ΑΠΟΦΑΣΗ 68/2022
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Αθήνα, 20-12-2022
Αριθ. Πρωτ.: 3371
(Τμήμα)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση μέσω τηλεδιασκέψεως την Τετάρτη 27- 07-2022 και ώρα 10:30, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν, ο Αναπληρωτής Πρόεδρος της Αρχής, Γεώργιος Μπατζαλέξης, κωλυόμενου του Προέδρου της Αρχής Κωνσταντίνου Μενουδάκου, τα αναπληρωματικά μέλη της Αρχής Δημοσθένης Βουγιούκας και Μαρία Ψάλλα, σε αντικατάσταση των τακτικών μελών Κωνσταντίνου Λαμπρινουδάκη και Γρηγορίου Τσόλια, οι οποίοι, αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος, και ο Χρήστος Παπαθεοδώρου ως εισηγητής. Παρούσες χωρίς δικαίωμα ψήφου ήταν η Στεφανία Πλώτα, ειδική επιστήμονας-νομικός, ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κατωτέρω:
Με την υπ’ αρ. πρωτ. .../19-04-2021 καταγγελία του στην Αρχή ο Σύλλογος Εργαζομένων ... Νοσοκομείου ... (εφεξής «καταγγέλλων Σύλλογος» ή «Σύλλογος»), καταγγέλλει i. το ... Νοσοκομείο ... (εφεξής «Νοσοκομείο» ή «ΨΝΑ»), ii. την εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε. (εφεξής «Εταιρεία»), και iii. τον ιατρό Α (εφεξής «καταγγελλόμενο Ιατρό» ή «Ιατρό Εργασίας») «για παράνομη επεξεργασία και χρησιμοποίηση ευαίσθητων στοιχείων προσωπικών δεδομένων των εργαζομένων μελών του Συλλόγου». Συγκεκριμένα, σύμφωνα με την καταγγελία το ΨΝΑ έχει συμβληθεί στις 28-12-2020 και για ένα έτος με την εταιρεία ... OE για τη διάθεση ενός Ιατρού Εργασίας από την εταιρεία στο ΨΝΑ που ήταν ο ιατρός Α. Τον Μάρτιο του 2021 εργαζόμενοι του Νοσοκομείου προέβησαν σε καταγγελίες στον Σύλλογο, καθώς από έλεγχο που πραγματοποίησαν στην προσωπική τους καρτέλα στον ΕΟΠΥΥ, εμφαίνονται οι ίδιοι να έχουν λάβει από τον ΕΟΠΥΥ επισκέψεις αξίας δέκα (10) ευρώ και να τις έχουν πραγματοποιήσει στον ιατρό, σε συγκεκριμένες ημερομηνίες, οι οποίες δεν έλαβαν χώρα ποτέ, σύμφωνα με την καταγγελία. Ο Σύλλογος ενημέρωσε άμεσα τα μέλη του και τότε προέκυψε ότι δεκάδες εργαζόμενοι, ερευνώντας την καρτέλα τους στον ΕΟΠΥΥ, εντόπισαν να είναι καταγεγραμμένες ανάλογες επισκέψεις στον εν λόγω ιατρό, αξίας, ομοίως, δέκα (10) ευρώ έκαστη. Ο καταγγέλλων Σύλλογος, προσκόμισε τις συμβάσεις που έχουν υπογραφεί και ενδεικτικά κάποιες βεβαιώσεις από τον ΕΟΠΥΥ που αφορούν εργαζομένους του Νοσοκομείου, στις οποίες καταγράφονται οι εν λόγω επισκέψεις και υποστηρίζει ότι το Νοσοκομείο παραβίασε τα άρθρα 6, 22 παρ. 3, 26 παρ.2 και 3, 45, 46, 62 και 63 του ν. 4624/2019, με αποτέλεσμα την παράνομη επεξεργασία των δεδομένων των εργαζομένων, καθώς και ότι χωρίς τη συγκατάθεσή τους παραχώρησε ευαίσθητα προσωπικά δεδομένα σε τρίτη ιδιωτική εταιρεία, δεν έλαβε όλα τα απαραίτητα μέτρα με ελέγχους και έρευνες για την προστασία αυτών και δεν προχώρησε σε γνωστοποίηση της παραβίασης των δεδομένων στους εργαζομένους, ούτε στη συνδικαλιστική τους οργάνωση. Επίσης, ο Σύλλογος ισχυρίζεται ότι προκύπτουν σοβαρές ευθύνες της συμβαλλόμενης Εταιρείας γιατί παραβίασε τις διατάξεις του ν. 4624/2019 και της σύμβασης που οδήγησε στην παράνομη επεξεργασία και χρήση των προσωπικών δεδομένων των εργαζομένων και τέλος, ο ιατρός φέρει την ευθύνη για την παράνομη επεξεργασία των ευαίσθητων δεδομένων των εργαζομένων, καθώς και για τη χρήση των δεδομένων για ιδιοτελείς σκοπούς πέρα από το πλαίσιο του ν. 4624/2019 και του σκοπού για τον οποίο του χορηγήθηκαν.
Η Αρχή, στο πλαίσιο εξέτασης της ανωτέρω καταγγελίας, απέστειλε τα έγγραφα για παροχή απόψεων με αρ. πρωτ. .../27-07-2021 στους δύο πρώτους καταγγελλόμενους και με αρ. πρωτ. .../06-08-2021 στον καταγγελλόμενο ιατρό. Το Νοσοκομείο απάντησε με το υπ’ αρ. πρωτ. .../23-08-2021 έγγραφο, αναφέροντας ότι ο ιατρός έχει διατεθεί ως Ιατρός Εργασίας στο Νοσοκομείο από την Εταιρεία με σχετικές συμβάσεις και την είχε καλέσει με το υπ’ αρ. πρωτ. … έγγραφο να παράσχει εξηγήσεις για την παράνομη συμπεριφορά του ιατρού, τη μη τήρηση και μη διαφύλαξη της εμπιστευτικότητας των πληροφοριών παραβιάζοντας τις ανωτέρω συμβάσεις και το Παράρτημα με τίτλο «Προστασία προσωπικών δεδομένων». Επίσης, το Νοσοκομείο αναφέρει ότι με την υπ’ αρ. 6/25-02-2021 Απόφασή του ενέκρινε τη μη αποδοχή της παροχής των υπηρεσιών της Εταιρείας, μέχρις ότου απαντήσει πλήρως και εμπεριστατωμένως στα όσα τίθενται στο εν θέματι έγγραφο προς παροχή εξηγήσεων και στη συνέχεια με την υπ’ αρ. 21/16-06-2021 Απόφαση του ΔΣ του Νοσοκομείου η Εταιρεία κηρύχθηκε έκπτωτη. Τέλος, το Νοσοκομείο ανέφερε ότι για το εν λόγω θέμα έκανε αναφορά προς τον κ. Εισαγγελέα Πλημμελειοδικών Αθηνών, τον ΕΟΠΥΥ για τις ενέργειες του ιατρού, γνωστοποίηση περιστατικού παραβίασης των προσωπικών δεδομένων στην Αρχή και ενημέρωσε το Υπουργείο Υγείας και την Υπηρεσία Ελέγχου Δαπανών Υγείας Φορέων Κοινωνικής Ασφάλισης.
Η εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε. διαβίβασε στην Αρχή με την υπ’ αρ. πρωτ. .../28-07-2021 επιστολή της τα στοιχεία επικοινωνίας του Ιατρού Α «με κάθε επιφύλαξη», λόγω της από 18-02-2021 διακοπής της συνεργασίας της Εταιρείας με τον ιατρό και στη συνέχεια με το υπ’ αρ. πρωτ. .../09-09-2021 ηλεκτρονικό μήνυμα, η εταιρεία υπέβαλε στην Αρχή υπόμνημα με τις απόψεις της και τα συνημμένα σε αυτό έγγραφα, στο οποίο αναφέρει ότι μεταξύ της Εταιρείας και του Νοσοκομείου έχουν συναφθεί συμβάσεις με αντικείμενο τη διάθεση ενός Ιατρού Εργασίας για να παρέχει υπηρεσίες σύμφωνα με τις διατάξεις του Κώδικα Νόμων για την υγεία και την ασφάλεια των εργαζομένων (στο εξής Κ.Ν.Υ.Α.Ε.) και στη συνέχεια η εταιρεία συνεβλήθη με τον ιατρό με τις συμβάσεις Παροχής Ανεξαρτήτων Υπηρεσιών και Εμπιστευτικότητας Συνεργάτη. Σε εκτέλεση των ανωτέρω συμβάσεων προέβησαν από κοινού με το Νοσοκομείο στη γραπτή ανάθεση των εν λόγω καθηκόντων στον ιατρό, υπογράφοντας τριμερώς το σχετικό έγγραφο και έλαβε χώρα με την έγκριση του Νοσοκομείου η πρόσληψη του ιατρού ως εκτελούντα την επεξεργασία για το σύνολο των αναληφθεισών από την Εταιρεία υπηρεσιών και όχι για μέρος τους. Η Εταιρεία αναφέρει ότι, το Νοσοκομείο είχε εκδώσει βεβαίωση καλής συνεργασίας με την Εταιρεία σχετικά με την εκτέλεση της σύμβασης που αφορά στις υπηρεσίες του Ιατρού Εργασίας για το χρονικό διάστημα από 13-05-2019 έως και 12-05-2020, οι αρμοδιότητες και τα καθήκοντα του Ιατρού Εργασίας προβλέπονται στον Κ.Ν.Υ.Α.Ε., καθώς και ό,τι από τη σύμβαση Παροχής Ανεξαρτήτων Υπηρεσιών προκύπτει ότι ο εν λόγω ιατρός δεν τελούσε υπό τις εντολές και οδηγίες της Εταιρείας κατά την εκτέλεση των καθηκόντων του, ενώ στο άρθρο 3 παρ.1 του ν. 3418/2005 (Κώδικας Ιατρικής Δεοντολογίας) ορίζεται ότι «Κάθε ιατρός απολαύει κατά την άσκηση του ιατρικού επαγγέλματος, επιστημονικής ελευθερίας και ελευθερίας της συνείδησής του, παρέχει δε τις ιατρικές του υπηρεσίες με σεβασμό στην ανθρώπινη αξιοπρέπεια.» Επίσης, η Εταιρεία ισχυρίζεται ότι από τη σύμβαση εμπιστευτικότητας προκύπτει ότι ο ιατρός ανέλαβε την υποχρέωση να μην χρησιμοποιεί οποιεσδήποτε εμπιστευτικές πληροφορίες για όφελός του ή λογαριασμό τρίτου και έχει την αποκλειστική ευθύνη για την ασφαλή διαχείριση (φύλαξη, επεξεργασία) των πληροφοριών που λαμβάνει από την Εταιρεία ή τον πελάτη της και η επεξεργασία των παραπάνω πληροφοριών που υλοποιείται από τον συνεργάτη θα είναι αποκλειστικά σύμφωνη με τις απαιτήσεις της Εταιρείας και θα ικανοποιεί τις απαιτήσεις της εφαρμοστέας νομοθεσίας περί προσωπικών δεδομένων. Η Εταιρεία αναφέρει ότι, δυνάμει της από 15-02-2021 επιστολής, ενημερώθηκε από το Νοσοκομείο ότι για αρκετούς εργαζομένους του διαπιστώθηκε ότι εμφανίζονται στο σύστημα του ΕΟΠΠΥ χρεωμένες επισκέψεις του Ιατρού Εργασίας, χωρίς όμως αυτές να έχουν πραγματοποιηθεί και της ζητήθηκε να γνωρίσει στο Νοσοκομείο από ποιους