Αρ. Φακ.: Α/Π 11.17.001.32/2014
ΑΠΟΦΑΣΗ
Παράπονο για αδυναμία εντοπισμού ιατρικού φακέλου του
κ. Μ. Τ., ασθενή του Γενικού Νοσοκομείου Λευκωσίας
Ο κ. Μ. Τ., με επιστολή του ημερομηνίας 29.5.2014, υπέβαλε καταγγελία στο Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την αδυναμία εντοπισμού του ιατρικού φακέλου του, αφού ο φάκελος του δεν εντοπίστηκε ακόμα και μετά από την εξέταση του παραπόνου του από την Επιτροπή Εξέτασης Παραπόνων (Ε.Ε.Π.Α.) στην οποία απευθύνθηκε (Απόφασης της Ε.Ε.Π.Α. η οποία εκδόθηκε στις 9.7.2013 κατόπιν εξέτασης του Αρ. Παρ. 199). Επιπλέον ο παραπονούμενος αναφέρει στην επιστολή του ότι αντίγραφα ιατρικών εξετάσεων και εκθέσεων του που βρίσκονταν στον ιατρικό φάκελο του βρέθηκαν χωρίς τη συγκατάθεση του στην κατοχή ασφαλιστικής εταιρείας και κατατέθηκαν εκ μέρους της ενώπιον του Επαρχιακού Δικαστηρίου Λευκωσίας σε διαδικασία ακρόασης αγωγής που καταχώρησε ο παραπονούμενος εναντίον της εν λόγω ασφαλιστικής εταιρείας.
2.1. Με επιστολή μου προς τον Εκτελεστικό Διευθυντή Γενικού Νοσοκομείου Λευκωσίας με Αρ. Φακ.: Α/Π 11.17.001.32/2014 και ημερομηνία 6.6.2014 ζήτησα να υποβάλει τα σχόλια/απόψεις/θέση του για τα πιο πάνω μέχρι τις 15.7.2014, αλλά δεν ανταποκρίθηκε εντός της ταχθείσας προθεσμίας.
2.2.1. Κλιμάκιο δύο λειτουργών του Γραφείου μου επισκέφθηκε στις 22.7.2014 το Γενικό Νοσοκομείο Λευκωσίας για να ενημερωθούν για την πρόοδο του μηχανογραφικού συστήματος και για τα μέτρα ασφάλειας και προστασίας των ιατρικών φακέλων των ασθενών. Στη συνάντηση παρευρέθηκαν ο κ. Π. Μ., Εκτελεστικός – Ιατρικός Διευθυντής, Λειτουργοί Πληροφορικής του Τμήματος Υπηρεσιών Πληροφορικής κ. κ. Ε.Γ., Π.Κ. και Φ.Τ. και ο κ. Μ.Λ. Λειτουργός Υπηρεσιών Υγείας. Οι λειτουργοί του Γραφείου μου επισήμαναν ότι δεν υπήρξε απαντητική επιστολή του Εκτελεστικού – Ιατρικού Διευθυντής προς το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφορικά με το παράπονο του κ. Τ. και ο Λειτουργός Υπηρεσιών Υγείας επικοινώνησε τηλεφωνικώς με το Αρχείο του Γενικού Νοσοκομείου Λευκωσίας και είπε ότι ανευρέθηκε ο ιατρικός φάκελος του παραπονούμενου.
2.2.2. Όταν όμως με επιστολή μου ημερομηνίας 29.7.2014 ζήτησα από τον παραπονούμενο να με ενημερώσει αν πράγματι ανευρέθηκε ο ιατρικός φάκελος του ο κ. Μ. Τ. τηλεφώνησε στις 7.8.2014 και είπε ότι δεν ανευρέθηκε ο ιατρικός φάκελος με τα δεδομένα υγείας του της περιόδου 1992-2012, αλλά απλώς ανοίχθηκε ένας νέος ιατρικό φάκελος του το 2012.
