ΑΠΔΠΧ: Ο Σύλλογος Εργαζομένων του Νοσοκομείου κατήγγειλε πως ο ιατρός εργασίας καταχωρούσε εν αγνοία τους ανύπαρκτες ιατρικές επισκέψεις
Μια ενδιαφέρουσα υπόθεση τριμερούς σχέσης επεξεργασίας προσωπικών δεδομένων εξέτασε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την υπ’ αριθμ. 68/2022 απόφασή της.
Η υπόθεση σχηματίστηκε μετά από καταγγελία του Συλλόγου Εργαζομένων Ψυχιατρικού Νοσοκομείου Αθηνών (ΨΝΑ) για την παράνομη επεξεργασία προσωπικών δεδομένων των μελών του από τον ιατρό εργασίας που απασχολείτο στο Νοσοκομείο.
Η καταγγελία
Σύμφωνα με την καταγγελία, στις 28-12-2020 το ΨΝΑ είχε συμβληθεί με ιδιωτική εταιρεία για τη διάθεση ενός Ιατρού Εργασίας στο Νοσοκομείο. Τον Μάρτιο του 2021 εργαζόμενοι κατήγγειλαν στον Σύλλογό τους πως «από έλεγχο που πραγματοποίησαν στην προσωπική τους καρτέλα στον ΕΟΠΥΥ, εμφαίνονται οι ίδιοι να έχουν λάβει από τον ΕΟΠΥΥ επισκέψεις αξίας δέκα (10) ευρώ και να τις έχουν πραγματοποιήσει στον ιατρό, σε συγκεκριμένες ημερομηνίες, οι οποίες δεν έλαβαν χώρα ποτέ». Κατόπιν ενημέρωσης των μελών από τον Σύλλογο, προέκυψε πως αντίστοιχες επισκέψεις εντοπίζονταν στην ατομική καρτέλα δεκάδων εργαζομένων.
Η Αρχή κάλεσε και τα τρία εμπλεκόμενα μέρη (Νοσοκομείο, εταιρεία, ιατρός) να υποβάλουν τις απόψεις τους επί της καταγγελίας. Κύρια ζητήματα που εκλήθησαν να διευκρινίσουν ήταν αφενός η βασιμότητα των καταγγελομένων, αφετέρου ο ρόλος ενός εκάστου στην επεξεργασία των προσωπικών δεδομένων των εργαζομένων.
Η κρίση της Αρχής
Με βάση τις απόψεις των εμπλεκομένων, όπως αυτές υποβλήθηκαν με υπομνήματα πριν και μετά την ακρόαση ενώπιόν της, η Αρχή βεβαίωσε την τέλεση της καταγγελθείσας παράνομης επεξεργασίας και επέβαλε διοικητικά πρόστιμα (8.000, 6.000 και 10.000 ευρώ αντίστοιχα) στα τρία εμπλεκόμενα μέρη, με βάση τον ρόλο τους στην επεξεργασία και τις ευθύνες τους ως προς την παράνομη τέλεσή της.
Ως προς την κατανομή των ρόλων των εμπλεκομένων μερών κρίθηκε ότι:
«11. Επειδή, αναφορικά με την κατανομή των ρόλων μεταξύ των εμπλεκομένων καταγγελλόμενων μερών, ήτοι το Νοσοκομείο, την ανάδοχο Εταιρεία και τον Ιατρό Εργασίας προκύπτει ότι το Νοσοκομείο είναι ο υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων του. Περαιτέρω, η καταγγελλόμενη Εταιρεία, η οποία δυνάμει των υπ’ αρ. 125.18 και 47.20 Συμβάσεων με αντικείμενο τη διάθεση ενός Ιατρού Εργασίας για το Νοσοκομείο, κατέστη εκτελούσα την επεξεργασία, κατ΄ άρθρο 4 στοιχ. 8 ΓΚΠΔ, καθώς ανέλαβε κατ’ εντολή του ΨΝΑ να καθορίσει επιμέρους στοιχεία του τρόπου επεξεργασίας. Τέλος, ο Ιατρός Εργασίας (αντισυμβαλλόμενος) ανέλαβε αφενός ως εκτελών την επεξεργασία (σσ. ορθότερα, υποεκτελών, όπως διευκρινίζεται σε σκ. 17) να εκτελέσει επιμέρους όρους της από 01-06-2019 σύμβασης με την ανάδοχο Εταιρεία, αφετέρου δε ως υπεύθυνος επεξεργασίας (Ιατρός Εργασίας) βάσει των διατάξεων του ν. 3850/2010 να επεξεργάζεται τα ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα των εργαζομένων του φορέα. Ωστόσο, αναφορικά με την επεξεργασία των δεδομένων των εργαζομένων στην οποία προέβη με βάση όσα ελέχθησαν στις σκέψεις 5 και 6, από τα στοιχεία του φακέλου προκύπτει ότι ο Ιατρός Εργασίας ενήργησε καθ΄ υπέρβαση των ορίων της από 12-07-2019 σύμβασης με την Εταιρεία και κατέστη ο ίδιος υπεύθυνος επεξεργασίας (αρ. 28 παρ. 10 ΓΚΠΔ).»
