Απόφαση 4/2019 ΑΠΔΠΧ- Προειδοποίηση λόγω μη ενημέρωσης για διαβίβαση ιατρικών δεδομένων σε 3ο.
Αντικείμενο της υπό κρίση προσφυγής ήταν η χωρίς συναίνεση της καταγγέλλουσας διαβίβαση σε τρίτο των προσωπικών της δεδομένων ιατρικού περιεχομένου από το Γενικό Νοσοκομείο Θεσσαλονίκης «Παπαγεωργίου», κατόπιν εισαγγελικής παραγγελίας. Η Αρχή αρχικά υπενθύμισε ότι σύμφωνα με τις διατάξεις του άρθρου 2 εδ. β) ως «ευαίσθητα δεδομένα» νοούνται όσα αφορούν μεταξύ άλλων και την υγεία. Σύμφωνα με τις διατάξεις του άρθρου 4 παρ. 1 στοιχ. α’ β’ και γ’ του ν. 2472/1997, τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας θα πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίσταται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών. Επίσης πρέπει τα δεδομένα να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας, καθώς και να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση. Επίσης, η διαβίβαση προσωπικών δεδομένων σε τρίτο αποτελεί επεξεργασία προσωπικών δεδομένων, η οποία δεν επιτρέπεται καταρχήν χωρίς την συγκατάθεση του υποκειμένου των δεδομένων (άρθρο 5 παρ. 1 του ν. 2472/97). Κατ’ εξαίρεση επιτρέπεται η χορήγησή τους σε τρίτο, και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, μόνον στις εξαιρετικές περιπτώσεις του άρθρου 5 παρ. 2 του ν. 2472/97. Σε περίπτωση δε ανακοίνωσης των προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας σε τρίτους θα πρέπει να ενημερωθεί το υποκείμενο των δεδομένων πριν από αυτούς (άρθρο 11 παρ. 3 του ν. 2472/1997). Περαιτέρω, σύμφωνα µε τη Γνωμοδότηση της Αρχής 3/2009, η εισαγγελική παραγγελία είναι δεσμευτική για τη διοίκηση, μόνον στο πλαίσιο προκαταρκτικής έρευνας, προανάκρισης και κύριας ανάκρισης, ενώ στις περιπτώσεις που έχει ως περιεχόμενο τη χορήγηση εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων προσώπων δεσμεύει τη διοίκηση µε την έννοια της επιτακτικής εντολής προς διερεύνηση του αιτήματος χορήγησης του εγγράφου και δεν υποχρεώνει τη διοίκηση στη χορήγησή του.
Στην κρινόμενη περίπτωση η διαβίβαση των συγκεκριμένων ευαίσθητων προσωπικών δεδομένων υγείας του ιατρικού φακέλου της προσφεύγουσας δεν έγινε νομίμως, διότι δεν προηγήθηκε ενημέρωση του υποκειμένου των δεδομένων όπως απαιτεί το άρθρο 11 παρ. 3 του ν. 2472/1997, η ενημέρωση δε αυτή ήταν απαραίτητη, προκειμένου η προσφεύγουσα, ως υποκείμενο των δεδομένων, να ασκήσει το δικαίωμα αντίρρησης του άρθρου 13 ν. 2472/1997, το οποίο έχει σε κάθε περίπτωση.
Ενόψει των ανωτέρω, η Αρχή, αφού έλαβε υπόψη τη βαρύτητα της παράβασης του άρθρου 11 του ν. 2472/1997 που αποδείχθηκε και της προσβολής που επήλθε από αυτή στο υποκείμενο και βάσει του άρθρο 21 παρ. 1 εδαφ. α΄ του ν. 2472/1997 :
1) έκρινε ότι το Γενικό Νοσοκομείο Θεσσαλονίκης «Παπαγεωργίου», ως υπεύθυνος επεξεργασίας, όφειλε να ενημερώσει προηγουμένως την προσφεύγουσα Α για τη διαβίβαση των ευαίσθητων προσωπικών της δεδομένων για τους λόγους που αναφέρονται στο σκεπτικό της παρούσας
2) επέβαλε στο Γενικό Νοσοκομείο Θεσσαλονίκης «Παπαγεωργίου», ως υπεύθυνο επεξεργασίας, για τη μη τήρηση της ως άνω υποχρέωσης προηγούμενης ενημέρωσης της προσφεύγουσας και για τους ως άνω λόγους, την κύρωση της προειδοποίησης, επισημαίνοντας ότι εφεξής θα πρέπει να ενημερώνει τους ασθενείς- υποκείμενα των δεδομένων για την διαβίβαση των προσωπικών τους δεδομένων σε τρίτους.
Επιμέλεια: Διονύσης Παυλιόγλου/ Επιστημονικός Συνεργάτης e-Θέμις
Η διαβίβαση προσωπικών δεδομένων σε τρίτο αποτελεί επεξεργασία προσωπικών δεδομένων, η οποία δεν επιτρέπεται καταρχήν χωρίς την συγκατάθεση του υποκειμένου των δεδομένων.