3. Στις 29.7.2014 λειτουργός του Γραφείου μου επικοινώνησε τηλεφωνικώς με το Λειτουργό Υπηρεσιών Υγείας και του υπενθύμισε ότι αναμενόταν η γραπτή απάντηση του Εκτελεστικού Διευθυντή Γενικού Νοσοκομείου Λευκωσίας (του έστειλε και αντίγραφο της επιστολής με Αρ. Φακ.: Α/Π 11.17.001.32/2014 και ημερομηνία 6.6.2014 στο τηλεομοιότυπο (φαξ)).
4. Με επιστολή μου προς τον Εκτελεστικό Διευθυντή του Γενικού Νοσοκομείου Λευκωσίας με Αρ. Φακ.: Α/Π 11.17.001.32/2014 και ημερομηνία 21.8.2014 υπέδειξα ότι κατά παράβαση του εδαφίου άρθρου 23Α του Νόμου παρέλειψε να απαντήσει (να δώσει μαρτυρία) σε σχέση με την καταγγελία του παραπονούμενου κ. Μ. Τ. ότι αντίγραφα ιατρικών εξετάσεων και εκθέσεων του που βρίσκονταν στον ιατρικό φάκελο του βρέθηκαν χωρίς τη συγκατάθεση του στην κατοχή ασφαλιστικής εταιρείας και κατατέθηκαν εκ μέρους της στις 5.9.2013 ενώπιον του Επαρχιακού Δικαστηρίου Λευκωσίας σε διαδικασία ακρόασης αγωγής που καταχώρησε ο παραπονούμενος εναντίον της εν λόγω ασφαλιστικής εταιρείας. Επιπλέον υπέδειξα ότι με βάση τα πιο πάνω το Γενικό Νοσοκομείο Λευκωσίας έχει παραβιάσει την εκ του άρθρου 10(3) υποχρέωση του για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας, με συνέπεια την απώλεια του ιατρικού φακέλου του κ. Μ. Τ. με τα δεδομένα υγείας του της περιόδου 1992-2012. Ζήτησα από τον Εκτελεστικό Διευθυντή του Γενικού Νοσοκομείου Λευκωσίας τα σχόλια/απόψεις/θέση του για τα πιο πάνω το συντομότερο και όχι αργότερα από τις 22.9.2014 και ιδιαίτερα τους λόγους για τους οποίους πιστεύει ότι δεν πρέπει να επιβληθούν διοικητικές κυρώσεις.
5. Ο Εκτελεστικός Ιατρικός Διευθυντή του Γενικού Νοσοκομείου Λευκωσίας σε απαντητική επιστολή του με Αρ. Φακ.: Γ.Ν.Λ. 11.17.002.98 και ημερομηνία 6.10.2014 επιβεβαιώνει ότι ο ιατρικός φάκελος του κ. Τ. δεν έχει εξευρεθεί παρά τις επανειλημμένες προσπάθειες, υπάρχει μόνο ο καινούργιος από το έτος 2013. Αναφορικά με αντίγραφα ιατρικών εξετάσεων και εκθέσεων του παραπονούμενου που βρέθηκαν στην κατοχή ασφαλιστικής εταιρείας και κατατέθηκαν σε ακροαματική διαδικασία σε αγωγή ενώπιον δικαστηρίου ο Εκτελεστικός Ιατρικός Διευθυντή του Γενικού Νοσοκομείου Λευκωσίας απάντησε ότι δεν είναι σε θέση να γνωρίζει πότε και πως βρέθηκαν αυτά τα έγγραφα στη κατοχή της ασφαλιστικής εταιρείας και κατά πόσο έχουν παραληφθεί από τον ιατρικό φάκελο του ασθενή. Στη συνέχεια αναφέρει στην επιστολή του τις πιθανές αιτίες για την απώλεια ιατρικών φακέλων (μεταξύ αυτών αναφέρει ότι σε κάποιες περιπτώσεις στο παρελθόν έγινε μεταφορά τους από τους ίδιους τους ασθενείς λόγω ανεπαρκούς αριθμού προσωπικού με κίνδυνο να κατακρατούνται από τους ασθενείς) και αναφέρει μέτρα που έχουν ληφθεί ώστε οι ιατρικοί φάκελοι των ασθενών να είναι ασφαλείς.
