ΑΠΟΦΑΣΗ
Εξέταση παραπόνου για παράβαση της υποχρέωσης του υπεύθυνου επεξεργασίας
για τη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια
των δεδομένων και την προστασία τους από απαγορευμένη διάδοση ή
πρόσβαση στο Γενικό Νοσοκομείο Λευκωσίας
Η κα. Ι.Π. εργάζεται ως επιστάτρια στο Γενικό Νοσοκομείο Λευκωσίας και με επιστολή της με ημερομηνία 29/1/2008 μου υπέβαλε παράπονο ότι ο κ. Γ.Κ., που εργάζεται ως καθαριστής στο νοσοκομείο, είχε παράνομα στην κατοχή του αντίγραφο εγγράφου με προσωπικά της δεδομένα, το πρωτότυπο του οποίου είναι καταχωρισμένο στον απόρρητο φάκελο των πειθαρχικών υποθέσεων του Γενικού Αρχείου του Γενικού Νοσοκομείου Λευκωσίας.
2. Συγκεκριμένα η παραπονούμενη ισχυρίστηκε ότι στις 29/1/2008, όταν οι εργασιακές σχέσεις της με τον καθαριστή κ. Γ.Κ. ήταν σε κατάσταση έντασης επειδή έχει την άποψη ότι ασκεί καθήκοντα που δεν είναι της αρμοδιότητας του, ο εν λόγω καθαριστής την απείλησε ότι «την έχει στο χέρι» και της παρουσίασε το πιο πάνω αντίγραφο με τα προσωπικά δεδομένα της, το οποίο της παρέδωσε αναφέροντας ότι κρατά και άλλα αντίγραφα. Σε ερώτηση της παραπονούμενης που βρήκε το εν λόγω έγγραφο, ο κ. Κ. απάντησε ότι το βρήκε στο συρτάρι του γραφείου ενός μέλους του προσωπικού του παλαιού Γενικού Νοσοκομείου Λευκωσίας.
3. Η Εκτελεστική Διευθύντρια του Γενικού Νοσοκομείου Λευκωσίας στην οποία απέστειλα στις 6/2/2008 επιστολή σχετικά με το παράπονο και τους ισχυρισμούς της παραπονούμενης, με την επιστολή της με αρ. φακ. Γ.Ν.Λ 12.10.001 και ημερ. 12/3/2008, με πληροφόρησε τα εξής: «Ο καθαριστής Γ.Κ. παραδέχεται ότι κατά τη μετακόμιση από το παλαιό στο νέο νοσοκομείο περιήλθε στην κατοχή του επιστολή που αφορούσε την Επιστάτρια Ι.Π., την οποία ισχυρίζεται ότι παρέδωσε στην ίδια εντός δύο ημερών από την ανεύρεση της. Δεν αποδέχεται την κατηγορία του εκβιασμού ούτε ότι απείλησε την κα. Π. Σε αντιπαράθεση των δύο δεν κατέστη δυνατό να εξακριβωθεί η πραγματική αλήθεια των γεγονότων».
4. Επιπρόσθετα, η Εκτελεστική Διευθύντρια Γενικού Νοσοκομείου Λευκωσίας, με την επιστολή της με αρ. φακ. 12.10.001 και ημερ. 22/5/2008, με πληροφόρησε τα εξής:
(α) Ο καθαριστής Γ.Κ., σύμφωνα με το Σχέδιο Υπηρεσίας της θέσης του (καθαριστή του Τμήματος Ιατρικών Υπηρεσιών του Υπουργείου Υγείας), καθαρίζει τους εξωτερικούς χώρους του Νοσοκομείου (της Λευκωσίας στο οποίο τοποθετήθηκε) και μεταφέρει ορισμένα αντικείμενα προς και από τους θαλάμους.
