ΑΠΔ 28/2012

 

Καταγγελία εργαζομένης για παράνομη επεξεργασία ευαίσθητων προσωπικών δεδομένων από τον εργοδότη της.

 

 

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Ταχ. Δ/νση: ΚΗΦΙΣΙΑΣ 1-3

115 23 ΑΘΗΝΑ

ΤΗΛ.: 210-6475600

FAX: 210-6475628

Αθήνα, 07-03-2012

ΑΠ: Γ/ΕΞ/1758/07-03-2012

 

Α Π Ο Φ Α Σ Η 28/2012

 

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της, στην έδρα της σε τακτική συνεδρίαση την Πέμπτη 09.02.2012 και ώρα 10:00, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Πέτρος Χριστόφορος, Πρόεδρος της Αρχής, ως εισηγητής και Λεωνίδας Κοτσαλής, Αναστάσιος Πράσσος, Δημήτριος Μπριόλας και Γραμματή Πάντζιου, τακτικά μέλη της Αρχής. Επίσης, παρέστη ο Γρηγόριος Λαζαράκος, αναπληρωματικό μέλος της Αρχής, σε αντικατάσταση του τακτικού μέλους Αναστάσιου-Ιωάννη Μεταξά.  εν παρέστησαν, αν και εκλήθησαν νομίμως εγγράφως, ο Αντώνιος Ρουπακιώτης, τακτικό μέλος και ο Κωνσταντίνος Χριστοδούλου, αναπληρωματικό μέλος.

 

Παρούσες χωρίς δικαίωμα ψήφου ήταν η Χαρίκλεια Λάτσιου, ελέγκτρια νομικός - δικηγόρος, ως βοηθός εισηγήτρια και η Γεωργία Παλαιολόγου, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας.

 

Η Αρχή έλαβε υπόψη της τα παρακάτω:

 

Η Αρχή με την υπ’ αρ. 73/2011 απόφασή της ανακάλεσε, μεταξύ άλλων, την υπ’ αρ. 44/2007 απόφασή της και εξετάζει εκ νέου τις καταγγελλόμενες πράξεις που αναφέρονται στην υπ’ αρ. πρωτ. ΑΠ ΠΧ Γ/ΕΙΣ/4564/07.07.2006 καταγγελία της Α κατά του Γενικού Νοσοκομείου ....

 

Συγκεκριμένα, η Α, μόνιμη διοικητική υπάλληλος του Νοσοκομείου αυτού, κατήγγειλε στην Αρχή ότι ο Διοικητής του Νοσοκομείου, Β κοινοποίησε στο Τμήμα Προσωπικού, στο Λογιστήριο και στο Γραφείο Κίνησης (Γραμματεία Εξωτερικών Ιατρείων) του Νοσοκομείου την υπ’ αρ. πρωτ. .../..-04-2006 απόφασή του, στην οποία αναφέρεται ότι η εν λόγω εργαζόμενη επικαλέστηκε «ψυχολογικά προβλήματα, εξ αιτίας των οποίων δήλωσε αδυναμία να ανταπεξέλθει στα νέα της καθήκοντα» και για το λόγο αυτό τοποθετείται στη Γραμματεία των Εξωτερικών Ιατρείων κατ’ ικανοποίηση του αιτήματός της.

 

Η Αρχή με τα υπ’ αρ. πρωτ. Γ/ΕΞ/6047/14.09.2011 και Γ/ΕΞ/6048/14.09.2011 έγγραφά της ενημέρωσε το Γενικό Νοσοκομείο … και την Α, αντίστοιχα, για την ανάκληση της υπ’ αρ. 44/2007 απόφασης της Αρχής. Επιπλέον, η Αρχή με το υπ’ αρ. πρωτ. Γ/ΕΞ/7848/23.11.2011 έγγραφό της κάλεσε το Γενικό Νοσοκομείο .... όπως νομίμως εκπροσωπείται, να παραστεί στη συνεδρίαση της Αρχής την Πέμπτη 01.12.2011 και ώρα 10.00 π.μ., στην έδρα της Αρχής, προκειμένου να συζητηθεί εκ νέου η προαναφερόμενη καταγγελία της Α κατά του Γενικού Νοσοκομείου .... Στην συνεδρίαση της Αρχής την 01.12.2011 το Γενικό Νοσοκομείο .., αν και εκλήθη νομίμως εγγράφως, δεν παρέστη.

