Αρ. Φακ.: Α/Π 11.17.001.40/2015
ΑΠΟΦΑΣΗ
Παράπονο για αδυναμία εντοπισμού ιατρικού φακέλου της κ. Σ. Δ., ασθενούς του Νοσοκομείου Αρχιεπίσκοπος Μακάριος Γ΄
Η κυρία Σ. Δ., με επιστολή της προς τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με ημερομηνία 2.6.2015, υπέβαλε καταγγελία για την αδυναμία εντοπισμού του ιατρικού φακέλου της από τον Ιανουάριο 2015 στο Νοσοκομείο Αρχιεπίσκοπος Μακάριος Γ΄, αφού όπως της επιβεβαιώθηκε από την κυρία Μύρνα Κλεόπα, Πρόεδρο Ε.Ε.Π.Α. που εξέτασε το παράπονο με Αρ. 641, πράγματι ο φάκελος της χάθηκε.
2. Με επιστολή μου με Αρ. Φακ.: Α/Π 11.17.001.40/2015 και ημερομηνία 15.6.2015 ζήτησα από τον Εκτελεστικό Διευθυντή ΝΑΜ ΙΙΙ να υποβάλει τα σχόλια/απόψεις/θέση του για τα πιο πάνω.
3. Ο Εκτελεστικός Διευθυντή ΝΑΜ ΙΙΙ σε απαντητική επιστολή του με Αρ. Φακ: ΝΑΜ ΙΙΙ.12.10.002 και ημερομηνία 13.7.2015 παραδέχεται ότι ο συγκεκριμένος φάκελος ασθενή δεν ανευρίσκεται από τη μέρα που η ασθενής πήρε εξιτήριο και παραθέτει σειρά νέων μέτρων που λήφθηκαν για την ασφαλή διακίνηση και φύλαξη των ιατρικών φακέλων.
4. Με επιστολή μου προς τον Εκτελεστικό Διευθυντή ΝΑΜ ΙΙΙ με Αρ. Φακ.: Α/Π 11.17.001.40/2015 και ημερομηνία 3.8.2015 τον πληροφόρησα ότι αφού επιβεβαίωσε ότι πράγματι ο φάκελος της παραπονούμενης δεν μπορεί να ανευρεθεί, εκ πρώτης όψεως το Νοσοκομείο Αρχιεπίσκοπος Μακάριος Γ΄ έχει παραβεί την εκ του άρθρου 10(3) του Νόμου υποχρέωση του για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή ή τυχαία απώλεια, γι’ αυτό ζήτησα να υποβάλει τυχόν σχόλια/απόψεις/θέση του για ποιους λόγους θεωρεί ότι δεν πρέπει να επιβληθεί διοικητική κύρωση στον υπεύθυνο επεξεργασίας.
5. Ο Εκτελεστικός Διευθυντή ΝΑΜ ΙΙΙ σε απαντητική επιστολή του με Αρ. Φακ: ΝΑΜ ΙΙΙ.12.10.002 και ημερομηνία 25.8.2015 αναφέρει σε μεγαλύτερη έκταση και πιο λεπτομερώς τα νέα μέτρα που λήφθηκαν για τη ασφαλή διακίνηση και φύλαξη των ιατρικών φακέλων, μεταξύ των οποίων είναι και η έναρξη μηχανογράφησης της διακίνησης των ιατρικών φακέλων των ασθενών, και επιπλέον διευκρινίζει ότι ο εν λόγω φάκελος δεν έχει ανευρεθεί μέχρις στιγμής, παρά τις καθημερινές προσπάθειες του προσωπικού του ιατρικού αρχείου προς ανεύρεση του, επειδή κατά πάσα πιθανότητα δεν έχει επιστραφεί στο ιατρικό αρχείο από τη μέρα που η ασθενής έλαβε εξιτήριο ή σε περίπτωση επιστροφής του ιατρικού φακέλου από το θάλαμο στο ιατρικό αρχείο επειδή τηρείτο το παλαιό σύστημα φύλαξης και υπάρχει το ενδεχόμενο λανθασμένης τοποθέτησης, καθώς εισέρχονται 700 ιατρικοί φάκελοι ημερησίως και τοποθετούνται από ανθρώπινο δυναμικό. Θεωρεί λοιπόν ότι δεν πρέπει να επιβληθεί διοικητική κύρωση λόγω του ότι τα παλαιά μέτρα δεν ευνοούσαν τη σωστή φύλαξη, με αποτέλεσμα να παρατηρούνται πολλές απώλειες ιατρικών φακέλων, αλλά η κατάσταση έχει βελτιωθεί σημαντικά με την εφαρμογή των νέων μέτρων, που συνεχώς παρακολουθούνται και αναβαθμίζονται.