όρους των συμβάσεων προβλέπεται ο Ιατρός Εργασίας να προβαίνει σε χρεώσεις επισκέψεων στον ΕΟΠΥΥ χωρίς τη φυσική παρουσία των εργαζομένων και τη συγκατάθεσή τους. Αμέσως μόλις η εταιρεία έλαβε γνώση, έλαβε την απόφαση για διακοπή της συνεργασίας με τον εν λόγω Ιατρό για το συγκεκριμένο ίδρυμα, του ζήτησε έγγραφες εξηγήσεις για την καταγγελλόμενη από το Νοσοκομείο παράνομη συμπεριφορά του και αποφάσισε να διεξάγει έρευνα για τυχόν άλλες παρόμοιες ενέργειές του και γνωστοποίησε τις εν λόγω αποφάσεις της στο Νοσοκομείο, αντικαθιστώντας τον ιατρό με έτερο πρόσωπο. Στις 22-03-2021 η Εταιρεία απάντησε στο Νοσοκομείο ότι ο ιατρός, εφόσον διέπραξε τα καταγγελλόμενα, δεν ενήργησε ως προστηθείς της Εταιρείας και ότι η συμπεριφορά του αυτή δεν τελούσε σε αιτιώδη συνάφεια με τα καθήκοντα που είχε αναλάβει, ενώ ταυτόχρονα απέστειλε στο Νοσοκομείο το σχετικό έντυπο για την αντικατάσταση του καταγγελλόμενου ιατρού από έτερο ιατρό και τον καλούσε να το υπογράψει, προκειμένου να συνεχιστεί η υλοποίηση της μεταξύ τους συνεργασίας. Στη συνέχεια, η Εταιρεία προέβη σε καταγγελία της σύμβασης με τον καταγγελλόμενο ιατρό και στην άσκηση Εγκλήσεως-Μηνυτήριας Αναφοράς σε βάρος του προς τον Εισαγγελέα Πρωτοδικών Αθηνών για τη διάπραξη των αδικημάτων της απάτης, πλαστογραφίας και παράνομης χρήσης προσωπικών δεδομένων και υποβολή καταγγελίας στον Ιατρικό Σύλλογο Αθηνών. Η Εταιρεία αναφέρει επίσης ότι το ΑΜΚΑ των εργαζομένων του Νοσοκομείου δεν αποτελούσε περιεχόμενο των ιατρικών φακέλων των εργαζομένων που τηρούντο στο πλαίσιο της παροχής των υπηρεσιών Ιατρού Εργασίας και δεν απέκτησε πρόσβαση στα ΑΜΚΑ των εργαζομένων ο εν λόγω ιατρός από τους τηρούμενους ατομικούς ιατρικούς φακέλους (Α.Ι.Φ.) των εργαζομένων, που τηρούσε στο πλαίσιο των καθηκόντων του ως Ιατρός Εργασίας, αλλά ενδεχομένως από άλλα τηρούμενα στο Νοσοκομείο αρχεία προσωπικών δεδομένων και εκτός των αρμοδιοτήτων του. Ο διορισθείς Ιατρός Εργασίας, δεν ενήργησε ως προστηθείς της Εταιρείας και δεν ευθύνεται η Εταιρεία ως προστήσασα αυτόν, αφού η παράνομη και υπαίτια συμπεριφορά του προστηθέντα οφείλεται σε εντελώς προσωπικούς λόγους του δράστη, άσχετους με την υπηρεσία που του έχει ανατεθεί και ότι ο Ιατρός Εργασίας ως προς την επεξεργασία των δεδομένων παρουσιάζει τόσο μεγάλη αυτοτέλεια που τον καθιστά υπεύθυνο επεξεργασίας, καθορίζοντας τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων και είναι ad hoc υπεύθυνος επεξεργασίας ως προς τα ιατρικά δεδομένα που τηρεί στο αρχείο του και ως προς τα ιατρικά δεδομένα που επεξεργάζεται στο πλαίσιο των καθηκόντων του. Στην καταγγελία του Συλλόγου Εργαζομένων αναφέρεται ότι προκύπτουν σοβαρές ευθύνες της Εταιρείας όμως, η Εταιρεία ισχυρίζεται ότι δεν παραβίασε τις διατάξεις του ν. 4624/2019 γιατί α. η πρόσληψη του Ιατρού ως εκτελούντα την επεξεργασία έγινε με την έγκριση του ΨΝΑ, β. στη σύμβαση εμπιστευτικότητας προβλέφθησαν όσα αναφέρονται ανωτέρω για την ορθή επεξεργασία των δεδομένων και των πληροφοριών από τον ιατρό, γ. η υποχρέωση του ιατρού περί τήρησης και εφαρμογής της νομοθεσίας περί προσωπικών δεδομένων προβλέπεται και στο άρθρο 18 παρ. 3 του ν. 3850/2010 («Ο Ιατρός εργασίας έχει υποχρέωση να τηρεί το ιατρικό και επιχειρησιακό απόρρητο»),
δ. εκ του νόμου μόνο ο ιατρός μπορεί να έχει πρόσβαση στα προσωπικά δεδομένα των εργαζομένων υπό την ιδιότητα του εκτελούντος την επεξεργασία, ε. εκ του νόμου πρόσβαση στα προσωπικά δεδομένα δεν έχει η Εταιρεία, στ. πρόσβαση στον ΑΜΚΑ απέκτησε από άλλα αρχεία, ενεργώντας καθ’ υπέρβαση των συμφωνηθέντων όρων στη συμβατική σχέση με την Εταιρεία.
Ο καταγγελλόμενος ιατρός με το υπ’ αριθ. .../23-08-2021 έγγραφο παρείχε έγγραφες εξηγήσεις στην Αρχή, στις οποίες αρνείται όσα καταγγέλλει ο Σύλλογος Εργαζομένων και επιπλέον υποστηρίζει ότι η μη αναφορά συγκεκριμένων περιστατικών εργαζομένων, καθώς και η παντελής έλλειψη ουσιαστικής αιτιολόγησης των εκ του Συλλόγου καταγγελθέντων, καταδεικνύουν την παντελή αοριστία της αναφοράς/καταγγελίας, δεδομένου ότι σε κανένα σημείο της αναφοράς δεν προβάλλονται πραγματικά περιστατικά από εργαζομένους, τα οποία έλαβαν χώρα και από τα οποία μπορεί να διεξαχθεί συμπέρασμα ότι ο ιατρός προέβη σε παράνομη χρήση των προσωπικών δεδομένων των εργαζομένων αλλά ούτε και σε έκδοση ψευδών βεβαιώσεων περί πραγματοποίησης ιατρικών επισκέψεων. Ο ιατρός ισχυρίζεται ότι ουδέποτε προέβη σε παράνομη επεξεργασία των προσωπικών δεδομένων των εργαζομένων και οποιαδήποτε μορφή επεξεργασίας διενήργησε, περιελάμβανε περιοριστικά τη συλλογή, την αποθήκευση και την εν γένει διαχείριση των προσωπικών δεδομένων των εργαζομένων που το ίδιο το Νοσοκομείο του είχε παράσχει, προκειμένου να εκπληρώσει τον σκοπό της συμβάσεώς του με την εταιρεία, καθώς και ότι κάθε επεξεργασία προσωπικών δεδομένων διενεργήθηκε σύμφωνα με τις ρητές οδηγίες και εντολές του Νοσοκομείου και κατά τρόπο απολύτως νόμιμο και συμβατό με τον σκοπό της αρχικής τους συλλογής, σύμφωνα και με την αρχή του περιορισμού του σκοπού (άρ. 5 παρ. 1 στ. β’ ΓΚΠΔ), ούτως ώστε να προβεί σε εξειδικευμένη ιατρική διάγνωση και να εκτιμήσει την ικανότητα των εργαζομένων προς εργασία, δυνάμει της ως άνω σύμβασης (άρθρο 22 του ν. 4624/2019), ενώ προέβη, σε μερικές περιπτώσεις, σε επεξεργασία προσωπικών δεδομένων των εργαζομένων του Νοσοκομείου με σκοπό τη διασταύρωση και τη συμπλήρωση των προσωπικών τους δεδομένων μέσω του Ατομικού Φακέλου Υγείας (ΑΦΥ) που τηρείται για τους εργαζομένους του στο πληροφοριακό σύστημα του ΕΟΠΥΥ, για να είναι στη συνέχεια σε θέση να εκδώσει τις κατάλληλες βεβαιώσεις παρακολούθησης των εργαζομένων, τις οποίες οι ίδιοι είχαν αιτηθεί. Επίσης, αναφέρει ότι τα στοιχεία των εργαζομένων είχαν διατεθεί στον Ιατρό από το Νοσοκομείο προς χρήση τους για τη διασταύρωση στην Καρτέλα των εργαζομένων στον ΕΟΠΥΥ και δεν τα απέκτησε παρανόμως και χωρίς τη συναίνεση των εργαζομένων και ενώ είχε πρόσβαση στα προσωπικά τους στοιχεία, επομένως και στον «κλειδωμένο» φάκελο που τηρείται στην καρτέλα του ΕΟΠΥΥ (όπου αιτείται ρητά η συναίνεση του ασθενούς από το σύστημα), ουδέποτε έκανε χρήση του φακέλου αυτού, ούτε συνταγογράφηση φαρμάκων ή παρακλινικών εξετάσεων, ούτε διάδοση ή μεταφορά δεδομένων σε τρίτους, γεγονός που αποδεικνύει την έλλειψη δόλου, το νόμιμο των προθέσεων και πράξεών του, ενώ οι φάκελοι ΑΦΥ εργαζομένων φυλάσσονται σε κλειδωμένο ερμάριο εντός Νοσοκομείου, όπως ορίζει ο νόμος. Τέλος, μεταξύ των υπολοίπων καθηκόντων του Ιατρού στο Νοσοκομείου ήταν να είναι υπεύθυνος για την παρακολούθηση των εργαζομένων και την έκδοση βεβαιώσεων καταλληλότητας προς εργασία, όπου λόγω των συνθηκών και των μέτρων που έχουν εφαρμοστεί και τηρούνται για την πρόληψη και προστασία από τον ιό COVID-19, η εξέταση της πλειοψηφίας των εργαζομένων γινόταν εξ αποστάσεως και η επεξεργασία των στοιχείων πραγματοποιείτο κατά τις απογευματινές ώρες και όχι στις ώρες εργασίας του στο Νοσοκομείο κατά το πλείστον, σε συνεργασία με τα δεδομένα που του παρέχονταν από την ΕΝΛ του Νοσοκομείου, με την οποία είχε στενή συνεργασία για την εφαρμογή των υγειονομικών πρωτοκόλλων και οδηγιών του ΕΣΥ, ενώ τα προσωπικά στοιχεία των υπαλλήλων τα χρησιμοποιούσε μόνο προς πρόσβαση στην Ατομικό Φάκελο Υγείας με σκοπό την έκδοση βεβαιώσεων, επισημαίνοντας ότι κάθε Ιατρός δεσμεύεται από τον Κώδικα Ιατρικής Δεοντολογίας να διασφαλίζει το ιατρικό απόρρητο και να προστατεύει τα στοιχεία των ασθενών του και προς αποφυγή δημιουργίας αμφιβολιών σχετικά με το ήθος της προσωπικότητάς του αλλά και το κύρος του ιατρικού του επαγγέλματος, έχει ήδη κινηθεί από τον ΕΟΠΥΥ ο έλεγχος των καταχωρήσεων επισκέψεων, καθώς και για την επιστροφή του ποσού χρέωσης ανά επίσκεψη.
