Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Αρχική Σελίδα Επικοινωνία English
 

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Αρχική Σελίδα / Γραφείο Επιτρόπου / ΑΠΟΦΑΣΗ: Ασφαλή φύλαξη των προσωπικών δεδομένων των ασθενών στο παλαιό Γενικό Νοσοκομείο Λευκωσίας / ΑΠΟΦΑΣΗ: Ασφαλή φύλαξη των προσωπικών δεδομένων των ασθενών στο παλαιό Γενικό Νοσοκομείο Λευκωσίας

ΑΠΟΦΑΣΗ: Ασφαλή φύλαξη των προσωπικών δεδομένων των ασθενών στο παλαιό Γενικό Νοσοκομείο Λευκωσίας


Α Π Ο Φ Α Σ Η
Αυτεπάγγελτη έρευνα για παράβαση της υποχρέωσης για την ασφαλή φύλαξη
των προσωπικών δεδομένων των ασθενών στο παλαιό Γενικό Νοσοκομείο Λευκωσίας

Σύμφωνα με δημοσίευμα της εφημερίδας «Ο Φιλελεύθερος» στην έκδοσή της ημερομ. 19/3/2007, με τίτλο «Όπου σ’ έβρω τζι’ όπου με έβρεις», το παλιό Νοσοκομείο Λευκωσίας εγκαταλείφθηκε στο έλεος του χρόνου, αλλά και όλων όσων μπαινόβγαιναν ανενόχλητοι σ’ αυτό και υπήρχαν πεταμένοι απροστάτευτοι φάκελοι και ακτινογραφίες με προσωπικά δεδομένα ασθενών που αφορούσαν ιατρικές εξετάσεις.

2. Με βάση το δημοσίευμα αυτό και ασκώντας τις εξουσίες που μου χορηγεί το άρθρο 23(η) του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001, αποφάσισα να διενεργήσω αυτεπάγγελτη έρευνα με σκοπό να διαπιστώσω κατά πόσο τα μέτρα για την ασφάλεια και την προστασία των προσωπικών δεδομένων που διατηρούνταν στο παλαιό Νοσοκομείο Λευκωσίας ήταν ικανοποιητικά και σύμφωνα με τις σχετικές διατάξεις του άρθρου 10 του Νόμου 138(Ι)/2001.

3. Για το σκοπό αυτό, δύο ειδικά εξουσιοδοτημένοι από εμένα λειτουργοί του Γραφείου μου επισκέφθηκαν την ίδια ημέρα το παλαιό Νοσοκομείο Λευκωσίας και συγκεκριμένα τη Ψυχιατρική Πτέρυγα, όπου διαπίστωσαν ότι διεξάγονταν εργασίες επιδιόρθωσης/επισκευής από υπαλλήλους του Τμήματος Δημοσίων Έργων.

4. Οι λειτουργοί του Γραφείου μου εισήλθαν από την κεντρική είσοδο του Νοσοκομείου χωρίς να τους ζητηθούν οποιεσδήποτε πληροφορίες από το φρουρό που βρισκόταν εκεί και προχώρησαν στο κτίριο της Ψυχιατρικής Κλινικής χωρίς να συναντήσουν οποιεσδήποτε σημάνσεις για απαγόρευση της εισόδου στο χώρο ή οποιαδήποτε φυσικά εμπόδια. Στην είσοδο της Ψυχιατρικής Κλινικής, η πόρτα της οποίας ήταν ανοικτή, συνάντησαν τη Γραμματειακή Λειτουργό του Νοσοκομείου, η οποία συμπτωματικά βρισκόταν στην πτέρυγα.

5. Οι λειτουργοί του Γραφείου μου εισήλθαν στο χώρο όπου διαπίστωσαν ότι υπήρχαν εγκαταλειμμένα και απροστάτευτα έγγραφα με προσωπικά δεδομένα ασθενών (που είχαν νοσηλευτεί στην πτέρυγα) όπως εγκεφαλογραφήματα, ιατρικές εκθέσεις (reports), φάκελοι, μητρώα ασθενών (βιβλία), ακτινογραφίες και ένα δελτίο ταυτότητας ασθενούς.

Τα πιο πάνω έγγραφα βρίσκονταν αφύλακτα και εκτεθειμένα σε ανοικτούς φοριαμούς, ανοικτά ράφια, γραφεία και στο πάτωμα, έτσι που ο οποιοσδήποτε τρίτος περιλαμβανομένων των υπαλλήλων του Τμήματος Δημοσίων Έργων θα μπορούσε να έχει εύκολη πρόσβαση σ’ αυτά, να τα καταστρέψει ή και να τα υποκλέψει/υπεξαιρέσει.

