Απόφαση 3/2024 (Μονοπρόσωπο Όργανο)
Αθήνα, 15-04-2024
Αριθ. Πρωτ.: 1155
Ο Πρόεδρος της Αρχής, ως μονοπρόσωπο όργανο κατά τα άρθρα 17 παρ. 1 του ν. 4624/2019 (ΦΕΚ Α΄ 137), στο πλαίσιο των αρμοδιοτήτων που προβλέπονται στα άρθρα 4 παρ. 3 και 10 παρ. 4 του Κανονισμού Λειτουργίας της Αρχής (ΦΕΚ Β΄879/25.02.2022), συνεδρίασε μέσω τηλεδιάσκεψης την 25η Ιανουαρίου 2024 προκειμένου να εξετάσει την υπόθεση που αναφέρεται κατωτέρω στο ιστορικό της παρούσας απόφασης. Παρούσες χωρίς δικαίωμα ψήφου ήταν η Χάρις Συμεωνίδου, νομική ελέγκτρια – δικηγόρος, καθώς και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπ’ όψιν της τα παρακάτω:
1. Με τη με αριθ. πρωτ. .../15-12-2022 καταγγελία της, η Α (στο εξής αναφερόμενη ως καταγγέλλουσα), στρέφεται κατά της εταιρείας με την επωνυμία «... – ΙΔΙΩΤΙΚΟ ΠΟΛΥΪΑΤΡΕΙΟ – ΙΑΤΡΙΚΗ Α.Ε.», (στο εξής αναφερόμενη ως καταγγελλόμενη), καταγγέλλοντας την παραβίαση της εμπιστευτικότητας των προσωπικών δεδομένων της. Ειδικότερα, σύμφωνα με την καταγγελία, στις … μια υπάλληλος του Διαγνωστικού Κέντρου της καταγγελλόμενης, στη[ν] [περιοχή] Χ, γνωστοποίησε τηλεφωνικά τα αποτελέσματα εξετάσεων της καταγγέλλουσας στον πατέρα της, χωρίς η ίδια να έχει δώσει τη συγκατάθεσή της γι’ αυτό και συγκεκριμένα χωρίς να έχει δηλώσει τον αριθμό τηλεφώνου και τα στοιχεία του πατέρα της, ως ατόμου που μπορεί να παραλάβει αντ’ αυτής τα αποτελέσματα των εξετάσεών της. Η καταγγέλλουσα υποστηρίζει ότι με τον τρόπο αυτό παραβιάστηκε το ιατρικό της απόρρητο και τα προσωπικά της δεδομένα υγείας και ότι προκλήθηκε αναστάτωση στον ηλικιωμένο πατέρα της, αναφέρει δε ότι στη συνέχεια ενημέρωσε για το παραπάνω συμβάν την καταγγελλόμενη, μέσω επικοινωνίας της με την Β, διευθύντρια του Διαγνωστικού Κέντρου στη[ν] [περιοχή] Χ, η οποία παραδέχθηκε το περιστατικό και της ζήτησε συγγνώμη.
