Η Αρχή Προστασίας Δεδομένων επιβάλει διοικητικό πρόστιμο σε ΔΕΥΑ για την κατά παράβαση της ελαχιστοποίησης εσωτερική και εξωτερική διάδοση των προσωπικών δεδομένων υπαλλήλου της
Τρεις αυτοτελείς πράξεις επεξεργασίας διενήργησε η Γενική Διευθύντρια Διαδημοτικής Επιχείρησης Ύδρευσης – Αποχέτευσης (ΔΕΥΑ) με τα δεδομένα υγείας της καταγγέλλουσας. Και στις τρεις περιπτώσεις, η Αρχή έκρινε πως ο φορέας παραβίασε την αρχή της ελαχιστοποίησης του άρθρου 5 παρ.1γ’ ΓΚΠΔ.
Η καταγγέλλουσα είχε νοσήσει από Covid-19, ενώ αμέσως μετά την πενθήμερη περίοδο απομόνωσης έλαβε πενθήμερη άδεια λόγω κόπωσης μετά την αποχώρηση των συμπτωμάτων. Την ημέρα κατά την οποία εκδόθηκε το δελτίο αδείας, η καταγγέλλουσα, υπάλληλος ΤΕ του φορέα, προσήλθε στις εγκαταστάσεις του προς υποστήριξη θέματος που την αφορούσε (υπηρεσιακό ζήτημα κάλυψης θέσης ευθύνης, όπως προέκυψε με το μετ’ ακρόαση υπόμνημά της) και το οποίο θα συζητείτο ενώπιον του Διοικητικού Συμβουλίου. Πριν την εμφάνισή της είχε προβεί σε αυτοδιαγνωστικό έλεγχο που απέβη αρνητικός.
Δύο ημέρες μετά, η Γενική Διευθύντρια της ΔΕΥΑ απέστειλε ηλεκτρονικό μήνυμα στο Τμήμα Προσωπικού, τον Πρόεδρο και τη Γραμματεία του ΔΣ, τον Διευθυντή Διοικητικού – Οικονομικού και την Προϊσταμένη του Διοικητικού Τμήματος της καταγγέλλουσας, αναφερόμενη στην παρουσία της καταγγέλλουσας στο ΔΣ και απευθύνοντας (στην τελευταία εκ των αποδεκτών) το ερώτημα αν είχε αναρτηθεί η βεβαίωση αρνητικού διαγνωστικού ελέγχου στο πλαίσιο «άτυπου» σχετικού κανόνα.
Αμέσως μετά, η Γενική Διευθύντρια απέστειλε προς την Αυτοτελή Διεύθυνση Πολιτικής Προστασίας της Περιφέρειας αίτημα ενημέρωσης σχετικά με τα μέτρα που πρέπει να ληφθούν από τη ΔΕΥΑ για την αντιμετώπιση του Covid-19, καθώς και ερώτημα σχετικά με το κατά πόσο νομιμοποιείτο η δια ζώσης συμμετοχή της καταγγέλλουσας στη συνεδρίαση του ΔΣ. Το σχετικό έγγραφο που απεστάλη όχι μόνο περιελάμβανε λεπτομερές ιστορικό νόσησης της καταγγέλλουσας, αλλά και συνοδευόταν από τα αποτελέσματα διαγνωστικών ελέγχων και τις ιατρικές γνωματεύσεις που την αφορούσαν και τηρούνταν στα αρχεία της ΔΕΥΑ.
Έτι περαιτέρω, η ως άνω αλληλογραφία με την Περιφέρεια, συμπεριλαμβανομένων των συνημμένων εγγράφων προωθήθηκε και στα μέλη του Διοικητικού Συμβουλίου της ΔΕΥΑ.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ζήτησε εξηγήσεις από την καταγγελλόμενη ΔΕΥΑ, αλλά και από την Αυτοτελή Διεύθυνση Πολιτικής Προστασίας της Περιφέρειας, στον βαθμό που η καταγγελία ενέπλεκε και την ίδια στην επεξεργασία των δεδομένων υγείας της. Η τελευταία, κατέστησε σαφές πως ουδέποτε αρχειοθέτησε ή επεξεργάστηκε καθ’ οιονδήποτε τρόπο τον φάκελο που της εστάλη, ο οποίος και επεστράφη στον αποστολέα της, καθώς η ίδια εστερείτο αρμοδιότητας σχετικά με την υπόθεση.
