ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 37/2024 Επιβολή προστίμου σε υποψήφιο βουλευτή – ιατρό δημόσιου νοσοκομείου για χρήση δεδομένων ασθενών για τον σκοπό της πολιτικής επικοινωνίας

Αριθμός:
37
Έτος:
2024
Είδος πράξης:
ΑΠΟΦΑΣΗ
Εκδ. Αρχή:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ημ. Δημοσίευσης:
11/10/2024
Πηγή:
Ιστότοπος ΑΠΔΠΧ
Μέσο Δημοσίευσης:
ΤΝΠ QUALEX
Αρ. Λέξεων:
9470
Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Υποβλήθηκαν στην Αρχή δύο καταγγελίες από πολίτες που έλαβαν μήνυμα πολιτικής επικοινωνίας μέσω sms προερχόμενο από υποψήφιο βουλευτή - ιατρό δημόσιου νοσοκομείου, με περιεχόμενο που φαινόταν να σχετίζεται με το γεγονός ότι οι αποδέκτες του μηνύματος είχαν νοσηλευθεί στο Νοσοκομείο όπου εργαζόταν, χωρίς να τον γνωρίζουν προσωπικά και χωρίς να έχουν ενημερωθεί ή συναινέσει στη χρήση των δεδομένων τους για σκοπούς πολιτικής επικοινωνίας. Παράλληλα, εκ μέρους του Νοσοκομείου, υποβλήθηκε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων ασθενών, κατόπιν διαμαρτυρίας άλλων ασθενών προς το Νοσοκομείο για τη λήψη του ιδίου μηνύματος. Ο υποψήφιος βουλευτής απέτυχε να τεκμηριώσει στην Αρχή τη νόμιμη συλλογή και τήρηση των τηλεφωνικών αριθμών των αποδεκτών του προεκλογικού του μηνύματος, ενώ παρέλειψε να ενημερώσει τα υποκείμενα για την επεξεργασία των δεδομένων τους για τον σκοπό της πολιτικής επικοινωνίας και να τους παρέχει τρόπο άσκησης των δικαιωμάτων τους βάσει του ΓΚΠΔ. Η Αρχή επέβαλε πρόστιμο συνολικού ύψους 15.000 ευρώ για τις παραβάσεις της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας και της υποχρέωσης διευκόλυνσης των υποκειμένων στην άσκηση των δικαιωμάτων τους.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 37/2024
Αθήνα, 11-10-2024
Αριθ. Πρωτ.: 2754
(Τμήμα)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση σε σύνθεση Τμήματος στην έδρα της την 24/7/2024 προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Στη συνεδρίαση παρέστησαν μέσω τηλεδιάσκεψης ο Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, ο Δημοσθένης Βουγιούκας σε αντικατάσταση του τακτικού μέλους Κωνσταντίνου Λαμπρινουδάκη και η Μαρία Ψάλλα, ως εισηγήτρια και σε αντικατάσταση του τακτικού μέλους Γρηγορίου Τσόλια, οι οποίοι αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Στη συνεδρίαση παρέστησαν, με εντολή του Προέδρου χωρίς δικαίωμα ψήφου, η Χάρις Συμεωνίδου και η Γεωργία Παναγοπούλου, ειδικές επιστήμονες - ελέγκτριες ως βοηθοί εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Με τη με αριθ. πρωτ. .../04-05-2023 καταγγελία της ενώπιον της Αρχής, η Α κατήγγειλε ότι στις 4/5/2023 και ώρα 17:56 έλαβε στο προσωπικό της κινητό τηλέφωνο μήνυμα (sms) με το ακόλουθο περιεχόμενο: «… (...: …)», το οποίο επισυνάπτει στην καταγγελία. Όπως αναφέρει η καταγγέλλουσα, ουδέποτε έχει γνωρίσει προσωπικά τον εν λόγω κύριο, αγνοούσε την ύπαρξή του και αφού συνδέθηκε με τον λογαριασμό του στο ... είδε ότι είναι Επιμελητής … στην … Κλινική του Νοσοκομείου Χ, ένα νοσοκομείο το οποίο η καταγγέλλουσα αναφέρει ότι είχε επισκεφθεί πολλές φορές ως ασθενής και ως συνοδός ανήλικων ασθενών. Για το λόγο αυτό, η καταγγέλλουσα παραπονείται για την ανεπιθύμητη πολιτική επικοινωνία και για την παραβίαση ευαίσθητων προσωπικών δεδομένων της, όπως υποστηρίζει.
Στη συνέχεια, με τη με αριθ. πρωτ. .../05-05-2023 καταγγελία της, η Β ανέφερε ότι καταγγέλλει τον Γ για παραβίαση προσωπικών δεδομένων της ως ασθενούς για τους σκοπούς της πολιτικής του καμπάνιας, υποστηρίζοντας ότι ο καταγγελλόμενος πήρε τα στοιχεία της, το τηλέφωνό της και το ιατρικό της ιστορικό από το νοσοκομείο Χ χωρίς την άδεια ή ενημέρωσή της, και τα χρησιμοποίησε για να της αποστείλει το ίδιο ως άνω αναφερόμενο μήνυμα sms («… (...: …)»). Όπως αναφέρει δε η καταγγέλλουσα, το μήνυμα αυτό της προκάλεσε ταραχή καθώς αναφέρεται σε ένα πολύ επίπονο συμβάν της ζωής, στην ασθένειά της … εξαιτίας της οποίας νοσηλεύθηκε στο νοσοκομείο Χ […], ενώ επισκέπτεται τακτικά το νοσοκομείο μέχρι και σήμερα, και εξαιτίας του καταγγελλόμενου μηνύματος, πλέον «νιώθει απειλούμενη» από το γεγονός ότι ο καθένας μπορεί να πάρει τα δεδομένα που η ίδια δίνει στο νοσοκομείο για το σκοπό της ιατρικής της περίθαλψης και να τα χρησιμοποιεί όπως θέλει.
Παράλληλα με τη με αριθ. πρωτ. .../08-05-2023 γνωστοποίηση περιστατικού παραβίασης δεδομένων και τα συμπληρωματικά της έγγραφα, το Νοσοκομείο Χ γνωστοποίησε κατ’ άρθρο 33 ΓΚΠΔ στην Αρχή τα ακόλουθα πραγματικά περιστατικά: «Στις 05/05/2023, το Νοσοκομείο έλαβε επιστολή από το επηρεαζόμενο υποκείμενο των δεδομένων, με την οποία ενημέρωνε το Νοσοκομείο ότι στις 04/05/2023 έλαβε μήνυμα πολιτικής επικοινωνίας [με το εξής περιεχόμενο: "… (...: …"], από ιατρό - υποψήφιο Βουλευτή, ο οποίος δεν εργάζεται στο Νοσοκομείο από τις … . Με αυτό τον τρόπο, το Νοσοκομείο ενημερώθηκε για το γεγονός ότι ο ιατρός - πρώην εργαζόμενος του Νοσοκομείου, είτε κατά την αποχώρησή του, είτε σε πρότερο χρόνο εξήγαγε προσωπικά δεδομένα από τα συστήματα του Νοσοκομείου (στα οποία είχε νομίμως πρόσβαση για τους σκοπούς εκτέλεσης των ιατρικών του καθηκόντων) και τα χρησιμοποίησε για άλλους, ασύμβατους σκοπούς. Το Νοσοκομείο, δεν είναι σε θέση να γνωρίζει πότε ακριβώς έλαβε χώρα το περιστατικό παραβίασης, ήτοι η χωρίς νόμιμο λόγο εξαγωγή προσωπικών δεδομένων ασθενούς του Νοσοκομείου, δεδομένου ότι ο συγκεκριμένος ιατρός είχε πρόσβαση στα αρχεία ασθενών του τμήματός του (…) καθ' όλο το διάστημα της απασχόλησής του στο νοσοκομείο, για σκοπούς που σχετίζονται αποκλειστικά και μόνο με την παροχή ιατρικών υπηρεσιών. Επίσης, το Νοσοκομείο δεν μπορεί να προσδιορίσει με ακρίβεια το χρόνο λήξης του περιστατικού και για το λόγο αυτό έχει συμπληρωθεί ως χρόνος λήξης του περιστατικού η ημερομηνία αποχώρησης του ιατρού από το Νοσοκομείο, ήτοι στις …». Σε συνέχεια των ανωτέρω, και όπως προκύπτει από τα σχετικά συμπληρωματικά έγγραφα του Νοσοκομείου (.../14-06-2023), εστάλη εκ μέρους του η από 08/05/2023 εξώδικη δήλωση – πρόσκληση – διαμαρτυρία και επιφύλαξη, με την οποία το Νοσοκομείο ενημέρωσε τον καταγγελλόμενο για τα ανωτέρω και τον κάλεσε να ενημερώσει άμεσα το Νοσοκομείο εάν έχει λάβει αντίγραφο ή έχει καταγράψει σε προσωπικό του αρχείο δεδομένα ασθενών του Νοσοκομείου, πότε και με ποιον τρόπο, ποια δεδομένα έχει λάβει και για ποιους ασθενείς, καθώς και να τα επιστρέψει άμεσα, προκειμένου το Νοσοκομείο να εξετάσει τυχόν πρόσθετες ενέργειες που απαιτούνται στο πλαίσιο της συμμόρφωσής του με τη νομοθεσία περί προστασίας προσωπικών δεδομένων. Με την από 19/5/2023 εξώδικη δήλωση – απάντηση προς το Νοσοκομείο, ο καταγγελλόμενος απάντησε ότι ουδέποτε έκανε χρήση του ιατρικού αρχείου του Νοσοκομείου για οποιονδήποτε λόγο, ότι οι αριθμοί των παραληπτών της προεκλογικής του εκστρατείας προήλθαν αποκλειστικά από αρχείο προσωπικών του ασθενών και από δημόσια προσβάσιμες διά του διαδικτύου βάσεις δεδομένων αριθμών κινητών τηλεφώνων, ότι το κείμενο του μηνύματος ήταν ατυχές και άφηνε περιθώριο παρερμηνειών, όμως δεν προκύπτει προσωποποιημένη στόχευση και αναφορά σε ασθενή, αφού το ίδιο μήνυμα εστάλη και σε άλλους, μη ασθενείς και αρνήθηκε γενικά το περιεχόμενο της ανωτέρω εξώδικης δήλωσης ως αβάσιμο.