Ακολούθως, η Αρχή κάλεσε με τα υπ’ αρ. πρωτ. .../07-04-2022, .../07-04-2022, .../07-04-2022 και .../07-04-2022 έγγραφα τον καταγγέλλοντα Σύλλογο Εργαζομένων Ψυχιατρικού Νοσοκομείου Αθηνών και τους καταγγελλόμενους i. Ψυχιατρικό Νοσοκομείο Αθηνών, ii. εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε., και iii. τον ιατρό Α, αντίστοιχα, όπως νομίμως εκπροσωπούνται, να παρουσιαστούν στη συνεδρίαση του Τμήματος της Αρχής την 13-04-2022, προκειμένου να συζητηθεί η εν θέματι καταγγελία. Στη συνεδρίαση αυτή συζητήθηκαν τα αιτήματα αναβολής που υπέβαλαν ο καταγγέλλων Σύλλογος και ο καταγγελλόμενος ιατρός, τα οποία έγιναν αποδεκτά από το Τμήμα της Αρχής. Εν συνεχεία, η Αρχή κάλεσε εκ νέου με τα υπ’ αρ. .../04-05-2022, .../04-05-2022, .../04-05-2022 και .../04-05-2022 έγγραφα τα ως άνω εμπλεκόμενα μέρη αντίστοιχα, όπως νομίμως εκπροσωπούνται, να παρουσιαστούν στη συνεδρίαση του Τμήματος της Αρχής την 11-05-2022 προκειμένου να συζητηθεί η εν θέματι καταγγελία. Στην εν λόγω συνεδρίαση παρέστησαν ο Πρόεδρος Β και η Γενική Γραμματέας Γ του καταγγέλλοντος Συλλόγου Εργαζομένων ΨΝΑ μετά του πληρεξουσίου δικηγόρου του Ανέστη Προυσανίδη (…), ο νομικός σύμβουλος του ΨΝΑ Δημήτριος Πολέμης και η Διευθύντρια Διοικητικής και Οικονομικής Υπηρεσίας του ΨΝΑ Δ, οι νόμιμοι εκπρόσωποι της εταιρείας ... O.E. - ... & ΣΙΑ Ο.Ε. Ε και ΣΤ και ο νομικός σύμβουλος της εταιρείας Πολυχρόνης Καρσαμπάς, και ο πληρεξούσιος δικηγόρος του καταγγελλόμενου ιατρού Α, Ευστάθιος Μαρδακιούπης (…).
Κατά τη συνεδρίαση αυτή, οι παριστάμενοι ανέπτυξαν τις απόψεις τους και εν συνεχεία υπέβαλαν στην Αρχή ο καταγγέλλων το υπ’ αρ. πρωτ. .../27-05-2022 υπόμνημα, το καταγγελλόμενο Νοσοκομείο το υπ’ αρ. πρωτ. .../31-05-2022 υπόμνημα και ο καταγγελλόμενος Ιατρός το υπ’ αρ. πρωτ. .../31-05-2022. Σημειώνεται ότι η καταγγελλόμενη εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε. δεν υπέβαλε υπόμνημα μετά τη συζήτηση της υποθέσεως.
Στο υπόμνημα που υπέβαλε ο καταγγέλλων Σύλλογος αναφέρει ότι κατά τη συζήτηση της υποθέσεως οι καταγγελλόμενοι αρνήθηκαν ότι φέρουν ευθύνη για την παράνομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα εκατοντάδων υπαλλήλων και επιβεβαιώνει το βάσιμο των καταγγελιών του, επισημαίνοντας ότι οι εργαζόμενοι του ΨΝΑ και μέλη της συνδικαλιστικής τους οργάνωσης συνιστούν υποκείμενα των δεδομένων, το ν.π.δ.δ. ΨΝΑ αποτελεί τον αποδέκτη των δεδομένων των εργαζομένων και οφείλει να ορίζει ΥΠΔ, το ν.π.ι.δ. ... O.E. είναι εκτελών την επεξεργασία των δεδομένων των εργαζομένων του ΨΝΑ, σύμφωνα με τις συμβάσεις που καταρτίστηκαν μεταξύ νοσοκομείου και της ανάδοχης Εταιρείας, και ο ιατρός Α, οριζόμενος από την Εταιρείαως υπεργολάβος κατ’ εντολή και κατ’ εξουσιοδότηση της αναδόχου Εταιρείας ανέλαβε καθήκοντα εκτελούντος την επεξεργασία δεδομένων των εργαζομένων του ΨΝΑ. Αναφορικά με το ΨΝΑ, ο καταγγέλλων Σύλλογος αναφέρει ότι το υποβληθέν στην Αρχή έγγραφο δεν απαντάει στα καταγγελλόμενα, ήτοι πως παρέδωσε πληθώρα δεδομένων, κάποια ευαίσθητα, σε τρίτη ιδιωτική εταιρεία χωρίς τη συγκατάθεση των υποκειμένων, μέσω ποιας διαδικασίας έγινε η παράδοση των δεδομένων στην Εταιρεία, που καταγράφηκε ποια δεδομένα και ποιων υποκειμένων μεταβιβάστηκαν, πώς ο ΥΠΔ του ΨΝΑ ήλεγξε και διασφάλισε ότι η επεξεργασία γίνεται με σύννομο τρόπο και ακόμη και όταν εντοπίστηκε το πρόβλημα με την παραβίαση των δεδομένων γιατί το ΨΝΑ δεν ενημέρωσε, ως όφειλε, τα υποκείμενα για να γνωρίζουν τι συνέβη και να λάβουν μέτρα για την προστασία τους. Σχετικά με την Εταιρεία, ο καταγγέλλων Σύλλογος αναφέρει ότι προσπαθεί να αποποιηθεί τις ευθύνες της υποστηρίζοντας (η Εταιρεία) ότι ο Ιατρός Εργασίας λειτουργούσε εντελώς ελεύθερα και δεν υφίσταται σχέση προστήσεως μεταξύ της Εταιρείας και του Ιατρού Εργασίας και όλη η ευθύνη βαραίνει αποκλειστικά τον ίδιο, ενώ η Εταιρεία είναι πιστοποιημένη για τη διάθεση Ιατρού Εργασίας και για την παροχή συμβουλών σε θέματα υγείας και ασφαλείας και παραλάμβανε το συνολικό ποσό της προϋπολογισθείσας δαπάνης από το ΨΝΑ. Επομένως, η έννομη σχέση είναι μεταξύ του ΨΝΑ και της Εταιρείας βάσει της οποίας επιτρέπεται στην Εταιρεία να ορίζει υπεργολάβο και να εκτελεί αυτός για λογαριασμό της υποχρεώσεις που βαρύνουν την ίδια. Η σχέση μεταξύ Εταιρείας και υπεργολάβου Ιατρού Εργασίας είναι σχέση προστήσεως και επιφέρει έννομες συνέπειες και η επιστημονική ελευθερία και ελευθερία συνειδήσεως του Ιατρού δεν συνεπάγεται την ακύρωση της σχέσης προστήσεως. Δεν πρέπει να συγχέεται το ιατρικό απόρρητο με τα προσωπικά δεδομένα που είχε λάβει γνώση η Εταιρεία και είναι άτοπο ότι η Εταιρεία δεν απέκτησε πρόσβαση στο ΑΜΚΑ. Συμπερασματικώς, η Εταιρεία φέρει βαρύτατες ευθύνες για την παραβίαση των δεδομένων των εργαζομένων, η ίδια ως εκτελούσα την επεξεργασία, καθώς δεν τήρησε τις υποχρεώσεις της σύμφωνα με τον νόμο αλλά και ως προστήσασα εταιρεία που φέρει τις ευθύνες που βαραίνουν τον υπεργολάβο Ιατρό Εργασίας που η ίδια όρισε. Ως προς τον κατά τους ισχυρισμούς του Συλλόγου υπεργολάβο ιατρό, ο καταγγέλλων Σύλλογος ανέφερε ότι ο Ιατρός ήταν ο μόνος που είχε περιουσιακό όφελος μέσα από την εμφάνιση εκατοντάδων ανύπαρκτων ιατρικών επισκέψεων στο πρόσωπό του από εργαζομένους του ΨΝΑ, χρησιμοποιώντας παράνομα το ΑΜΚΑ τους, η παρανομία είναι προφανής η προέκταση και στο ποινικό σκέλος. Ως εκτελών την επεξεργασία ο ίδιος, κατ’ εντολή και εξουσιοδότηση της Εταιρείας, παραβίασε τη νομιμότητα και τις υποχρεώσεις που αυτή θέτει. Τέλος, ο Σύλλογος προσκομίζει τετρακόσιες τριάντα τρεις (433) βεβαιώσεις παροχών ΕΟΠΥΥ εργαζομένων του ΨΝΑ, στις οποίες φέρεται να έχουν πραγματοποιήσει ιατρικές επισκέψεις στον καταγγελλόμενο Ιατρό Εργασίας. Συγκεκριμένα, τριακόσιες εβδομήντα τρεις (373) βεβαιώσεις αφορούν το έτος 2019, είκοσι τρεις (23) βεβαιώσεις το 2020, δέκα (10) βεβαιώσεις το 2021, είκοσι έξι (26) βεβαιώσεις τα έτη 2019 και 2021 και μία (1) βεβαίωση τα έτη 2019, 2020 και 2021.