(β) Ο καθαριστής Γ.Κ., αφού επιλέγηκε από τη συντονίστρια της μετακόμισης του Παλαιού Γενικού Νοσοκομείου Λευκωσίας, βοήθησε την ομάδα εγκυτίωσης του ιατρικού αρχείου του παλαιού Γενικού Νοσοκομείου Λευκωσίας, καθώς και στη μεταφορά και τοποθέτηση των εν λόγω κιβωτίων σε αποθηκευτικούς χώρους του νέου Γενικού Νοσοκομείου Λευκωσίας. Επίσης άλλαξε κλειδαριές μετά τη μετακόμιση σε θαλάμους / τμήματα / γραφεία. Στο νέο Γενικό Νοσοκομείο Λευκωσίας του ανατέθηκε να διατηρεί καθαρές τις αποθήκες μετά την πρωινή εργασία του στο μηχανοκίνητο σάρωθρον, όπως προκύπτει και από εγκύκλιο Σημείωμα της Γραμματειακού Λειτουργού, ημερ. 27/4/2007, το οποίο κοινοποιήθηκε και στους Επιστάτες.
Επίσης, όπως προκύπτει από ταυτάριθμη επιστολή της Εκτελεστικής Διευθύντριας του Γενικού Νοσοκομείου Λευκωσίας με ημερ. 09/10/2008, ο κ. Γ.Κ. παράλληλα με τα καθήκοντα του καθαριστή, εξακολουθεί να ασχολείται με την εξεύρεση των ιατρικών φακέλων του παλαιού Γενικού Νοσοκομείου Λευκωσίας, επειδή βοηθούσε το αρχείο κατά τη μετακόμιση και γνωρίζει τους χώρους που έχουν τοποθετηθεί οι φάκελοι μετά τη μεταφορά τους στο νέο Γενικό Νοσοκομείο Λευκωσίας.
5. Από Σημείωμα της Γραμματειακού Λειτουργού με αρ. φακ. Γ.Ν.Λ. 12.10.001 και ημερ. 28/8/2008, προκύπτει ότι ο καθαριστής Γ.Κ. «επιλέγηκε» από τη Γραμματειακή Λειτουργό για να ασκεί τα καθήκοντα του κλειδαρά και πελεκάνου για το κλείδωμα / ασφάλιση των θαλάμων/ τμημάτων/ γραφείων τα οποία μετά τη μετακόμιση τους στο νέο νοσοκομείο ασφαλίζονταν και ήταν μέλος της συντονιστικής ομάδας, επειδή ο μοναδικός πελεκάνος/ ξυλουργός που διέθετε το παλαιό νοσοκομείο είχε μετακινηθεί στο νέο νοσοκομείο ένα χρόνο πριν τη μετακόμιση ως μέλος της Επιτροπής Παραλαβής Επίπλων του νέου νοσοκομείου.
Όπως αναφέρει στο Σημείωμα της η Γραμματειακός Λειτουργός, οι οδηγίες που είχε ο καθαριστής Γ.Κ. ήταν να ξεχωρίζει και να μαζεύει το ανακυκλωτικό χάρτινο υλικό από τους χώρους που άδειαζαν, πάντα υπό την επίβλεψη Επιστάτη και όταν έβρισκε δεδομένα προσωπικού χαρακτήρα που είχαν αμεληθεί από μέλη προσωπικού σε χώρους του παλαιού νοσοκομείου να τα παρέδιδε στον Επιστάτη.
Στο ίδιο Σημείωμα της η Γραμματειακός Λειτουργός, ενώ αναφέρει ότι χρειαζόταν ένα έμπιστο υπάλληλο για τα καθήκοντα του κλειδαρά, στη συνέχεια αναφέρει ότι για τις εργασίες του κλειδαρά κατά την περίοδο της μετακόμισης είχε ως μοναδική επιλογή τον κ. Γ.Κ. επειδή δεν υπήρχε άλλος με εμπειρία κλειδαρά. Επίσης αναφέρει ότι τον επέλεξε επειδή ο Επιστάτης που ήταν βοηθός συντονιστής μετακόμισης τον σύστησε ως ένα εργατικό υπάλληλο.