Ως προς τις ευθύνες των εμπλεκομένων, με βάση τον ως άνω ρόλο τους, η Αρχή έκρινε ότι:
α. Το Νοσοκομείο διαβίβασε στοιχεία των εργαζομένων στον Ιατρό Εργασίας και συγκεκριμένα τη δομή, το επώνυμο, το όνομα, το πατρώνυμο, τον ΑΜΚΑ, τον κλάδο και την ειδικότητα εκάστου υπαλλήλου. Επομένως, το Νοσοκομείο διαβίβασε στον Ιατρό Εργασίας απλά δεδομένα προσωπικού χαρακτήρα των εργαζομένων του σύμφωνα με την έννομη υποχρέωση της προστασίας των εργαζομένων του στον χώρο εργασίας του, σύμφωνα με τα οριζόμενα στις διατάξεις του αρ. 6 παρ. 2 στοιχ. γ’ ΓΚΠΔ και των επιμέρους διατάξεων του ν. 3850/2010, χωρίς πάντως να προκύπτει ότι το Νοσοκομείο ενημέρωσε τους εργαζόμενους του ότι ο καταγγελλόμενος ιατρός κατέστη αποδέκτης των δεδομένων κατά παράβαση των οριζομένων στο άρθρο 13 παρ. 1 στοιχ. ε’ του ΓΚΠΔ.
Περαιτέρω, το Νοσοκομείο, ως υπεύθυνος επεξεργασίας, δεν εφάρμοσε πολιτικές και διαδικασίες για την επεξεργασία των δεδομένων των εργαζομένων σύμφωνα με το άρθρο 24 παρ. 1 ΓΚΠΔ. Τόσο από το Παράρτημα της Σύμβασης που σύνηψε με την ανάδοχο εταιρεία, στο οποίο δεν προβλέπονταν συγκεκριμένα τεχνικά και οργανωτικά μέτρα, όσο και από το γεγονός της έκδοσης βεβαίωσης καλής συνεργασίας, χωρίς να έχει προηγηθεί η ουσιαστική αξιολόγηση και εκτίμηση της παρεχόμενης εργασίας του ιατρού, προκύπτει η έλλειψη μέτρων για την πραγματοποίηση περιοδικών ελέγχων για την προστασία των ειδικής κατηγορίας δεδομένων των εργαζομένων, σύμφωνα με τα οριζόμενα στη διάταξη 32 παρ. 1 στοιχ. δ’ ΓΚΠΔ. Η Αρχή επισημαίνει ότι η ανάθεση από το Νοσοκομείο σε εκτελούντα την επεξεργασία συγκεκριμένων πράξεων επεξεργασίας, δεν συνιστά λόγο απαλλαγής από τις υποχρεώσεις που φέρει υπό την ιδιότητα του υπευθύνου επεξεργασίας για την τήρηση των κατάλληλων τεχνικών και οργανωτικών μέτρων κατ’ εφαρμογή των άρθρων 24 και 32 ΓΚΠΔ προς διασφάλιση της αρχής του άρθρου 5 παρ. 1 στοιχ. στ΄, αντίθετα επαυξάνει την ευθύνη του για τον έλεγχο του εκτελούντος την επεξεργασία, δυνάμει του άρθρου 28 παρ. 1 του ΓΚΠΔ.
Με βάση τα ανωτέρω, η Αρχή διαπίστωσε ότι το Νοσοκομείο δεν είχε προβεί στην προβλεπόμενη ενημέρωση των εργαζομένων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, παραβιάζοντας το άρθρο 13 παρ. 1στοιχ. ε του ΓΚΠΔ, και δεν είχε εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζει ότι η επεξεργασία των δεδομένων των εργαζομένων πραγματοποιείται σύμφωνα με τον ΓΚΠΔ, παραβιάζοντας τα άρθρα 24 παρ. 1 και 32 παρ. 1 στοιχ. δ’ ΓΚΠΔ.
