Δεδομένα υγείας και GDPR: το αγγλικό παράδειγμα

Πρώτη δημοσίευση: εφημερίδα “Τα Νέα” – Επιστολές
Ημερομηνία πρώτης δημοσίευσης: 07/01/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Κύριε Διευθυντά,

Επανέρχομαι σε αποκαλυπτικό ρεπορτάζ της έγκριτης εφημερίδας σας για την παραβίαση της νομοθεσίας των προσωπικών δεδομένων στη χώρα μας από μεγάλο δημόσιο νοσοκομείο της πρωτεύουσας το καλοκαίρι του 2019. Σύμφωνα με το ρεπορτάζ, πλήθος ιατρικοί φάκελοι των ασθενών του νοσοκομείου στοιβάζονταν σε διαδρόμους και σκάλες του, σε κοινή θέα. Απέναντι στην ισχνή αντίδραση των αρμόδιων ελληνικών αρχών σε αυτές τις σοβαρές καταγγελίες, χρήσιμο είναι να δούμε πως αντέδρασε πολύ πρόσφατα (20 Δεκεμβρίου) η Αρχή Προστασίας Προσωπικών Δεδομένων του Ηνωμένου Βασιλείου (ICO) σε υπόθεση με πολλές ομοιότητες, η οποία την απασχόλησε. Τα πραγματικά περιστατικά είχαν ως εξής: φαρμακείο που εδρεύει στο Λονδίνο άφησε περίπου 500.000 έγγραφα σε μη κλειδωμένα κουτιά, εκτεθειμένα σε αυλή στο πίσω μέρος των εγκαταστάσεών του. Τα έγγραφα περιείχαν προσωπικά δεδομένα όπως ονοματεπώνυμα, διευθύνσεις, ημερομηνίες γέννησης, αριθμούς ασφάλισης, ιατρικά δεδομένα κ.α. απροσδιόριστου αριθμού προσώπων. Ορισμένα εξ αυτών μάλιστα είχαν αλλοιωθεί εξαιτίας της έκθεσής τους σε νερό. Η ICO λαμβάνοντας τη σχετική πληροφορία μέσω ηλεκτρονικής αλληλογραφίας προέβη σε σχετικό έλεγχο. Κατόπιν της διαπίστωσης αυτής της απαράδεκτης κατάστασης, η αρμόδια Αρχή του Ηνωμένου Βασιλείου επέβαλε πρόστιμο ύψους 275.000 λιρών (περίπου 320.000 ευρώ), ιδίως για παραβίαση των άρθρων 5 παρ. 1, 24 παρ. 1 και 32 του GDPR. Όπως κρίθηκε, το φαρμακείο έπρεπε να υποστεί την επιβολή του σχετικού προστίμου, καθώς είχε αποτύχει να εφαρμόσει κατάλληλα οργανωτικά μέτρα για τη διασφάλιση του κατάλληλου επιπέδου ασφαλείας των προσωπικών δεδομένων και είχε προβεί στην επεξεργασία τους με μη ασφαλή τρόπο. Τα συμπεράσματα δικά σας.