Στο πλαίσιο διερεύνησης των ανωτέρω πραγματικών περιστατικών, η Αρχή με το .../16-05-2023 έγγραφο κοινοποίησε τις ως άνω καταγγελίες στον καταγγελλόμενο και τον κάλεσε να εκθέσει τις απόψεις του επί των καταγγελλομένων, παρέχοντας πλήρη τεκμηρίωση και διευκρινίζοντας ιδίως α) ποια προσωπικά δεδομένα επεξεργάζεται για σκοπούς πολιτικής επικοινωνίας, ποια είναι η πηγή προέλευσης των δεδομένων αυτών και ποια η νομική βάση επεξεργασίας τους και β) με ποιο τρόπο ενημερώνει τα υποκείμενα των δεδομένων για την κατά τα ανωτέρω επεξεργασία των δεδομένων τους, σύμφωνα με την αρχή της διαφάνειας της επεξεργασίας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ). Σημειώνεται ότι η επιστολή της Αρχής εστάλη αρχικά μέσω ταχυδρομείου, στη διεύθυνση προς την οποία του είχε επιδοθεί η ανωτέρω εξώδικη επιστολή του Νοσοκομείου, και επεστράφη ανεπίδοτη. Για το λόγο αυτό η ίδια επιστολή εστάλη εκ νέου μέσω ηλεκτρονικού ταχυδρομείου, αφότου η Αρχή πληροφορήθηκε την ηλεκτρονική διεύθυνση του καταγγέλλοντος από το Νοσοκομείο, με το .../21-06-2023 έγγραφο.
Με την υπ’ αρ. πρωτ. .../08-08-2023 απάντησή του προς την Αρχή, ο καταγγελλόμενος απάντησε τα εξής:
- Ότι οι ισχυρισμοί των καταγγελλουσών για παράνομη συλλογή και επεξεργασία των δεδομένων τους για το σκοπό της πολιτικής επικοινωνίας είναι αβάσιμοι, διότι, στο πλαίσιο της προεκλογικής του εκστρατείας ως υποψήφιος βουλευτής …, απέστειλε μαζικά sms, συμπεριλαμβανομένου του επίμαχου μηνύματος που εστάλη στις 4/5/2023, σε άτομα του προσωπικού του κύκλου, σε άτομα που είναι μέλη του … , σε ασθενείς του (προσωπικοί του φίλοι, γνωστοί, συνάδελφοι και πρόσωπα που έχουν συμμετάσχει στο παρελθόν σε εκδηλώσεις και δράσεις που ο ίδιος έχει διοργανώσει), και σε αποδέκτες που προέκυψαν μετά τη χρήση γεννήτριας τηλεφωνικών αριθμών (www.ekepis.gr) και σε αριθμούς από δημόσια προσβάσιμους καταλόγους, ενώ για τον σκοπό αυτό χρησιμοποιήθηκε τρίτη εταιρεία αποστολής sms, ως εκτελούσα την επεξεργασία.
- Ότι το περιεχόμενο του μηνύματος (« …») δεν έχει καμία σχέση με το ιατρικό ιστορικό των αποδεκτών του, το οποίο δεν ήταν δυνατό να το γνωρίζει, σύμφωνα με τον Κώδικα Ιατρικής Δεοντολογίας (Ν. 3418/2005) και ότι το λεκτικό του μηνύματος είχε ως στόχο να υπερθεματίσει την ιδιότητά του ως … του ΕΣΥ, ο οποίος γνωρίζει εκ των έσω τις παθογένειες και μπορεί να τις αντιμετωπίσει.
- Ότι λόγω του αυξημένου φόρτου εργασίας του (…) και λόγω του περιορισμένου προϋπολογισμού που μπορούσε να διαθέσει στην προεκλογική του καμπάνια, ο καταγγελλόμενος δεν είχε, όπως ισχυρίζεται, τη δυνατότητα να λάβει γνώση των τελευταίων εξελίξεων σε ό,τι αφορά την πολιτική επικοινωνία, των νέων Κατευθυντηρίων Γραμμών 1/2023 της Αρχής και των υποχρεώσεων διαφάνειας σε κάθε πολιτική επικοινωνία ή να προσλάβει κάποιον σύμβουλο ώστε να τον κατευθύνει.
- Ότι πραγματοποίησε την εν λόγω επικοινωνία έχοντας υπόψη «το προηγούμενο καθεστώς», και ότι έθετε υπόψη των αποδεκτών την προσωπική του σελίδα στο facebook, ώστε να μπορούν να του υποβάλουν τυχόν αίτημα πρόσβασης ή/και διαγραφής ή/και εναντίωσης.
- Ότι λίγες μέρες μετά την αποστολή του μηνύματος τον ενημέρωσαν από το [κόμμα] για τις ελάχιστες απαιτήσεις διαφάνειας που πρέπει να πληροί κάθε αζήτητη πολιτική επικοινωνία και ότι αμέσως μετά προχώρησε στις απαιτούμενες αλλαγές, παρά το κόστος που συνεπάγονταν (λόγω του πλήθους των χαρακτήρων κάθε sms κόστιζε πλέον όσο 3) και συγκεκριμένα στις ακόλουθες ενέργειες συμμόρφωσης: α) στη διαμόρφωση φόρμας συγκατάθεσης, συνοδευόμενης από σχετικό ενημερωτικό σημείωμα για την επεξεργασία προσωπικών δεδομένων (για μελλοντικές επεξεργασίες), β) στον καθαρισμό από τη λίστα αποδεκτών όλων των αριθμών που είχε προμηθευτεί από τη γεννήτρια και από δημόσια προσβάσιμους καταλόγους, και γ) σε διαμόρφωση ενημερωτικού σημειώματος, το οποίο ανήρτησε στη σελίδα του στο ... .
- Ότι νομική βάση της επεξεργασίας ήταν το έννομο συμφέρον του (κατ’ άρθρο 6 παρ. 1 στ΄ ΓΚΠΔ) να επικοινωνεί την πολιτική του δραστηριότητα, τις θέσεις και ιδέες του ως υποψήφιος βουλευτής και ιδίως λόγω του επαγγελματικού του υποβάθρου στο ΕΣΥ, στο πλαίσιο των βουλευτικών εκλογών της 21/5/2023 και της 25/6/2023, το οποίο απορρέει από τα συνταγματικά του δικαιώματα να συμμετέχει στην πολιτική ζωή της χώρας, να εκφράζεται ελεύθερα, να διοργανώνει συναθροίσεις και να επικοινωνεί σχετικά με αυτές, και ότι με αποκλειστικό σκοπό να μπορεί να ενημερώνει τους ψηφοφόρους της … για τις δράσεις του, τηρεί αρχείο αποδεκτών ηλεκτρονικής επικοινωνίας με στοιχεία που συγκεντρώνει από διάφορες πηγές επί σειρά ετών, δεδομένου και ότι γενικά είναι κοινωνικά δραστήριος (έχοντας διατελέσει μέλος Δ.Σ. των Ιατρικών Συλλόγων … και …). Όσον αφορά τη στάθμιση του εν λόγω συμφέροντός του με τα δικαιώματα των αποδεκτών της επικοινωνίας, ο καταγγελλόμενος σημειώνει ότι η αποστολή γραπτών μηνυμάτων «δίνει τη δυνατότητα να ασκούνται τα παραπάνω συνταγματικά δικαιώματα ευχερέστερα, πιο αποτελεσματικά και σε μεγαλύτερη μερίδα των πολιτών με την επίτευξη, κατ’ επέκταση, της μεγαλύτερης αντιπροσωπευτικότητας στο εκλογικό σώμα της περιφερειακής ενότητας της … . Παράλληλα, η αποχή από την πραγματοποίηση επικοινωνιών με αυτά τα μέσα και αυτόν τον σκοπό, βλάπτει τον πυρήνα του επιδιωκόμενου συμφέροντος και δικαιώματος που ανάγεται στη συμμετοχή μου στον πολιτικό βίο. Συνεπώς, με τον τρόπο που πραγματοποιήθηκε εν προκειμένω ο επιδιωκόμενος σκοπός -κρινόμενος συνδυαστικά και με το είδος των δεδομένων που χρησιμοποιήθηκαν, τα οποία περιορίστηκαν στα δεδομένα επικοινωνίας των υποκειμένων χωρίς επεξεργασία δεδομένων ταυτοποίησης-, δεν εθίγησαν υπέρμετρα τα δικαιώματα των επηρεαζόμενων προσώπων-αποδεκτών της επικοινωνίας αναφορικά με την προστασία των προσωπικών τους δεδομένων. Σε συνέχεια των ανωτέρω, προκύπτει ότι η υπό κρίση επεξεργασία είναι απαραίτητη και αναγκαία για τον επιδιωκόμενο σκοπό».
- Αναφορικά με την αναλογικότητα της επεξεργασίας βάσει του αντικτύπου της στα δικαιώματα των προσώπων ο καταγγελλόμενος υποστηρίζει ότι για την εν λόγω επεξεργασία αξιοποιήθηκαν μόνο τα στοιχεία επικοινωνίας (αριθμοί τηλεφώνου) χωρίς να γίνει επεξεργασία και σε άλλα δεδομένα ταυτοποίησης (π.χ. ονοματεπώνυμο) των αποδεκτών και ότι τα δικαιώματα και οι ελευθερίες των υποκειμένων δεν διασαλεύονται μέσω της διενεργούμενης πολιτικής επικοινωνίας διότι, ο εν λόγω σκοπός, στο πλαίσιο της συγκεκριμένης επεξεργασίας, είναι ορισμένος, ρητός, νόμιμος και υπηρετεί την άσκηση θεμελιωδών συνταγματικών δικαιωμάτων.
- Ότι ο ισχυρισμός ότι συνέλεξε τα δεδομένα των καταγγελλουσών από το αρχείο του Νοσοκομείου Χ είναι αβάσιμος και προσβλητικός, ότι αξιοποίησε γεννήτρια αριθμών και ότι ο συσχετισμός της βάσης δεδομένων των αποδεκτών της επικοινωνίας του με το μητρώο ασθενών του νοσοκομείου πέρα από το ότι θα αποτελούσε υπέρμετρη και δυσανάλογη επεξεργασία, δεν θα του ήταν και τεχνικά δυνατός, αφού δεν τους παρέχεται τέτοια δυνατότητα από τα συστήματα του Νοσοκομείου.