 

Η Αρχή, μετά από εξέταση των προαναφερομένων στοιχείων, αφού άκουσε τον εισηγητή και τη βοηθό εισηγήτρια, η οποία στη συνέχεια αποχώρησε, και κατόπιν διεξοδικής συζήτησης.

 

 

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

 

 

1. Επειδή, το άρθρο 2 στοιχ. β΄ του ν.2472/1997 ορίζει ότι για τους σκοπούς του νόμου αυτού νοούνται ως «ευαίσθητα δεδομένα», τα δεδομένα που αφορούν, μεταξύ άλλων, στην υγεία. 3ς υγεία νοείται κάθε πληροφορία που ανάγεται τόσο στη βιολογική όσο και στην ψυχική κατάσταση της υγείας του ατόμου.

 

 

2. Επειδή, η διάταξη του άρθρου 4 παρ. 1 του ν. 2472/1997, εναρμονιζόμενη, ιδίως, με τις διατάξεις των άρθρων 9Α, 25 παρ. 1 και 28 του Συν/τος, 8 και 7 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και 6 της Οδηγίας 95/46/ΕΕ, ορίζει ότι: «Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει: α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και

νόμιμη επεξεργασία ενόψει των σκοπών αυτών. β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. (…)». Με τις διατάξεις αυτές καθιερώνονται ως θεμελιώδεις προϋποθέσεις για τη νομιμότητα κάθε επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και για τη νομιμότητα της σύστασης και λειτουργίας κάθε αρχείου, οι αρχές του σκοπού της επεξεργασίας και της αναλογικότητας των δεδομένων σε σχέση πάντα με το σκοπό επεξεργασίας. Συνεπώς, κάθε επεξεργασία προσωπικών δεδομένων, που γίνεται πέραν του επιδιωκόμενου σκοπού και που δεν είναι πρόσφορη και αναγκαία για την επίτευξή του, δεν είναι νόμιμη.

 

 

3. Επειδή, το άρθρο 7Α παρ. 1 του ν.2472/1997 ορίζει, μεταξύ άλλων, ότι: «Ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση γνωστοποίησης και του άρθρου 6 και από την υποχρέωση λήψης άδειας του άρθρου 7 του παρόντος νόμου στις ακόλουθες περιπτώσεις: α) Όταν η επεξεργασία πραγματοποιείται αποκλειστικά για σκοπούς που συνδέονται άμεσα με σχέση εργασίας ή έργου ή με παροχή υπηρεσιών στο δημόσιο τομέα και είναι αναγκαία για την εκπλήρωση υποχρέωσης που επιβάλλει ο νόμος ή για την εκτέλεση των υποχρεώσεων από τις παραπάνω σχέσεις και το υποκείμενο έχει προηγουμένως ενημερωθεί». Με τη διάταξη αυτή επιτρέπεται κατ’ εξαίρεση η συλλογή και η επεξεργασία απλών και ευαίσθητων προσωπικών δεδομένων στις εργασιακές σχέσεις, χωρίς να απαιτούνται οι πρόσθετες εγγυήσεις του νόμου για τη γνωστοποίηση του αρχείου (άρθρο 6) και τη λήψη προηγούμενης άδειας από την Αρχή (άρθρο 7), όταν πρόκειται για ευαίσθητα προσωπικά δεδομένα (βλ. σχετικά Οδηγία 115/2001 της Αρχής για την επεξεργασία δεδομένων των εργαζομένων).

 

 

4. Επειδή, το άρθρο 10 του ν.2472/1997 ορίζει ότι: «1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ’ εντολή του».