2. Στο πλαίσιο διερεύνησης της ως άνω καταγγελίας, η Αρχή με το .../13-03-2023 έγγραφο κοινοποίησε τα σχετικά έγγραφα στην καταγγελλόμενη και την κάλεσε να εκθέσει τις απόψεις της επί των καταγγελλομένων, διευκρινίζοντας συγκεκριμένα τα εξής: α) ποια είναι η διαδικασία που ακολουθεί η καταγγελλόμενη για την παροχή αποτελεσμάτων εξετάσεων μέσω τηλεφώνου και ποια είναι τα μέτρα ασφάλειας που έχει λάβει προς διασφάλιση της εμπιστευτικότητας και της προστασίας του ιατρικού απορρήτου, σύμφωνα με τα άρθρα 24 και 32 ΓΚΠΔ, προσκομίζοντας τη σχετική Πολιτική της, β) εάν η Πολιτική αυτή τηρήθηκε στην περίπτωση των καταγγελλόμενων πραγματικών περιστατικών, αναφέροντας συγκεκριμένα ποια διαδικασία ακολουθήθηκε εκ μέρους της καταγγελλόμενης για την πληροφόρηση της καταγγέλλουσας σε σχέση με τα αποτελέσματα των εξετάσεών της, γ) εάν η καταγγελλόμενη, αφού ενημερώθηκε από την καταγγέλλουσα για το συμβάν, το χειρίστηκε ως περιστατικό παραβίασης προσωπικών δεδομένων και σε ποιες ενέργειες προέβη σχετικά. Με την υπ’ αρ. πρωτ. .../28-03-2023 απάντησή της, η καταγγελλόμενη εταιρεία απάντησε τα εξής:
- ότι πράγματι η καταγγέλλουσα είχε προσέλθει στις εγκαταστάσεις του Διαγνωστικού Κέντρου της στη Χ στις … για να πραγματοποιήσει εξετάσεις, κατά την προσέλευσή της δε ενημερώθηκε από τη γραμματεία για την Πολιτική Προστασίας Δεδομένων της καταγγελλόμενης και συμπλήρωσε το έντυπο Ε3 με τίτλο «ΔΗΛΩΣΗ ΣΥΓΚΑΤΑΘΕΣΗΣ ΓΙΑ ΤΗΝ ΑΠΟΣΤΟΛΗ ΑΠΟΤΕΛΕΣΜΑΤΩΝ» (προσκομιζόμενο ως σχετ. 1), το οποίο και καταχωρήθηκε στο αρχείο της καταγγελλόμενης. Από το έντυπο προκύπτει ότι ο τρόπος παράδοσης των αποτελεσμάτων που επέλεξε η καταγγέλλουσα ήταν η αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου, όπως δε επισημαίνει η καταγγελλόμενη, στις περιπτώσεις αυτές ακολουθείται η μέθοδος κρυπτογράφησης των εγγράφων που αποστέλλονται.
- Ότι κατά τη συλλογή των στοιχείων της καταγγέλλουσας, η υπάλληλος στη γραμματεία ζήτησε το τηλέφωνο επικοινωνίας της, για την περίπτωση που το διαγνωστικό εργαστήριο χρειαζόταν να επικοινωνήσει μαζί της και ότι η καταγγέλλουσα δήλωσε τον αριθμό κινητού τηλεφώνου … και τον αριθμό σταθερού τηλεφώνου … . Προς απόδειξη, η καταγγελλόμενη προσκομίζει και επικαλείται αποτύπωση οθόνης (screenshot) της καρτέλας πελάτη της καταγγελλόμενης, στην οποία φαίνονται τα εν λόγω στοιχεία επικοινωνίας (σχετ. 2).
- Ότι στη συνέχεια το διαγνωστικό κέντρο χρειάστηκε να επικοινωνήσει με την καταγγέλλουσα, διότι από τα αποτελέσματα των εξετάσεων κρίθηκε απαραίτητη η διενέργεια δύο αντιβιογραμμάτων και όχι ενός, όπως προέβλεπε και κάλυπτε το αρχικό παραπεμπτικό του ΕΟΠΥΥ και ως εκ τούτου η καταγγέλλουσα έπρεπε να δώσει την έγκρισή της για την κάλυψη επιπλέον ιατρικών υπηρεσιών. Για το λόγο αυτό κάλεσαν στον παραπάνω αριθμό κινητού τηλεφώνου που είχε δηλωθεί από την καταγγέλλουσα.
- Ότι κατόπιν επανειλημμένων προσπαθειών απάντησε στο τηλέφωνο ένας κύριος που δήλωσε ότι είναι ο πατέρας της καταγγέλλουσας, επιβεβαίωσε ότι επρόκειτο για το δικό της κινητό τηλέφωνο, ότι εκείνη απουσίαζε τη δεδομένη χρονική στιγμή και είχε αφήσει το κινητό της στον ίδιο. Σύμφωνα με την καταγγελλόμενη, το πρόσωπο που κάλεσε εκ μέρους του διαγνωστικού κέντρου δεν αποκάλυψε καμία πληροφορία υγείας της καταγγέλλουσας στον πατέρα της, αλλά τον ενημέρωσε ότι πρόκειται για προσωπική της υπόθεση και του ζήτησε να την ενημερώσει ότι επιθυμούν να επικοινωνήσει με το διαγνωστικό κέντρο.
