Με την υπ’ αριθ. 54/2018 απόφασή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα απηύθυνε προειδοποίηση στον Ιατρικό Σύλλογο Αθηνών για ανακοίνωση ευαίσθητων προσωπικών δεδομένων υποκειμένου των δεδομένων σε τρίτον χωρίς την προηγούμενη ενημέρωσή του και χωρίς προηγούμενη άδεια της Αρχής.
Η υπόθεση έφτασε στην Αρχή έπειτα από καταγγελία του Α για το γεγονός ότι ο Ιατρικός Σύλλογος Αθηνών (Ι.Σ.Α.) ανακοίνωσε ευαίσθητα προσωπικά του δεδομένα στη Γενική Επιθεωρήτρια Δημόσιας Διοίκησης (Γ.Ε.Δ.Δ.), χωρίς την προηγούμενη ενημέρωση και συγκατάθεσή του.
Σύμφωνα με το ιστορικό της υπόθεσης, ο προσφεύγων Α υπέβαλε στον ΙΣΑ αίτημα για τη χορήγηση από το αρχείο του Ι.Σ.Α. αντιγράφων συγκεκριμένων διοικητικών εγγράφων για δικαστική χρήση.
Ο Ι.Σ.Α. με απόφαση του Διοικητικού Συμβουλίου του απέρριψε το αίτημά του, με τον καταγγέλοντα να υποβάλλει εν συνεχεία στη Γ.Ε.Δ.Δ. προσφυγή ζητώντας την ακύρωση της απόφασης του Δ.Σ. του Ι.Σ.Α. ως
πλημμελώς αιτιολογημένης, και ειδικότερα επειδή δεν περιείχε την εκ του νόμου απαιτούμενη αιτιολογία περί συνδρομής των προϋποθέσεων που ορίζει η διάταξη του άρθρου 17 του ΚΔΔιαδικ.
Στο πλαίσιο διερεύνησης της προσφυγής η Γ.Ε.Δ.Δ. ζήτησε τις απόψεις του Ι.Σ.Α., ο οποίος γνωστοποίησε τις απόψεις του στη Γ.Ε.Δ.Δ, περιλαμβάνοντας με δική του πρωτοβουλία (χωρίς δηλαδή να ζητηθεί η συγκεκριμένη πληροφορία από τη Γ.Ε.Δ.Δ.) στο εν λόγω έγγραφο και ευαίσθητα προσωπικά δεδομένα του προσφεύγοντος σχετικά με εκκρεμή ποινική δίωξη σε βάρος του και ειδικότερα την πληροφορία ότι η προσφυγή ενώπιον της Γ.Ε.Δ.Δ. «θα πρέπει να αποδοθεί στην εκκρεμούσα σε βάρος του προσφεύγοντος ποινική δικογραφία στην οποία είναι κατηγορούμενος και πρόκειται να δικαστεί για τις πράξεις 1) της διατάραξης οικιακής ειρήνης, 2) της εξύβρισης με λόγο και 3) της απόπειρας παράνομης βίας μετά από αναφορά του Ιατρικού Συλλόγου Αθηνών».
Όπως επισημαίνει η Αρχή, ο Ι.Σ.Α. γνωστοποίησε τα στοιχεία αυτά χωρίς την προηγούμενη ενημέρωση του προσφεύγοντος και χωρίς προηγούμενη άδεια της Αρχής.
Ο Ι.Σ.Α., όπως προκύπτει από το σχετικό έγγραφό του, σημείωσε στην τελευταία παράγραφο:
«Παραμένοντας στη διάθεσή σας για τυχόν περαιτέρω διευκρινίσεις, θα πρέπει να σημειώσουμε ότι κατά την άποψή μας η ενώπιον σας προσφυγή θα πρέπει ολοσχερώς να αποδοθεί στην εκκρεμούσα σε βάρος του προσφεύγοντος ποινική δικογραφία…».
