Αρ. Φακ.: Α/Π 11.17.001.44/2014
ΑΠΟΦΑΣΗ
Παράπονο για αδυναμία εντοπισμού ιατρικού φακέλου της
κας Ν. Π., ασθενούς του Γενικού Νοσοκομείου Λευκωσίας
Η κυρία Ν. Π. προσήλθε την 21.7.2014 στο Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και υπέβαλε καταγγελία για την αδυναμία εντοπισμού του ιατρικού φακέλου της στο Γενικό Νοσοκομείο Λευκωσίας στις 24.1.2013, προσκομίζοντας την Απόφαση της Επιτροπής Εξέτασης Παραπόνων Ασθενών (Ε.Ε.Π.Α.) με Αρ. Παραπόνου: 426 και ημερομηνία 10.6.2013 η οποία εξέτασε σε δεύτερο βαθμό το παράπονο της.
2. Με επιστολή μου προς τον Εκτελεστικό Διευθυντή Γενικού Νοσοκομείου Λευκωσίας με Αρ. Φακ.: Α/Π 11.17.001.44/2014 και ημερομηνία 24.7.2014 ζήτησα να υποβάλει τα σχόλια/απόψεις/θέση του για τα πιο πάνω μέχρι τις 28.8.2014, αλλά δεν ανταποκρίθηκε μέχρι σήμερα.
3. Δύο λειτουργοί του Γραφείου μου επισκέφθηκαν στις 22.7.2014 το Γενικό Νοσοκομείο Λευκωσίας για να ενημερωθούν για την πρόοδο του μηχανογραφικού συστήματος και για τα μέτρα ασφάλειας και προστασίας των ιατρικών φακέλων των ασθενών. Στη συνάντηση παρευρέθηκαν ο κ. Π. Μ., Εκτελεστικός – Ιατρικός Διευθυντής, Λειτουργοί Πληροφορικής του Τμήματος Υπηρεσιών Πληροφορικής κ. κ. Ε.Γ., Π.Κ. και Φ.Τ. και ο κ. Μ.Λ. Λειτουργός Υπηρεσιών Υγείας. Οι λειτουργοί του Γραφείου μου επισήμαναν ότι δεν υπήρξε απαντητική επιστολή του Εκτελεστικού – Ιατρικού Διευθυντής προς το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφορικά με το παράπονο της παραπονούμενης.
4. Με επιστολή μου προς τον Εκτελεστικό Διευθυντή του Γενικού Νοσοκομείου Λευκωσίας με Αρ. Φακ.: Α/Π 11.17.001.44/2014 και ημερομηνία 1.9.2014 υπέδειξα ότι με βάση τα πιο πάνω το Γενικό Νοσοκομείο Λευκωσίας έχει εκ πρώτης όψεως παραβιάσει την εκ του άρθρου 10(3) υποχρέωση του για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας, με συνέπεια την απώλεια του ιατρικού φακέλου με τα δεδομένα υγείας της κας Ν. Π.. Ζήτησα από τον Εκτελεστικό Διευθυντή του Γενικού Νοσοκομείου Λευκωσίας τα σχόλια/απόψεις/θέση του για τα πιο πάνω το συντομότερο και όχι αργότερα από τις 19.9.2014 και ιδιαίτερα τους λόγους για τους οποίους πιστεύει ότι δεν πρέπει να επιβληθούν διοικητικές κυρώσεις. Ο Εκτελεστικός Ιατρικός Διευθυντή του Γενικού Νοσοκομείου Λευκωσίας δεν ανταποκρίθηκε μέχρι σήμερα.
5. Ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε διοικητικές κυρώσεις στο Γενικό Νοσοκομείο Λευκωσίας σε παρόμοιες περιπτώσεις μετά από εξέταση των παραπόνων με αριθμούς Α/Π 5/2008 (απόφαση εκδόθηκε στις 24.7.2008) και Α/Π 51/2012 (απόφαση εκδόθηκε στις 23.10.2012).
6.1. Σύμφωνα με το άρθρο 17 του περί Κατοχύρωσης και Προστασίας των Δικαιωμάτων των Ασθενών Νόμου του 2004 (Ν. 1(Ι)/2005), ο αρμόδιος παροχέας υπηρεσιών υγείας, οφείλει να τηρεί ιατρικά αρχεία, όπου εμφαίνεται η πορεία της θεραπείας του ασθενή. Τα αρχεία αυτά περιλαμβάνουν λεπτομερή στοιχεία τα οποία προσδιορίζουν την ταυτότητα του ασθενή και του αρμόδιου παροχέα υπηρεσιών υγείας, καθώς και ιατρική πληροφόρηση αναφορικά με τη θεραπεία που λαμβάνει ο ασθενής, το προηγούμενο ιατρικό ιστορικό του, τη διάγνωση της παρούσας ιατρικής κατάστασης του και της θεραπευτικής αγωγής που παρέχεται.