- Ότι αργότερα, την ίδια ημέρα, η καταγγέλλουσα πράγματι επικοινώνησε τηλεφωνικά με το Διαγνωστικό Κέντρο, αποδέχθηκε την επιπλέον υπηρεσία και διαμαρτυρήθηκε για την παραβίαση των προσωπικών της δεδομένων, λέγοντας ότι προτίθεται να προβεί σε καταγγελία.
- Ότι οι εξετάσεις της καταγγέλλουσας απεστάλησαν μέσω e-mail στις … με κρυπτογραφημένο αρχείο, για το άνοιγμα του οποίου ήταν αναγκαία η χρήση κωδικού, τον οποίο είχε λάβει η καταγγέλλουσα κατά την επίσκεψή της, όπως προκύπτει από σχετική αποτύπωση οθόνης (screenshot) του μηνύματος (σχετ. 3).
- Περαιτέρω, η καταγγελλόμενη ανέφερε τα μέτρα ασφαλείας που λαμβάνει για τη διασφάλιση της εμπιστευτικότητας των δεδομένων και τόνισε ότι σε καμία περίπτωση δεν αποκαλύπτονται αποτελέσματα εξετάσεων προφορικώς διά του τηλεφώνου σε πρόσωπο που δεν ταυτοποιείται με τον μοναδικό κωδικό ασθενούς σύμφωνα με την Πολιτική Εχεμύθειας – Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Εταιρείας και με την εκπαίδευση που λαμβάνει το προσωπικό της γραμματείας, ενώ παρέπεμψε και στην Πολιτική Ασφαλείας του Ομίλου Ιατρική Διάγνωση και στην Πολιτική Αποδεκτής Χρήσης Πληροφοριακών και Επικοινωνιακών Συστημάτων του Ομίλου.
- Τέλος, η καταγγελλόμενη υποστήριξε ότι η καταγγέλλουσα παρανόησε την ευγένεια της Διευθύντριας του Κέντρου, καθώς δεν υπήρξε παραδοχή του περιστατικού και απολογία εκ μέρους της. Αντιθέτως, η Διευθύντρια ενημέρωσε την καταγγέλλουσα ότι κατά την επίμαχη τηλεφωνική κλήση η γραμματέας αποκάλυψε στον πατέρα της καταγγέλλουσας μόνο την επωνυμία της εταιρείας και ότι είναι διαγνωστικό κέντρο, χωρίς αυτό να συνιστά αποκάλυψη προσωπικών δεδομένων της ασθενούς. Ότι σε κάθε περίπτωση όμως, και προς το σκοπό της διαρκούς βελτίωσης του επιπέδου προστασίας προσωπικών δεδομένων των ασθενών, προέβη σε συστάσεις στους υπαλλήλους της γραμματείας να μην αποκαλύπτουν τηλεφωνικά οποιαδήποτε πληροφορία πριν την ταυτοποίηση του υποκειμένου, ιδίως όταν στην κλήση απαντά άτομο του αντίθετου φύλου από το φύλο του ασθενούς. Τελικώς, η θέση της καταγγελλόμενης εταιρείας ήταν ότι ο αριθμός κινητού τηλεφώνου … δηλώθηκε από την καταγγέλλουσα κατά την επίσκεψή της στο διαγνωστικό, ότι κατά την κλήση δεν δόθηκε στον πατέρα της καμία πληροφορία υγείας της ίδιας και ότι συνεπώς δεν υπήρξε περιστατικό παραβίασης δεδομένων.
