Πρόστιμο στο νοσοκομείο Λάρισας: Γιατρός κατήγγειλε παραβίαση προσωπικών δεδομένων

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε διοικητικό πρόστιμο ύψους 7.000 ευρώ στο πανεπιστημιακό γενικό νοσοκομείο Λάρισας, έπειτα από καταγγελία γιατρού για παράνομη επεξεργασία των προσωπικών του δεδομένων και μη ικανοποίηση του δικαιώματός του στην πρόσβαση.

Σύμφωνα με σχετική ανακοίνωση της Αρχής, διαπιστώθηκε ότι το νοσοκομείο -ενεργώντας ως υπεύθυνος επεξεργασίας- προέβη παρανόμως σε επεξεργασία προσωπικών δεδομένων του καταγγέλλοντος γιατρού. Η επεξεργασία αφορούσε την αξιολόγηση της επαγγελματικής του επάρκειας (εργασιακές επιδόσεις και γενική απόδοση), καθώς και την καταλληλότητά του, με βάση τις σχέσεις του με το νοσηλευτικό και τεχνικό προσωπικό.

Παράλληλα, το νοσοκομείο δεν ικανοποίησε το αίτημα πρόσβασης που υπέβαλε ο καταγγέλλων, κατά παράβαση των διατάξεων των άρθρων 5 παρ. 1 περ. α΄, β΄, δ΄, ε΄, 14 και 15 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ).

Επιπλέον, η Αρχή απηύθυνε επίπληξη για την παράβαση της διάταξης του άρθρου 31 ΓΚΠΔ, λόγω της καθυστερημένης ανταπόκρισης του νοσοκομείου στα έγγραφά της, σύμφωνα με το Larissanet.

«Η επεξεργασία των δεδομένων δεν έγινε για στατιστικούς σκοπούς»

Η υπόθεση ξεκινά τον Φεβρουάριο του 2021 όταν στον γιατρό κοινοποιείται επιστολή διευθυντή κλινικής του Πανεπιστημιακού με την οποία ο τελευταίος του ανακοίνωσε την απόφασή του να μην χορηγεί έγκριση για χρήση από τον καταγγέλλοντα υλικών του Εργαστηρίου Φ του ΠΓΝΛ για λόγους
«συμπεριφοράς του στο προσωπικό, κατανάλωσης υλικών και επίδοσής του στο εν λόγω εργαστήριο», αποκλείοντάς τον από όλες τις δραστηριότητες του εργαστηρίου Φ. Την επιστολή αυτή έστειλε ο διευθυντής, σύμφωνα με τα καταγγελλόμενα, στον διοικητή του νοσοκομείου και άλλα άτομα του πανεπιστημιακού που δεν έχουν άμεση σχέση με την υπόθεση.

Η απόφαση βασίστηκε σε τρεις πίνακες στατιστικών στοιχείων, οι οποίοι περιλάμβαναν, ανά γιατρό και με ονομαστική αναφορά, αριθμό επεμβάσεων, διάρκεια πράξεων, ώρες υπερωριών και ποσότητες υλικών.

Σύμφωνα με την καταγγελία του γιατρού η εν λόγω επεξεργασία είχε επαχθείς συνέπειες για τον ίδιο, δεδομένου ότι αποκλείστηκε από τη διενέργεια επεμβατικών πράξεων στο Εργαστήριο Φ, ενώ όπως ισχυρίζεται δεν έλαβε γνώση της διενεργηθείσας συλλογής και επεξεργασίας των ανωτέρω προσωπικών του δεδομένων για τον συγκεκριμένο ή άλλο σκοπό, ουδέποτε έδωσε τη συγκατάθεσή του, δεν γνώριζε την αξιοποίηση αυτών των δεδομένων για την αξιολόγηση της εργασιακής του επίδοσης, καθώς και δεν ικανοποιήθηκε το δικαίωμα πρόσβασης που άσκησε.

Από την πλευρά του ο καταγγελλόμενος υποστήριξε ότι ενήργησε στο πλαίσιο των διοικητικών του καθηκόντων ως διευθυντής Κλινικής, επικαλούμενος τη νομιμότητα της επεξεργασίας για λόγους δημοσίου συμφέροντος (μη σπατάλη των πόρων του Δημοσίου) και εσωτερικής οργάνωσης.

Η Αρχή εξετάζοντας τα πραγματικά περιστατικά έκρινε πως η επεξεργασία των δεδομένων δεν έγινε για στατιστικούς σκοπούς όπως ισχυρίζεται το ΠΓΝΛ αλλά με σκοπό την «αξιολόγηση της επαγγελματικής επάρκειας του καταγγέλλοντα (εργασιακές επιδόσεις και εν γένει εργασιακή απόδοση στο Εργαστήριο Φ) και καταλληλότητάς του (σχέσεις με το νοσηλευτικό και τεχνικό προσωπικό του Εργαστηρίου Φ), όπως άλλωστε αποδέχεται το πανεπιστημιακό γενικό νοσοκομείο Λάρισας. Και τούτο καθότι το αποτέλεσμα αυτής της επεξεργασίας αποτελείται από δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντα και όχι από συγκεντρωτικά δεδομένα, αφού είναι δυνατή η άμεση ταυτοποίησή του ως υποκειμένου των δεδομένων».

Για τους λόγους αυτούς η Αρχή απέρριψε ως απαράδεκτη την καταγγελία κατά του Διευθυντή της Κλινικής και καταλόγισε την ευθύνη στο ίδιο το νοσοκομείο ως υπεύθυνο επεξεργασίας.