Απαλλασσόμενης κατά τα ως άνω της Αυτοτελούς Διεύθυνσης Πολιτικής Προστασίας της Περιφέρειας, η Αρχή εστίασε στην ευθύνη της ΔΕΥΑ στο πλαίσιο της τριπλής αποκάλυψης – διάδοσης των προσωπικών δεδομένων της καταγγέλλουσας.
Επικαλούμενη τη Γνώμη 1/2010 της Ομάδας Εργασίας του Άρθρου 29 για τους υπευθύνους επεξεργασίας, η Αρχή έκρινε πως η Γενική Διευθύντρια ενήργησε για λογαριασμό του φορέα και όχι για δικούς της στόχους:
«Ενόψει των ανωτέρω προκύπτει ότι η καταγγελλόμενη ΔΕΥΑ Χ διά της Γενικής Διευθύντριάς της, η οποία, ακόμα και αν γίνει δεκτό ότι ενήργησε αυτοβούλως, σε κάθε περίπτωση δεν προκύπτει ούτε αποδεικνύεται από το σύνολο των στοιχείων του φακέλου ότι έδρασε για ιδίους στόχους εκτός του πεδίου και του δυνητικού ελέγχου των δραστηριοτήτων του καταγγελλόμενου νομικού προσώπου, καθόρισε το σκοπό και τον τρόπο της επεξεργασίας των δεδομένων υγείας της καταγγέλλουσας και ως εκ τούτου αποτελεί υπεύθυνη επεξεργασίας. Ειδικότερα, με τις επίμαχες επεξεργασίες των δεδομένων που αφορούν στην καταγγέλλουσα, ιδίως δε με τη γνωστοποίηση δεδομένων υγείας της τελευταίας όχι μόνο εντός της σφαίρας του υπευθύνου επεξεργασίας αλλά και προς την Αυτοτελή Διεύθυνση Πολιτικής Προστασίας της Περιφέρειας Ψ, η Γενική Διευθύντρια ενήργησε με γνώμονα τη διασφάλιση της ομαλής λειτουργίας των υπηρεσιών της καταγγελλόμενης επιχείρησης ως υπεύθυνης επεξεργασίας».
Περαιτέρω και ως προς τις επιμέρους πράξεις επεξεργασίας που διενεργήθηκαν, η Αρχή διέκρινε αυτές σε πράξεις «εντός της σφαίρας» του υπευθύνου επεξεργασίας και σε πράξεις «εκτός της σφαίρας» αυτού.
Στην πρώτη κατηγορία εντάχθηκαν τόσο η αρχική αποστολή του ηλεκτρονικού μηνύματος προς τα πρόσωπα που είχαν θέσεις ευθύνης στη ΔΕΥΑ, όσο και η ενημέρωση των μελών του ΔΣ για την αποστολή του αιτήματος προς την Αυτοτελή Διεύθυνση Πολιτικής Προστασίας της Περιφέρειας. Σύμφωνα με την Αρχή, «οι δύο ανωτέρω πράξεις επεξεργασίας, ανεξαρτήτως πάντως της νομιμότητας της αρχικής συλλογής της από 28-03-2022 ιατρικής γνωμάτευσης που η ίδια η καταγγέλλουσα προσκόμισε στη ΔΕΥΑ Χ, έλαβαν χώρα εντός της σφαίρας του αυτού υπευθύνου επεξεργασίας, κατά το μέρος που κοινολογήθηκαν σε ορισμένους εκ των εργαζομένων της ΔΕΥΑ Χ καθώς και στα μέλη του Διοικητικού της Συμβουλίου. Ωστόσο, προκειμένου να εξυπηρετηθούν οι σκοποί για τους οποίους έλαβαν χώρα οι ανωτέρω επεξεργασίες, δεν ήταν απαραίτητη η κοινοποίηση όλων ανεξαιρέτως των εν λόγω δεδομένων στο σύνολο των αποδεκτών ακόμη και εντός της σφαίρας του αυτού Υπευθύνου Επεξεργασίας, ήτοι της ΔΕΥΑ Χ».