Σε συνέχεια του ανωτέρω εγγράφου, η Αρχή με το .../20-04-2023 έγγραφο ζήτησε από την καταγγέλλουσα να επιβεβαιώσει τον ισχυρισμό της καταγγελλόμενης ότι κατά την αναφερόμενη επίσκεψή της στις … στο καταγγελλόμενο διαγνωστικό κέντρο παρείχε ως στοιχείο επικοινωνίας τον αριθμό κινητού τηλεφώνου …, προς τον οποίο έγινε η επίμαχη κλήση. Με το .../28-04-2023 συμπληρωματικό της έγγραφο, η καταγγέλλουσα αρνείται ότι δήλωσε τον παραπάνω αριθμό και παραπέμπει στο έντυπο Νο 3 που συμπλήρωσε κατά την επίσκεψή της, αναφέροντας ότι πάντα δηλώνει τον δικό της αριθμό κινητού τηλεφώνου (… – προσκομίζοντας στοιχεία τεκμηρίωσης, βλ. σχετ. 1- 3) και ότι η καρτέλα πελάτη δεν αποτελεί απόδειξη ότι ο αριθμός αυτός έχει δηλωθεί από την ίδια, δεδομένου ότι τα στοιχεία της καρτέλας πελάτη στα διάφορα προγράμματα διαχείρισης μπορούν να τροποποιηθούν. Επιπλέον, η καταγγέλλουσα αμφισβητεί ότι ο πατέρας της δήλωσε ότι ο εν λόγω αριθμός της ανήκει και ότι έλειπε τη δεδομένη χρονική στιγμή, καθώς, όπως αναφέρει, τα τελευταία δύο χρόνια δεν κατοικούν στο ίδιο σπίτι, ενώ τονίζει το γεγονός ότι στην εν λόγω κλήση δόθηκαν τα αποτελέσματα των εξετάσεων στον πατέρα της, το όνομα της εξέτασης που έπρεπε να γίνει (επιπλέον αντιβιόγραμμα) και η πληροφορία ότι η ίδια έπρεπε να καλέσει επειγόντως ώστε να εγκρίνει το επιπλέον κόστος. Τέλος, επαναλαμβάνει τον ισχυρισμό ότι το Διαγνωστικό Κέντρο παραδέχθηκε το λάθος του με τη φράση «ό,τι έγινε έγινε, τώρα δεν ξεγίνεται» και ότι ως αποτέλεσμα της διαμαρτυρίας της τελικά δεν χρεώθηκε το κόστος της επιπλέον εξέτασης, ενώ το Διαγνωστικό Κέντρο της ζήτησε συγγνώμη.
Ακολούθως, με το .../14-09-2023 έγγραφο, η Αρχή κοινοποίησε στην καταγγελλόμενη τις ανωτέρω απόψεις της καταγγέλλουσας και της ζήτησε να τοποθετηθεί επ’ αυτών προσκομίζοντας κάθε σχετικό στοιχείο τεκμηρίωσης. Η καταγγελλόμενη, με το .../13-10-2023 απαντητικό της έγγραφο υποστηρίζει ότι η επικαιροποίηση των στοιχείων επικοινωνίας στις καρτέλες των πελατών γίνεται στο πλαίσιο τήρησης της αρχής της ακρίβειας κατά την αυτοπρόσωπη παρουσία τους στα διαγνωστικά κέντρα και κατά δήλωσή τους, η δε σχετική διαδικασία δεν ταυτίζεται με τη διαδικασία δήλωσης της μεθόδου παραλαβής αποτελεσμάτων των εξετάσεων, μέσω του Εντύπου Ε3 που συμπληρώνεται και υπογράφεται κάθε φορά από τους ασθενείς. Επιπλέον, η καταγγελλόμενη αναφέρει ότι ο πατέρας της καταγγέλλουσας δεν είναι πελάτης, δεν έχει προσέλθει ποτέ στα διαγνωστικά της κέντρα και δεν διαθέτει καρτέλα πελάτη, επομένως δεν θα μπορούσε να έχει κληθεί εκ παραδρομής λόγω συνωνυμίας, επαναλαμβάνοντας ότι πηγή του αριθμού που κλήθηκε εν προκειμένω ήταν η ίδια η καταγγέλλουσα που δήλωσε τον αριθμό αυτό προφορικά κατά την επίσκεψή της. Η καταγγελλόμενη εμμένει στις θέσεις ότι κατά την κλήση δεν αποκαλύφθηκαν πληροφορίες που αφορούν την υγεία της καταγγέλλουσας στον πατέρα της και ότι δεν υπήρξε απολογία από πλευράς της. Τέλος, υποστηρίζει ότι η καταγγελία είναι αναπόδεικτη, αβάσιμη και αποτελεί προσπάθεια περιουσιακού οφέλους εκ μέρους της καταγγέλλουσας, η οποία στις … επέδωσε εξώδικη δήλωση στην εταιρεία με την οποία προτείνει εξωδικαστικό συμβιβασμό επί του συμβάντος έναντι αποζημίωσης.
