιτείται στη συγκεκριμένη περίπτωση τεκμηρίωση ότι η επεξεργασία διενεργείται για δραστηριότητα που αφορά την εθνική ασφάλεια της Ελλάδας, εκτός αν είναι πρόδηλη η συνδρομή της εννοίας αυτής (π.χ. αμιγώς στρατιωτικές εγκαταστάσεις με πολεμικό υλικό, μη προσβάσιμες στο κοινό).
Σε σχέση με τα δεδομένα που συλλέγονται στην είσοδο, η Αρχή σημείωσε πως «η συλλογή και η τήρηση της πληροφορίας που αφορά στο σκοπό επίσκεψης ενός φυσικού προσώπου, στο μέτρο που αφορά έναν ασθενή του Νοσοκομείου συνιστά πληροφορία που εμπίπτει στην ειδική κατηγορία δεδομένων προσωπικού χαρακτήρα, καθώς συνδυαζόμενη με το σχετικό αρχείο της παροχής υπηρεσιών υγείας του 401 ΓΣΝΑ δύναται να αποκαλύψει αμέσως πληροφορίες σχετικά με την κατάσταση της υγείας του συγκεκριμένου φυσικού προσώπου».
Εν προκειμένω, ωστόσό, η επεξεργασία των πληροφοριών είναι νόμιμη (άρθρα 5 και 6 παρ. 1 στοιχ. ε΄, 9 παρ. 2 στοιχ. ζ΄) του Γενικού Κανονισμού Προστασίας Δεδομένων, ακόμη και στο μέτρο που αφορούν επισκέπτες ασθενών και τους ίδιους του ασθενείς, αντίστοιχα, καθόσον το ουσιαστικό ή ουσιώδες δημόσιο συμφέρον μπορεί να συνίσταται στην προστασία, βάσει στρατιωτικών κανονισμών, στρατιωτικών εγκαταστάσεων.
Η υποχρέωση ορισμού DPO για περισσότερες δημόσιες αρχές ή φορείς
Σύμφωνα με την Αρχή, από τις σχετικές διατάξεις του ΓΚΠΔ και του ν. 4624/2019 προβλέπεται η δυνατότητα ορισμού ενός Υπευθύνου Προστασίας Δεδομένων για περισσότερες δημόσιες αρχές ή φορείς.
Στην περίπτωση όμως αυτή, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, πρέπει να διασφαλίζει ότι ο ένας μόνο υπεύθυνος προστασίας δεδομένων, συνεπικουρούμενος από ομάδα εφόσον απαιτείται, δύναται να επιτελεί αποτελεσματικά όλα τα καθήκοντά του για όλες τις δημόσιες αρχές και δημόσιους φορείς, στους οποίους έχει οριστεί.
Στη συγκεκριμένη περίπτωση, ο ορισμός ενός μόνο ΥΠΔ ή/και γραφείο ΥΠΔ στο Γενικό Επιτελείο Εθνικής Άμυνας για όλες τις πάσης φύσεως υπηρεσίες και αρμοδιότητες του Γενικού Επιτελείου Εθνικής Άμυνας και των εποπτευόμενων φορέων του, δεν αρκεί για την αποτελεσματική άσκηση των καθηκόντων του και ως προς το 401 ΓΣΝΑ.
Η Αρχή έκρινε πως για το 401 ΓΣΝΑ απαιτείται ο ορισμός ΥΠΔ αυτοτελώς, δεδομένου ότι πρόκειται για δημόσιο φορέα, που έχει ως κύρια δραστηριότητα τη συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα (παροχή υπηρεσιών υγείας σε ασθενείς) και αφορά σε επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα (δεδομένα υγείας ασθενών).
Κατόπιν τούτων, η Αρχή, έκρινε ότι στη συγκεκριμένη περίπτωση προσήκει η άσκηση της διορθωτικής εξουσίας κατά το άρθρο 58 παρ. 2 στοιχ. δ΄ ΓΚΠΔ με την επιβολή ως πρόσφορου διορθωτικού μέτρου την επιβολή στο 401 ΓΣΝΑ της υποχρέωσης ορισμού Υπευθύνου Προστασίας Δεδομένων.
Η απόφαση 20/2020 της Αρχής είναι διαθέσιμη στο dpa.gr