Η Αρχή διαπίστωσε την παραβίαση της αρχής της ελαχιστοποίησης δια της κοινοποίησης δεδομένων περισσότερων από όσα ήταν αναγκαία σε αποδέκτες περισσότερους από όσους έπρεπε να γνωρίζουν. Παράλληλα, επεσήμανε πως απουσίαζε οποιαδήποτε εσωτερική πολιτική σχετικά με τους αποδέκτες των δεδομένων, αλλά και οποιαδήποτε διαβαθμισμένη πρόσβαση σε ευαίσθητα δεδομένα που τηρούνταν από τον υπεύθυνο επεξεργασίας. Η παντελής απουσία κανόνων, μάλιστα, επιβεβαιώθηκε σύμφωνα με την Αρχή και από το γεγονός πως η καταγγέλλουσα έλαβε γνώση των ενεργειών της Γενικής Διευθύντριας, μολονότι δεν περιλαμβανόταν στους αποδέκτες.
Σύμφωνα με την απόφαση, «επομένως, εκ των ανωτέρω προκύπτει ότι η ΔΕΥΑ Χ ως υπεύθυνη επεξεργασίας κατά παράβαση της αρχής της ελαχιστοποίησης κοινοποίησε δεδομένα της καταγγέλλουσας σε περισσοτέρους αποδέκτες έστω και εντός της σφαίρας του αυτού υπευθύνου επεξεργασίας, χωρίς η εν λόγω επεξεργασία να παρίσταται αναγκαία, κατά τα προδιαλαμβανόμενα. Περαιτέρω, εκ των στοιχείων του φακέλου δεν προκύπτει ούτε εξάλλου προσκομίζεται κάποια εσωτερική πολιτική ή έτερο εσωτερικό έγγραφο στο πλαίσιο του οποίου να προσδιορίζονται συγκεκριμένοι υπηρεσιακοί αποδέκτες των δεδομένων των εργαζομένων εντός της σφαίρας της καταγγελλομένης ως υπεύθυνης επεξεργασίας, από το οποίο να προσδιορίζεται και διαβαθμισμένη πρόσβαση σε πληροφορίες που συνιστούν ειδικής κατηγορίας δεδομένα (δεδομένα υγείας). Η ως άνω δε διαπίστωση περί μη ύπαρξης σχετικών εσωτερικών πολιτικών, ενισχύεται και από το γεγονός ότι και πάλι εντός της σφαίρας του αυτού Υπευθύνου Επεξεργασίας, ήτοι της ΔΕΥΑ Χ, η καταγγέλλουσα ως υπάλληλος της τελευταίας έλαβε γνώση υπηρεσιακών εγγράφων που την αφορούσαν, των οποίων δεν ήταν αποδέκτης».
Στη δεύτερη κατηγορία, αυτή των «εκτός της σφαίρας» πράξεων επεξεργασίας του υπευθύνου επεξεργασίας εντάχθηκε η αποστολή ερωτήματος προς την Αυτοτελή Διεύθυνση Πολιτικής Προστασίας της Περιφέρειας, με την παράλληλη διάδοση των δεδομένων υγείας της καταγγέλλουσας. Και στην περίπτωση αυτή, η επεξεργασία κρίθηκε ως παραβιάζουσα την αρχή της ελαχιστοποίησης:
«Επομένως, από την ανωτέρω απάντηση της Αυτοτελούς Διεύθυνσης προκύπτει ότι αβασίμως προβάλλεται από τη με αριθ. πρωτ. Γ/ΕΙΣ/12638/16-12-2022 απάντηση της καταγγελλομένης προς την Αρχή (βλ. σελ. 17 και 22) ότι η εν λόγω Διεύθυνση διαχειρίζεται και επεξεργάζεται προσωπικά δεδομένα τα οποία άπτονται νοσούντων και άρα ήδη γνώριζε τα προσωπικά δεδομένα της καταγγέλλουσας. Ωσαύτως δε αβάσιμος είναι ο αυτός ισχυρισμός της καταγγελλομένης που επαναφέρει η τελευταία με το με αριθ. πρωτ. Γ/ΕΙΣ/5059/07-07-2023 μετ’ ακρόαση Υπόμνημά της (βλ. σελ. 7 του τελευταίου), καθ’ όσον από το γράμμα των διατάξεων που επικαλείται η ίδια η ΔΕΥΑ Χ, δεν προκύπτει η ανωτέρω αρμοδιότητα της επεξεργασίας προσωπικών δεδομένων των νοσούντων από κορωνοϊό από την επίμαχη Αυτοτελή Διεύθυνση Πολιτικής Προστασίας της Περιφέρειας Ψ.