β) Η ανάδοχος εταιρεία, ως εκτελούσα την επεξεργασία, έφερε τις υποχρεώσεις που προβλέπονται στο άρθρο 28 του ΓΚΠΔ αναφορικά τόσο με την ευθύνη που αναλαμβάνει προς τον υπεύθυνο επεξεργασίας, ήτοι το Νοσοκομείο για εφαρμογή των καταγεγραμμένων εντολών που έχει λάβει από αυτόν στο πλαίσιο της ανωτέρω σύμβασης, όσο και με την ανάθεση των ίδιων ευθυνών και υποχρεώσεων και σε όποιον προσλαμβάνει για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας, ήτοι στον Ιατρό Εργασίας, δυνάμει του 28 παρ. 4 ΓΚΠΔ για λογαριασμό του υπευθύνου επεξεργασίας. Στη σχετική σύμβαση που συνήφθη, ωστόσο, δεν προέκυψε ότι η εκτελούσα την επεξεργασία εταιρεία είχε ενσωματώσει διατάξεις που αφορούν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων, τα δεδομένα των οποίων θα ετύγχαναν επεξεργασίας από τον Ιατρό Εργασίας, ούτε έλαβε συγκεκριμένα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλιστεί ότι η επεξεργασία των δεδομένων από τον εκτελούντα Ιατρό Εργασίας θα πραγματοποιούνταν σύμφωνα με τον ΓΚΠΔ. Επομένως, σύμφωνα με την Αρχή, η εταιρεία είχε παραβιάσει το άρθρο 28 παρ. 4 του ΓΚΠΔ.
γ) Ο ιατρός εργασίας, ως υποεκτελών την επεξεργασία για λογαριασμό του ΨΝΑ και στο πλαίσιο της σύμβασης του Νοσοκομείου με την καταγγελλόμενη εταιρεία προέκυψε ότι ενήργησε καθ’ υπέρβαση των αρμοδιοτήτων που του είχαν ανατεθεί από τον υπεύθυνο επεξεργασίας και κατέστη ο ίδιος υπεύθυνος επεξεργασίας σύμφωνα με τα οριζόμενα στο άρθρο 28 παρ. 10 ΓΚΠΔ. Η καταχώρηση των επισκέψεων των εργαζομένων στον ηλεκτρονικό τους φάκελο αποτελεί επεξεργασία δεδομένων υγείας, ήτοι δεδομένων ειδικής κατηγορίας, για την επεξεργασία των οποίων απαιτείται η συγκατάθεση των υποκειμένων, όπως προβλέπεται στο άρθρο 9 παρ. 2 στοιχ. α του ΓΚΠΔ, η οποία στην εν θέματι καταγγελία δεν προέκυψε ότι έχει ληφθεί.
Επομένως, η Αρχή διαπίστωσε ότι ο καταγγελλόμενος ιατρός επεξεργάστηκε δεδομένα υγείας των εργαζομένων, στον ηλεκτρονικό φάκελο των οποίων καταχωρίσθηκαν επισκέψεις στον εν λόγω ιατρό εν αγνοία τους, κατά παράβαση της αρχής της νομιμότητας, όπως προβλέπεται στο άρθρο 5 παρ. 1 στοιχ. α’ του ΓΚΠΔ, ενεργώντας σύμφωνα με το άρθρο 28 παρ. 10 ως υπεύθυνος επεξεργασίας καθ’ υπέρβαση των αρμοδιοτήτων του βάσει της σύμβασης ανάθεσης.
Το διατακτικό
Για τους λόγους αυτούς, η Αρχή
Α. Διαπιστώνει ότι το καταγγελλόμενο Ψυχιατρικό Νοσοκομείο Αθηνών, ως υπεύθυνος επεξεργασίας παραβίασε τα άρθρα 13 παρ. 1 στοιχ. ε΄ και 24 παρ. 1 ΓΚΠΔ και επιβάλλει στο Νοσοκομείο κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ ΓΚΠΔ το διοικητικό χρηματικό πρόστιμο ύψους οκτώ χιλιάδων (8.000,00) ευρώ.
Β. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία PRO.EX. O.E. – Γ. ΨΑΘΑΣ – Κ. ΧΡΥΣΟΥ & ΣΙΑ Ο.Ε., ως εκτελούσα την επεξεργασία παραβίασε το άρθρο 28 παρ. 4 ΓΚΠΔ και επιβάλλει στην εταιρεία PRO.EX. O.E. – Γ. ΨΑΘΑΣ – Κ. ΧΡΥΣΟΥ & ΣΙΑ Ο.Ε. κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ ΓΚΠΔ, το διοικητικό χρηματικό πρόστιμο ύψους έξι χιλιάδων (6.000,00) ευρώ.
Γ. Διαπιστώνει ότι ο καταγγελλόμενος ιατρός Α, ενεργώντας, κατά παράβαση των αρμοδιοτήτων του, ως υπεύθυνος επεξεργασίας παραβίασε το άρθρο 5 παρ. 1 στοιχ. α’ ΓΚΠΔ και επιβάλλει στον ιατρό Α κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ ΓΚΠΔ, το διοικητικό χρηματικό πρόστιμο ύψους δέκα χιλιάδων (10.000,00) ευρώ.