- Αναφορικά με την α’ ως άνω καταγγελία, ο καταγγελλόμενος αναφέρει ότι χρησιμοποιήθηκε γεννήτρια αριθμών και ως εκ τούτου δεν ήταν δυνατό να γνωρίζει τα στοιχεία του αποδέκτη, αντικρούοντας ως αναληθή και προσβλητικό τον ισχυρισμό ότι συνέλεξε τον αριθμό τηλεφώνου της καταγγέλλουσας από το μητρώο ασθενών της … κλινικής του Νοσοκομείου Χ.
- Αναφορικά με τη β’ ως άνω καταγγελία, ο καταγγελλόμενος υποστηρίζει ότι είναι αόριστη, ατεκμηρίωτη και αβάσιμη, τονίζοντας ότι η καταγγέλλουσα δεν αναφέρει ούτε τον αριθμό στον οποίο έλαβε το μήνυμα, δεν απευθύνθηκε στον ίδιο πριν την υποβολή της καταγγελίας όπως συστήνεται από την Αρχή στην ιστοσελίδα της και ότι σε κάθε περίπτωση ο καταγγελλόμενος δεν χρειαζόταν να λάβει προηγουμένως τη συγκατάθεση της καταγγέλλουσας, δεδομένου ότι η επεξεργασία εν προκειμένω στηριζόταν στη νομική βάση του υπέρτερου έννομου συμφέροντος.
Σε συνέχεια των ανωτέρω, η Αρχή με το .../08-09-2023 έγγραφό της, ζήτησε από τον καταγγελλόμενο να παρέχει τις ακόλουθες διευκρινίσεις και τα σχετικά αποδεικτικά στοιχεία: 1) Να προσκομίσει πλήρη και ακριβή στοιχεία (αποδεικτικά αποστολής, τιμολόγια, λίστες αποδεκτών κ.ο.κ.) από τα οποία προκύπτει ο συνολικός αριθμός των υποκειμένων που έλαβαν καθεμία από τις αναφερόμενες στη σελ. 9 του υπομνήματός του επικοινωνίες μέσω sms στο πλαίσιο της προεκλογικής του εκστρατείας, προσδιορίζοντας πόσοι τηλεφωνικοί αριθμοί αποδεκτών αντιστοιχούν σε καθεμία από τις 4 πηγές στις οποίες ο καταγγελλόμενος αναφέρεται στη σελ. 10 του υπομνήματός του. 2) Να προσδιορίσει πότε και με ποιο τρόπο χρησιμοποιήθηκε η προσκομιζόμενη ως σχετ. 3 φόρμα συγκατάθεσης εκ μέρους του, αναφέροντας ειδικότερα πόσα υποκείμενα του έχουν δώσει τη συγκατάθεσή τους με τον τρόπο αυτό και προσκομίζοντας προς τεκμηρίωση ενδεικτικά υπογεγραμμένα έντυπα που τηρεί. 3) Να εξηγήσει σε ποια χρονική στιγμή και σε ποια ηλεκτρονική διεύθυνση αναρτήθηκε η ενημέρωση προς τα υποκείμενα, την οποία ο καταγγελλόμενος προσκόμισε ως σχετ. 4, και 4) Αναφορικά με τον ισχυρισμό του ότι η β’ καταγγέλλουσα δεν υπέβαλε κανένα αίτημα προς τον ίδιο πριν την υποβολή της καταγγελίας, η Αρχή κάλεσε τον καταγγελλόμενο να τεκμηριώσει τη δυνατότητα των υποκειμένων να ασκήσουν τα δικαιώματά τους βάσει του ΓΚΠΔ προς αυτόν, ως υπεύθυνο επεξεργασίας, κατά το χρόνο υποβολής της καταγγελίας, προσδιορίζοντας σε ποιο σημείο ακριβώς παρείχε τα στοιχεία επικοινωνίας του είτε προς τους αποδέκτες των μηνυμάτων είτε δημοσίως προς το ευρύ κοινό. Κατόπιν αποστολής του .../13-11-2023 υπενθυμιστικού εγγράφου της Αρχής, ο καταγγελλόμενος με το .../21-11-2023 απαντητικό του έγγραφο προσκόμισε στην Αρχή εκτυπώσεις αναλυτικών αναφορών της πλατφόρμας Your SMS, στην οποία αποτυπώνονται ο αριθμός των SMS που χρειαζόταν κάθε μήνυμα βάσει των χαρακτήρων, ο αριθμός των αποδεκτών που έλαβαν την επικοινωνία και το αντίστοιχο κόστος. Όπως προκύπτει από τα στοιχεία αυτά, η αποστολή του κρίσιμου μηνύματος sms (με περιεχόμενο … (FB: …), αναφερόμενη στο εξής ως «1η επικοινωνία») έγινε στις 4/5/2023 και ώρα 05:55 σε 4.772 αποδέκτες, κάθε μήνυμα αντιστοιχούσε σε 3 sms και το κόστος της ανήλθε σε 28.632 credits. Επιπλέον ο καταγγελλόμενος διευκρίνισε ότι από τους 4.772 αποδέκτες, το 75% ανήκει σε προσωπικούς του φίλους γνωστούς και άτομα του άμεσου εργασιακού του κύκλου, και εν γένει πρόσωπα που έχουν συμμετάσχει στο παρελθόν σε εκδηλώσεις και δράσεις που έχει διοργανώσει, το 15% σε αποδέκτες για τους οποίους αξιοποιήθηκε γεννήτρια τηλεφωνικών αριθμών και το 10% σε αριθμούς που προέκυψαν από δημόσια προσβάσιμους καταλόγους. Περαιτέρω, από τα προσκομιζόμενα έγγραφα προκύπτουν τα εξής στοιχεία αναφορικά με τις λοιπές επικοινωνίες μέσω sms που πραγματοποίησε ο καταγγελλόμενος στο πλαίσιο της προεκλογικής του εκστρατείας:
• 2η επικοινωνία: …
• 3η επικοινωνία: …
• 4η επικοινωνία: …
• 5η επικοινωνία: …
Ο καταγγελλόμενος σημείωσε ότι διαμόρφωσε τη φόρμα της συγκατάθεσης λίγες ημέρες μετά την αποστολή της υπό εξέταση επικοινωνίας, η φόρμα ήταν διαθέσιμη σε διακριτό χώρο μαζί με κάρτες και φυλλάδια άλλων υποψηφίων, κατά τις προεκλογικές εκδηλώσεις του … στην … καθώς και στις δικές του προεκλογικές εκδηλώσεις, ενώ παραθέτει συνημμένα ενδεικτικά συμπληρωμένες φόρμες. Αναφορικά με την ενημέρωση, ο καταγγελλόμενος ιατρός αναφέρει ότι αναρτήθηκε στην σελίδα του στο ... με ημερομηνία 08/08/2023, υποστηρίζοντας παράλληλα ότι τα εν λόγω ενημερωτικά σημειώματα ήταν διαθέσιμα και στις φόρμες συγκατάθεσης που είχε διαθέσιμες στις εκδηλώσεις του … και τις ομιλίες του, χωρίς πάντως να προσκομίζεται κάποιο στοιχείο προς τεκμηρίωση του εν λόγω ισχυρισμού. Τέλος, όσον αφορά τη δυνατότητα άσκησης δικαιωμάτων, ο καταγγελλόμενος αναφέρει τα εξής: «Καθώς η πλατφόρμα με την οποία συνεργάστηκα για την αποστολή των μαζικών SMS, δεν παρείχε τη δυνατότητα αυτοματοποιημένης απεγγραφής για τους χρήστες, έθετα υπόψη των αποδεκτών της επικοινωνίας μου, όπως αναφέρω και στη σελίδα 10 του Υπομνήματός μου, την προσωπική μου σελίδα στο ... (Σχετ. 3), η οποία είναι δημόσια, ήτοι ανοιχτή σε όλους και στην οποία υπήρχε η δυνατότητα επικοινωνίας με ένα κλικ, μέσω της σχετικής εφαρμογής της εν λόγω πλατφόρμας. Ήταν δυνατή δηλαδή στον οποιοδήποτε η υποβολή ερωτήματος ή οποιουδήποτε αιτήματος όπως λ.χ. πρόσβασης ή/και διαγραφής ή/και εναντίωσης. Εντούτοις, ο τρόπος άσκησης των εν λόγω αιτημάτων δεν ήταν δεσμευτικός. Οποιοσδήποτε επιθυμούσε, μπορούσε -ακόμα και προφορικά- να υποβάλει οποιοδήποτε αίτημα (πράγμα που δεν έγινε) και αυτό θα διεκπεραιώνονταν απευθείας», τονίζοντας και πάλι ότι η β’ καταγγέλλουσα δεν προσπάθησε να υποβάλει οποιοδήποτε αίτημα, γεγονός που καταδεικνύει τον καταχρηστικό χαρακτήρα της καταγγελίας.