6.1. Σύμφωνα με το άρθρο 17 του περί Κατοχύρωσης και Προστασίας των Δικαιωμάτων των Ασθενών Νόμου του 2004 (Ν. 1(Ι)/2005), ο αρμόδιος παροχέας υπηρεσιών υγείας, οφείλει να τηρεί ιατρικά αρχεία, όπου εμφαίνεται η πορεία της θεραπείας του ασθενή. Τα αρχεία αυτά περιλαμβάνουν λεπτομερή στοιχεία τα οποία προσδιορίζουν την ταυτότητα του ασθενή και του αρμόδιου παροχέα υπηρεσιών υγείας, καθώς και ιατρική πληροφόρηση αναφορικά με τη θεραπεία που λαμβάνει ο ασθενής, το προηγούμενο ιατρικό ιστορικό του, τη διάγνωση της παρούσας ιατρικής κατάστασης του και της θεραπευτικής αγωγής που παρέχεται.
Ο υπεύθυνος επεξεργασίας του Αρχείου Ιατρικών Υπηρεσιών (Ιατρικών Φακέλων Ασθενών) έχει την ευθύνη για την τήρηση και φύλαξη τακτικών και ενημερωμένων δεδομένων υγείας των ασθενών, σύμφωνα με το άρθρο 4(1)(δ) των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 μέχρι 2012 (Ν. 138(Ι)/2001, όπως τροποποιήθηκε με τους Ν. 37(Ι)/2003 και Ν. 105(Ι)/2012) που στο εξής θα αναφέρεται ως «ο Νόμος».
6.2. Βάσει του άρθρου 18 του Ν. 1(Ι)/2005, ο ασθενής έχει δικαίωμα ενημέρωσης, πρόσβασης και αντίρρησης σε σχέση με πληροφορίες που αφορούν τον ίδιο και οι οποίες περιλαμβάνονται στα ιατρικά αρχεία. Κατά την άσκηση του δικαιώματος πρόσβασης εφαρμόζονται αντίστοιχα, τηρουμένων των αναλογιών, οι διατάξεις του άρθρου 12 του Νόμου, όπως τροποποιήθηκε με το Νόμο 105(Ι)/2012, το οποίο υποχρεώνει τον υπεύθυνο επεξεργασίας να παρέχει αντίγραφο με τα προσωπικά δεδομένα στο υποκείμενο των δεδομένων, όπου αυτό δεν προϋποθέτει δυσανάλογη προσπάθεια.
6.3. Σύμφωνα με τις πρόνοιες του άρθρου 25 του Ν. 1(Ι)/2005, παροχέας υπηρεσιών υγείας που παραβιάζει οποιαδήποτε από τις διατάξεις του άρθρου 17 είναι ένοχος αδικήματος και, τηρουμένων των αναλογιών, τυγχάνουν εφαρμογής οι διατάξεις των άρθρων 25 και 26 των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 και 2003.
6.4. Το εδάφιο (3) του άρθρου 10 του Νόμου, αναθέτει στον εκάστοτε υπεύθυνο επεξεργασίας την υποχρέωση για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα μέτρα αυτά, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.