Το καταγγελλόμενο ΨΝΑ με το μετά ακροάσεως υπόμνημα που υπέβαλε αναφέρει ότι μεταξύ του Νοσοκομείου και της Εταιρείας συνήφθησαν οι με αριθμό 125.18 και 47.20 Συμβάσεις, δυνάμει των οποίων, η Εταιρεία διέθεσε στο ΨΝΑ «τον Ιατρό Α ως Ιατρό Εργασίας στα πλαίσια των διατάξεων του Ν 3850/2010, όπως οι διατάξεις αυτές αντικατέστησαν τις διατάξεις του προισχύσαντος Ν1568/1985 «Για την Υγιεινή και Ασφάλεια των Εργαζομένων», η εφαρμογή ωστόσο των οποίων είχε ήδη επεκταθεί στο Δημόσιο, τα νομικά πρόσωπα Δημοσίου Δικαίου και τους Οργανισμούς Τοπικής Αυτοδιοίκησης, δυνάμει των διατάξεων του άρθρου 39 του Ν 1836/1989». Ειδικότερα, στη σύμβαση 47.20 προβλέπεται ότι «ο Ιατρός Εργασίας προβαίνει σε ιατρικό έλεγχο των εργαζομένων σχετικό με τη θέση εργασίας τους, μετά την πρόσληψή τους ή την αλλαγή θέσης εργασίας, καθώς και σε περιοδικό ιατρικό έλεγχο κατά την κρίση του επιθεωρητή εργασίας ύστερα από αίτηση της Ε.Υ.Α.Ε., όταν τούτο δεν ορίζεται από το νόμο…» και ότι «Για κάθε εργαζόμενο ο ιατρός εργασίας της επιχείρησης τηρεί σχετικό ιατρικό φάκελο». Επίσης, στο Παράρτημα της Σύμβασης υπό τον τίτλο Προστασία Προσωπικών Δεδομένων προβλέπεται ότι «η ... O.E. υποχρεούται να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα του Ψ.Ν.Α. μόνο στο πλαίσιο της εκτέλεσης της παρούσας σύμβασης για τους συγκεκριμένους σκοπούς της». Κατά τη διάρκεια της εκτέλεσης της Σύμβασης διαπιστώθηκε, όπως αναφέρει το ΨΝΑ, ότι σε μεγάλο αριθμό εργαζομένων του Νοσοκομείου εμφανίζονταν χρεωμένες επισκέψεις του καταγγελλόμενου ιατρού στο πληροφοριακό σύστημα του ΕΟΠΥΥ, χωρίς αυτές να έχουν πραγματοποιηθεί ούτε με τη φυσική παρουσία τους, ούτε με τη συγκατάθεσή τους και χωρίς ακόμα να είναι γνωστός επακριβώς ο αριθμός των εργαζομένων για τους οποίους φέρεται ότι ο ιατρός τους χρέωσε με απραγματοποίητες επισκέψεις και ανύπαρκτες συνταγογραφήσεις, στο πρωτόκολλο του ΨΝΑ έχουν κατατεθεί συνολικά 229 Υπεύθυνες Δηλώσεις για καταχωρημένες στον Φάκελο Ασφάλισης Υγείας του ΕΟΠΥΥ επισκέψεις ή συνταγογραφήσεις του εν λόγω ιατρού. Ως προς τη ζημία που προκλήθηκε στον ΕΟΠΥΥ, το ΨΝΑ δεν μπορεί να έχει ασφαλή τάξη του μεγέθους της, καθώς δεν έχει στη διάθεσή του τα απαραίτητα στοιχεία και παραστατικά, τα οποία βρίσκονται στη διάθεση της υπηρεσίας του ΕΟΠΥΥ. Επίσης, το ΨΝΑ αναφέρει ότι η ΥΠΔ του ΨΝΑ, μόλις πληροφορήθηκε την εν λόγω παραβίαση των δεδομένων συμπλήρωσε και απέστειλε στην Αρχή το σχετικό έντυπο της Αρχής, ενημέρωσε το Υπουργείο Υγείας και τον ΥΠΔ του και τους υπαλλήλους του ΨΝΑ για την παραβίαση των δεδομένων τους και επαναλαμβάνει τις περαιτέρω ενέργειες στις οποίες προέβη, όπως τις είχε εκθέσει στο υπ’ αρ. πρωτ. .../23-08-2021 έγγραφο. Τέλος, προς απόκρουση της αιτίασης που προβλήθηκε από συμμετέχοντες στη συζήτηση της υπόθεσης ενώπιων της Αρχής, ότι, θα έπρεπε, πριν από τη χορήγηση στον Ιατρό Εργασίας του Α.Μ.Κ.Α. του κάθε υπαλλήλου, να είχε δοθεί η συγκατάθεσή τους, το ΨΝΑ υποστηρίζει ότι «στον τομέα παροχής υπηρεσιών υγείας, κατεξοχήν ενδείκνυται (ως ειδικές) νομικές βάσεις για την επεξεργασία δεδομένων ασθενών, αλλά όχι μόνο αυτών: α. η παροχή ιατρικών υπηρεσιών κατά το άρ. 9 παρ. 2 στοιχ. η του ΓΚΠΔ στηρίζεται ειδικότερα σε νομικές ρυθμίσεις για την παροχή υπηρεσιών φροντίδας υγείας από φορείς του Δημοσίου και υπηρεσιών από φορέα του ιδιωτικού τομέα και β. η εκπλήρωση του δημοσίου συμφέροντος στον τομέα της δημόσιας ΓΚΠΔ, και όχι η συγκατάθεση του υποκειμένου (ιδίως του ασθενούς). Με βάση τα προαναφερόμενα, εάν π.χ. το υποκείμενο των δεδομένων καλείται να υπογράψει κατά την παραλαβή εντύπου προσωπικού χαρακτήρα, η υπογραφή του αυτή έχει την έννοια ότι «έλαβε γνώση» των απαιτούμενων εκ του νόμου στοιχείων και όχι ότι συγκατατίθεται για την επεξεργασία δεδομένων… Η επεξεργασία δηλαδή δεδομένων προσωπικού χαρακτήρα είναι αναγκαία για την εκτέλεση έργων δημοσίου συμφέροντος ή έργου που εκτελείται από δημόσια αρχή ή έχει ανατεθεί από αυτή στον υπεύθυνο επεξεργασίας στον οποίο γνωστοποιούνται τα δεδομένα. Αυτό ακριβώς συνέβη και στην υπό κρίση υπόθεση του ΨΝΑ, όπου δηλαδή η γνωστοποίηση του Α.Μ.Κ.Α. των υπαλλήλων του ΨΝΑ στον Ιατρό Εργασίας, ήταν ενέργεια απολύτως αναγκαία και επιβεβλημένη, καθώς μόνο έτσι μπορούσε να συγκροτηθεί νομίμως ο ιατρικός φάκελος ενός εκάστου εξ αυτών και κατ΄ επέκταση να καταστεί εφικτή η υλοποίηση της σύμβασης με την ανάδοχο εταιρεία». Προς επίρρωση των ανωτέρω, το ΨΝΑ αναφέρει ότι το Δ΄ Τμήμα του ΣτΕ με τις υπ’ αρ. 517 και 518/2018 αποφάσεις του, επισημαίνει ότι η επεξεργασία των προσωπικών δεδομένων που γίνεται μέσω ΑΜΚΑ, είναι ενέργεια νόμιμη και θεμιτή για την προστασία των προσωπικών δεδομένων, καθώς αποβλέπει στην εξυπηρέτηση σαφών και θεμιτών συνταγματικών σκοπών δημοσίου συμφέροντος, οι οποίοι κατατείνουν στην εκπλήρωση της ευθέως προβλεπόμενης από το άρθρο 21 παρ. 3 του Συντάγματος υποχρέωση παροχής υπηρεσιών υγείας, ενώ αποσκοπεί στην αποφυγή της υπερσυνταγογράφησης και στην ευχερή παρακολούθηση των φαρμακευτικών δαπανών.