Σε συνέχεια των ανωτέρω, η Αρχή με την .../12-02-2024 κλήση της κάλεσε τον καταγγελλόμενο σε ακρόαση ενώπιον του Τμήματος της Αρχής στις 21/2/2024, προκειμένου να εκθέσει τις απόψεις του για την υπόθεση. Κατά τη συνεδρίαση της 21/2/2024, ο καταγγελλόμενος, διά του πληρεξούσιου δικηγόρου του, Στέργιου Κωνσταντίνου (ΑΜ ΔΣΑ …), ζήτησε την αναβολή της υπόθεσης, λόγω ασθένειας. Το αίτημα έγινε δεκτό και η υπόθεση αναβλήθηκε για την 6/3/2024. Κατά τη συνεδρίαση της 6/3/2024, παρέστη ο καταγγελλόμενος με τον ως άνω πληρεξούσιο δικηγόρο του. Τόνισε ότι τα προσωπικά δεδομένα των καταγγελλουσών δεν προήλθαν από το Νοσοκομείο Χ, επανέλαβε τον ισχυρισμό ότι το λεκτικό του μηνύματος οφείλεται σε «ατυχή επιλογή» κατόπιν συμβουλής που έλαβε προκειμένου να τονίσει την εμπειρία του στο δημόσιο σύστημα υγείας και ότι δεν απευθυνόταν προσωπικά στον εκάστοτε αποδέκτη αλλά στον οποιονδήποτε αποδέκτη του μηνύματος, ο οποίος, κατά την εκτίμησή του, είχε μεγάλες πιθανότητες να … πράγματι στο ΕΣΥ. Ο καταγγελλόμενος υποστήριξε ότι δεν ήταν γνώστης των προϋποθέσεων νομιμότητας της πολιτικής επικοινωνίας, ότι όλη τη σχετική διαχείριση την έκανε μόνος του, χωρίς τη χρήση εκτελούντος την επεξεργασία (πέρα από την υπηρεσία yoursms) και σε αυτό απέδωσε το γεγονός ότι έκανε χρήση γεννήτριας τηλεφωνικών αριθμών και δημοσίων καταλόγων, επισημαίνοντας ότι στη συνέχεια προχώρησε σε ενέργειες για βελτίωση των πρακτικών που ακολουθεί, δηλαδή διαμόρφωσε φόρμα συγκατάθεσης, εκκαθάρισε τη βάση δεδομένων του από αριθμούς που προέρχονταν από τις ανωτέρω δύο πηγές και διευκρίνισε ότι οι δύο αριθμοί των καταγγελλουσών είχαν προέλθει από τη γεννήτρια τυχαίων αριθμών ekepis.gr. Από την Αρχή χορηγήθηκε προθεσμία για την κατάθεση υπομνήματος μέχρι τις 22/3/2024 και ζητήθηκε να προσκομιστούν με το υπόμνημα στοιχεία προς τεκμηρίωση του ισχυρισμού για τη χρήση γεννήτριας αναφορικά με τους δύο αριθμούς των καταγγελλουσών καθώς και πληροφορίες σχετικά με το κόστος αποστολής του υπό κρίση μηνύματος. Στη συνέχεια, η Αρχή με το .../14-03-2024 έγγραφο ζήτησε από τον καταγγέλλοντα να προσκομίσει συμπληρωματικά με το υπόμνημά του, τον πλήρη κατάλογο των 4.772 αποδεκτών του μηνύματος (sms) που εστάλη στις 4/5/2023, αναφέροντας συγκεκριμένα ποιοι αριθμοί ανήκουν σε ποια κατηγορία από τις αναφερόμενες σε μορφή ποσοστών στο .../21-11-2023 έγγραφό του. Με το .../26-03-2024 υπόμνημά του ο καταγγελλόμενος ανέφερε κατ’ αρχάς ότι το συνολικό κόστος για την συγκεκριμένη αποστολή μηνυμάτων ανέρχεται σε 363,62 ευρώ, παράλληλα προσκόμισε το σύνολο της λίστας αποδεκτών του μηνύματος όπως εξήχθη από την πλατφόρμα yoursms.gr, ενώ όσον αφορά την κατανομή των αριθμών ανά πηγή προέλευσης επανέλαβε τα ποσοστά (15% από γεννήτρια τηλεφωνικών αριθμών και 10% από δημόσια προσβάσιμους καταλόγους), δηλώνοντας ότι δεν έχει διατηρήσει καταγραφές αναφορικά με την επακριβή προέλευση εκάστου αριθμού και ως εκ τούτου δεν δύναται να προχωρήσει σε κατηγοριοποίησή τους βάση της προέλευσης. Αναφορικά με την πηγή προέλευσης των αριθμών των καταγγελλουσών, ο καταγγελλόμενος υποστήριξε ότι προήλθαν από την πλατφόρμα ekepis, ενώ προσκόμισε αποτύπωση οθόνης από την εν λόγω πλατφόρμα, που περιέχει όλους τους πιθανούς αριθμούς που ξεκινούν με τα ίδια ψηφία και στην οποία έχουν επισημανθεί οι αριθμοί των καταγγελλουσών. Στο υπόμνημα εξηγείται επίσης ότι στο πλαίσιο απόδειξης της μη προέλευσης των δεδομένων από το αρχείο του Νοσοκομείου Χ, υποβλήθηκε εκ μέρους του καταγγελλόμενου αίτημα πρόσβασης στα αρχεία καταγραφής (logs) του νοσοκομείου αναφορικά με την εξαγωγή αρχείων, στο οποίο ο ΥΠΔ του νοσοκομείου απάντησε ότι δεν διαθέτει τα ζητηθέντα αρχεία. Έτσι, εξ αντικειμένου, όπως υποστηρίζει ο καταγγελλόμενος, δεν δύναται να αποδείξει διαφορετικά τη μη εξαγωγή στοιχείων επικοινωνίας ασθενών από τη βάση δεδομένων του νοσοκομείου. Τέλος, με το υπόμνημα επισημαίνει ότι οι καταγγέλλουσες δεν τεκμηρίωσαν την καταγγελλόμενη επεξεργασία ως προς το σκέλος της προέλευσης των στοιχείων τους από το νοσοκομείο, υποστηρίζοντας ότι αυτές φέρουν το βάρος απόδειξης ώστε η Αρχή να είναι σε θέση να εξάγει ασφαλή απόφαση και ο ίδιος να παρέχει ολοκληρωμένη ανταπόδειξη, επικαλούμενος τη διάταξη του άρθρου 145 παρ. 1 του ΚΔΔ αλλά και τα εν γένει ισχύοντα για την απόδειξη ενώπιον της Διοίκησης κατά την έκδοση διοικητικών πράξεων (σύμφωνα με το άρθρο 17 παρ. 3 του ΚΔΔιαδ), «ελλείψει ιδιαίτερης νομοθετικής πρόβλεψης», όπως αναφέρει.
Ακολούθως, και λαμβάνοντας υπόψη την απουσία τεκμηρίωσης της προέλευσης των παραληπτών του από 4/5/2023 μηνύματος sms από τον καταγγελλόμενο σύμφωνα με την αρχή της λογοδοσίας (άρ. 5 παρ. 2 ΓΚΠΔ), η Αρχή απέστειλε στο Νοσοκομείο Χ το .../27-03-2024 έγγραφο, με το οποίο ζήτησε, σε συνέχεια της γνωστοποίησης περιστατικού παραβίασης, μέχρι την 8/4/2024: α) να αναφέρει το συνολικό αριθμό ασθενών που υπέβαλαν καταγγελία στο Νοσοκομείο αναφορικά με τη λήψη προεκλογικού μηνύματος (sms) από τον ιατρό Γ, προσκομίζοντας σχετικά στοιχεία τεκμηρίωσης, β) να διευκρινίσει εάν έχουν προκύψει επιπλέον στοιχεία σε σχέση με την εν θέματι γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων και σε περίπτωση καταφατικής απάντησης, να προσκομίσει τα εν λόγω στοιχεία και γ) να προσκομίσει στην Αρχή την πλήρη λίστα αριθμών κινητού τηλεφώνου ασθενών … από τον Μάιο του 2018 μέχρι τον Μάιο του 2023.
Με το .../16-04-2024 απαντητικό του έγγραφο, το Νοσοκομείο προσκόμισε στην Αρχή δύο καταγγελίες ασθενών (Δ και Ε) που είχαν λάβει το υπό κρίση προεκλογικό μήνυμα και είχαν διαμαρτυρηθεί στο Νοσοκομείο για την πιθανή διαρροή των δεδομένων τους τον Μάιο του 2023. Όσον αφορά τη διερεύνηση του περιστατικού, το Νοσοκομείο ενημέρωσε την Αρχή ότι διενεργήθηκε ΕΔΕ για το θέμα με σκοπό τη συλλογή στοιχείων και κατατέθηκε το με αρ. εμπ. Πρωτ. ... πόρισμα σύμφωνα με το οποίο «υπάρχουν σοβαρές ενδείξεις ότι ο ιατρός ενήργησε με αμέλεια κατά παραβίαση των κανόνων της ιατρικής δεοντολογίας, του ιατρικού απορρήτου και της υποχρέωσης εχεμύθειας». Ακολούθως, κατόπιν της υπ’ αρ. … Πράξης του ΔΣ του Νοσοκομείου αποφασίσθηκε η παραπομπή της υπόθεσης στο Κεντρικό Πειθαρχικό Συμβούλιο Ιατρών ΕΣΥ (Κ.Π.Σ.), το οποίο εξέδωσε αθωωτική απόφαση, χωρίς κλήση σε απολογία του ιατρού. Το Νοσοκομείο προσκομίζει απόσπασμα της από … συνεδρίασης του Κεντρικού Πειθαρχικού Συμβουλίου Ιατρών ΕΣΥ, σύμφωνα με το οποίο «το Συμβούλιο αφού εξέτασε όλα τα έγγραφα του πειθαρχικού φακέλου και λαμβάνοντας κυρίως υπόψη τα όσα εκτέθηκαν από τον συνήγορο και τον εγκαλούμενο ιατρό […] ομόφωνα αποφασίζει την απαλλαγή χωρίς την κλήση σε απολογία» του ιατρού Γ, για τα πειθαρχικά παραπτώματα που του αποδόθηκαν με την υπ’ αριθμ. … πράξη του ΔΣ του Νοσοκομείου. Επιπλέον το Νοσοκομείο προσκόμισε στην Αρχή αρχείο excel αποτελούμενο από 6.707 αριθμούς κινητών τηλεφώνων, … τα τελευταία 5 έτη.
Από τη σύγκριση των δύο αρχείων κινητών τηλεφώνων που προσκομίστηκαν σύμφωνα με τα ανωτέρω στην Αρχή, προκύπτει ότι από τους 4.772 αριθμούς αποδεκτών του από 4/5/2023 μηνύματος του καταγγελλόμενου, οι 3.392 περιλαμβάνονται στο αρχείο κινητών τηλεφώνων ασθενών … στο Νοσοκομείο Χ τα τελευταία 5 έτη. Επισημαίνεται δε ότι και στις δύο λίστες εντοπίστηκαν 17 αριθμοί που περιέχουν ίδιο σφάλμα, δηλαδή αποτελούνται είτε από λιγότερα είτε από περισσότερα των 10 ψηφίων. Παράλληλα, με την .../08-04-2024 επιστολή του, ο Συνήγορος του Πολίτη διαβίβασε στην Αρχή την υπ’ αρ. πρωτ. … αναφορά της ΣΤ, η οποία ανέφερε ότι έλαβε το από 4/5/2023 προεκλογικό μήνυμα του καταγγελλόμενου, ενώ είχε στο Νοσοκομείο Χ το έτος 2022.