3. Σε συνέχεια των ανωτέρω, η Αρχή με τις .../11-01-2024 και .../11-01-2024 κλήσεις της κάλεσε την καταγγέλλουσα και την καταγγελλόμενη σε ακρόαση ενώπιον του Προέδρου της Αρχής ως μονοπρόσωπου οργάνου στις 25/1/2024, προκειμένου να εκθέσουν τις απόψεις τους για την υπόθεση. Ενώπιον του Προέδρου παρέστη η καταγγέλλουσα, και εκ μέρους της καταγγελλόμενης εταιρείας η Β, Διευθύντρια της Μονάδας Υγείας Χ, η Γ, Γενική Διευθύντρια δικτύου Ομίλου ..., και οι δικηγόροι Αθηνών Ευάγγελος Κατσίκης (Α.Μ. ΔΣ …) και Ορφέας Μαυρεδάκης (Α.Μ. ΔΣ …). Παρούσα ήταν και η Υ.Π.Δ., Δ. Κατά την ακρόαση τα μέρη ανέπτυξαν τους ισχυρισμούς τους, έλαβαν προθεσμία και κατέθεσαν εμπρόθεσμα, η μεν καταγγέλλουσα το υπ’ αριθ. πρωτ. .../1-2-2024 υπόμνημα, η δε καταγγελλόμενη το υπ’ αριθ. πρωτ. .../2-2-2024 υπόμνημα.
Η καταγγέλλουσα, τόσο κατά την ακρόαση όσο και με το υπόμνημά της, επανέλαβε τους ισχυρισμούς που προέβαλε με την καταγγελία της και με το .../28-04-2023 συμπληρωματικό της έγγραφο, τονίζοντας ιδιαιτέρως ότι δεν έδωσε ποτέ η ίδια τον αριθμό κινητού τηλεφώνου του πατέρα της στο καταγγελλόμενο διαγνωστικό κέντρο και ότι παρά το γεγονός ότι επρόκειτο για … εξέταση, η γραμματέας που κάλεσε στον αριθμό αυτό και άκουσε ανδρική φωνή, έδωσε στον καλούμενο πατέρα της πληροφορίες που αφορούσαν την εξέταση, χωρίς οποιαδήποτε διαδικασία ταυτοποίησης και χωρίς η ίδια, ως υποκείμενο των δεδομένων, να έχει δώσει τη συγκατάθεσή της για κάτι τέτοιο. Επεσήμανε ότι ο πατέρας της έχει επισκεφθεί και ο ίδιος το διαγνωστικό ως πελάτης και ότι, κατά την άποψή της, αυτός ήταν ο λόγος για τον οποίο κλήθηκε εκ παραδρομής από τη γραμματέα, λόγω του πατρωνύμου της που εμφανίζεται στην καρτέλα ασθενούς και του κοινού επωνύμου. Τέλος υπογράμμισε ότι ο ηλικιωμένος πατέρας της, αφού έλαβε την πληροφορία ότι «η κόρη του έχει …» υπέστη αναστάτωση και βλάβη στην υγεία του (…), ενώ και η ίδια υπέστη ηθική βλάβη από το περιστατικό.