Ο υπεύθυνος επεξεργασίας του Αρχείου Ιατρικών Υπηρεσιών (Ιατρικών Φακέλων Ασθενών) έχει την ευθύνη για την τήρηση και φύλαξη τακτικών και ενημερωμένων δεδομένων υγείας των ασθενών, σύμφωνα με το άρθρο 4(1)(δ) των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 μέχρι 2012 (Ν. 138(Ι)/2001, όπως τροποποιήθηκε με τους Ν. 37(Ι)/2003 και Ν. 105(Ι)/2012) που στο εξής θα αναφέρεται ως «ο Νόμος».
6.2. Βάσει του άρθρου 18 του Ν. 1(Ι)/2005, ο ασθενής έχει δικαίωμα ενημέρωσης, πρόσβασης και αντίρρησης σε σχέση με πληροφορίες που αφορούν τον ίδιο και οι οποίες περιλαμβάνονται στα ιατρικά αρχεία. Κατά την άσκηση του δικαιώματος πρόσβασης εφαρμόζονται αντίστοιχα, τηρουμένων των αναλογιών, οι διατάξεις του άρθρου 12 του Νόμου, όπως τροποποιήθηκε με το Νόμο 105(Ι)/2012, το οποίο υποχρεώνει τον υπεύθυνο επεξεργασίας να παρέχει αντίγραφο με τα προσωπικά δεδομένα στο υποκείμενο των δεδομένων, όπου αυτό δεν προϋποθέτει δυσανάλογη προσπάθεια.
6.3. Σύμφωνα με τις πρόνοιες του άρθρου 25 του Ν. 1(Ι)/2005, παροχέας υπηρεσιών υγείας που παραβιάζει οποιαδήποτε από τις διατάξεις του άρθρου 17 είναι ένοχος αδικήματος και, τηρουμένων των αναλογιών, τυγχάνουν εφαρμογής οι διατάξεις των άρθρων 25 και 26 των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 και 2003.
6.4. Το εδάφιο (3) του άρθρου 10 του Νόμου, αναθέτει στον εκάστοτε υπεύθυνο επεξεργασίας την υποχρέωση για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα μέτρα αυτά, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.
6.5. Τα άρθρα 23(στ) και 25(1) του Νόμου παρέχουν στον Επίτροπο Προστασίας Δεδομένων την αρμοδιότητα επιβολής διοικητικών κυρώσεων σε περίπτωση που διαπιστώσει ότι οι υπεύθυνοι επεξεργασίας έχουν διαπράξει παράβαση των υποχρεώσεων τους που απορρέουν από τον εν λόγω Νόμο :
«25.-(1) Ανεξάρτητα από τις διατάξεις του άρθρου 26, ο Επίτροπος μπορεί να επιβάλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους ή σε τρίτους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεων τους που απορρέουν από το Νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
(α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης,
(β) χρηματική ποινή μέχρι τριάντα χιλιάδες ευρώ (€30,000),
(γ) προσωρινή ανάκληση άδειας,
(δ) οριστική ανάκληση άδειας,
(ε) καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή των σχετικών δεδομένων.
(2) Οι υπό στοιχεία (β), (γ), (δ) και (ε) διοικητικές κυρώσεις που αναφέρονται στο εδάφιο (1) επιβάλλονται πάντοτε ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία (γ), (δ) και (ε) διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής καθ’ υποτροπήν παράβασης. Χρηματική ποινή δύναται να επιβληθεί σωρευτικά και με τις υπό στοιχεία (γ), (δ) και (ε) κυρώσεις. Αν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασίας αρχείου, στον οποίο δύναται να επιβληθεί και χρηματική ποινή για μη συμμόρφωση.».