6. Σύμφωνα με το άρθρο 17 του περί Κατοχύρωσης και Προστασίας των Δικαιωμάτων των Ασθενών Νόμου του 2004 (Ν. 1(Ι)/2005), ο αρμόδιος παροχέας υπηρεσιών υγείας, οφείλει να τηρεί ιατρικά αρχεία, όπου εμφαίνεται η πορεία της θεραπείας του ασθενή. Τα αρχεία αυτά περιλαμβάνουν λεπτομερή στοιχεία τα οποία προσδιορίζουν την ταυτότητα του ασθενή και του αρμόδιου παροχέα υπηρεσιών υγείας, καθώς και ιατρική πληροφόρηση αναφορικά με τη θεραπεία που λαμβάνει ο ασθενής, το προηγούμενο ιατρικό ιστορικό του, τη διάγνωση της παρούσας ιατρικής κατάστασης του και της θεραπευτικής αγωγής που παρέχεται.
Ο υπεύθυνος επεξεργασίας του Αρχείου Ιατρικών Υπηρεσιών (Ιατρικών Φακέλων Ασθενών) έχει την ευθύνη για την τήρηση και φύλαξη τακτικών και ενημερωμένων δεδομένων υγείας των ασθενών, σύμφωνα με το άρθρο 4(1)(δ) των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 μέχρι 2012 (Ν. 138(Ι)/2001, όπως τροποποιήθηκε με τους Ν. 37(Ι)/2003 και Ν. 105(Ι)/2012) που στο εξής θα αναφέρεται ως «ο Νόμος».
7. Βάσει του άρθρου 18 του Ν. 1(Ι)/2005, ο ασθενής έχει δικαίωμα ενημέρωσης, πρόσβασης και αντίρρησης σε σχέση με πληροφορίες που αφορούν τον ίδιο και οι οποίες περιλαμβάνονται στα ιατρικά αρχεία. Κατά την άσκηση του δικαιώματος πρόσβασης εφαρμόζονται αντίστοιχα, τηρουμένων των αναλογιών, οι διατάξεις του άρθρου 12 του Νόμου, όπως τροποποιήθηκε με το Νόμο 105(Ι)/2012, το οποίο υποχρεώνει τον υπεύθυνο επεξεργασίας να παρέχει αντίγραφο με τα προσωπικά δεδομένα στο υποκείμενο των δεδομένων, όπου αυτό δεν προϋποθέτει δυσανάλογη προσπάθεια.
8. Σύμφωνα με τις πρόνοιες του άρθρου 25 του Ν. 1(Ι)/2005, παροχέας υπηρεσιών υγείας που παραβιάζει οποιαδήποτε από τις διατάξεις του άρθρου 17 είναι ένοχος αδικήματος και, τηρουμένων των αναλογιών, τυγχάνουν εφαρμογής οι διατάξεις των άρθρων 25 και 26 των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 και 2003.
9. Το εδάφιο (3) του άρθρου 10 του Νόμου, αναθέτει στον εκάστοτε υπεύθυνο επεξεργασίας την υποχρέωση για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα μέτρα αυτά, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.
10. Τα άρθρα 23(στ) και 25(1) του Νόμου παρέχουν στον Επίτροπο Προστασίας Δεδομένων την αρμοδιότητα επιβολής διοικητικών κυρώσεων σε περίπτωση που διαπιστώσει ότι οι υπεύθυνοι επεξεργασίας έχουν διαπράξει παράβαση των υποχρεώσεων τους που απορρέουν από τον εν λόγω Νόμο :
«25.-(1) Ανεξάρτητα από τις διατάξεις του άρθρου 26, ο Επίτροπος μπορεί να επιβάλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους ή σε τρίτους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεων τους που απορρέουν από το Νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
(α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης,
(β) χρηματική ποινή μέχρι τριάντα χιλιάδες ευρώ (€30,000),
(γ) προσωρινή ανάκληση άδειας,
(δ) οριστική ανάκληση άδειας,
(ε) καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή των σχετικών δεδομένων.
(2) Οι υπό στοιχεία (β), (γ), (δ) και (ε) διοικητικές κυρώσεις που αναφέρονται στο εδάφιο (1) επιβάλλονται πάντοτε ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία (γ), (δ) και (ε) διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής καθ’ υποτροπήν παράβασης. Χρηματική ποινή δύναται να επιβληθεί σωρευτικά και με τις υπό στοιχεία (γ), (δ) και (ε) κυρώσεις. Αν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασίας αρχείου, στον οποίο δύναται να επιβληθεί και χρηματική ποινή για μη συμμόρφωση.».
11. Στο παρελθόν, ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με βάση την αρμοδιότητα που του παρέχουν τα άρθρα 23(στ) και 25 του Νόμου, επέβαλε χρηματική ποινή ύψους €3000 (τριών χιλιάδων ευρώ) στο Νοσοκομείο Αρχ. Μακαρίου Γ΄ για παράβαση του άρθρων 10(3) του Νόμου λόγω της έκθεσης σε πάγκο σε διάδρομο του Νοσοκομείου των αποτελεσμάτων ευαίσθητων δεδομένων υγείας των ασθενών και συγκεκριμένα των αποτελεσμάτων των αναλύσεων των κλινικών εργαστηρίων κατά το Σεπτέμβριο του 2010 (Α/Π 75/2010, Απόφαση εκδόθηκε στις 22.2.2011).
