Παράνομη πρόσβαση ιατρού σε δεδομένα ασθενών

Διοικητικό πρόστιμο ύψους 1.153 ευρώ επέβαλε η λιθουανική αρχή προστασίας δεδομένων VDAI σε ιατρό, κρίνοντας ότι προέβη σε παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα 1.231 ασθενών, κατά την αποχώρησή της από δημόσια δομή υγείας.

Η υπόθεση ξεκίνησε ύστερα από γνωστοποίηση περιστατικού παραβίασης δεδομένων από την οικεία υγειονομική μονάδα. Κατά την έρευνα της λιθουανικής αρχής διαπιστώθηκε ότι η ιατρός, ενώ βρισκόταν σε αναρρωτική άδεια και γνώριζε ότι επρόκειτο να αποχωρήσει από την υπηρεσία, απέκτησε πρόσβαση στο πληροφοριακό σύστημα του φορέα και επεξεργάστηκε στοιχεία ασθενών.

Ερωτηθείσα σχετικώς από την εποπτική αρχή, η ιατρός υποστήριξε ότι συνδέθηκε στο σύστημα μόνο μία φορά, προκειμένου να δημιουργήσει κατάλογο των ασθενών που βρίσκονταν υπό την ιατρική παρακολούθησή της και να τους ενημερώσει σχετικά με την αποχώρησή της, επικαλούμενη το δικαίωμα των ασθενών να λαμβάνουν πληροφορίες για τον επαγγελματία υγείας που τους παρέχει υπηρεσίες. Ανέφερε επίσης ότι δεν προέβη σε αποθήκευση δεδομένων, ούτε σε περαιτέρω επεξεργασία ατομικών φακέλων ασθενών.

Η VDAI δεν έκανε δεκτούς τους ισχυρισμούς αυτούς, επισημαίνοντας ότι από τα αρχεία καταγραφής του πληροφοριακού συστήματος προέκυπτε επανειλημμένη πρόσβαση σε διαφορετικές χρονικές στιγμές και σε μεγάλο αριθμό ατομικών φακέλων ασθενών κατά το διάστημα από 23 έως 27 Οκτωβρίου 2024. Σύμφωνα με τα ευρήματα της έρευνας, η ιατρός προέβη σε αναζήτηση στοιχείων επικοινωνίας ασθενών και απέστειλε ηλεκτρονικά μηνύματα, ενώ διαπιστώθηκε και αποστολή μηνυμάτων SMS με το οποίο ενημέρωνε τους ασθενείς ότι αποχωρεί από την πολυκλινική και τους καλούσε να συνεχίσουν να την επισκέπτονται σε άλλη ιδιωτική δομή υγείας όπου επρόκειτο να εργαστεί.

Σύμφωνα με την απόφαση, η επίκληση του δικαιώματος των ασθενών στην ενημέρωση δεν παρείχε νόμιμη βάση για την πρόσβαση στα δεδομένα και τη χρήση τους για επικοινωνία με τους ασθενείς. Η ιατρός υποστήριξε ότι ενήργησε προκειμένου να ενημερώσει τους ασθενείς για την αποχώρησή της από το κέντρο υγείας, επικαλούμενη τη νομοθεσία που κατοχυρώνει το δικαίωμα του ασθενούς να λαμβάνει πληροφορίες σχετικά με τον επαγγελματία υγείας που του παρέχει υπηρεσίες. Η αρχή, ωστόσο, έκρινε ότι η συγκεκριμένη διάταξη αποσκοπεί στην ενημέρωση του ασθενούς για την ταυτότητα, την ιδιότητα και τα επαγγελματικά προσόντα του θεράποντος ιατρού και δεν μπορεί να ερμηνευθεί ως βάση για τη χρήση προσωπικών δεδομένων με σκοπό την ενημέρωση των ασθενών ότι ο ιατρός πρόκειται να συνεχίσει την επαγγελματική του δραστηριότητα σε άλλη υγειονομική μονάδα ή για την προτροπή τους να τον ακολουθήσουν εκεί. Επιπλέον, κατά την έρευνα δεν προέκυψε ότι η υγειονομική μονάδα είχε αναθέσει ή εξουσιοδοτήσει την ιατρό να επικοινωνήσει με τους ασθενείς για λογαριασμό της σχετικά με τη λήξη της συνεργασίας τους.

Ως προς το κρίσιμο ζήτημα του ρόλου της ιατρού στην επίμαχη επεξεργασία δεδομένων, η VDAI έκρινε πως η ιατρός ενήργησε ως ανεξάρτητη υπεύθυνη επεξεργασίας και όχι ως πρόσωπο που ενεργούσε για λογαριασμό της υγειονομικής μονάδας. Όπως διαπιστώθηκε, η πρόσβαση στα δεδομένα πραγματοποιήθηκε για προσωπικούς επαγγελματικούς σκοπούς και κατά παράβαση των εσωτερικών κανόνων του οργανισμού, οι οποίοι επέτρεπαν την επεξεργασία δεδομένων μόνο για την εκτέλεση υπηρεσιακών καθηκόντων.

Η λιθουανική αρχή κατέληξε ότι η πρόσβαση στα στοιχεία των ασθενών, η αναζήτηση των στοιχείων επικοινωνίας τους και η αποστολή μηνυμάτων σχετικά με τη μελλοντική επαγγελματική δραστηριότητα της ιατρού δεν στηρίζονταν σε καμία από τις προϋποθέσεις νομιμότητας που προβλέπει το άρθρο 6 ΓΚΠΔ. Επιπλέον, δεδομένου ότι η επεξεργασία αφορούσε δεδομένα ασθενών τα οποία συνδέονταν με την παροχή υπηρεσιών υγείας, δεν συνέτρεχε ούτε κάποια από τις εξαιρέσεις του άρθρου 9 παρ. 2 ΓΚΠΔ που επιτρέπουν κατ’ εξαίρεση την επεξεργασία ειδικών κατηγοριών δεδομένων. Κατά την κρίση της αρχής, τα δεδομένα χρησιμοποιήθηκαν για σκοπό διαφορετικό από εκείνον για τον οποίο είχαν αρχικώς συλλεγεί από την υγειονομική μονάδα, δηλαδή όχι για την παροχή υπηρεσιών υγείας ή τη διαχείριση της σχέσης ασθενούς–παρόχου υγείας, αλλά για την προώθηση της συνέχισης της επαγγελματικής σχέσης της ιατρού με τους ασθενείς σε άλλη δομή υγείας. Για τον λόγο αυτό διαπιστώθηκε παράβαση της αρχής της νομιμότητας της επεξεργασίας, καθώς και των διατάξεων του ΓΚΠΔ που διέπουν την επεξεργασία προσωπικών δεδομένων και δεδομένων υγείας.

Κατά τον καθορισμό του προστίμου, η αρχή έλαβε υπόψη ως επιβαρυντικές περιστάσεις τον μεγάλο αριθμό των επηρεαζόμενων ασθενών, τον ευαίσθητο χαρακτήρα των δεδομένων υγείας που αποτέλεσαν αντικείμενο επεξεργασίας και το γεγονός ότι η ελεγχόμενη ιατρός ενήργησε με πρόθεση.