Ο καταγγελλόμενος Ιατρός Εργασίας Α στο υπ’ αρ. πρωτ. .../31-05-2022 υπόμνημά του αναφέρει ότι αρνείται την κατηγορία για παράνομη επεξεργασία των δεδομένων των εργαζομένων μελών του Συλλόγου κατά την ενάσκηση των καθηκόντων του, καθώς κάθε επεξεργασία που διενήργησε, περιελάμβανε περιοριστικά τη συλλογή, την αποθήκευση και την εν γένει διαχείριση των προσωπικών δεδομένων των εργαζομένων που το ίδιο το Νοσοκομείο του είχε παράσχει, προκειμένου να εκπληρώσει τον σκοπό της συμβάσεώς του με την Εταιρεία και κάθε επεξεργασία δεδομένων διενεργήθηκε σύμφωνα με τις ρητές οδηγίες και εντολές του Νοσοκομείου και κατά τρόπο απολύτως νόμιμο και συμβατό με τον σκοπό της αρχικής τους συλλογής, σύμφωνα και με τη θεμελιώδη αρχή του περιορισμού του σκοπού (άρθρο 5 παρ. 1 στ. β΄ του ΓΚΠΔ), ούτως ώστε να προβεί σε εξειδικευμένη ιατρική διάγνωση και να εκτιμήσει την ικανότητα των εργαζομένων προς εργασία, δυνάμει της σχετικής σύμβασης (άρθρο 22 του Ν. 4624/2019), και προσθέτει ότι «συγκεκριμένα, προέβην, σε μερικές περιπτώσεις, σε επεξεργασία προσωπικών δεδομένων των εργαζομένων του Νοσοκομείου με σκοπό τη διασταύρωση και τη συμπλήρωση των προσωπικών τους δεδομένων μέσω του Ατομικού Φακέλου Υγείας (ΑΦΥ) που τηρείται για τους εργαζομένους του Νοσοκομείου στο πληροφοριακό σύστημα του ΕΟΠΥΥ, για να είμαι στη συνέχεια σε θέση να εκδώσω τις κατάλληλες βεβαιώσεις παρακολούθησης των εργαζομένων, τις οποίες οι ίδιοι είχαν αιτηθεί. Τονιστέο δε, ότι τα στοιχεία των εργαζομένων είχαν διατεθεί σε εμένα από το Νοσοκομείο, και συγκεκριμένα μέσω ηλεκτρονικής αλληλογραφίας από το Τμήμα Προσωπικού του Ψ.Ν.Α, προς χρήση τους για τη διασταύρωση στην Καρτέλα των εργαζομένων στον ΕΟΠΥΥ και δεν τα απέκτησα παρανόμως και χωρίς τη συναίνεση των εργαζομένων. Εξάλλου, ενώ είχα πρόσβαση στα προσωπικά τους στοιχεία, επομένως και στον «κλειδωμένο» φάκελο που τηρείται στην καρτέλα του ΕΟΠΥΥ (όπου απαιτείται ρητά η συναίνεση του ασθενούς, από το σύστημα), ουδέποτε έκανα χρήση του φακέλου αυτού, ούτε δε συνταγογράφηση φαρμάκων ή παρακλινικών εξετάσεων, ούτε του ιατρικού ιστορικού τους, ούτε διάδοση ή μεταφορά δεδομένων σε τρίτους, γεγονός που αποδεικνύει την έλλειψη δόλου, καθώς και το νόμιμο των προθέσεων και πράξεων μου.» Τέλος, αναφέρει ότι το περιεχόμενο της αναφοράς είναι παντελώς αόριστο και δεν παρατίθενται συγκεκριμένα περιστατικά που να αποδεικνύουν το παράνομο των ενεργειών του, ενώ τα στοιχεία των εργαζομένων και συγκεκριμένα η δομή, το επώνυμο, το όνομα, το πατρώνυμο, το ΑΜΚΑ, ο κλάδος και η ειδικότητα είχαν διατεθεί στον ιατρό από το Νοσοκομείο, και συγκεκριμένα μέσω ηλεκτρονικής αλληλογραφίας από το Τμήμα Προσωπικού του Ψ.Ν.Α. και η όποια επεξεργασία προσωπικών δεδομένων των εργαζομένων του ΨΝΑ έγινε με σκοπό τη διασταύρωση και τη συμπλήρωση των προσωπικών τους δεδομένων μέσω του Ατομικού Φακέλου Υγείας (ΑΦΥ) που τηρείται για τους εργαζομένους του Νοσοκομείου. Επίσης, η επεξεργασία αυτή είχε περιορισμένη έκταση, εξαντλούμενη στο άνοιγμα του πληροφοριακού συστήματος του ΕΟΠΥΥ, έλεγχο των στοιχείων του εργαζομένου και συμπλήρωση του ατομικού φακέλου του ασθενούς, ενώ ουδεμία βλάβη προξένησε στους εργαζομένους του νοσοκομείου η ανωτέρω επεξεργασία, αναφέροντας ότι «σύμφωνα με το 4624/ 2019 άρθρο 22. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους και ιδιωτικούς φορείς επιτρέπεται, για λόγους προληπτικής ιατρικής, για την εκτίμηση της ικανότητας προς εργασία του εργαζομένου και για ιατρική διάγνωση».
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τη βοηθό εισηγήτρια, η οποία παρέστη χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού 2016/679) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, η Αρχή επιλαμβάνεται της καταγγελλόμενης παράνομης επεξεργασίας προσωπικών δεδομένων των εργαζομένων του Νοσοκομείου κατά τη διενέργεια ιατρικών πράξεων εκ μέρους του καταγγελλόμενου Ιατρού Εργασίας δυνάμει της σύμβασης του Νοσοκομείου με την Εταιρεία και με τον καταγγελλόμενο ιατρό στο πλαίσιο της αυτεπάγγελτης αρμοδιότητας, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 57 παρ. 1 στοιχ. α’ και η΄ ΓΚΠΔ και 13 παρ. 1 στοιχ. η΄ ν. 4624/2019, καθώς δεδομένα προσωπικού χαρακτήρα εργαζομένων του Νοσοκομείου έτυχαν επεξεργασίας, όπως και ο ίδιος ο καταγγελλόμενος ιατρός συνομολογεί με το υπ’ αρ. πρωτ. .../31-05-2022 υπόμνημά του, δεδομένου ότι, πέραν και ανεξαρτήτως τυχόν νόμιμης εκπροσώπησης των μελών του καταγγέλλοντος Συλλόγου – εργαζομένων του ΨΝΑ δυνάμει του άρθρου 80 ΓΚΠΔ, οι καταγγελλόμενες επεξεργασίες της διαβίβασης των ΑΜΚΑ των εργαζομένων του Νοσοκομείου προς τον καταγγελλόμενο ιατρό που είχε οριστεί από την Εταιρεία και η διενέργεια ιατρικών πράξεων εκ μέρους του ιατρού, χωρίς τη συγκατάθεση των εργαζομένων του Νοσοκομείου, συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, υπαγόμενη στο ρυθμιστικό πεδίο των άρθρων 2 παρ. 1 του ΓΚΠΔ και 2 του ν. 4624/2019. Μάλιστα η ως άνω αυτεπάγγελτη αρμοδιότητα της Αρχής δικαιολογείται ανεξάρτητα από τη διερεύνηση τέλεσης τυχόν ποινικών αδικημάτων εκ μέρους των καταγγελλομένων.
2. Επειδή, το άρθρο 5 του ΓΚΠΔ καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, ορίζεται στην παράγραφο 1 ότι τα δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων: «α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα, διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς (…), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων») στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)».
3. Επειδή, σύμφωνα με τα οριζόμενα, στη διάταξη του άρθρου 5 παρ. 2 του ΓΚΠΔ ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 του άρθρου 5. Όπως έχει κρίνει η Αρχή, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό σημείο του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον δε, ο υπεύθυνος επεξεργασίας βαρύνεται με το περαιτέρω καθήκον να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ.
4. Επειδή, η έννοια του υπευθύνου επεξεργασίας διαδραματίζει καθοριστικό ρόλο για την εφαρμογή των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα, την απόδειξη συμμόρφωσης με αυτούς (αρχή της λογοδοσίας, άρθρο 5 παρ. 2 ΓΚΠΔ) και την απόδοση ευθυνών σε περίπτωση παραβίασής τους. Σύμφωνα με τα οριζόμενα στη διάταξη του άρ. 4 στοιχ. 7 του ΓΚΠΔ ως υπεύθυνος επεξεργασίας νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (…)». Περαιτέρω, σύμφωνα με την Γνώμη 1/2010 σχετικά με τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος την επεξεργασία» της Ομάδας εργασίας του άρθρου 29 για τον καθορισμό του υπευθύνου επεξεργασίας, σύμφωνα με τον προαναφερόμενο ορισμό, λαμβάνονται υπόψη τρία κύρια στοιχεία α) η προσωπική πτυχή («το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας»), β) το ενδεχόμενο πολλαπλού ελέγχου («που, μόνα ή από κοινού με άλλα») και γ) τα βασικά στοιχεία για τη διάκριση του υπευθύνου της επεξεργασίας από άλλους παράγοντες («καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα»). Τέλος, ως εκτελών την επεξεργασία νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας» (άρθρο 4 στοιχ. 8 ΓΚΠΔ).
5. Επειδή, σύμφωνα με τις «Κατευθυντήριες Γραμμές 07/2020 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ», επισημαίνεται ότι: «Καταρχήν, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που εκτελείται από υπαλλήλους στο πεδίο των δραστηριοτήτων ενός οργανισμού μπορεί να θεωρηθεί ότι εκτελείται υπό τον έλεγχο του εν λόγω οργανισμού. Σε εξαιρετικές περιστάσεις, ωστόσο, ενδέχεται κάποιος υπάλληλος να αποφασίσει τη χρήση δεδομένων προσωπικού χαρακτήρα για ίδιους σκοπούς και, ως εκ τούτου, να υπερβεί παρανόμως τις εκχωρηθείσες στο πρόσωπό του αρμοδιότητες (π.χ. για να ιδρύσει δική του εταιρεία ή για παρόμοιο σκοπό). Κατά συνέπεια, ως υπεύθυνος επεξεργασίας ο οργανισμός έχει καθήκον να εξασφαλίσει ότι εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένης της κατάρτισης και της ενημέρωσης των υπαλλήλων, τα οποία θα διασφαλίζουν τη συμμόρφωση προς τον ΓΚΠΔ, αρ. 24 παρ. 1». Περαιτέρω, διευκρινίζεται στις ΚΓ 07/2020 ότι «Ενώ οι όροι «δεδομένα προσωπικού χαρακτήρα», «υποκείμενο των δεδομένων», «υπεύθυνος επεξεργασίας» και «εκτελών την επεξεργασία» ορίζονται στον κανονισμό, η έννοια «πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα» δεν ορίζεται. (…) Στο μέτρο που ο υπάλληλος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για ίδιο σκοπό ή ίδιους σκοπούς, διαφορετικούς από αυτούς του εργοδότη του, θα θεωρείται υπεύθυνος επεξεργασίας και θα βαρύνεται με όλες τις έννομες συνέπειες και τις ευθύνες που συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα (…) Κατά συνέπεια, ως τρίτος αναφέρεται όποιος, στη συγκεκριμένη περίπτωση, δεν είναι υποκείμενο δεδομένων, υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία ή υπάλληλος. Για παράδειγμα, ο υπεύθυνος επεξεργασίας μπορεί να προσλάβει εκτελούντα την επεξεργασία και να του δώσει εντολή να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτο. Ο τρίτος θα θεωρείται πλέον υπεύθυνος επεξεργασίας ως αυτοτελής οντότητα αναφορικά με την επεξεργασία που εκτελεί για ίδιους σκοπούς.»Αναφορικά δε, με τον εκτελούντα την επεξεργασία οι ίδιες Κατευθυντήριες Γραμμές διευκρινίζουν ότι «Η ευρεία έννοια «πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα» περιλαμβάνει υπαλλήλους και προσωρινώς απασχολούμενο προσωπικό. Σε γενικές γραμμές, ο εκτελών την επεξεργασία θα πρέπει να καθιστά τα δεδομένα προσωπικού χαρακτήρα διαθέσιμα μόνο σε υπαλλήλους, οι οποίοι πράγματι τα χρειάζονται για να εκτελέσουν τα καθήκοντα για τα οποία ο εκτελών την επεξεργασία προσελήφθη από τον υπεύθυνο επεξεργασίας.»
6. Επειδή, ο υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ, σύμφωνα με το άρθρο 24 ΓΚΠΔ και να χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή των προβλεπόμενων μέτρων, οι οποίοι πρέπει να επεξεργάζονται τα δεδομένα βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, σύμφωνα με το άρθρο 28 παρ. 1 ΓΚΠΔ. Επιπλέον, σύμφωνα με τα οριζόμενα στο άρθρο 28 παρ. 4, στον υποεκτελούντα, που τυχόν προσλάβει ο εκτελών, επιβάλλονται οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία. Τέλος, σε περίπτωση που ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του ΓΚΠΔ τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία σύμφωνα με το άρθρο 28 παρ. 10 ΓΚΠΔ.