6.5. Τα άρθρα 23(στ) και 25(1) του Νόμου παρέχουν στον Επίτροπο Προστασίας Δεδομένων την αρμοδιότητα επιβολής διοικητικών κυρώσεων σε περίπτωση που διαπιστώσει ότι οι υπεύθυνοι επεξεργασίας έχουν διαπράξει παράβαση των υποχρεώσεων τους που απορρέουν από τον εν λόγω Νόμο :
«25.-(1) Ανεξάρτητα από τις διατάξεις του άρθρου 26, ο Επίτροπος μπορεί να επιβάλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους ή σε τρίτους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεων τους που απορρέουν από το Νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
(α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης,
(β) χρηματική ποινή μέχρι τριάντα χιλιάδες ευρώ (€30,000),
(γ) προσωρινή ανάκληση άδειας,
(δ) οριστική ανάκληση άδειας,
(ε) καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή των σχετικών δεδομένων.
(2) Οι υπό στοιχεία (β), (γ), (δ) και (ε) διοικητικές κυρώσεις που αναφέρονται στο εδάφιο (1) επιβάλλονται πάντοτε ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία (γ), (δ) και (ε) διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής καθ’ υποτροπήν παράβασης. Χρηματική ποινή δύναται να επιβληθεί σωρευτικά και με τις υπό στοιχεία (γ), (δ) και (ε) κυρώσεις. Αν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασίας αρχείου, στον οποίο δύναται να επιβληθεί και χρηματική ποινή για μη συμμόρφωση.».
7.1. Ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε διοικητικές κυρώσεις στο Γενικό Νοσοκομείο Λευκωσίας σε παρόμοιες περιπτώσεις μετά από εξέταση των παραπόνων με αριθμούς Α/Π 5/2008 (απόφαση εκδόθηκε στις 24.7.2008) και Α/Π 51/2012 (απόφαση εκδόθηκε στις 23.10.2012).
7.2. Τόσο γραπτώς όσο και προφορικά έγιναν και σε άλλες περιπτώσεις υποδείξεις για λήψη μέτρων και ενδεικτικά αναφέρω ότι κατόπιν δημοσιεύματος της δημοσιογράφου Νατάσας Ευριπίδου στην εφημερίδα «η σημερινή» έκδοσης ημερομηνίας 26 Απριλίου 2012 με τίτλο «‘‘Πεταξούμενοι’’ οι φάκελοι των ασθενών στο … αρχείο», με επιστολή μου με Αρ. Φακ.: 21.04.002.01 και ημερομηνία 26.4.2012 προς τον Εκτελεστικό Διευθυντή Γενικού Νοσοκομείου Λευκωσίας εξέφρασα την έντονη ανησυχία μου για την κατάσταση που περιγράφεται στο εν λόγω δημοσίευμα και ιδιαίτερα για προσβάσιμη στο κοινό είσοδο στο Αρχείο του Γενικού Νοσοκομείου Λευκωσίας και για απώλεια φακέλων ασθενών. Στην εν λόγω επιστολή ανέφερα ότι κατανοώ το φόρτο εργασίας και τις δύσκολες συνθήκες που δημιουργούνται με τη μεγάλη προσέλευση ασθενών λόγω της αύξησης στη ζήτηση των υπηρεσιών του κρατικού νοσηλευτηρίου, ενδεχομένως λόγω της οικονομικής κρίσης, αλλά αυτό δεν αποτελεί δικαιολογία για μη συμμόρφωση στις εκ του Νόμου υποχρεώσεις στην περίπτωση που υποβληθούν παράπονα προς εξέταση από το Γραφείο μου και κατέληξα ότι η λήψη μέτρων προς επίλυση των προβλημάτων και η προσπάθεια πρέπει να είναι εντατική για να αποφύγουμε δυσάρεστες καταστάσεις.
7.3. Με επιστολή μου προς τον Υπουργό Υγείας, τον Αν. Γενικό Διευθυντή Υπουργείου Υγείας και τον Εκτελεστικό Διευθυντή Γενικού Νοσοκομείου Λευκωσίας με Αρ. Φακ.: Α/Π 11.17.001.54/2013 και ημερομηνία 16.1.2014 υπέδειξα αδυναμίες στα μέτρα ασφάλειας και προστασίας των δεδομένων των ασθενών στο Γενικό Νοσοκομείο Λευκωσίας και ζήτησα να ληφθούν μέτρα.