6. Με επιστολή μου προς το Γενικό Διευθυντή Υπουργείου Υγείας, με αρ. φακ. Α/Π 11.17.001
24/2007 και ημερομ. 21/3/2007, ζήτησα τις απόψεις/θέσεις του σχετικά με τις πιο πάνω διαπιστώσεις και τον κάλεσα να λάβει αμέσως τα απαραίτητα μέτρα για την ασφάλεια και
προστασία των εγγράφων/εντύπων που περιείχαν προσωπικά δεδομένα και βρίσκονταν στο χώρο του παλαιού Νοσοκομείου.
7. Ο Γενικός Διευθυντής του Υπουργείου Υγείας, με επιστολή του με αρ. φακ. Υ.Υ.5.24.13(2) και ημερομ. 28/3/2007, δεν αμφισβήτησε τις διαπιστώσεις των Λειτουργών του Γραφείου μου ότι κατά τον έλεγχο που διενήργησαν στις 19/3/2007 βρέθηκαν αφημένα έγγραφα με προσωπικά δεδομένα ασθενών χωρίς να ληφθούν μέτρα ασφάλειας, αλλά με πληροφόρησε για ορισμένα μέτρα που λήφθηκαν εκ των υστέρων για την ασφάλεια των δεδομένων. Όταν στη συνέχεια λειτουργοί του Γραφείου επισκέφθηκαν ξανά για σκοπούς ελέγχου το παλαιό Νοσοκομείο Λευκωσίας στις 3/4/2007, διαπίστωσαν ότι λήφθηκαν κάποια μέτρα που βελτίωσαν την κατάσταση και ακολούθως στις 29/5/2007 διαπίστωσαν ότι το υλικό με τα δεδομένα προσωπικού χαρακτήρα είχε μεταφερθεί για καταστροφή με τη μέθοδο της ανακύκλωσης.

8. Σε συνάντηση μου με το Γενικό Διευθυντή του Υπουργείου Υγείας, που έγινε στο Γραφείο μου στις 3/5/2007, ο Γενικός Διευθυντής δεν αμφισβήτησε τις διαπιστώσεις των Λειτουργών του Γραφείου μου.

9. Ο Γενικός Διευθυντής Υπουργείου Υγείας, με τις επιστολές του με αρ. φακ. Υ.Υ.5.24.13(2) και με ημερομ. 14/5/2007 και 30/7/2007, ανέφερε ότι έγιναν συσκέψεις πριν τη μεταστέγαση του νοσοκομείου στο καινούργιο κτίριο και λήφθηκαν αποφάσεις για συγκεκριμένα μέτρα ασφάλειας. Στην επιστολή του ημερομ. 14/5/2007, ο Γενικός Διευθυντής Υπουργείου Υγείας ανέφερε, μεταξύ άλλων, ότι συνεργείο του Τμήματος Δημοσίων Έργων άνοιξε δωμάτια στην ψυχιατρική πτέρυγα και ξεκίνησε τις εργασίες χωρίς να ειδοποιήσει το Υπουργείο για την ακριβή ημερομηνία έναρξης των εργασιών, γι’ αυτό βρέθηκαν αφύλακτα προσωπικά δεδομένα χωρίς να ληφθούν κατάλληλα μέτρα ασφάλειας και ότι οι φρουροί δεν εφάρμοσαν τις οδηγίες που τους είχαν δοθεί και γι’ αυτό η εταιρεία ασφάλειας αντικατέστησε όλα τα πρόσωπα που απασχολούσε για τη φύλαξη του χώρου του παλαιού Γενικού Νοσοκομείου Λευκωσίας. Στην επιστολή του με ημερομηνία 30/7/2007, ο Γενικός Διευθυντής επανέλαβε τον ισχυρισμό ότι τα μέτρα ασφάλειας παραβιάστηκαν λόγω της εμπλοκής του Τμήματος Δημοσίων Έργων.

10. Σύμφωνα με τον περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμο του 2001 (Ν. 138(Ι)/2001 και 37(Ι)/2003):

(α) Τα προσωπικά δεδομένα που περιέχουν οι ιατρικές εξετάσεις/αναλύσεις είναι ευαίσθητα δεδομένα, τα οποία πρέπει να τυγχάνουν αυξημένης προστασίας δεδομένου ότι η επεξεργασία τους (η οποία περιλαμβάνει τη φύλαξη, κοινοποίηση, διάθεση κλπ) κατά κανόνα απαγορεύεται, επιτρέπεται δε κατ’ εξαίρεση μόνο στις περιπτώσεις που αναφέρονται στο εδάφιο (2) του άρθρου 6 του Νόμου.

(β) Σύμφωνα με τις διατάξεις του άρθρου 10(1) του Νόμου «η επεξεργασία δεδομένων είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ’ εντολή του».

(γ) Σύμφωνα δε, με τις διατάξεις του εδαφίου (3) του ίδιου άρθρου, «ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας».