Σε συνέχεια των ανωτέρω, με την .../16-04-2024 κλήση, η Αρχή κάλεσε εκ νέου τον καταγγελλόμενο σε ακρόαση ενώπιον του Τμήματος της Αρχής, την Τετάρτη 24/04/2024, γνωστοποιώντας του παράλληλα τα ανωτέρω νέα στοιχεία που είχαν περιέλθει σε γνώση της. Κατά τη συνεδρίαση της 24/4/2024 παρέστη ο καταγγελλόμενος με τον ως άνω πληρεξούσιο δικηγόρο του. Απαντώντας επί των νεότερων στοιχείων, ο καταγγελλόμενος υποστήριξε ότι το γεγονός ότι ένα μεγάλο ποσοστό των αποδεκτών του από 4/5/2023 προεκλογικού του μηνύματος ήταν ταυτόχρονα και ασθενείς του Νοσοκομείου Χ, δεν αποδεικνύει ότι ο ίδιος άντλησε τους αριθμούς του κινητού τους τηλεφώνου από το αρχείο του Νοσοκομείου, αλλά ότι οι ίδιοι ασθενείς ανήκαν στην κατηγορία «προσωπικοί φίλοι και γνωστοί», την οποία κατονόμασε εξ αρχής ως πηγή των αποδεκτών του μηνύματός του, σημειώνοντας ότι εκ παραδρομής είχε παραλείψει να διευκρινίσει στην Αρχή ότι σε αυτούς ανήκαν και «προσωπικοί του ασθενείς», δηλαδή ασθενείς τους οποίους είχε περιθάλψει ο ίδιος στα 36 χρόνια της απασχόλησής του, ανάμεσα σε αυτούς και ασθενείς από το Νοσοκομείο Χ. Ο καταγγελλόμενος διευκρίνισε ότι εργάζεται στο Νοσοκομείο Χ από το έτος 2018 και, ως …, … πολύ μεγάλο αριθμό ασθενών, ο οποίος μπορεί σε κάποιες περιπτώσεις να έφτανε και τους … την ημέρα. Απαντώντας σε σχετική ερώτηση μέλους της Αρχής, ο καταγγελλόμενος διευκρίνισε ότι ως ασθενείς τους οποίους είχε περιθάλψει δεν εννοεί μόνο όσους … αλλά και όσους χρειάστηκαν τη βοήθειά του πιθανώς σε μεταγενέστερο στάδιο, π.χ. ζητώντας κάποια γνωμάτευση ή άλλο έγγραφο από το Νοσοκομείο. Όπως υποστήριξε, ο ίδιος θεωρεί ότι πρόκειται για «δικούς του ασθενείς», καθώς τους ασθενείς αυτούς τους κούραρε ο ίδιος προσωπικά. Ειδικότερα, όπως αναφέρει και στο υπόμνημά του ο ιατρός, «στο πλαίσιο διευκόλυνσης της επικοινωνίας με τους ασθενείς του νοσοκομείου, έφτιαξε ένα φυσικό αρχείο, μια ατζέντα με τα ονοματεπώνυμα και τα στοιχεία επικοινωνίας των ασθενών, με τους οποίους επικοινωνούσε … προκειμένου να απαντάει σε ερωτήσεις τους», όπως δήλωσε δε στην Αρχή, η ατζέντα αυτή πλέον έχει καταστραφεί. Κατά την ακρόαση, ο καταγγελλόμενος ιατρός επανέλαβε ότι όσον αφορά τις καταγγέλλουσες, οι δικοί τους αριθμοί προήλθαν από τη γεννήτρια ekepis, όπως και αρκετοί άλλοι αριθμοί αποδεκτών. Έκανε χρήση της γεννήτριας προκειμένου να αξιοποιήσει το πλήρες πακέτο sms που είχε αγοράσει για την συγκεκριμένη προεκλογική του εκστρατεία, καθώς αυτό του έδινε τη δυνατότητα αποστολής σε περισσότερους αποδέκτες απ’ όσους είχε διαθέσιμους στην ατζέντα του. Απαντώντας σε ερώτηση σχετικά με το πώς γνωρίζει ότι συγκεκριμένος αριθμός προήλθε από τη γεννήτρια ή από την ατζέντα του, δεδομένου ότι δεν τηρεί κανένα στοιχείο τεκμηρίωσης, ανέφερε ότι «θυμάται όλους» τους γνωστούς και ασθενείς του, επομένως όσοι αποδέκτες δεν ανήκουν σε αυτούς που θυμάται, προήλθαν από τη γεννήτρια. Αναφορικά με τους 17 κοινούς εσφαλμένους αριθμούς που βρέθηκαν και στις δύο λίστες (τη δική του και του Νοσοκομείου), ο καταγγελλόμενος υποστήριξε ότι το γεγονός αυτό εξηγείται, καθώς σε αρκετές περιπτώσεις ο ίδιος συνέλεγε τα στοιχεία των ασθενών και τα έδινε στη συνέχεια στη Γραμματεία του Νοσοκομείου για να τα καταγράψει στα ηλεκτρονικά αρχεία του Νοσοκομείου, αναφέροντας ότι η καθημερινή πρακτική στη διαχείριση των ασθενών απέχει από τη θεωρητική διαδικασία.
Κατά τη συνεδρίαση χορηγήθηκε προθεσμία για κατάθεση υπομνήματος μέχρι την 14/6/2024, η οποία με το .../13-06-2024 έγγραφο της Αρχής παρατάθηκε μέχρι την 1/7/2024, δεδομένου ότι επρόκειτο να τεθούν υπόψη του καταγγελλόμενου νεότερα στοιχεία για την υπόθεση. Στο πλαίσιο αυτό, κατόπιν επικοινωνίας της Αρχής με το Νοσοκομείο Χ, με το .../18-06-2024 έγγραφο του Νοσοκομείου, περιγράφεται η διαδικασία δήλωσης και καταχώρισης δημογραφικών στοιχείων των ασθενών στο πρόγραμμα του Νοσοκομείου και διευκρινίζεται ότι τα στοιχεία αυτά δηλώνονται μόνο από τους ασθενείς με προσωπική τους παρουσία στην Γραμματεία Εξωτερικών Ιατρείων και δεν επιτρέπεται παρέμβαση ή τροποποίηση των στοιχείων της καρτέλας τους από τρίτο πρόσωπο. Επιπλέον με το .../21-06-2024 έγγραφο του Νοσοκομείου διαβιβάστηκε στην Αρχή η υπ’ αρ. εμπ. Πρωτ. … Έκθεση Ένορκης Διοικητικής Εξέτασης (ΕΔΕ). Από την Έκθεση αυτή προκύπτει ότι ο βασικός ισχυρισμός του ιατρού στο πλαίσιο της ΕΔΕ ήταν ότι οι τηλεφωνικοί αριθμοί των αποδεκτών του μηνύματός του προήλθαν από γεννήτρια τυχαίων αριθμών, το δε περιεχόμενο του μηνύματος είχε στόχο να καταδείξει την επαγγελματική ιδιότητα του … και δεν σχετιζόταν με την ιδιότητα των πολιτών … . Οι εξηγήσεις που παρείχε ο ιατρός στο πλαίσιο της ΕΔΕ δεν κρίθηκαν πειστικές και αφού λαμβάνεται υπόψη η δυνατότητα πρόσβασης του ιατρού στο πρόγραμμα με τα στοιχεία ασθενών και η δυνατότητα ευχερούς αντιγραφής δεδομένων από το πρόγραμμα, το οποίο δεν κατέγραφε, κατά τον χρόνο των πραγματικών περιστατικών, αναλυτικό ιστορικό ενεργειών ανά χρήστη, η ΕΔΕ καταλήγει στο συμπέρασμα ότι «υπάρχουν σοβαρές ενδείξεις ότι ενήργησε με αμέλεια κατά παραβίαση των κανόνων της ιατρικής δεοντολογίας, του ιατρικού απορρήτου και της υποχρέωσης εχεμύθειας». Με το .../26-06-2024 διαβιβαστικό έγγραφο της Αρχής, τα ανωτέρω έγγραφα κοινοποιήθηκαν στον καταγγελλόμενο ώστε να λάβει γνώση τους εν όψει υποβολής υπομνήματος μέχρι την 1/7/2024.
Με το .../02-07-2024 υπόμνημά του, ο καταγγελλόμενος αναφέρει τα εξής:
- Ότι για το ιατρικό αρχείο των ασθενών, … στο Νοσοκομείο Χ Υπεύθυνος Επεξεργασίας είναι το ίδιο το νοσοκομείο. Στους ιατρούς δεν χορηγείται ψηφιακό ή φυσικό αντίγραφο των Ιατρικών Φακέλων των ασθενών ή δυνατότητα απομακρυσμένης πρόσβασης. Η πρόσβαση στην καρτέλα του ασθενούς είναι δυνατή μόνο από τους υπολογιστές του Νοσοκομείου. Ωστόσο, δεν ήταν δυνατή η εξαγωγή των στοιχείων από το πληροφοριακό σύστημα του Νοσοκομείου ή ακόμα και αν ήταν, ο ιατρός δεν γνώριζε τη δυνατότητα αυτή ούτε έλαβα κάποια σχετική εκπαίδευση ως προς αυτό.
- Ότι στο πλαίσιο διευκόλυνσης της επικοινωνίας με τους ασθενείς του Νοσοκομείου, έφτιαξε ένα φυσικό αρχείο, μια ατζέντα με τα ονοματεπώνυμα και τα στοιχεία επικοινωνίας των ασθενών, με τους οποίους επικοινωνούσε … προκειμένου να απαντά σε ερωτήσεις τους, κατά πάγια πρακτική που ακολουθούν όλοι οι ιατροί για να είναι σε θέση να διαχειρίζονται ό,τι προκύψει για τους ασθενείς και οι ίδιο να αισθάνονται ασφάλεια σε ό,τι αφορά την υγεία τους.
- Ότι νόμιμη βάση για την τήρηση του αρχείου, ήταν το έννομο συμφέρον των ασθενών σε ό,τι αφορά την άμεση διαχείριση και ανταπόκριση σε τυχόν ερωτήματα/απορίες ή ανησυχίες … καθώς και ήταν απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής (άρθρο 6 παρ. 1 στοιχ. στ’ ΓΚΠΔ & άρθρο 9 παρ. 2 περ. η’ ΓΚΠΔ).
- Ότι την εν λόγω ατζέντα την είχε πάντοτε πάνω του και δεν την άφηνε εκτεθειμένη σε κοινόχρηστους χώρους όπως το γραφείο που μοιράζεται με συναδέλφους.