7. Τόσο γραπτώς όσο και προφορικά έγιναν και σε άλλες περιπτώσεις υποδείξεις για λήψη μέτρων και ενδεικτικά αναφέρω ότι κατόπιν δημοσιεύματος της δημοσιογράφου Νατάσας Ευριπίδου στην εφημερίδα «η σημερινή» έκδοσης ημερομηνίας 26 Απριλίου 2012 με τίτλο «‘‘Πεταξούμενοι’’ οι φάκελοι των ασθενών στο … αρχείο», με επιστολή μου με Αρ. Φακ.: 21.04.002.01 και ημερομηνία 26.4.2012 προς τον Εκτελεστικό Διευθυντή Γενικού Νοσοκομείου Λευκωσίας εξέφρασα την έντονη ανησυχία μου για την κατάσταση που περιγράφεται στο εν λόγω δημοσίευμα και ιδιαίτερα για προσβάσιμη στο κοινό είσοδο στο Αρχείο του Γενικού Νοσοκομείου Λευκωσίας και για απώλεια φακέλων ασθενών. Στην εν λόγω επιστολή ανέφερα ότι κατανοώ το φόρτο εργασίας και τις δύσκολες συνθήκες που δημιουργούνται με τη μεγάλη προσέλευση ασθενών λόγω της αύξησης στη ζήτηση των υπηρεσιών του κρατικού νοσηλευτηρίου, ενδεχομένως λόγω της οικονομικής κρίσης, αλλά αυτό δεν αποτελεί δικαιολογία για μη συμμόρφωση στις εκ του Νόμου υποχρεώσεις στην περίπτωση που υποβληθούν παράπονα προς εξέταση από το Γραφείο μου και κατέληξα ότι η λήψη μέτρων προς επίλυση των προβλημάτων και η προσπάθεια πρέπει να είναι εντατική για να αποφύγουμε δυσάρεστες καταστάσεις.
8. Με επιστολή μου προς τον Υπουργό Υγείας, τον Αν. Γενικό Διευθυντή Υπουργείου Υγείας και τον Εκτελεστικό Διευθυντή Γενικού Νοσοκομείου Λευκωσίας με Αρ. Φακ.: Α/Π 11.17.001.54/2013 και ημερομηνία 16.1.2014 υπέδειξα αδυναμίες στα μέτρα ασφάλειας και προστασίας των δεδομένων των ασθενών στο Γενικό Νοσοκομείο Λευκωσίας και ζήτησα να ληφθούν μέτρα.
9.1. Όσον αφορά όμως το θέμα της αδυναμίας εντοπισμού του ιατρικού φακέλου του παραπονούμενου, παρόλο που έλαβα υπόψη ότι έχουν ληφθεί ορισμένα μέτρα που βελτιώνουν την προστασία των δεδομένων των ιατρικών φακέλων των ασθενών στο Γενικό Νοσοκομείο Λευκωσίας, αφενός αυτά τα μέτρα δεν έχουν φθάσει στον επιθυμητό βαθμό και αφετέρου εκ των πραγμάτων στην υπό εξέταση περίπτωση υπάρχει εκ των πραγμάτων/αποτελέσματος παράβαση της εκ του εδαφίου (3) του άρθρου 10 του Νόμου υποχρέωσης, υπό την ιδιότητα του υπεύθυνου επεξεργασίας, για λήψη των κατάλληλων μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή ή από τυχαία απώλεια. Επιπλέον το περιστατικό αυτό δεν είναι μεμονωμένο αλλά αντίθετα υπάρχουν παρόμοια προηγούμενα και εξακολουθούν να υποβάλλονται παρόμοια παράπονα στο Γραφείο μου.
9.2. Έχοντας υπόψη τα πιο πάνω και ιδιαίτερα ότι υπήρξε προηγούμενο επιβολής χρηματικών ποινών ύψους δύο χιλιάδων ευρώ ως διοικητικών κυρώσεων σε κάθε παρόμοιο παράπονο (Α/Π 5/2008 και Α/Π 51/2012), αλλά επιπλέον και της μερικής απραξίας για τη λήψη μέτρων παρά τις προηγούμενες υποδείξεις μου, αποφάσισα βάσει της εξουσίας που μου παρέχει το άρθρο 25(1) του Νόμου την επιβολή της διοικητικής κύρωσης της χρηματικής ποινής των τριών χιλιάδων ευρώ (€3.000,00) για την παράβαση της εκ του εδαφίου (3) του άρθρου 10 του Νόμου υποχρέωσης του Γενικού Νοσοκομείου Λευκωσίας για λήψη των κατάλληλων μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή ή από τυχαία απώλεια με συνέπεια την απώλεια του ιατρικού φακέλου της κας Ν. Π., ασθενούς του Γενικού Νοσοκομείου Λευκωσίας και να κοινοποιήσω την Απόφαση μου στον Υπουργό ως πολιτικό προϊστάμενο και στον Αν. Γενικό Διευθυντή ως διοικητικό προϊστάμενο του Υπουργείου Υγείας για την προώθηση άμεσης λήψης μέτρων για επίλυση του προβλήματος.
Γιάννος Δανιηλίδης
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα
13 Οκτωβρίου 2014
ΜΠαπ