12. Διοικητικές κυρώσεις επιβλήθηκαν στο Γενικό Νοσοκομείο Λευκωσίας σε παρόμοιες περιπτώσεις αδυναμίας εντοπισμού φακέλων ασθενών, μετά από εξέταση των παραπόνων με αριθμούς Α/Π 5/2008 (απόφαση εκδόθηκε στις 24.7.2008), Α/Π 51/2012 (απόφαση εκδόθηκε στις 23.10.2012), Α/Π 32.2014 και Α/Π 44/2014 (απoφάσεις εκδόθηκαν στις 13.10.2014). Υπάρχει λοιπόν προηγούμενο επιβολής χρηματικών ποινών ύψους δύο χιλιάδων ευρώ ως διοικητικών κυρώσεων σε κάθε παρόμοιο παράπονο (Α/Π 5/2008 και Α/Π 51/2012), καθώς και τριών χιλιάδων ευρώ (€3.000,00) σε κάθε παράπονο στα Α/Π 32/2014 και Α/Π 44/2014 και ότι στα δύο τελευταία κοινοποιήθηκαν οι Αποφάσεις στον Υπουργό ως πολιτικό προϊστάμενο και στον τότε Αν. Γενικό Διευθυντή ως διοικητικό προϊστάμενο του Υπουργείου Υγείας για την προώθηση άμεσης λήψης μέτρων για επίλυση του προβλήματος.
13. Με επιστολή μου με Αρ. Φακ.: Α/Π 11.17.001.54/2013 και ημερομηνία 16.1.2014 προς τον τότε Υπουργό Υγείας, τον τότε Αν. Γενικό Διευθυντή Υπουργείου Υγείας και τον τότε Εκτελεστικό Διευθυντή Γενικού Νοσοκομείου Λευκωσίας, υπέδειξα αδυναμίες στα μέτρα ασφάλειας και προστασίας των δεδομένων των ασθενών στο Γενικό Νοσοκομείο Λευκωσίας και ζήτησα να ληφθούν μέτρα. Αυτά τα μέτρα δεν έχουν φθάσει στον επιθυμητό βαθμό και εξακολουθούν να φθάνουν πληροφορίες στο Γραφείο μας για αδυναμία εντοπισμού φακέλων.
14. Εν πάση περιπτώσει δεν μπορώ να παραβλέψω ότι τα νέα μέτρα που πληροφορήθηκα ότι έχουν ληφθεί στο Νοσοκομείο Αρχ. Μακαρίου Γ΄ είναι σημαντικά και συνάδουν με υποδείξεις που είχαν υποβληθεί από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο παρελθόν για βελτίωση των μέτρων ασφάλειας και προστασίας των δεδομένων (τοποθέτηση θυρών ασφάλειας στο ιατρικό αρχείο, διακίνηση φακέλων από εντεταλμένο προσωπικό, ασφαλής φύλαξη δεδομένων στο χώρο των θαλάμων υπό την επιτήρηση νοσηλευτή) και μηχανογράφηση της διακίνησης των φακέλων.
15. Έχοντας υπόψη τα πιο πάνω και ιδιαίτερα ότι υπήρξε προηγούμενο επιβολής χρηματικών ποινών ύψους δύο χιλιάδων ευρώ (Α/Π 5/2008 και Α/Π 51/2012) και τριών χιλιάδων ευρώ (Α/Π 32/2014 και Α/Π 44/2014 ) ως διοικητικών κυρώσεων σε κάθε παρόμοιο παράπονο, αλλά λαμβάνοντας υπόψη και ότι έχουν ληφθεί νέα μέτρα για την προστασία των δεδομένων τα οποία παρακολουθούνται και θα βελτιώνονται, αποφάσισα βάσει της εξουσίας που μου παρέχει το άρθρο 25(1) του Νόμου την επιβολή της διοικητικής κύρωσης της χρηματικής ποινής των δύο χιλιάδων ευρώ (€2.000,00) για την παράβαση της εκ του εδαφίου (3) του άρθρου 10 του Νόμου υποχρέωσης του Νοσοκομείου Αρχ. Μακαρίου Γ΄ για λήψη των κατάλληλων μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή ή από τυχαία απώλεια με συνέπεια την απώλεια του ιατρικού φακέλου της ασθενούς κ. Σ. Δ., να κοινοποιήσω αυτή την Απόφαση μου στον Υπουργό ως πολιτικό προϊστάμενο και στη Γενικό Διευθυντή ως διοικητική προϊσταμένη του Υπουργείου Υγείας για την προώθηση άμεσης λήψης μέτρων για επίλυση του προβλήματος, ιδιαίτερα του μέτρου της μηχανογράφησης, και να προειδοποιήσω ότι σε περίπτωση επανάληψης οι διοικητικές κυρώσεις που θα επιβληθούν θα είναι αυστηρότερες.
Γιάννος Δανιηλίδης
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα
2 Σεπτεμβρίου 2015