Περαιτέρω δε, ακόμα και εάν ήθελε υποτεθεί ότι η Αυτοτελής Διεύθυνση Πολιτικής Προστασίας της Περιφέρειας Ψ ήταν αρμόδια να επιληφθεί των ερωτημάτων που της τέθηκαν από την καταγγελλόμενη ΔΕΥΑ Χ, δεν απαιτείτο κατά τους κανόνες της κοινής λογικής να επισυνάψει στο εν λόγω ηλεκτρονικό μήνυμα, μεταξύ άλλων, και τις ιατρικές γνωματεύσεις της καταγγέλλουσας καθώς και τα αποτελέσματα των διαγνωστικών ελέγχων στους οποίους είχε υποβληθεί η τελευταία, μιας και τα εν λόγω στοιχεία ουδέν εισφέρουν σε μία Υπηρεσία προκειμένου η τελευταία να αποφανθεί για το ποια είναι τα ήδη κανονιστικά προβλεπόμενα μέτρα που πρέπει να λαμβάνονται για τον περιορισμό της διάδοσης του κορωνοϊού καθώς και για το εάν νομιμοποιείται η διά ζώσης συμμετοχή υπαλλήλου που νόσησε ή νοσεί με κορωνοϊό σε συνεδρίαση συλλογικού οργάνου».
Με βάση τις ανωτέρω διαπιστώσεις, η Αρχή έδωσε εντολή συμμόρφωσης και επέβαλε διοικητικό πρόστιμο για τις παραβάσεις εντός και εκτός της σφαίρας του υπευθύνου επεξεργασίας, αντίστοιχα.
Για την μεν εσωτερική διαβίβαση των δεδομένων της καταγγέλλουσας, η Αρχή έδωσε εντολή στη ΔΕΥΑ «όπως καταστήσει τις πράξεις επεξεργασίας των προσωπικών δεδομένων στις οποίες προβαίνει σύμφωνες με τις διατάξεις του ΓΚΠΔ διαμορφώνοντας εντός τριών (3) μηνών από την κοινοποίηση της παρούσας σχετικές εσωτερικές πολιτικές για τους αποδέκτες προσωπικών δεδομένων καθώς και για τη διαβαθμισμένη πρόσβαση εντός της ΔΕΥΑ Χ στα εσωτερικά της έγγραφα ιδίως όταν περιλαμβάνονται σε αυτά δεδομένα υγείας». Για την εξωτερική διαβίβαση των δεδομένων της καταγγέλλουσας επέβαλε διοικητικό πρόστιμο χιλίων (1.000) ευρώ, αναγνωρίζοντας ως ελαφρυντικούς παράγοντες αφενός το ότι η καταγγελλόμενη ζήτησε την επιστροφή του φακέλου που είχε διαβιβάσει, προς άμβλυνση των συνεπειών της επεξεργασίας, αφετέρου το ότι ο τρίτος φορέας που είχε λάβει τον φάκελο αυτό δεν διαβίβασε περαιτέρω τα δεδομένα σε τρίτους και δεν θα έθεσε σε γνώση κανενός άλλου πλην του Διευθυντή του, χωρίς να τα υποβάλει σε κανενός είδους επεξεργασία.
Η απόφαση 31/2023 είναι διαθέσιμη εδώ.