Η καταγγελλόμενη, προφορικά διά των εκπροσώπων της κατά την ακρόαση, ανέφερε ότι δεν τηρεί τα δεδομένα επικοινωνίας των ασθενών που την επισκέπτονται και ότι σε κάθε επίσκεψη τα στοιχεία αυτά επικαιροποιούνται προφορικά, κατά δήλωση των ασθενών στη γραμματεία. Υποστήριξε ότι στην τηλεφωνική επικοινωνία που είχε με τον πατέρα της καταγγέλλουσας δεν δόθηκαν πληροφορίες που αφορούν την υγεία της, δεδομένου και ότι, ούτως ή άλλως, οι γραμματείς δεν έχουν πρόσβαση στα αποτελέσματα των εξετάσεων, αλλά μόνο στα στοιχεία επικοινωνίας. Όπως δε ανέφερε, εν προκειμένω ιατρικοί λόγοι επέβαλαν την άμεση επικοινωνία με την εξεταζόμενη, ώστε να δοθεί έγκριση για την περαιτέρω εξέταση που χρειαζόταν, για το λόγο αυτό επιλέχθηκε ως τρόπος επικοινωνίας η κλήση στο κινητό τηλέφωνο και όχι στο σταθερό, ώστε ο καλούμενος, εάν δεν μπορεί να απαντήσει, να ενημερωθεί για την κλήση και να καλέσει ο ίδιος το διαγνωστικό. Κατά την άποψη της καταγγελλόμενης εταιρείας, η υπό κρίση καταγγελία έχει υποβληθεί ως μέσο πλουτισμού από την καταγγέλλουσα, η οποία έχει επιδιώξει «εξωδικαστικό συμβιβασμό» μέσω της αποστολής εξωδίκου δήλωσης, επικαλούμενη αορίστως ηθική βλάβη του πατέρα της από την ως άνω τηλεφωνική επικοινωνία, ενώ, όπως υποστηρίζει η καταγγελλόμενη, δεν έχει σημειωθεί ποτέ άλλο παρόμοιο περιστατικό. Απαντώντας σε ερώτηση σχετικά με τα οργανωτικά μέτρα ασφαλείας που εφαρμόζει, η καταγγελλόμενη τόνισε ότι μέσω του πληροφοριακού της συστήματος, όπου τηρούνται επίπεδα πρόσβασης του προσωπικού (role based access), οι υπάλληλοι της γραμματείας δεν έχουν πρόσβαση στα αποτελέσματα εξετάσεων των ασθενών, επεσήμανε δε ότι στο πλαίσιο διαρκούς επικαιροποίησης των μέτρων αυτών, στο μέλλον η δήλωση των στοιχείων επικοινωνίας των ασθενών θα γίνεται μέσω ηλεκτρονικής καταχώρισης απευθείας από τους ίδιους με χρήση ταμπλέτας με γραφίδα κατά τη στιγμή της επίσκεψης και κατόπιν πλήρους ταυτοποίησης με χρήση εγγράφου ταυτοπροσωπίας. Με το .../02-02-2024 υπόμνημά της, η καταγγελλόμενη επεσήμανε ότι η εν λόγω επικαιροποίηση των διαδικασιών της αποτελεί απόφαση της διοικήσεως και αναμένεται να εφαρμοστεί εντός 1-2 μηνών, τονίζοντας ότι δεν αποτελεί παραδοχή σφάλματος ούτε συνδέεται με οποιαδήποτε παραβίαση δικαιωμάτων των υποκειμένων. Επιπλέον με το υπόμνημά της η καταγγελλόμενη προσκόμισε την από … εξώδικη δήλωση της καταγγέλλουσας, με την οποία η τελευταία διεκδίκησε χρηματική ικανοποίηση της ηθικής της βλάβης, καθώς και την από … εξώδικη απάντηση της καταγγελλόμενης εταιρείας. Επιπλέον, προσκόμισε το έγγραφο με κωδικό Δ.520 και τίτλο «Διαχείριση Πληροφοριακού Συστήματος», όπου περιγράφεται η διαβαθμισμένη πρόσβαση του προσωπικού στο Πληροφοριακό της Σύστημα.