Περαιτέρω, η παρ. 3 του ίδιου άρθρου προβλέπει ότι: «Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας (…)». Ανάλογες διατυπώσεις για την τήρηση του απορρήτου προβλέπονται και στις διατάξεις του άρθρου 23 του ν.3528/2007 και του άρθρου 4 του Π.Δ/τος 178/2004 (ΦΕΚ Α΄ 154) σχετικά με τον τρόπο τήρησης - ενημέρωσης του προσωπικού μητρώου δημοσίων υπαλλήλων και υπαλλήλων ΝΠ.

 

 

5. Επειδή, το άρθρο 19 παρ. 1 στοιχ. γ΄ του ν.2472/1997 προβλέπει ότι η Αρχή έχει την αρμοδιότητα, μεταξύ άλλων, να: «Απευθύνει συστάσεις και υποδείξεις στους υπευθύνους επεξεργασίας ή τους τυχόν εκπροσώπους τους και δίδει κατά την κρίση της δημοσιότητα σε αυτές».

 

 

6. Επειδή, στην υπό κρίση υπόθεση, η γνωστοποίηση της υπ’ αρ. πρωτ. .../...04.2006 απόφασης του Διοικητή του Νοσοκομείου σε τρία τμήματα του Νοσοκομείου για την μετακίνηση της υπαλλήλου Α σε άλλο τμήμα του Νοσοκομείου με αναγραφή της πληροφορίας για την κατάσταση της υγείας της συνιστά επεξεργασία ευαίσθητων προσωπικών δεδομένων, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 2 στοιχ. β΄ και δ΄ του ν. 2472/1997. Η επεξεργασία αυτή πραγματοποιήθηκε για σκοπό νόμιμο και θεμιτό, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 4 παρ. 1 στοιχ. α΄ και 7Α παρ. 1 στοιχ. α΄ του ν.2472/1997, που συνδεόταν άμεσα με τη δημοσιοϋπαλληλική της σχέση της καταγγέλλουσας και εν προκειμένω με την αιτηθείσα από την ίδια εσωτερική μετακίνησή της. Για την εκπλήρωση, ωστόσο, του σκοπού αυτού δεν χρειαζόταν η ρητή αναφορά στην κατάσταση της υγείας της καταγγέλλουσας, παρά αρκούσε ενδεικτικά η αναφορά σε σοβαρούς προσωπικούς λόγους που συνέτρεχαν στο πρόσωπο της αιτούσας για τη μετακίνησή της. Η αποκάλυψη της κατάστασης της υγείας της καταγγέλλουσας στην προαναφερόμενη απόφαση του  Διοικητή του Νοσοκομείου παραβιάζει την αρχή της αναλογικότητας του άρθρου 4 παρ. 1 στοιχ. β΄ του ν.2472/1997 καθώς και την υποχρέωση του απορρήτου της επεξεργασίας, σύμφωνα με το άρθρο 10 του ν.2472/1997. Η Αρχή αναγνωρίζει ως ελαφρυντική περίσταση το γεγονός ότι η αποκάλυψη του ευαίσθητου προσωπικού δεδομένου της καταγγέλλουσας έγινε εντός της σφαίρας του Νοσοκομείου, ως υπευθύνου επεξεργασίας, στο πλαίσιο μάλιστα της κάλυψης των υπηρεσιακών αναγκών του Νοσοκομείου.

 

 

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

 

 

Η Αρχή,

 

απευθύνει σύσταση στο Γενικό Νοσοκομείο .., ως υπεύθυνο επεξεργασίας, για την τήρηση των διατάξεων του ν.2472/1997 - κατά τα αναφερόμενα στο σκεπτικό της παρούσας - ιδίως αναφορικά με την τήρηση της αρχής της αναλογικότητας και του απορρήτου της επεξεργασίας κατά τη συλλογή και την επεξεργασία προσωπικών δεδομένων.

 

Ο Πρόεδρος της Αρχής       Η γραμματέας

Πέτρος Χριστόφορος         Γεωργία Παλαιολόγου