7. Επειδή, στο άρθρο 2 του ν. 3850/2010 «Κύρωση του Κώδικα Νόμων για την υγεία και την ασφάλεια των εργαζομένων» (ΦΕΚ Α 84) (στο εξής «Κώδικας Νόμων») ορίζεται ότι: «1. Οι διατάξεις του κώδικα εφαρμόζονται, εφόσον δεν ορίζεται αλλιώς, σε όλες τις επιχειρήσεις, εκμεταλλεύσεις και εργασίες του ιδιωτικού και του δημόσιου τομέα. (…) 8. στις επιχειρήσεις που απασχολούν 50 και άνω εργαζομένους, ο εργοδότης έχει την υποχρέωση να χρησιμοποιεί τις υπηρεσίες τεχνικού ασφάλειας και ιατρού εργασίας, σύμφωνα με το κεφάλαιο Β' του παρόντος». Ακολούθως στο άρθρο 20 καθορίζονται οι υποχρεώσεις του τεχνικού ασφαλείας και του Ιατρού Εργασίας και στα άρθρα 31 και 42 οι υποχρεώσεις των εργοδοτών αναφορικά με την υγεία και την ασφάλεια των εργαζομένων.
8. Στο αρ. 18 του Κώδικα Νόμων περιγράφονται οι αρμοδιότητες του Ιατρού Εργασίας για την επίβλεψη της υγείας των εργαζομένων, ως ακολούθως; «1. Ο ιατρός εργασίας προβαίνει σε ιατρικό έλεγχο των εργαζομένων σε σχέση με τη θέση εργασίας τους, μετά την πρόσληψή τους ή την αλλαγή θέσης εργασίας, καθώς και σε περιοδικό ιατρικό έλεγχο κατά την κρίση του επιθεωρητή εργασίας ύστερα από αίτημα της επιτροπής υγείας και ασφάλειας των εργαζομένων, όταν τούτο δεν ορίζεται από το νόμο. Μεριμνά για τη διενέργεια ιατρικών εξετάσεων και μετρήσεων παραγόντων του εργασιακού περιβάλλοντος σε εφαρμογή των διατάξεων που ισχύουν κάθε φορά. Εκτιμά την καταλληλότητα των εργαζομένων για τη συγκεκριμένη εργασία, αξιολογεί και καταχωρεί τα αποτελέσματα των εξετάσεων, εκδίδει βεβαίωση των παραπάνω εκτιμήσεων και την κοινοποιεί στον εργοδότη.[…] 2. Ο ιατρός εργασίας επιβλέπει την εφαρμογή των μέτρων προστασίας της υγείας των εργαζομένων και πρόληψης των ατυχημάτων.[…]3. O ιατρός εργασίας έχει υποχρέωση να τηρεί το ιατρικό και επιχειρησιακό απόρρητο. 4. O ιατρός εργασίας αναγγέλλει μέσω της επιχείρησης στην επιθεώρηση εργασίας ασθένειες των εργαζομένων που οφείλονται στην εργασία. 5. O ιατρός πρέπει να ενημερώνεται από τον εργοδότη και τους εργαζομένους για οποιοδήποτε παράγοντα στο χώρο εργασίας που έχει επίπτωση στην υγεία. 6. H επίβλεψη της υγείας των εργαζομένων δεν μπορεί να συνεπάγεται οικονομική επιβάρυνση για αυτούς και πρέπει να γίνεται κατά τη διάρκεια των ωρών εργασίας τους. 8. Ο ιατρός εργασίας στο πλαίσιο των υποχρεώσεών του και των υποχρεώσεων του εργοδότη, σύμφωνα με τις κείμενες ειδικές διατάξεις, εφόσον η επιχείρηση δεν διαθέτει την κατάλληλη υποδομή, έχει υποχρέωση να παραπέμπει τους εργαζομένους για συγκεκριμένες συμπληρωματικές Ιατρικές εξετάσεις.[…] Στη συνέχεια ο ιατρός εργασίας λαμβάνει γνώση και αξιολογεί τα αποτελέσματα των παραπάνω εξετάσεων.[…] 9. Για κάθε εργαζόμενο ο ιατρός εργασίας της επιχείρησης τηρεί σχετικό ιατρικό φάκελο. Επιπλέον καθιερώνεται και περιλαμβάνεται στον ιατρικό φάκελο, ατομικό βιβλιάριο επαγγελματικού κινδύνου, όπου αναγράφονται τα αποτελέσματα των ιατρικών και εργαστηριακών εξετάσεων, κάθε φορά που εργαζόμενος υποβάλλεται σε αντίστοιχες εξετάσεις.[…] 10. Απαγορεύεται η αναγραφή και επεξεργασία στο ατομικό βιβλιάριο επαγγελματικού κινδύνου του εργαζομένου, στοιχείων ή δεδομένων άλλων πέραν των αποτελεσμάτων των ιατρικών και εργαστηριακών εξετάσεων στις οποίες αυτός υποβάλλεται κάθε φορά, σύμφωνα με τη διάταξη της παραγράφου 9. Επιπλέον ιατρικά δεδομένα επιτρέπεται να συλλέγουν, με επιμέλεια του ίδιου του εργαζομένου προκειμένου να αποτελέσουν αντικείμενο επεξεργασίας, μόνο εφόσον αυτό είναι απολύτως απαραίτητο: α) για την αξιολόγηση της καταλληλόλητάς του για μια συγκεκριμένη θέση ή εργασία, β) για την εκπλήρωση των υποχρεώσεων του εργοδότη για την υγεία και την ασφάλεια των εργαζομένων και γ) για τη θεμελίωση δικαιωμάτων του εργαζομένου και αντίστοιχη απόδοση κοινωνικών παροχών. 11. Όσοι αναγράφουν ή συλλέγουν ή επεξεργάζονται στοιχεία ή δεδομένα κατά παράβαση της παραγράφου 10 τιμωρούνται με τις διοικητικές και ποινικές κυρώσεις που προβλέπονται στις διατάξεις των άρθρων 21 και 22 του ν. 2472/1997 "Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα" (ΦΕΚ 50/Α`) αντίστοιχα. Σε περίπτωση πρόκλησης περιουσιακής ή ηθικής βλάβης εφαρμόζεται το άρθρο 23 του ν. 2472/1997». Συνεπώς, λαμβάνοντας υπόψη τις ανωτέρω αναφερόμενες διατάξεις του νόμου αυτού προκύπτει ότι το Νοσοκομείο, ως ν.π.δ.δ. είχε την υποχρέωση να ορίσει Ιατρό Εργασίας και ο καταγγελλόμενος Ιατρός Εργασίας έχει τις εκ του νόμου προβλεπόμενες αρμοδιότητες για την επίβλεψη της υγείας των εργαζομένων του Νοσοκομείου.
9. Επειδή, το άρθρο 1 του Ν. 3418/2005 σχετικά με τον Κώδικα Ιατρικής Δεοντολογίας ορίζει, μεταξύ άλλων, ότι: «1. Ιατρική πράξη είναι εκείνη που έχει ως σκοπό τη με οποιαδήποτε επιστημονική μέθοδο πρόληψη, διάγνωση, θεραπεία και αποκατάσταση της υγείας του ανθρώπου.[…] 3. Στην έννοια της ιατρικής πράξης περιλαμβάνονται και η συνταγογράφηση, η εντολή για διενέργεια πάσης φύσεως παρακλινικών εξετάσεων, η έκδοση ιατρικών πιστοποιητικών και βεβαιώσεων και η γενική συμβουλευτική υποστήριξη του ασθενή. (…)». Περαιτέρω, σύμφωνα με το άρθρο 14 παρ. 1 του ν. 2348/2005 ο ιατρικός φάκελος του εργαζομένου που τηρείται από τον Ιατρό Εργασίας, μπορεί να τηρείται είτε χειρόγραφα, είτε ηλεκτρονικά.
10. Επειδή, όσον αφορά την καταγγελλόμενη επεξεργασία της καταχώρησης των δεδομένων των εργαζομένων στον ηλεκτρονικό φάκελο τους στον ΕΟΠΥΥ, ο καταγγέλλων Σύλλογος προσκόμισε αντίγραφα τετρακοσίων τριάντα τριών (433) βεβαιώσεων παροχών ΕΟΠΥΥ από το έτος 2019 έως και 2021, εκτυπωμένες από την ηλεκτρονική διεύθυνση «www.eopyy.gov.gr» από τον ηλεκτρονικό φάκελο των εργαζομένων του ΨΝΑ, στις οποίες καταγράφεται ότι καθένας από τους ασφαλισμένους/εργαζόμενους, με αναγραφόμενο το όνομά του και τον ΑΜΚΑ του, σε συγκεκριμένη ημερομηνία είχε πραγματοποιήσει επίσκεψη στον καταγγελλόμενο Ιατρό με την ειδικότητα «…», με κόστος ανά επίσκεψη δέκα (10) ευρώ, εν αγνοία κάθε εργαζόμενου. Σύμφωνα δε, με τα όσα ανέφερε στο υπ΄ αρ. πρωτ. Γ/ΕΙΣ/7589/31-05-2022 υπόμνημά του ο καταγγελλόμενος ιατρός, ο ίδιος είχε πρόσβαση στα προσωπικά στοιχεία των εργαζομένων και στον «κλειδωμένο» φάκελο στην καρτέλα του ΕΟΠΥΥ, τον οποίο μπορούσε να ανοίξει, να προβεί σε έλεγχο των στοιχείων του εργαζόμενου και να συμπληρώσει τον ατομικό φάκελο του ασθενούς. Η Αρχή διαπιστώνει, εν προκειμένω, ότι εφόσον οι εν θέματι επισκέψεις έχουν καταχωρηθεί στο όνομα του συγκεκριμένου ιατρού με τη χρήση κωδικών του τελευταίου, ευλόγως συνάγεται ότι ο καταγγελλόμενος ιατρός είχε αποκτήσει πρόσβαση στον ηλεκτρονικό ιατρικό φάκελο του ΕΟΠΥΥ του κάθε εργαζομένου και είχε καταχωρήσει και τις εν θέματι επισκέψεις και είχε προβεί σε επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία των εργαζομένων του ΨΝΑ, χωρίς να προκύπτει ότι είχε ληφθεί η συγκατάθεση των υποκειμένων, ειδικά εφόσον τα ίδια τα υποκείμενα ρητά αρνήθηκαν ενώπιον της Αρχής μέσω του καταγγέλλοντος Συλλόγου ότι πραγματοποίησαν τις καταχωρηθείσες επισκέψεις. Ο ισχυρισμός του καταγγελλόμενου ιατρού ότι απαιτείται από το σύστημα ρητά η συγκατάθεση του ασθενούς για οιαδήποτε ιατρική πράξη και ως εκ τούτου αποδεικνύεται ότι οι εργαζόμενοι του Νοσοκομείου συγκατατέθηκαν για τη διενέργεια ιατρικών πράξεων, τυγχάνει απορριπτέος ως αβάσιμος και η διενέργεια δεν συνιστά από μόνη της απόδειξη ότι είχε ληφθεί η απαιτούμενη συγκατάθεση, καθώς ο ίδιος ο ιατρός επιλέγει στον ηλεκτρονικό φάκελο του ΕΟΠΥΥ το πεδίο, όπου το υποκείμενο καλείται να δώσει τη συγκατάθεσή του. Επομένως, η Αρχή διαπιστώνει ότι ο καταγγελλόμενος ιατρός προέβη σε επεξεργασία δεδομένων προσωπικού χαρακτήρα ειδικής κατηγορίας των εργαζομένων, των οποίων τα στοιχεία εμφαίνονται στις προσκομισθείσες βεβαιώσεις, χωρίς νόμιμη αιτία, ήτοι κατά παραβίαση της αρχής της νομιμότητας σύμφωνα με το άρθρο 5 παρ. 1 του ΓΚΠΔ.