Η Αρχή, μετά από εξέταση του συνόλου των στοιχείων του φακέλου και όσων προέκυψαν κατά την ακροαματική διαδικασία,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Σύμφωνα με το άρθρο 2 παρ. 1 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679 – εφεξής, ΓΚΠΔ) «Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης». Ως επεξεργασία δε νοείται, σύμφωνα με το άρθρο 4 στοιχ. 2 του ΓΚΠΔ «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή». Συνεπώς, η συλλογή, η καταχώριση και η αποθήκευση πληροφοριών, όπως ο αριθμός τηλεφώνου και τα αποτελέσματα ιατρικών εξετάσεων του υποκειμένου των δεδομένων, στο πληροφοριακό σύστημα του υπεύθυνου επεξεργασίας, αποτελούν επεξεργασία δεδομένων εμπίπτουσα στο ουσιαστικό πεδίο εφαρμογής του ΓΚΠΔ. Περαιτέρω, από τις διατάξεις των άρθρων 51 και 55 του ΓΚΠΔ και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Σύμφωνα με τα ανωτέρω, η Αρχή έχει αρμοδιότητα, κατά τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του νόμου 4624/2019, να επιληφθεί της καταγγελίας της A κατά της «... – ΙΔΙΩΤΙΚΟ ΠΟΛΥΪΑΤΡΕΙΟ – ΙΑΤΡΙΚΗ Α.Ε.» και να ασκήσει, αντίστοιχα, τις εξουσίες της που προβλέπονται στις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Με το άρθρο 5 παρ. 1 του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ) τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Σύμφωνα με το άρθρο 5 παρ. 1 α), δ) και στ) ΓΚΠΔ «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), […], δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»), […] στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)». Εξάλλου, σύμφωνα με την Αιτιολογική Σκέψη 39 του ΓΚΠΔ «Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα (…)». Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που εισάγεται ρητώς με την παράγραφο του ανωτέρω άρθρου 5 και συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθρου 5 παρ. 1.
3. Κάθε πράξη επεξεργασίας για να είναι σύννομη πρέπει να στηρίζεται σε μία τουλάχιστον από τις νομικές βάσεις του άρθρου 6 ΓΚΠΔ. Περαιτέρω, σύμφωνα με το άρθρο 9 παρ. 1 ΓΚΠΔ «1. Απαγορεύεται η επεξεργασία […] δεδομένων που αφορούν την υγεία […]», ενώ στην παρ. 2 του ιδίου άρθρου απαριθμούνται περιοριστικά οι εξαιρέσεις από την ανωτέρω απαγόρευση επεξεργασίας των δεδομένων ειδικών κατηγοριών της παρ. 1. Στη διάταξη του άρθρου 4 στοιχ. 15 του ΓΚΠΔ ως δεδομένα που αφορούν την υγεία ορίζονται τα: «δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του».
4. Σύμφωνα με το άρθρο 24 παρ. 1 και 2 ΓΚΠΔ «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. 2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας», ενώ σύμφωνα με τις διατάξεις των παρ. 1 και 2 του άρθρου 32 ΓΚΠΔ για την ασφάλεια της επεξεργασίας, «1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, […] 2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία».
5. Σύμφωνα με το άρθρο 4 στοιχ. 12 ΓΚΠΔ ως παραβίαση δεδομένων προσωπικού χαρακτήρα νοείται «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία». Σύμφωνα με τις από 06-02-2018 Κατευθυντήριες Γραμμές 18/2018 της Ομάδας Εργασίας του άρθρου 29 της Οδηγίας 95/46/ΕΚ (νυν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) για την Γνωστοποίηση παραβίασης προσωπικών δεδομένων (“Guidelines on Personal data breach notification under Regulation 2016/679” WP 250 rev. 1) ένας από τους τύπους παραβίασης προσωπικών δεδομένων είναι αυτός που κατηγοριοποιείται με βάση την αρχή ασφαλείας της «εμπιστευτικότητας», όταν διαπιστώνεται πρόσβαση άνευ δικαιώματος σε προσωπικά δεδομένα (“confidentiality breach”).