8. Για το θέμα της επεξεργασίας δεδομένων του παραπονούμενου σε ακροαματική διαδικασία σε αγωγή ενώπιον δικαστηρίου, αφενός το άρθρο 6(2)(ε) του Νόμου επιτρέπει κατ’ εξαίρεση τη συλλογή και την επεξεργασία ευαίσθητων δεδομένων υγείας όταν η επεξεργασία αφορά αποκλειστικά δεδομένα τα οποία το υποκείμενο των δεδομένων δημοσιοποιεί ή είναι αναγκαία για την αναγνώριση ή άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου και αφετέρου η Οδηγία 95/46/ΕΚ της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δεν τυγχάνει εφαρμογής στις διαδικασίες των δικαστηρίων, συνεπώς με βάσει την εξουσία που παρέχει το άρθρο 23(1)(ιβ) του Νόμου στον Επίτροπο να αποφασίζει κατά την κρίση του αν θα εξετάσει κάποιο παράπονο και ή καταγγελία, αποφάσισα να μην εξετάσω αυτό το σκέλος του παραπόνου.
9.1. Όσον αφορά όμως το θέμα της αδυναμίας εντοπισμού του ιατρικού φακέλου του παραπονούμενου, παρόλο που έλαβα υπόψη ότι έχουν ληφθεί ορισμένα μέτρα που βελτιώνουν την προστασία των δεδομένων των ιατρικών φακέλων των ασθενών στο Γενικό Νοσοκομείο Λευκωσίας, αφενός αυτά τα μέτρα δεν έχουν φθάσει στον επιθυμητό βαθμό και αφετέρου εκ των πραγμάτων στην υπό εξέταση περίπτωση υπάρχει εκ των πραγμάτων/αποτελέσματος παράβαση της εκ του εδαφίου (3) του άρθρου 10 του Νόμου υποχρέωσης σας, υπό την ιδιότητα του υπεύθυνου επεξεργασίας, για λήψη των κατάλληλων μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή ή από τυχαία απώλεια. Επιπλέον το περιστατικό αυτό δεν είναι μεμονωμένο αλλά αντίθετα υπάρχουν παρόμοια προηγούμενα και εξακολουθούν να υποβάλλονται παρόμοια παράπονα στο Γραφείο μου.
9.2. Έχοντας υπόψη τα πιο πάνω και ιδιαίτερα ότι υπήρξε προηγούμενο επιβολής χρηματικών ποινών ύψους δύο χιλιάδων ευρώ ως διοικητικών κυρώσεων σε κάθε παρόμοιο παράπονο (Α/Π 5/2008 και Α/Π 51/2012), αλλά επιπλέον και της μερικής απραξίας για τη λήψη μέτρων παρά τις προηγούμενες υποδείξεις μου, αποφάσισα βάσει της εξουσίας που μου παρέχει το άρθρο 25(1) του Νόμου την επιβολή της διοικητικής κύρωσης της χρηματικής ποινής των τριών χιλιάδων ευρώ (€3.000,00) για την παράβαση της εκ του εδαφίου (3) του άρθρου 10 του Νόμου υποχρέωσης του Γενικού Νοσοκομείου Λευκωσίας για λήψη των κατάλληλων μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή ή από τυχαία απώλεια με συνέπεια την απώλεια του ιατρικού φακέλου του κ. Μ. Τ., ασθενή του Γενικού Νοσοκομείου Λευκωσίας και να κοινοποιήσω την Απόφαση μου στον Υπουργό ως πολιτικό προϊστάμενο και στον Αν. Γενικό Διευθυντή ως διοικητικό προϊστάμενο του Υπουργείου Υγείας για την προώθηση άμεσης λήψης μέτρων για επίλυση του προβλήματος.
Γιάννος Δανιηλίδης
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα
13 Οκτωβρίου 2014
ΜΠαπ