- Αναφορικά με την Έκθεση της ΕΔΕ, υποστηρίζει ότι το έγγραφο αυτό διαβιβάστηκε με το υπ’ αριθμ. εμπιστευτικό πρωτόκολλο … έγγραφο στο Κεντρικό Πειθαρχικό Συμβούλιο Ιατρών Ε.Σ.Υ. (προσκομίζεται ως Σχετικό 1) με ερώτημα να τεθεί ή όχι σε δυνητική αργία. Στο πλαίσιο εξέτασης του ζητήματος αυτού, ο ιατρός αναφέρει ότι κλήθηκε σε ακρόαση στις … ενώπιον του Κεντρικού Πειθαρχικού Συμβουλίου Ιατρών ΕΣΥ (προσκομίζεται ως Σχετικό 2) και αφού παρουσίασε, εξήγησε και απέδειξε τόσο τα πραγματικά περιστατικά όσο και τους λόγους για τους οποίους το υπ’ αριθμ. πρωτ. .../21-06-2024 έγγραφο βασιζόταν σε ανυποστήρικτα και αβάσιμα συμπεράσματα, το Πειθαρχικό Συμβούλιο προχώρησε στην πλήρη απαλλαγή του τόσο βάσει των πραγματικών περιστατικών όσο και λόγω ουσιωδών παραβάσεων του νοσοκομείου κατά τη διενέργεια της ΕΔΕ (προσκομίζεται ως Σχετικό 3).
- Όσον αφορά το λεκτικό της επικοινωνίας, ο ιατρός προσκομίζει ως Σχετικό 4 ένορκη βεβαίωση του επικοινωνιολόγου Ζ, ο οποίος είχε αναλάβει την επικοινωνιακή του στρατηγική και επιβεβαιώνει ότι ο ίδιος είχε εισηγηθεί το εν λόγω λεκτικό καθαρά για επικοινωνιακούς σκοπούς χωρίς να γνωρίζει την ταυτότητα των αποδεκτών του μηνύματος.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε την εισηγήτρια και τις διευκρινίσεις από τις βοηθούς εισηγητή, μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Aπό τις διατάξεις των άρθρων 51 και 55 και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ), του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Σύμφωνα με τις ανωτέρω διαπιστώσεις και από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του νόμου 4624/2019, προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί των καταγγελιών της A και της B για παράνομη επεξεργασία των προσωπικών τους δεδομένων και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Με το άρθρο 5 παρ. 1 του ΓΚΠΔ τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Σύμφωνα με το άρθρο 5 παρ. 1 α) ΓΚΠΔ «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια». Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που ορίζεται ρητώς στην δεύτερη παράγραφο του ιδίου άρθρου και συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθ. 5 παρ. 1. Η αρχή αυτή αναφορικά με το βάρος απόδειξης ενώπιον της Αρχής αποτελεί ειδικότερη πρόβλεψη της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα και ως εκ τούτου υπερισχύει των γενικών κανόνων αναφορικά με το βάρος απόδειξης του Κώδικα Διοικητικής Διαδικασίας.
3. Σύμφωνα με το άρθρο 6 παρ. 1 του ΓΚΠΔ «1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί». Στην Αιτιολογική Σκέψη 47 του ΓΚΠΔ διευκρινίζονται επιπλέον τα εξής: «Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του». Περαιτέρω, σύμφωνα με το άρθρο 9 ΓΚΠΔ, κατά κανόνα «1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα […] που αφορούν την υγεία», εκτός εάν συντρέχει μία από τις προβλεπόμενες στην παρ. 2 του ιδίου άρθρου εξαιρέσεις από την απαγόρευση. Όταν νομική βάση επεξεργασίας είναι η συγκατάθεση, αυτή πρέπει να παρέχεται σύμφωνα με τον ορισμό του άρθρου 4 αρ. 11 ΓΚΠΔ («κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν») καθώς και να πληροί τις προϋποθέσεις έγκυρης συγκατάθεσης του άρθρου 7 ΓΚΠΔ.
4. Σύμφωνα δε με την παρ. 4 του άρθρου 6 ΓΚΠΔ, «Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων: α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, β) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας, γ) τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10, δ) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων, ε) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση». Στην Αιτ. Σκ. 50 του ΓΚΠΔ επισημαίνεται ότι «Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας».
5. Όσον αφορά τη διαφάνεια της επεξεργασίας, το άρθρο 12 παρ. 1 ΓΚΠΔ ορίζει ότι: «Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα». Οι υποχρεωτικά παρεχόμενες πληροφορίες προβλέπονται στο άρθρο 13 ΓΚΠΔ για την περίπτωση που τα δεδομένα συλλέγονται από το υποκείμενο και στο άρθρο 14 ΓΚΠΔ για την περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο. Ειδικότερα, οι πληροφορίες αυτές περιλαμβάνουν τουλάχιστον «α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του, β) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, δ) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, στ) κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και σχετικές πληροφορίες, ζ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα, ή, εφόσον αυτό είναι αδύνατον, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, η) πληροφορίες σχετικά με τα δικαιώματα του υποκειμένου σύμφωνα με τα άρθρα 15-22 ΓΚΠΔ». Επιπλέον, σύμφωνα με την παρ. 3 του ιδίου άρθρου «Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2». Εφόσον τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο, σύμφωνα με το άρθρο 14 παρ. 2 εδ. στ) ΓΚΠΔ, απαιτείται να παρέχεται στο υποκείμενο ως πληροφορία «η πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό». Οι πληροφορίες παρέχονται είτε κατά τη συλλογή των δεδομένων, όταν αυτή γίνεται από το υποκείμενο (άρθρο 13 ΓΚΠΔ) είτε εντός του χρονικού διαστήματος που ορίζεται στην παρ. 3 του άρθρου 14 ΓΚΠΔ, στην περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο και ειδικότερα, εάν αυτά πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων (άρ. 14 παρ. 3 περ. β) ΓΚΠΔ). Σημειώνεται επίσης, ότι σύμφωνα με το άρθρο 12 παρ. 2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να «διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22».
6. Αναφορικά με την πολιτική επικοινωνία, σε συνέχεια των αποφάσεων υπ’ αρ. 1343-5/2022 του Συμβουλίου της Επικρατείας, με τις οποίες κρίθηκε ότι η δραστηριότητα της πολιτικής επικοινωνίας, ως μη έχουσα σκοπό την εμπορική προώθηση, δεν εμπίπτει στο ν. 3471/2006, η Αρχή επανεξέτασε, στο πλαίσιο της αρμοδιότητάς της, τα ζητήματα νομιμότητας που ανακύπτουν σε σχέση με την πολιτική επικοινωνία ώστε να καθοριστεί το πλαίσιο της νόμιμης επεξεργασίας προσωπικών δεδομένων για το σκοπό αυτό με βάση τις διατάξεις του ΓΚΠΔ, και με την Απόφαση 9/2023αποφάσισε την έκδοση των Κατευθυντήριων Γραμμών 1/2023 για την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα. Με τις εν λόγω Κατευθυντήριες Γραμμές (αναφερόμενες στη συνέχεια ως «ΚΓ 1/2023») διευκρινίζονται, μεταξύ άλλων, τα εξής: «Η επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία μπορεί να βασίζεται είτε στην προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων (άρθρο 6,παρ. 1, εδ.α’ ΓΚΠΔ) είτε σε υπέρτερο έννομο συμφέρον που εκάστοτε συντρέχει (άρθρο 6 παρ. 1, εδ. στ’ ΓΚΠΔ). Διευκρινίζεται συναφώς ότι, όταν τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί νομίμως αρχικώς για άλλο σκοπό και η περαιτέρω χρήση τους για τον σκοπό της πολιτικής επικοινωνίας δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, η επεξεργασία είναι νόμιμη αν ο υπεύθυνος επεξεργασίας τεκμηριώνει ότι η επεξεργασία για τον σκοπό της πολιτικής επικοινωνίας είναι συμβατή με τον σκοπό για τον οποίο συλλέχθηκαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα και ικανοποιούνται οι προϋποθέσεις του άρθρου 6 παρ. 4 ΓΚΠΔ. Ενδεικτικές περιπτώσεις για την εφαρμογή των ανωτέρω προϋποθέσεων νομιμότητας περιλαμβάνονται στο παρόν κείμενο στην παρ. 2.1.2». Επιπλέον, με τις ΚΓ 1/2023 υπενθυμίζεται ότι «σε περίπτωση συλλογής δεδομένων προς χρήση για τον σκοπό της πολιτικής επικοινωνίας με νομική βάση το υπέρτερο έννομο συμφέρον (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), σύμφωνα με την αρχή της λογοδοσίας κατ’ άρθρο 5 παρ. 2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να τεκμηριώσει επαρκώς τη στάθμιση, την οποία οφείλει να έχει πραγματοποιήσει πριν την έναρξη της επεξεργασίας, και βάσει της οποίας αξιολόγησε ότι έναντι των συμφερόντων του δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων - αποδεκτών της πολιτικής επικοινωνίας».
Ως ενδεικτικά παραδείγματα περιπτώσεων στις οποίες δεν επιτρέπεται να χρησιμοποιηθούν τα προσωπικά δεδομένα για τον σκοπό της πολιτικής επικοινωνίας, στις ΚΓ 1/2023 παρατίθενται τα εξής:
• Εάν ο υποψήφιος έχει συλλέξει διευθύνσεις ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικούς αριθμούς από το διαδίκτυο με χρήση ανιχνευτή ιστού (web crawler)
• Εάν ο υποψήφιος έχει αγοράσει από τρίτη εταιρεία λίστα με στοιχεία επικοινωνίας πολιτών, ακόμα και αν υφίσταται συγκατάθεση για τη χρήση τους με σκοπό την εμπορική προώθηση προϊόντων/υπηρεσιών
• Εάν ο υποψήφιος έχει συλλέξει στοιχεία επικοινωνίας επαγγελματιών από καταλόγους ή δημόσια μητρώα που είναι αναρτημένα στο διαδίκτυο για σκοπούς διαφάνειας ή επαγγελματικής επικοινωνίας
• Εάν ο υποψήφιος που κατείχε δημόσια θέση έχει συλλέξει δεδομένα πολιτών τα οποία αυτοί παρείχαν στο πλαίσιο των συναλλαγών τους με την υπηρεσία του.
Όσον αφορά την ενημέρωση των υποκειμένων σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ, στις ΚΓ 1/2023 επισημαίνεται ότι η ενημέρωση πρέπει να είναι συνοπτική, διαφανής, κατανοητή, εύκολα προσβάσιμη και διατυπωμένη σε απλή και σαφή γλώσσα, σύμφωνα με το άρθρο 12 παρ. 1 ΓΚΠΔ.