6. Επειδή στην προκειμένη περίπτωση, από την εξέταση του συνόλου των στοιχείων του φακέλου και την αξιολόγηση των ισχυρισμών της καταγγέλλουσας και του καταγγελλόμενου διαγνωστικού κέντρου που αναπτύχθηκαν κατά την ακρόαση και με τα αντίστοιχα υπομνήματα, δεν προέκυψε βεβαιότητα ως προς το περιεχόμενο της τηλεφωνικής συνομιλίας των υπαλλήλων της γραμματείας του καταγγελλόμενου διαγνωστικού κέντρου με τον πατέρα της καταγγέλλουσας στις …, συνεπώς δεν διαπιστώνεται ότι έχει συμβεί η καταγγελλόμενη διαρροή προσωπικών δεδομένων της καταγγέλλουσας και δη των αποτελεσμάτων των ιατρικών εξετάσεων, δοθέντος και ότι, σύμφωνα με τη διαβαθμισμένη πρόσβαση των υπαλλήλων της καταγγελλόμενης εταιρείας στο Πληροφοριακό της Σύστημα, το προσωπικό της γραμματείας δεν έχει πρόσβαση στα δεδομένα υγείας των υποκειμένων. Περαιτέρω, προκύπτει ότι, κατά το χρόνο των καταγγελλόμενων πραγματικών περιστατικών, η συλλογή των στοιχείων επικοινωνίας των ασθενών από την καταγγελλόμενη εταιρεία γινόταν σύμφωνα με την προφορική δήλωσή τους, κατά την επίσκεψη, ενώ, κατά συνεκτίμηση των δεδομένων της υπόθεσης, δεν αποδεικνύεται ότι ο αριθμός που λήγει σε -…, τον οποίο κάλεσε το Διαγνωστικό Κέντρο, αντλήθηκε, ως στοιχείο επικοινωνίας με την καταγγέλλουσα, με διαφορετικό τρόπο από τους υπαλλήλους του. Εξάλλου, όπως διαπιστώθηκε στο πλαίσιο αυτεπάγγελτης εξέτασης των κατά το άρθρο 32 ΓΚΠΔ τεχνικών και οργανωτικών μέτρων ασφαλείας και των σχετικών πολιτικών που τηρεί η καταγγελλόμενη ως υπεύθυνος επεξεργασίας, κατόπιν αναθεώρησης και στο πλαίσιο διαρκούς επικαιροποίησης των διαδικασιών της, στο εξής η καταχώριση των στοιχείων επικοινωνίας των πελατών θα γίνεται με ενυπόγραφη καταχώριση σε ταμπλέτα από τους ίδιους με χρήση γραφίδας. Ως εκ τούτου δεν διαπιστώνεται η καταγγελλόμενη παραβίαση της αρχής της εμπιστευτικότητας των δεδομένων της καταγγέλλουσας, ενώ προκύπτει ότι η καταγγελλόμενη εταιρεία ενεργεί σε συμμόρφωση με τις προβλέψεις των άρθρων 32 και 24 παρ. 1 και 2 ΓΚΠΔ.
Κατόπιν των ανωτέρω, κρίνεται ότι δεν συντρέχει περίπτωση άσκησης των εκ του άρθρου 58 παρ. 2 ΓΚΠΔ διορθωτικών εξουσιών της Αρχής.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Απορρίπτει την υπό κρίση καταγγελία της A.
Ο ΠΡΟΕΔΡΟΣ
Κωνσταντίνος Μενουδάκος
Η ΓΡΑΜΜΑΤΕΑΣ
Ειρήνη Παπαγεωργοπούλου