ΑΠΔΠΧ 17/2025: Πρόστιμο σε δημόσιο νοσοκομείο για παράνομη επεξεργασία δεδομένων ιατρού

ΑΠΔΠΧ 17/2025: Πρόστιμο σε δημόσιο νοσοκομείο για παράνομη επεξεργασία δεδομένων ιατρού

Πρόστιμο 7.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε δημόσιο νοσοκομείο, λόγω παράνομης επεξεργασίας προσωπικών δεδομένων ιατρού και μη ικανοποίησης του δικαιώματος πρόσβασης που άσκησε ο τελευταίος ως υποκείμενο των δεδομένων (ΑΠΔΠΧ 17/2025).

Παράλληλα, η Αρχή απηύθυνε και επίπληξη στο νοσοκομείο για την καθυστερημένη ανταπόκριση αυτού στα έγγραφά της.

Η Αρχή διαπίστωσε ότι το εν λόγω νοσοκομείο, ως υπεύθυνος επεξεργασίας, προέβη παρανόμως σε επεξεργασία των προσωπικών δεδομένων του καταγγέλλοντα ιατρού με σκοπό την αξιολόγηση της επαγγελματικής επάρκειας και καταλληλότητάς του, καθώς και ότι δεν ικανοποίησε το δικαίωμα πρόσβασης που άσκησε ο καταγγέλλων ως υποκείμενο των δεδομένων.

Συγκεκριμένα, η Αρχή έκρινε ότι η επεξεργασία που έλαβε χώρα εν προκειμένω, ήτοι η συλλογή/διαλογή δεδομένων που αφορούν τον καταγγέλλοντα ιατρό, η καταχώριση αυτών σε συγκριτικούς πίνακες, η διάρθρωση και ταξινόμηση σε στήλες με συγκεκριμένα κριτήρια ταξινόμησης, η αποθήκευση και τήρηση αυτών στα αρχεία του Εργαστηρίου, καθώς και η κοινολόγηση μέρους αυτών με διαβίβαση σε τρίτα πρόσωπα, δεν έλαβε χώρα για στατιστικούς σκοπούς, όπως αβασίμως ισχυρίζεται το καταγγελλόμενο Γενικό Νοσοκομείο Λάρισας, αλλά με σκοπό την αξιολόγηση της επαγγελματικής επάρκειας του καταγγέλλοντα (εργασιακές επιδόσεις και εν γένει εργασιακή απόδοση στο Εργαστήριο) και καταλληλότητάς του (σχέσεις με το νοσηλευτικό και τεχνικό προσωπικό του Εργαστηρίου). Και τούτο, καθότι το αποτέλεσμα αυτής της επεξεργασίας αποτελείται από δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντα και όχι από συγκεντρωτικά δεδομένα, αφού είναι δυνατή η άμεση ταυτοποίησή του ως υποκειμένου των δεδομένων.

Επομένως, ο ισχυρισμός του νοσοκομείου ότι τα δεδομένα που έχουν περιληφθεί στους ανωτέρω συγκριτικούς πίνακες δεν είναι προσωπικά δεδομένα του καταγγέλλοντα, αλλά «στατιστικά δεδομένα», και ότι οι λόγοι συλλογής και επεξεργασίας των δεδομένων αυτών είναι για στατιστικούς σκοπούς, κρίθηκε απορριπτέος.

Η Αρχή διαπίστωσε, επιπλέον, ότι ο καταγγέλλων δεν ενημερώθηκε προσηκόντως σχετικά με τη συλλογή των προσωπικών του δεδομένων και την επεξεργασία τους με σκοπό την αξιολόγηση της επαγγελματικής επάρκειας και καταλληλότητάς του ως ανωτέρω, δεδομένου ότι ο υπεύθυνος επεξεργασίας δεν προσκόμισε στοιχεία για την τεκμηρίωση του σχετικού ισχυρισμού του, παρά μόνο επικαλέστηκε προφορική ενημέρωση του καταγγέλλοντα σχετικά με τη συλλογή και την εν γένει επεξεργασία καθώς και σχετικά με τον σκοπό επεξεργασίας των δεδομένων αυτών, η οποία όμως δεν δύναται να θεωρηθεί σύννομη και επαρκής, κατά παράβαση των διατάξεων των άρθρων 14 και 5 παρ. 1 περ. α΄ ΓΚΠΔ.

Συνεπώς, από όλα τα στοιχεία της υπόθεσης προέκυψε ότι ο καταγγέλλων δεν είχε ενημερωθεί ότι τα δεδομένα αυτά θα χρησιμοποιούνταν για τον σκοπό της αξιολόγησής του, ενώ ο ισχυρισμός του νοσοκομείου ότι αυτά τα στατιστικά δεδομένα, όπως τα αποκαλεί, ήταν γνωστά στον καταγγέλλοντα καθώς αυτός είχε ενημερωθεί, είναι απορριπτέος δεδομένου ότι ο έχων το βάρος απόδειξης υπεύθυνος επεξεργασίας δεν απέδειξε ότι πράγματι έλαβε χώρα τέτοια ενημέρωση.

Κατόπιν των ανωτέρω, η Αρχή επέβαλε στο Πανεπιστημιακό Γενικό Νοσοκομείο Λάρισας, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο 1) τεσσάρων χιλιάδων (4.000) ευρώ για την ως άνω διαπιστωθείσα παράβαση του άρθρου 5 ΓΚΠΔ, 2) χιλίων πεντακοσίων (1.500) ευρώ για την ως άνω διαπιστωθείσα παράβαση του άρθρου 14 ΓΚΠΔ, 3) χιλίων πεντακοσίων (1.500) ευρώ για την ως άνω διαπιστωθείσα παράβαση του άρθρου 15 ΓΚΠΔ, καθώς και απηύθυνε επίπληξη για την ως άνω διαπιστωθείσα παράβαση του άρθρου 31 ΓΚΠΔ, όπως αυτές οι περιστάσεις ανωτέρω εξειδικεύτηκαν, σύμφωνα με τα άρθρα 58 παρ. 2 στοιχ. β΄ και θ΄ και 83 παρ. 5 στοιχ. α’ και β΄ ΓΚΠΔ.

ΑΠΔΠΧ 17/2025: Πρόστιμο σε δημόσιο νοσοκομείο για παράνομη επεξεργασία δεδομένων ιατρού