Τέλος, ειδικά για την περίπτωση ηλεκτρονικής επικοινωνίας σημειώνονται τα εξής: «Αντίστοιχα, σε κάθε ηλεκτρονική επικοινωνία προς τον σκοπό της πολιτικής επικοινωνίας απαιτείται:
• να αναφέρεται ευδιάκριτα και σαφώς η ταυτότητα του αποστολέα ή του προσώπου προς όφελος του οποίου αποστέλλεται το μήνυμα,
• να διευκρινίζεται η πηγή από την οποία έχουν συλλεγεί τα στοιχεία επικοινωνίας του υποκειμένου, εφόσον αυτή δεν είναι το ίδιο το υποκείμενο (άρθρο 14 παρ. 2 στ),
• να γίνεται παραπομπή σε πλήρες κείμενο ενημέρωσης σύμφωνα με τα άρθρα 13 ή 14 ΓΚΠΔ και
• να αναφέρεται ο τρόπος με τον οποίο ο αποδέκτης του μηνύματος μπορεί να ασκεί τα δικαιώματά του, μεταξύ των οποίων και να ζητεί τον τερματισμό της επικοινωνίας (δικαίωμα εναντίωσης)».
7. Στην προκειμένη περίπτωση, από τα στοιχεία του φακέλου και κατόπιν όσων προέκυψαν κατά την ακροαματική διαδικασία, διαπιστώνεται ότι ο καταγγελλόμενος ιατρός δεν υπέβαλε καμία τεκμηρίωση σχετικά με την προέλευση των 4.772 αριθμών τηλεφώνου των αποδεκτών του επίμαχου μηνύματος sms, για το οποίο υποβλήθηκαν οι εξεταζόμενες καταγγελίες, με περιεχόμενο «… (...: …)». Ο ιατρός προέβαλε αντιφατικούς ισχυρισμούς ως προς την πηγή προέλευσης των αριθμών τόσο προς την Αρχή κατά τη διάρκεια εξέτασης της υπόθεσης, όσο και προς το Νοσοκομείο στο πλαίσιο της ΕΔΕ: Ειδικότερα, στο πλαίσιο της ΕΔΕ ο ιατρός υποστήριξε ότι όλοι οι αριθμοί προήλθαν από γεννήτρια τυχαίων αριθμών, ενώ κατά την εξέτασή του από την Αρχή υποστήριξε αρχικά ότι οι αποδέκτες του μηνύματός του ήταν κατά 75% προσωπικοί του γνωστοί και φίλοι· έπειτα δε από τη σύγκριση της λίστας των αποδεκτών του με τη λίστα … στο Νοσοκομείο τα έτη 2018 – 2023, και αφού διαπιστώθηκε ότι οι δύο λίστες ταυτίζονταν σε ποσοστό άνω του 70%, ο ιατρός υποστήριξε ότι στην έννοια των «προσωπικών του φίλων και γνωστών» εμπίπτουν και οι ασθενείς «του», εννοώντας τους ασθενείς του Νοσοκομείου, τους οποίος ο ίδιος «περιέθαλψε» με ευρεία έννοια, δηλαδή όχι μόνο … αλλά «εξυπηρέτησε» ως ιατρός με οποιονδήποτε τρόπο. Σημειώνεται ότι ο ιατρός δεν προσκόμισε κανένα απολύτως αποδεικτικό στοιχείο ως προς την προέλευση των αριθμών και την υποτιθέμενη ποσόστωσή τους ανά πηγή προέλευσης. Eπίσης, ο ισχυρισμός ότι ο καταγγελλόμενος συνέλεγε ο ίδιος τα στοιχεία των ασθενών και τα έδινε στη συνέχεια στη Γραμματεία του Νοσοκομείου (ως επεξήγηση της συμπερίληψης των ίδιων 17 λανθασμένων αριθμών και στις δύο λίστες) έρχεται σε αντίθεση με την περιγραφόμενη από το Νοσοκομείο διαδικασία δήλωσης και καταχώρισης δημογραφικών στοιχείων των ασθενών σύμφωνα με την οποία τα στοιχεία αυτά δηλώνονται μόνο από τους ασθενείς με προσωπική τους παρουσία στην υποδοχή του Νοσοκομείου και δεν επιτρέπεται παρέμβαση ή τροποποίηση των στοιχείων της καρτέλας τους από τρίτο πρόσωπο. Με τους παραπάνω αντιφατικούς ισχυρισμούς, οι οποίοι μεταβάλλονταν και προσαρμόζονταν διαρκώς αναλόγως με το στάδιο της έρευνας, ώστε να ανταποκρίνονται κάθε φορά στα νεότερα στοιχεία που είχε η Αρχή στη διάθεσή της, ο καταγγελλόμενος υπεύθυνος επεξεργασίας απέτυχε να τεκμηριώσει, σύμφωνα με την αρχή της λογοδοσίας, τη νόμιμη συλλογή και επεξεργασία των δεδομένων (αριθμού κινητού τηλεφώνου) των αποδεκτών του προεκλογικού του μηνύματος. Παράλληλα, από τα στοιχεία του φακέλου της υπόθεσης, και λαμβάνοντας υπόψη ιδίως:
α) το γεγονός ότι η λίστα αποδεκτών του ιατρού και η λίστα … του Νοσοκομείου X ταυτίζεται κατά 70%, ποσοστό ιδιαίτερα υψηλό για να μπορεί βάσει στατιστικής να αποδοθεί σε σύμπτωση,
β) το γεγονός ότι και στις δύο λίστες υπάρχουν 17 ίδιοι αριθμοί εσφαλμένοι, δηλαδή αποτελούμενοι από αριθμό ψηφίων διαφορετικό του 10, είναι δε απίθανο το ίδιο λάθος στην καταχώριση να έχει επαναληφθεί αυτούσιο δύο φορές και η συγκεκριμένη «τυχαία» επανάληψη του ιδίου σφάλματος να συμβεί συμπτωματικά σε 17 περιπτώσεις, και
γ) το γεγονός ότι η επικαλούμενη από τον ιατρό διαδικασία συλλογής και καταχώρησης δεδομένων ασθενών στο πρόγραμμα του Νοσοκομείου, δηλαδή το να δίνει ο ασθενής τα στοιχεία του στον ιατρό και ο ιατρός στη συνέχεια να τα δίνει στη Γραμματεία, δεν επιβεβαιώνεται από το Νοσοκομείο,
ως εύλογο συμπέρασμα προκύπτει ότι ο ιατρός άντλησε τα στοιχεία επικοινωνίας ασθενών από το αρχείο του Νοσοκομείου στο οποίο είχε πρόσβαση, είτε ενεργώντας μόνος του (βλ. αναφορά στο πλαίσιο της ΕΔΕ, ότι σύμφωνα με την κατάθεση του προϊσταμένου του τμήματος οργάνωσης και πληροφορικής, η εξαγωγή στοιχείων σε excel δεν είναι περίπλοκη) είτε αξιοποιώντας τη βοήθεια κάποιου τρίτου. Ακόμα όμως και αν, παρά την απουσία οποιουδήποτε αποδεικτικού στοιχείου, γινόταν δεκτή η εκδοχή που υποστήριξε εν τέλει ο καταγγελλόμενος ιατρός, σύμφωνα με όσα ανέφερε στην Αρχή στο πλαίσιο της 2ης ακρόασης, από το έτος 2018 που άρχισε να υπηρετεί στο Νοσοκομείο X συνέλεγε συστηματικά δεδομένα ασθενών του Νοσοκομείου και τα τηρούσε επί χρόνια σε προσωπική του «ατζέντα», η εν λόγω επεξεργασία λάμβανε χώρα χωρίς σαφή και καθορισμένο σκοπό, χωρίς νομική βάση και χωρίς ενημέρωση των υποκειμένων, παραβιάζοντας τις αρχές της νομιμότητας, αντικειμενικότητας, διαφάνειας και περιορισμού του σκοπού (άρθρα 5 παρ. 1 α’ και β’ ΓΚΠΔ). Καθώς τα δεδομένα αυτά εν προκειμένω περιλαμβάνουν και πληροφορίες υγείας των υποκειμένων (ότι πρόκειται για ασθενείς και δη συγκεκριμένης κατηγορίας παθήσεων), αποτελούν δεδομένα ειδικών κατηγοριών, για τα οποία θα χρειαζόταν επιπλέον και η συνδρομή κάποιας εξαίρεσης από την απαγόρευση επεξεργασίας, σύμφωνα με το άρθρο 9 παρ. 2 ΓΚΠΔ. Αναφορικά με τον ισχυρισμό του καταγγελλόμενου ιατρού ότι νομική βάση για την τήρηση των δεδομένων των ασθενών σε δικό του αρχείο ήταν το έννομο συμφέρον τους σε ό,τι αφορά την άμεση διαχείριση και ανταπόκριση σε τυχόν ερωτήματα/απορίες ή ανησυχίες … και ότι η επεξεργασία ήταν απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής (άρθρο 6 παρ. 1 στοιχ. στ’ ΓΚΠΔ & άρθρο 9 παρ. 2 περ. η’ ΓΚΠΔ), επισημαίνεται ότι, όπως και ο ίδιος ο ιατρός αναφέρει ευθύς εξαρχής στο .../02-07-2024 υπόμνημά του, «για το ιατρικό αρχείο των ασθενών (…) Υπεύθυνος Επεξεργασίας είναι το ίδιο το Νοσοκομείο» και όχι ο εκάστοτε ιατρός.