11. Επειδή, αναφορικά με την κατανομή των ρόλων μεταξύ των εμπλεκομένων καταγγελλόμενων μερών, ήτοι το Νοσοκομείο, την ανάδοχο Εταιρεία και τον Ιατρό Εργασίας προκύπτει ότι το Νοσοκομείο είναι ο υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων του. Περαιτέρω, η καταγγελλόμενη Εταιρεία, η οποία δυνάμει των υπ’ αρ. 125.18 και 47.20 Συμβάσεων με αντικείμενο τη διάθεση ενός Ιατρού Εργασίας για το Νοσοκομείο, κατέστη εκτελούσα την επεξεργασία, κατ΄ άρθρο 4 στοιχ. 8 ΓΚΠΔ, καθώς ανέλαβε κατ’ εντολή του ΨΝΑ να καθορίσει επιμέρους στοιχεία του τρόπου επεξεργασίας. Τέλος, ο Ιατρός Εργασίας (αντισυμβαλλόμενος) ανέλαβε αφενός ως εκτελών την επεξεργασία να εκτελέσει επιμέρους όρους της από 01-06-2019 σύμβασης με την ανάδοχο Εταιρεία, αφετέρου δε ως υπεύθυνος επεξεργασίας (Ιατρός Εργασίας) βάσει των διατάξεων του ν. 3850/2010 να επεξεργάζεται τα ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα των εργαζομένων του φορέα. Ωστόσο, αναφορικά με την επεξεργασία των δεδομένων των εργαζομένων στην οποία προέβη με βάση όσα ελέχθησαν στις σκέψεις 5 και 6, από τα στοιχεία του φακέλου προκύπτει ότι ο Ιατρός Εργασίας ενήργησε καθ΄ υπέρβαση των ορίων της από 12-07-2019 σύμβασης με την Εταιρεία και κατέστη ο ίδιος υπεύθυνος επεξεργασίας (αρ. 28 παρ. 10 ΓΚΠΔ).
12. Επειδή, όσον αφορά το καταγγελλόμενο Νοσοκομείο, λαμβάνοντας υπόψη το σύνολο των στοιχείων του φακέλου της υπόθεσης, την ακροαματική διαδικασία και τα υποβληθέντα υπομνήματα προκύπτει ότι το Νοσοκομείο διαβίβασε στοιχεία των εργαζομένων στον Ιατρό Εργασίας και συγκεκριμένα, όπως ανέφερε ο καταγγελλόμενος ιατρός, τη δομή, το επώνυμο, το όνομα, το πατρώνυμο, τον ΑΜΚΑ, τον κλάδο και την ειδικότητα εκάστου υπαλλήλου. Επ΄ αυτού του γεγονότος το Νοσοκομείο ισχυρίστηκε ότι η γνωστοποίηση του ΑΜΚΑ ήταν ενέργεια απολύτως αναγκαία, καθώς μόνο έτσι μπορούσε να συγκροτηθεί νομίμως ο ιατρικός φάκελος εκάστου των εργαζομένων. Σημειώνεται ότι ο ΑΜΚΑ, σύμφωνα με τη νομολογία της Αρχής, δεν αποκαλύπτει από μόνος του το παραμικρό ευαίσθητο δεδομένο προσωπικού χαρακτήρα του εκάστοτε ενδιαφερομένου υποκειμένου αλλά μόνο στις περιπτώσεις, που τα 4 τελευταία ψηφία του ΑΜΚΑ καταχωρίζονται μαζί με άλλα στοιχεία, τα οποία αποκαλύπτουν μια συγκεκριμένη κατάσταση υγείας του ασθενούς, συνιστούν ειδικής κατηγορίας προσωπικά δεδομένα που αφορούν στην υγεία. Επομένως, το Νοσοκομείο διαβίβασε στον Ιατρό Εργασίας απλά δεδομένα προσωπικού χαρακτήρα των εργαζομένων του σύμφωνα με την έννομη υποχρέωση της προστασίας των εργαζομένων του στον χώρο εργασίας του, σύμφωνα με τα οριζόμενα στις διατάξεις του αρ. 6 παρ. 2 στοιχ. γ’ ΓΚΠΔ και των επιμέρους διατάξεων του ν. 3850/2010, χωρίς πάντως να προκύπτει ότι το Νοσοκομείο ενημέρωσε τους εργαζόμενους του ότι ο καταγγελλόμενος ιατρός κατέστη αποδέκτης των δεδομένων κατά παράβαση των οριζομένων στο άρθρο 13 παρ. 1 στοιχ. ε’ του ΓΚΠΔ.
13. Περαιτέρω, από το σύνολο των στοιχείων του φακέλου, προκύπτει ότι το Νοσοκομείο, ως υπεύθυνος επεξεργασίας, δεν εφάρμοσε πολιτικές και διαδικασίες για την επεξεργασία των δεδομένων των εργαζομένων σύμφωνα με το άρθρο 24 παρ. 1 ΓΚΠΔ. Συγκεκριμένα, στην από 28-12-2020 Σύμβαση 47.20 που έχει συναφθεί μεταξύ του Νοσοκομείου και της αναδόχου Εταιρείας έχει ενσωματωθεί το «Παράρτημα: Προστασία Προσωπικών Δεδομένων», στο οποίο καταγράφονται οι υποχρεώσεις των μερών γενικά, δεν προβλέπονται συγκεκριμένα τεχνικά και οργανωτικά μέτρα, όπως οι προδιαγραφές της ηλεκτρονικής εφαρμογής, την οποία χρησιμοποιεί ο Ιατρός Εργασίας κατά την επεξεργασία του ιατρικού φακέλου του ασθενούς, ή το εάν επιτρέπεται και με ποιο τρόπο η εξαγωγή δεδομένων από τα τερματικά που τυχόν χρησιμοποιεί η ανάδοχος εταιρεία ή ο Ιατρός Εργασίας. Αντ’ αυτού, το Νοσοκομείο εξέδωσε την υπ’ αρ. πρωτ. … βεβαίωση καλής συνεργασίας σε απάντηση σχετικής αίτησης της αναδόχου εταιρείας, στην οποία βεβαιώνει ότι «σχετικά με την εκτέλεση της υπογραφείσας Σύμβασης … που αφορά στις υπηρεσίες του Ιατρού Εργασίας, σύμφωνα με τις τεχνικές προδιαγραφές, όπως ορίζονται στον ν. 3850/2010 και για το χρονικό διάστημα από 13-05-2019 έως 12-05-2020, τηρήθηκαν οι όροι της καλώς», χωρίς να προκύπτει οιαδήποτε ουσιαστική αξιολόγηση και εκτίμηση της παρεχόμενης σύμφωνα με τον νόμο εργασίας του καταγγελλόμενου Ιατρού, παρόλο που αποδεικνύεται ότι υπήρχαν καταχωρημένες επισκέψεις στον ηλεκτρονικό φάκελο εργαζομένων του Νοσοκομείου από τον καταγγελλόμενο Ιατρό Εργασίας. Το γεγονός αυτό αποδεικνύει την έλλειψη μέτρων από το Νοσοκομείο ως υπεύθυνο επεξεργασίας για την πραγματοποίηση περιοδικών ελέγχων για την προστασία των ειδικής κατηγορίας δεδομένων των εργαζομένων, σύμφωνα με τα οριζόμενα στη διάταξη 32 παρ. 1 στοιχ. δ’ ΓΚΠΔ. Επισημαίνεται δε, ότι η ανάθεση εκ μέρους του Νοσοκομείου στην εταιρεία και κατ’ επέκταση και στον Ιατρό Εργασίας συγκεκριμένων πράξεων επεξεργασίας, δεν συνιστά λόγο απαλλαγής από τις υποχρεώσεις που φέρει υπό την ιδιότητα του υπευθύνου επεξεργασίας για την τήρηση των κατάλληλων τεχνικών και οργανωτικών μέτρων κατ’ εφαρμογή των άρθρων 24 και 32 ΓΚΠΔ προς διασφάλιση της αρχής του άρθρου 5 παρ. 1 στοιχ. στ΄, αντίθετα επαυξάνει την ευθύνη του για τον έλεγχο του εκτελούντος την επεξεργασία, δυνάμει του άρθρου 28 παρ. 1 του ΓΚΠΔ. Επίσης, παρότι το Νοσοκομείο όφειλε σύμφωνα με το άρθρο 13 παρ. 1 στοιχ. ε’ του ΓΚΠΔ να ενημερώνει τους εργαζόμενους του Νοσοκομείου, ως υποκείμενα, για την επεξεργασία στην οποία υποβάλλονται τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν από το Νοσοκομείο εν γένει και ειδικά από τον Ιατρό Εργασίας, από το σύνολο του φακέλου δεν προκύπτει οιαδήποτε σχετική ενημέρωση των εργαζομένων. Τέλος, όσον αφορά τον ισχυρισμό του καταγγέλλοντος Συλλόγου για μη ορισμό Υπευθύνου Προστασίας Δεδομένων από το Νοσοκομείο, από τα τηρούμενα στην Αρχή αρχεία και μητρώα, προκύπτει ότι το ΨΝΑ έχει συμμορφωθεί με την υποχρέωση ορισμού ΥΠΔ, σύμφωνα με τα οριζόμενα στο άρθρο 37 ΓΚΠΔ και 6 του ν. 4624/2019.