6. Βάσει του άρθρου 10 των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 και 2003, «η επεξεργασία δεδομένων είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ’ εντολή του. Για τη διεξαγωγή της επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας».
7. Από την εκτενή αλληλογραφία μου με την Εκτελεστική Διευθύντρια του Γενικού Νοσοκομείου Λευκωσίας και τις απαντητικές επιστολές της με αρ. φακ. Γ.Ν.Λ. 12.10.001 και ημερομηνίες 12/3/2008, 22/5/2008, 9/10/2008 και 10/12/2008, συνάγεται ότι στον καθαριστή Γ.Κ. ανατέθηκαν τα καθήκοντα κλειδαρά και συλλογής/φύλαξης προσωπικών δεδομένων, χωρίς να του δοθούν γραπτές οδηγίες για την τήρηση του απορρήτου των προσωπικών δεδομένων. Τα καθήκοντα αυτά του ανατέθηκαν επειδή θεωρήθηκε ως μοναδική επιλογή αφού δεν υπήρχε άλλος για αυτές τις εργασίες, θέση με την οποία δε συμφωνώ. Ο εκ των υστέρων ισχυρισμός της Προϊσταμένης του Αρχείου ότι ο καθαριστής Γ.Κ. ενεργούσε υπό την επίβλεψη επιστάτη και είχε οδηγίες να παραδίδει στον εν λόγω Επιστάτη τα προσωπικά δεδομένα που έβρισκε αφημένα από αμέλεια από μέλη του προσωπικού σε χώρους του παλαιού νοσοκομείου, δεν τεκμηριώνεται από κανένα έγγραφο, ούτε εκ των πραγμάτων μπορεί να ευσταθεί, αφού το αντίγραφο με τα προσωπικά δεδομένα της παραπονούμενης βρέθηκε στην κατοχή του κ. Κ. περίπου ένα χρόνο μετά τη μετακόμιση από το παλαιό στο νέο Γενικό Νοσοκομείο Λευκωσίας (η μετακόμιση έγινε στις αρχές του 2007 και ο κ. Κ. έδωσε το εν λόγω έγγραφο στην παραπονούμενη στις αρχές του 2008).
8. Παρόλο που η παραπονούμενη και ο κ. Γ.Κ. έχουν διιστάμενες εκδοχές ως προς το πως περιήλθε στην κατοχή του κ. Κ. το εν λόγω αντίγραφο με τα προσωπικά δεδομένα της παραπονούμενης και δεν είμαι σε θέση με βάση άλλη αντικειμενική μαρτυρία να εξακριβώσω την προέλευσή του, από το γεγονός όμως ότι το εν λόγω έγγραφο βρέθηκε στην κατοχή του κ. Κ. και δόθηκε στην παραπονούμενη ένα χρόνο μετά τη μετακόμιση αντί να βρίσκεται στο σχετικό αρχείο ή να έχει παραδοθεί στους αρμόδιους (επιστάτη ή Προϊσταμένη του Αρχείου) καταλήγω στο συμπέρασμα ότι δεν υπήρχε καθορισμένη διαδικασία και/ή ουσιαστικός έλεγχος εκ μέρους του υπεύθυνου επεξεργασίας, ως προς την ασφάλεια των προσωπικών δεδομένων της παραπονούμενης και συνεπώς δεν υπήρχε ικανοποιητική ασφάλεια των δεδομένων και προστασία τους κατά παράβαση της υποχρέωσης του υπεύθυνου επεξεργασίας βάσει του εδαφίου (3) του άρθρου 10 του Νόμου 138(Ι)/2001, για λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία απώλεια, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.
Για αυτό με βάση τις εξουσίες που μου παρέχουν τα άρθρα 23(στ) και 25(1)(β) των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 και 2003, επιβάλλω στην Εκτελεστική Διευθύντρια του Γενικού Νοσοκομείου Λευκωσίας τη διοικητική κύρωση της χρηματικής ποινής των €1500 (χιλίων πεντακοσίων ευρώ).
Γούλλα Φράγκου
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα
5 Μαρτίου 2009