11. Όπως φαίνεται από το περιεχόμενο των Πρακτικών των συσκέψεων ημερομ. 5/9/2006 και 30/8/2006 που πραγματοποιήθηκαν για τη διαχείριση του χώρου και του κτιρίου του παλαιού Γενικού Νοσοκομείου Λευκωσίας, καμία απόφαση δεν είχε ληφθεί όσον αφορά τη διαχείριση εγγράφων που περιείχαν προσωπικά δεδομένα ασθενών τα οποία εβρίσκοντο στο Παλαιό Νοσοκομείο Λευκωσίας και τα μέτρα ασφάλειάς τους. Ακόμα και εάν γίνει δεκτό ότι υπήρχε
σχεδιασμός και πρόγραμμα για την ασφάλεια των κτιρίων, όπως αποδείχθηκε στην πράξη δεν πάρθηκαν εύλογα μέτρα ασφάλειας, αφού το Υπουργείο Υγείας δεν άσκησε οποιοδήποτε έλεγχο σε όσους είχε αναθέσει την ευθύνη υλοποίησης συγκεκριμένων αποφάσεων που αφορούσαν την ασφάλεια των κτιρίων (παραδοχή ότι χωρίς συνεννόηση το Τμήμα Δημοσίων Έργων άφησε ξεκλείδωτους τους χώρους με τα αφύλακτα δεδομένα, παραδοχή ότι μεταγενέστερα συμπληρώθηκε η περίφραξη του χώρου του παλαιού κτιρίου του Γενικού Νοσοκομείου Λευκωσίας, παραδοχή ότι οι φρουροί της εταιρείας ασφάλειας μεταγενέστερα αντικαταστάθηκαν επειδή δεν φύλαξαν το χώρο).

12. Οι διαπιστώσεις των λειτουργών του Γραφείου μου ότι κατά τον έλεγχο που διενήργησαν στις 19/3/2007 στο χώρο της ψυχιατρικής κλινικής του παλαιού Νοσοκομείου Λευκωσίας είχαν αφεθεί ευαίσθητα προσωπικά δεδομένα ασθενών χωρίς να ληφθούν τα απαραίτητα για την περίπτωση μέτρα ασφαλείας, δεν αμφισβητήθηκαν. Οι διαπιστώσεις αυτές αναφέρονται και σχετίζονται με τη μεταστέγαση του παλαιού Γενικού Νοσοκομείου σε νέο κτίριο και συνίστανται στη μη ικανοποιητική εποπτεία της υλοποίησης των απαραίτητων μέτρων ασφάλειας για τη φύλαξη τόσο του χώρου όσο και του τυχόν περιεχομένου των κτιρίων, όπως εγγράφων που περιείχαν προσωπικά δεδομένα.

Όσον αφορά οποιαδήποτε έγγραφα ή έντυπα που περιείχαν προσωπικά δεδομένα τα οποία παρέμειναν στο παλαιό Γενικό Νοσοκομείο μετά τη μεταστέγασή του, ακόμα και αν δεχθούμε ότι αυτά δεν ήταν απαραίτητο να διατηρηθούν, θα έπρεπε να καταστραφούν για να μην υπάρχει η δυνατότητα να αποκαλυφθεί το περιεχόμενό τους.

Σε επιστολή του Γενικού Διευθυντή του Υπουργείου Υγείας με ημερομηνία 30 Ιουλίου 2007 και σε αντίγραφο επιστολής της Διευθύντριας των Ιατρικών Υπηρεσιών και Υπηρεσιών Δημόσιας Υγείας εκφέρονται ορισμένες απόψεις ως προς το ποιος ήταν υπεύθυνος για το συμβάν, θεωρώ όμως ότι έστω και αν είχαν προσληφθεί εμπειρογνώμονες για το σχεδιασμό και υλοποίηση της μεταστέγασης, την ευθύνη της γενικής εποπτείας και διακρίβωσης της συμμόρφωσης όλων των εμπλεκομένων είχε το Υπουργείο.

13. Έχοντας υπόψη όλα τα πιο πάνω κρίνω ότι στην υπό εξέταση υπόθεση υπήρξε παράβαση των διατάξεων του άρθρου 10(3) και (4) του Νόμου 138(Ι)/2001 που αναφέρονται στην παρ. 10 πιο πάνω και αφού έλαβα υπόψη όλα όσα αναφέρθηκαν από το Γενικό Διευθυντή του Υπουργείου καθώς και την προθυμία του να φροντίσει για την άμεση λήψη των απαραίτητων μέτρων που θα συνέτειναν στην εξασφάλιση ικανοποιητικής ασφάλειας ή για την καταστροφή των προσωπικών δεδομένων που ευρίσκονταν στο χώρο του παλαιού Γενικού Νοσοκομείου αποφάσισα ότι η υπό τις περιστάσεις ενδεικνυόμενη κύρωση είναι η επιβολή της χρηματικής ποινής των χιλίων πεντακοσίων λιρών (£1.500).





Γούλλα Φράγκου
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα



7 Δεκεμβρίου 2007



Πίσω στην προηγούμενη σελίδα
Back To Top