Από την ανωτέρω διατύπωση προκύπτει ότι μετά την ολοκλήρωση των εξηγήσεων που παρείχε ο Ι.Σ.Α. στη Γ.Ε.Δ.Δ. επί του ερευνώμενου θέματος, με δική του πρωτοβουλία και χωρίς να του ζητηθεί από τη Γ.Ε.Δ.Δ., επέλεξε, ως υπερασπιστική τακτική, να κλονίσει την αξιοπιστία της εν λόγω προσφυγής αποδίδοντας την σε «εκκρεμή σε βάρος του προσφεύγοντος ποινική δικογραφία», ανακοινώνοντας
παράλληλα ευαίσθητα προσωπικά του δεδομένα.
Όπως αναφέται στην απόφαση, η Αρχή στερείται αρμοδιότητας να κρίνει επί των υπερασπιστικών επιλογών του Ι.Σ.Α. και της αναγκαιότητας ή μη να ενεργήσει σύμφωνα με αυτές.
Σε περίπτωση όμως κατά την οποία ο υπεύθυνος επεξεργασίας στο πλαίσιο της υπερασπιστικής τακτικής του επιθυμεί να προβεί σε επεξεργασία ευαίσθητων προσωπικών δεδομένων που αφορούν ποινικές διώξεις, εφαρμογής τυγχάνουν οι διατάξεις του άρθρου 7 παρ. 2 εδ. γ’ Ν. 2471/1997, κατά τις οποίες επιτρέπεται η εν λόγω επεξεργασία για την άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου ή πειθαρχικού οργάνου, και ως τέτοιο ενεργούσε εν προκειμένω η Γ.Ε.Δ.Δ. υπό την προϋπόθεση ότι η Αρχή χορήγησε κατόπιν αιτήματος σχετική άδεια.
Στην προκειμένη όμως περίπτωση, ο Ι.Σ.Α. δεν υπέβαλε αίτηση στην Αρχή για χορήγηση άδειας κατ’ άρ. 7 παρ. 2 εδ. γ’ Ν. 2472/1997 προκειμένου να ανακοινώσει τα σχετικά με ποινική δίωξη ευαίσθητα προσωπικά δεδομένα του προσφεύγοντος στη Γ.Ε.Δ.Δ., η δε από μέρους του Ι.Σ.Α. επίκληση των νομοθετικών προβλέψεων για τις ελεγκτικές αρμοδιότητες της Γ.Ε.Δ.Δ. δεν αρκεί από μόνη της για τη σύννομη ανακοίνωση ευαίσθητων προσωπικών δεδομένων χωρίς προηγούμενη άδεια της Αρχής.
Η Αρχή απευθύνει προειδοποίηση στον Ιατρικό Σύλλογο Αθηνών να επεξεργάζεται ευαίσθητα προσωπικά δεδομένα σχετικά με ποινικές διώξεις, των οποίων έλαβε γνώση εξ’ αφορμής εκκρεμούς ποινικής δίκης στην οποία συμμετέχει, τηρώντας την κείμενη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα και αφού προηγουμένως έχει ενημερώσει τα υποκείμενα των δεδομένων για τη διαβίβαση αυτή.
Αξίζει να σημειωθεί ότι το ιστορικό της υπόθεσης αφορά σε περίοδο πριν την 25 Μαΐου, συνεπώς δεν τυγχάνει εφαρμογής ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR)
Υπενθυμίζεται, άλλωστε, ότι σύμφωνα με πρόσφατη ανακοίνωση της ΑΠΔΠΧ, η Αρχή δεν έχει πλέον αρµοδιότητα χορηγήσεως αδειών για την επεξεργασία και για την ίδρυση και λειτουργία αρχείου µε βάση το άρθρο 7 του ν. 2472/1997.
Όπως αναφέρεται στη σχετική ανακοίνωση, οι υπεύθυνοι επεξεργασίας φέρουν το βάρος συµµόρφωσης µε τις επιταγές του GDPR, αξιοποιώντας την έως τώρα διαµορφωθείσα νοµολογία της Αρχής, που είναι πλούσια σε όλα τα θέµατα (όπως σχετικά µε την πρόσβαση τρίτου σε δεδοµένα προσωπικού χαρακτήρα για δικαστική χρήση).
Πηγή: Lawspot.gr