Περαιτέρω, η χρήση γεννήτριας τυχαίων αριθμών για τον σκοπό της αποστολής μηνύματος πολιτικής επικοινωνίας δεν αποτελεί νόμιμη πρακτική, ούτε προβλεπόταν ως νόμιμη με βάση το προηγούμενο καθεστώς, το οποίο επικαλείται ο καταγγελλόμενος (Κατευθυντήριες Οδηγίες 1/2019 της Αρχής), ενώ και η αποστολή μηνυμάτων σε αποδέκτες των οποίων τα στοιχεία έχουν αντληθεί από δημόσια προσβάσιμους καταλόγους δεν πληροί τις προϋποθέσεις εφαρμογής της νομικής βάσης του άρθρου 6 παρ. 1 στ) ΓΚΠΔ, ώστε να στηρίζεται στο επικαλούμενο από τον καταγγελλόμενο, υπέρτερο έννομο συμφέρον του. Σημειώνεται ότι από τις απαντήσεις του καταγγελλόμενου δεν προκύπτει ότι είχε γίνει επαρκής στάθμιση μεταξύ του εννόμου συμφέροντός του να προωθήσει την υποψηφιότητά του και των θιγόμενων από την επεξεργασία δικαιωμάτων και ελευθεριών των αποδεκτών της επικοινωνίας, αφού σε κανένα σημείο δεν ανέφερε ότι έλαβε υπόψη ποια ήταν τα εν λόγω θιγόμενα δικαιώματα. Η εν λόγω επεξεργασία των δεδομένων ασθενών δεν θα μπορούσε με κανένα τρόπο να είναι ευλόγως αναμενόμενη από τα υποκείμενα, δεδομένου ότι οι ασθενείς δημόσιου νοσοκομείου δεν μπορούν να θεωρηθούν προσωπικοί ασθενείς του ιατρού, κατά τρόπο ώστε να υφίσταται «σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας» (Αιτ. Σκ. 47 ΓΚΠΔ) και να μπορεί να θεμελιωθεί το υπέρτερο έννομο συμφέρον του τελευταίου σε σχέση με τα δικαιώματα και τις ελευθερίες των υποκειμένων. Εξάλλου, δεδομένου ότι ο σκοπός συλλογής των δεδομένων ήταν, κατά δήλωση του ιατρού, η εξυπηρέτηση των υποκειμένων ως ασθενών, η χρήση τους για το σκοπό της αποστολής μηνύματος πολιτικής επικοινωνίας συνιστά περαιτέρω σκοπό επεξεργασίας, ο οποίος σε καμία περίπτωση δεν μπορεί να θεωρηθεί συμβατός με τον αρχικό κατά το άρθρο 6 παρ. 4 ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση των δεδομένων (ιατρικών) και τις θεμιτές προσδοκίες κάθε ασθενούς που επισκέπτεται ένα δημόσιο νοσοκομείο, ο οποίος δεν μπορεί ευλόγως να αναμένει ότι ο αριθμός τηλεφώνου του θα χρησιμοποιηθεί στο πλαίσιο της προεκλογικής εκστρατείας του ιατρού που … τον εξυπηρέτησε με οποιονδήποτε τρόπο.
Επιπλέον, στο πλαίσιο της αποστολής του επίμαχου προεκλογικού μηνύματος, προέκυψε ότι δεν εκπληρώθηκαν οι υποχρεώσεις διαφάνειας του καταγγελλόμενου ως υπεύθυνου επεξεργασίας, σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ. Από τα στοιχεία που έχει στη διάθεσή της η Αρχή φαίνεται ότι η μοναδική ενέργεια στην οποία προέβη ο καταγγελλόμενος προς εκπλήρωση της υποχρέωσης διαφάνειας ήταν η ανάρτηση κειμένου με τίτλο «ΕΝΗΜΕΡΩΤΙΚΟ ΣΗΜΕΙΩΜΑ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ» στις φωτογραφίες της σελίδας του στο facebook στις 19/5/2023, ήτοι μετά την αποστολή του υπό κρίση μηνύματος. Στην εν λόγω ενημέρωση γίνεται λόγος μόνο για την επεξεργασία δεδομένων με νομική βάση τη συγκατάθεση και όχι με νομική βάση το υπέρτερο έννομο συμφέρον. Σημειώνεται ότι στα μηνύματα που εστάλησαν δεν γινόταν παραπομπή σε οποιοδήποτε κείμενο ενημέρωσης, ούτε παρεχόταν καμία άλλη πληροφορία. Κατ’ εξαίρεση, στις δύο τελευταίες αποστολές (4η και 5η επικοινωνία) παρέχεται η εξής πληροφορία σε σχέση με την πηγή των δεδομένων: «ΠHΓH TOY THΛEΦΩNIKOY ΣAΣ APIΘMOY EINAI H ΓENNHTPIA TYXAIΩN 10ΨHΦIΩN APIΘMΩN ekepis.gr». Με βάση τα ανωτέρω προκύπτει ότι ο καταγγελλόμενος ιατρός συνέλεξε και επεξεργάστηκε για το σκοπό της πολιτικής επικοινωνίας δεδομένα ασθενών του Νοσοκομείου X, κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας.
Πέραν των ανωτέρω, από την εξέταση των στοιχείων της υπόθεσης προέκυψε παραβίαση της κατ’ άρθρο 12 παρ. 2 ΓΚΠΔ υποχρέωσης του υπεύθυνου επεξεργασίας να διευκολύνει τα υποκείμενα στην άσκηση των δικαιωμάτων τους. Ειδικότερα, ο καταγγελλόμενος υποστηρίζει ότι στην 1η επικοινωνία παρέπεμπε προς το σκοπό αυτό τους αποδέκτες στη σελίδα του στο ... (σημ. με τη φράση: «(...: …)» στο τέλος του μηνύματος). Ωστόσο η παραπομπή αυτή δεν είναι σαφές ότι αναφέρεται στον τρόπο άσκησης δικαιωμάτων κατά τον ΓΚΠΔ, ενώ είναι προφανές ότι στην περίπτωση που ο αποδέκτης δεν διέθετε λογαριασμό στο ... δεν θα είχε τη δυνατότητα επικοινωνίας με τον καταγγελλόμενο με τον τρόπο αυτό. Επιπλέον, στις λοιπές επικοινωνίες (2η – 5η) δεν παρείχε καμία πληροφορία σε σχέση με τον τρόπο άσκησης των δικαιωμάτων εναντίωσης ή διαγραφής των δεδομένων των αποδεκτών.
8. Ως εκ τούτου, η Αρχή διαπιστώνει τις εξής παραβάσεις εκ μέρους του καταγγελλόμενου ιατρού, ως υπευθύνου επεξεργασίας:
α) παράβαση της βασικής αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας (άρθρο 5 παρ. 1 εδ. α΄ σε συνδ. με άρθρα 6 παρ. 1, 6 παρ. 4, 9 παρ. 1 και 2, 13 και 14 ΓΚΠΔ) και
β) παράβαση της υποχρέωσης διευκόλυνσης των υποκειμένων στην άσκηση των δικαιωμάτων τους (άρθρο 12 παρ. 2 ΓΚΠΔ).
9. Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς. Περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, τις παραγράφους 4 εδ. α) και 5 εδ. β) του ίδιου άρθρου που έχουν εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03-10-2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253) και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και ιδίως τα κριτήρια και οι ειδικές περιστάσεις που παρατίθενται στη συνέχεια:
• ότι οι διαπιστωθείσες παραβάσεις εμπίπτουν στη διάταξη της παρ. 5 του άρθρου 83 ΓΚΠΔ και συγκεκριμένα στην περίπτωση α) της εν λόγω παραγράφου αναφορικά με τις βασικές αρχές επεξεργασίας και στην περίπτωση β) αναφορικά με τα δικαιώματα των υποκειμένων των δεδομένων
• ότι, λαμβάνοντας υπόψη τη φύση της παράβασης, που αφορά την ειδική κατηγορία δεδομένων υγείας, τον αριθμό των επηρεαζόμενων υποκειμένων (τουλάχιστον 3.392 ασθενείς του Νοσοκομείου και σε κάθε περίπτωση συνολικά 4.772 υποκείμενα χωρίς νόμιμη βάση) και τη διάρκεια της παράβασης (η παράνομη συλλογή και τήρηση δεδομένων από τον καταγγελλόμενο φαίνεται να λάμβανε χώρα τουλάχιστον από το έτος 2018), η βαρύτητα της παράβασης κρίνεται ως μεσαία
• τον μεγάλο βαθμό ευθύνης του ιατρού, ο οποίος, ως επαγγελματίας υγείας οφείλει να τηρεί το ιατρικό απόρρητο
• ότι η παράβαση φαίνεται να αποδίδεται σε τουλάχιστον σοβαρή αμέλεια του καταγγελλόμενου ιατρού
Επιβαρυντικά λαμβάνεται υπόψη:
• Η προβολή αντιφατικών ισχυρισμών που μεταβάλλονταν ανάλογα με τα στοιχεία που είχε η Αρχή στη διάθεσή της, από την οποία συνάγεται προσπάθεια αποπροσανατολισμού της Αρχής και μη συνεργασία κατά τον έλεγχο.
• Όπως σημειώθηκε, ο ιατρός φέρει ιδιαίτερη υποχρέωση τήρησης του επαγγελματικού απορρήτου (σύμφωνα με τη διατύπωση του άρθρου 9 παρ. 3 ΓΚΠΔ). Ως εκ τούτου, ο ισχυρισμός ότι ο «δεν είχε τα μέσα για να λάβει κατάλληλη νομική συμβουλή» πριν τη χρήση των δεδομένων για τον σκοπό της πολιτικής επικοινωνίας και ότι έπεσε «θύμα» των συμβουλών των επικοινωνιολόγων του, λαμβάνεται υπόψη επιβαρυντικά εν προκειμένω, διότι δεν νοείται άγνοια των σχετικών διατάξεων περί προστασίας δεδομένων από επαγγελματία που υποχρεούται να τηρεί το ιατρικό απόρρητο.
• Ο επαναλαμβανόμενος ισχυρισμός του ιατρού ότι δεν φέρει ο ίδιος το βάρος απόδειξης, παρά την αρχή της λογοδοσίας, γεγονός που καταδεικνύει όχι μόνο άγνοια αλλά και απουσία διάθεσης συμμόρφωσης με τον ΓΚΠΔ.
Επιπλέον λαμβάνεται υπόψη ότι σύμφωνα με την Αιτιολογική Σκέψη 150 του ΓΚΠΔ «Σε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε πρόσωπα που δεν είναι επιχειρήσεις, η εποπτική αρχή θα πρέπει να λαμβάνει υπόψη το γενικό επίπεδο εισοδημάτων στο κράτος μέλος, καθώς και την οικονομική κατάσταση του προσώπου, όταν εξετάζει το ενδεδειγμένο ποσό του προστίμου».
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Επιβάλλει στον Γ, ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, α) διοικητικό πρόστιμο ύψους δώδεκα χιλιάδων (12.000€) ευρώ, για τη διαπιστωθείσα παράβαση της βασικής αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας (άρθρο 5 παρ. 1 εδ. α΄ σε συνδ. με άρθρα 6 παρ. 1, 6 παρ. 4, 9 παρ. 1 και 2, 13 και 14 ΓΚΠΔ) και β) διοικητικό πρόστιμο ύψους τριών χιλιάδων (3.000€) ευρώ, για τη διαπιστωθείσα παράβαση της υποχρέωσης διευκόλυνσης των υποκειμένων στην άσκηση των δικαιωμάτων τους (άρθρο 12 παρ. 2 ΓΚΠΔ).
Ο Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφή
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα
Δημοσιεύστε