14. Επειδή, τέλος, το ΨΝΑ ως υπεύθυνος επεξεργασίας υπέβαλε στην Αρχή την υπ’ αρ. πρωτ. .../18-02-2021 (καθώς και τα υπ’ αρ. πρωτ. .../12-05-2021 συμπληρωματικά στοιχεία) γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα και με αντικείμενο περιστατικό τη «χρησιμοποίηση δεδομένων εκτός πλαισίου σύμβασης» για την παραβίαση της εμπιστευτικότητας, συμμορφούμενο με την απαίτηση του άρθρου 33 ΓΚΠΔ.
15. Εν όψει των ανωτέρω, η Αρχή διαπιστώνει ότι το Νοσοκομείο δεν έχει προβεί στην προβλεπόμενη ενημέρωση των εργαζομένων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, παραβιάζοντας το άρθρο 13 παρ. 1 στοιχ. ε του ΓΚΠΔ, και δεν έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζει ότι η επεξεργασία των δεδομένων των εργαζομένων πραγματοποιείται σύμφωνα με τον ΓΚΠΔ, παραβιάζοντας τα άρθρα 24 παρ. 1 και 32 παρ. 1 στοιχ. δ’του ΓΚΠΔ και συντρέχει λόγος να ασκήσει την κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ διορθωτική εξουσία της επιβολής προστίμου.
16. Επειδή, δεύτερον, όσον αφορά την καταγγελλόμενη εταιρεία, λαμβάνοντας υπόψη το σύνολο των στοιχείων του φακέλου της υπόθεσης, την ακροαματική διαδικασία και τα υποβληθέντα υπομνήματα προκύπτει ότι η ανάδοχος, ως εκτελούσα την επεξεργασία, εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε., έχει συμβληθεί, όπως αναφέρθηκε ανωτέρω, με το Νοσοκομείο για τον ορισμό του Ιατρού Εργασίας και φέρει τις υποχρεώσεις που προβλέπονται στο άρθρο 28 του ΓΚΠΔ αναφορικά τόσο με την ευθύνη που αναλαμβάνει προς τον υπεύθυνο επεξεργασίας, ήτοι το Νοσοκομείο για εφαρμογή των καταγεγραμμένων εντολών που έχει λάβει από αυτόν στο πλαίσιο της ανωτέρω σύμβασης, όσο και με την ανάθεση των ίδιων ευθυνών και υποχρεώσεων και σε όποιον προσλαμβάνει για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας, ήτοι στον Ιατρό Εργασίας, δυνάμει του 28 παρ. 4 ΓΚΠΔ για λογαριασμό του υπευθύνου επεξεργασίας. Στην από 12-07-2019 σύμβαση δεν προκύπτει ότι η εκτελούσα την επεξεργασία εταιρεία είχε ενσωματώσει διατάξεις που αφορούν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων, τα δεδομένα των οποίων θα ετύγχαναν επεξεργασίας από τον Ιατρό Εργασίας, ούτε έλαβε συγκεκριμένα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλιστεί ότι η επεξεργασία των δεδομένων από τον εκτελούντα Ιατρό Εργασίας θα πραγματοποιούνταν σύμφωνα με τον ΓΚΠΔ. Επομένως, η Αρχή διαπιστώνει ότι η εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε. έχει παραβιάσει το άρθρο 28 παρ. 4 του ΓΚΠΔ και συντρέχει λόγος να ασκήσει την κατά άρθρο 58 παρ. 2 στοιχ. θ’ διορθωτική εξουσία της επιβολής διοικητικού προστίμου.
17. Επειδή, τρίτον, όσον αφορά τον καταγγελλόμενο ιατρό λαμβάνοντας υπόψη τα διαλαμβανόμενα στις αμέσως προηγούμενες σκέψεις της παρούσας και ιδίως τη σκέψη 10, το σύνολο των στοιχείων του φακέλου της υπόθεσης, την ακροαματική διαδικασία και τα υποβληθέντα υπομνήματα, προκύπτει ότι έχουν καταχωρηθεί στον ηλεκτρονικό φάκελο του ΕΟΠΥΥ επισκέψεις εργαζομένων του Νοσοκομείου στο όνομα του καταγγελλόμενου Ιατρού Εργασίας με την ειδικότητά του, κατά τη διάρκεια των τριών ετών συνεργασίας του με την ανάδοχο εταιρεία και το Νοσοκομείο, ήτοι από το έτος 2019 έως και το έτος 2021, για επισκέψεις σε αυτόν εργαζομένων του Νοσοκομείου, εν αγνοία τους και αντιστοίχως δεν υποβλήθηκαν στην Αρχή στοιχεία από τον καταγγελλόμενο Ιατρό Εργασίας ικανά να αντικρούσουν τους επιμέρους ισχυρισμούς του Συλλόγου. Ο Ιατρός Εργασίας ως υποεκτελών την επεξεργασία για λογαριασμό του ΨΝΑ και στο πλαίσιο της σύμβασης του Νοσοκομείου με την καταγγελλόμενη εταιρεία προκύπτει ότι ενήργησε καθ’ υπέρβαση των αρμοδιοτήτων που του είχαν ανατεθεί από τον υπεύθυνο επεξεργασίας και κατέστη ο ίδιος υπεύθυνος επεξεργασίας σύμφωνα με τα οριζόμενα στο άρθρο 28 παρ. 10 ΓΚΠΔ. Η καταχώρηση των επισκέψεων των εργαζομένων στον ηλεκτρονικό τους φάκελο αποτελεί επεξεργασία δεδομένων υγείας, ήτοι δεδομένων ειδικής κατηγορίας, για την επεξεργασία των οποίων απαιτείται η συγκατάθεση των υποκειμένων, όπως προβλέπεται στο άρθρο 9 παρ. 2 στοιχ. α του ΓΚΠΔ, η οποία στην εν θέματι καταγγελία δεν προκύπτει ότι έχει ληφθεί από τα υποκείμενα. Επομένως, η Αρχή διαπιστώνει ότι ο καταγγελλόμενος ιατρός επεξεργάστηκε δεδομένα υγείας των εργαζομένων, στον ηλεκτρονικό φάκελο των οποίων καταχωρίσθηκαν επισκέψεις στον εν λόγω ιατρό εν αγνοία τους, κατά παράβαση της αρχής της νομιμότητας, όπως προβλέπεται στο άρθρο 5 παρ. 1 στοιχ. α’ του ΓΚΠΔ, ενεργώντας σύμφωνα με το άρθρο 28 παρ. 10 ως υπεύθυνος επεξεργασίας καθ’ υπέρβαση των αρμοδιοτήτων του βάσει της σύμβασης ανάθεσης και συντρέχει λόγος να ασκήσει την κατά άρθρο 58 παρ. 2 στοιχ. θ’ διορθωτική εξουσία της επιβολής διοικητικού προστίμου.
18. Περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης των προστίμων που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, τις Κατευθυντήριες Γραμμές «για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679»της Ομάδας Εργασίας του άρθρου 29 και τις Κατευθυντήριες Γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και ιδίως:
i. Το γεγονός ότι το καταγγελλόμενο Νοσοκομείο δεν έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει την εφαρμογή του ΓΚΠΔ από τον Ιατρό Εργασίας που είχε οριστεί, παρότι πρόκειται για ν.π.δ.δ., το οποίο επεξεργάζεται μεγάλο αριθμό δεδομένων προσωπικού χαρακτήρα των εργαζομένων του (αρ. 83 παρ. 2 στοιχ. δ’).
ii. Το γεγονός ότι η καταγγελλόμενη εταιρεία δεν έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει την εφαρμογή του ΓΚΠΔ από τον Ιατρό Εργασίας (αρ. 83 παρ. 2 στοιχ. δ’)
iii. Το γεγονός ότι η παραβίαση που συντελέστηκε από τον Ιατρό Εργασίας έθιξε μεγάλο αριθμό υποκειμένων των δεδομένων (αρ. 83 παρ. 2 στοιχ. α’) και αφορούσε δεδομένα υγείας, ήτοι ειδικής κατηγορίας (αρ. 83 παρ. 2 στοιχ. ζ’).
iv. Το γεγονός ότι ο Ιατρός Εργασίας λόγω του επαγγέλματός του έχει αυξημένη ευθύνη απέναντι στο κοινωνικό σύνολο ως λειτουργός και οφείλει, μεταξύ άλλων, να αποφεύγει κάθε πράξη ή παράλειψη, η οποία μπορεί να βλάψει την τιμή και την αξιοπρέπειά του και να κλονίσει την πίστη του κοινού προς το ιατρικό επάγγελμα, καθώς και ότι απεκόμισε οικονομικό όφελος (αρ. 83 παρ. 2 στοιχ. ια’).
Βάσει των ανωτέρω, η Αρχή αποφασίζει ομόφωνα ότι πρέπει να επιβληθούν στους καταγγελλόμενους, υπό την ιδιότητα του πρώτου και του τρίτου εξ αυτών των υπευθύνων επεξεργασίας, και της εταιρείας ως εκτελούσας την επεξεργασία, οι αναφερόμενες στο διατακτικό διοικητικές κυρώσεις, οι οποίες κρίνονται ανάλογες με τη βαρύτητα των παραβάσεων.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Α. Διαπιστώνει ότι το καταγγελλόμενο Ψυχιατρικό Νοσοκομείο Αθηνών, ως υπεύθυνος επεξεργασίας παραβίασε τα άρθρα 13 παρ. 1 στοιχ. ε΄ και 24 παρ. 1 ΓΚΠΔ και επιβάλλει στο Νοσοκομείο κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ ΓΚΠΔ το διοικητικό χρηματικό πρόστιμο ύψους οκτώ χιλιάδων (8.000,00) ευρώ.
Β. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε., ως εκτελούσα την επεξεργασία παραβίασε το άρθρο 28 παρ. 4 ΓΚΠΔ και επιβάλλει στην εταιρεία ... O.E. - ... & ΣΙΑ Ο.Ε. κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ ΓΚΠΔ, το διοικητικό χρηματικό πρόστιμο ύψους έξι χιλιάδων (6.000,00) ευρώ.
Γ. Διαπιστώνει ότι ο καταγγελλόμενος ιατρός Α, ενεργώντας, κατά παράβαση των αρμοδιοτήτων του, ως υπεύθυνος επεξεργασίας παραβίασε το άρθρο 5 παρ. 1 στοιχ. α’ ΓΚΠΔ και επιβάλλει στον ιατρό Α κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ ΓΚΠΔ, το διοικητικό χρηματικό πρόστιμο ύψους δέκα χιλιάδων (10.000,00) ευρώ.
Ο Αναπληρωτής Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου