Στην εποχή των νέων κανόνων GDPR, το Δημόσιο εκποιεί «με το κιλό» και σε ανοικτές δημοπρασίες με προφορική διαδικασία, τόνους ολόκληρους αρχειακού υλικού με τα ευαίσθητα προσωπικά δεδομένα χιλιάδων πολιτών, όπως τα εξής :
- 86.000 ιατρικοί φάκελοι με 155.000 ακτινογραφίες προς μισό ευρώ το κιλό
- 5.000 φάκελοι ασθενών προς 80 λεπτά το κιλό
- αρχειακό υλικό των κρατικών νοσοκομείων με ιστορικά ασθενών στο οποίο περιλαμβάνονται και ακτινολογικά φιλμς, προς 50 λεπτά το κιλό
Σκληροί κανόνες για όλους
Και αν δεν ήξερε κάποιος τι ισχύει πανευρωπαϊκά η νέα νομοθεσία του GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων) που προβλέπει πρόστιμα έως και 20 εκατ. ευρώ για μη σύννομη χρήση προσωπικών πληροφοριών και στοιχείων, την έμαθε όταν του ζητήθηκε -από τον Μάιο του 2018 ήδη- να υπογράφει πολυσέλιδες εξουσιοδοτήσεις ότι συναινεί και για θέματα ρουτίνας (ως τότε) όπως αν θα λαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου, ή αν θα μπορέσει να παραλάβει τα αποτελέσματα των ιατρικών εξετάσεων της συζύγου ή των παιδιών του από οποιοδήποτε διαγνωστικό κέντρο. Και πριν όμως, οι αυστηροί κανόνες προστασίας έβαζαν εμπόδια εδώ και τρία χρόνια στην ηλεκτρονική υποβολή δηλώσεων «Πόθεν Έσχες», που φέτος για πρώτη φορά ολοκληρώθηκε.
Αλλά και χωρίς αυτούς τους κανόνες, ποιος θα πέταγε ανέμελα στους μπλε κάδους ανακύκλωσης έγγραφα με τα προσωπικά του δεδομένα (ιατρικές εξετάσεις, φορολογικά στοιχεία, λογαριασμούς πιστωτικών καρτών ή ΔΕΚΟ) χωρίς να αφαιρέσει ή να καταστρέψει προληπτικά τις πληροφορίες που αναγράφονται σε αυτά όπως διευθύνσεις, ΑΦΜ κλπ) για να μην βρεθεί μπλεγμένος στην (πιθανή ή απίθανη) περίπτωση κακής χρήσης.
Πλειστηριασμοί από το Δημόσιο
Την ίδια επιμέλεια με τους ιδιώτες οφείλει να δείχνει και το ελληνικό Κράτος, που βγάζει σε πλειστηριασμό για ανακύκλωση τα ιατρικά αρχεία των δημόσιων νοσοκομείων προς «εκποίηση/πώληση με το ζύγι και μεικτοβαρώς», όπως χαρακτηριστικά αναφέρει και η προκήρυξη του σχετικού πλειστηριασμού από τον ΟΔΔΥ. Και ενώ διασφαλίζεται ότι ο ανάδοχος του έργου της ανακύκλωσης θα τηρήσει όλους τους κανόνες προστασίας του φυσικού περιβάλλοντος, δεν προκύπτει πως διασφαλίζεται το ίδιο πάντα και για τα προσωπικά δεδομένα.
Επί της ουσίας, αντί να τεθεί προληπτικά σαν όρος η επιλογή πιστοποιημένων σε θέματα προσωπικών δεδομένων ανακυκλωτών, υπάρχει μόνον η πρόβλεψη για εκ των υστέρων υπογραφές συμβάσεων μεταξύ των πλειοδοτών του πλειστηριασμού και τα κατά περίπτωση αρμόδια νοσοκομεία, χωρίς να διασφαλίζεται τι θα συμβεί αν δεν τηρηθούν οι όροι (πχ έκπτωση του αναδόχου, επιστροφή χρημάτων, ρήτρες κλπ) όπως ισχύει μεν σε διαγωνισμούς, αλλά όχι σε πλειοδοτικές προφορικές δημοπρασίες.
Όλα στη φόρα…
Προ ημερών μόλις βγήκε στον αέρα ένας ακόμη τέτοιος πλειστηριασμός, με υλικό που περιέχει σε έντυπη μορφή ευαίσθητες πληροφορίες και για τις οποίες κάποιοι θα πλήρωναν αδρά ενδεχομένως –και για στατιστικούς έστω λόγους- για το ιστορικό ασθενών από όλα σχεδόν τα μεγάλα κρατικά νοσοκομεία της χώρας.
Σύμφωνα με το GDPR, υπεύθυνος για την επεξεργασία των δεδομένων του εκάστοτε φορέα, νοσοκομείου, υπηρεσίας ή οργανισμού του δημοσίου, είναι ο ίδιος ο Οργανισμός ή Δημόσια Αρχή, η οποία και οφείλει να προβαίνει σε όλες τις απαραίτητες ενέργειες και να παρακολουθεί την διαδικασία της «εμπιστευτικής καταστροφής» μέχρι και την τελική εκκαθάριση (GDPR άρθρο 28).
Αυτό ισχύει ακόμα περισσότερο για τους φακέλους ασθενών που καλύπτονται από το Ιατρικό Απόρρητο τα οποία συγκαταλέγονται σε δεδομένα με ιδιαίτερη ευαισθησία και πρέπει να διαχειρίζονται αναλόγως.
Εκτός από τους σχετικούς νόμους που υπάρχουν σε όλες τις χώρες του κόσμου (για τα Προσωπικά Δεδομένα ή τον Κώδικας Ιατρικής Δεοντολογίας κλπ), ο ίδιος ο Όρκος του Ιπποκράτη ορίζει ότι «δεν θα μιλήσω για όσα δω και μάθω» για τον ασθενεί (« Ἃ δ’ ἂν ἐν θεραπείῃ ἢ ἴδω, ἢ ἀκούσω (…) σιγήσομαι, ἄῤῥητα ἡγεύμενος εἶναι τὰ τοιαῦτα»).
Κίνδυνοι
Με αυτά τα δεδομένα, τα νοσοκομεία είναι υπεύθυνα να ελέγχουν ότι τα αρχεία των ασθενών ανακυκλώνονται με κάθε εμπιστευτικότητα και δεν καταλήγουν σε λάθος χέρια ή χρήσεις.
Ακόμα και αν αφορούν παλαιές εξετάσεις και έχουν περάσει χρόνια, παραδίδεται για ανακύκλωση αρχειακό υλικό και εξετάσεις εν ζωή ασθενών από την δεκαετία του 1990 ή του 1980, όταν ήταν ακόμα νέοι ή παιδιά.
Επίσης μπορεί εκεί να εμπεριέχεται και ιστορικό υιοθεσιών ή άλλες προσωπικές πληροφορίες. Αν όμως δεν διασφαλίζονται απολύτως τα αρχεία αυτά, η διαδικασία θα διαιωνίζεται και τα επόμενα χρόνια.
Κατόπιν η ΑΑΔΕ ξεκαθαρίζει ότι η αρμοδιότητά του ΟΔΔΥ «περιορίζεται αποκλειστικά και μόνον στην διοργάνωση της δημοπρασίας για την ανάδειξη των επιχειρήσεων που αναλαμβάνουν την καταστροφή του εν λόγω υλικού, σύμφωνα με την ειδική νομοθεσία τόσο για την προστασία προσωπικών δεδομένων όσο και για την καταστροφή και ανακύκλωση αποβλήτων».
Πράγματι στη σχετική Διακήρυξη της Δημοπρασίας από τον ΟΔΔΥ (3942Ε του 2019) για την εκποίηση αρχειακού υλικού νοσηλευομένων στα κρατικά νοσοκομεία της χώρας, γίνεται μνεία στην Οδηγία 1/2005 την οποία εξέδωσε -προ 15ετίας όμως- η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Από την ΑΑΔΕ τονίζουν ότι η εν λόγω διαδικασία υλοποιήθηκε σύμφωνα με την υπ. αρ. 1/2005 Οδηγία της Αρχής Προστασίας Προσωπικών Δεδομένων, με την οποία παρέχονται κατευθύνσεις σχετικά με τη λήψη των κατάλληλων οργανωτικών μέτρων για την ασφαλή καταστροφή των προσωπικών δεδομένων.
Η Οδηγία αυτή «εξακολουθεί να ισχύει, καθώς είναι σύμφωνη με τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (Γ.Κ.Π.Δ.- GDPR), για την ορθή εφαρμογή του οποίου η ΑΑΔΕ έχει ορίσει Υπεύθυνο Προστασιας Δεδομένων (Data Protection Officer) απο το Μάιο του 2018». Και συμπληρώνουν ότι «όπως ρητά αναφέρεται στη σχετική διακήρυξη, η παραλαβή, μεταφορά και καταστροφή των υλικών επιβλέπεται και καθορίζεται από τον υπεύθυνο επεξεργασίας των υλικών αυτών, δηλαδή εν προκειμένω τα νοσοκομεία».
Εκτεθειμένα τα προσωπικά δεδομένα
Παρά την ειδική πρόβλεψη όμως από τον ΟΔΔΥ, η Οδηγία 1/2005 επιβάλλει την υπογραφή σύμβασης ανάθεσης, όπου «θα πρέπει να ορίζονται τα μέτρα που θα εφαρμόσει ο εκτελών την επεξεργασία για την ασφαλή μεταφορά των δεδομένων στον τόπο καταστροφής, ο τόπος καταστροφής, οι τυχόν ενδιάμεσοι τόποι αποθήκευσης των δεδομένων, ο τρόπος καταστροφής, καθώς επίσης και ο μέγιστος επιτρεπόμενος χρόνος από την στιγμή της παράδοσης των δεδομένων από τον υπεύθυνο επεξεργασίας στον εκτελούντα την επεξεργασία μέχρι την οριστική καταστροφή τους».
Πρακτικά, τέτοια σύμβαση δεν ζητείται να υπογραφεί ή να συνταχθεί πριν να συμμετάσχει κάποιος στη δημοπρασία –ούτε ελέγχεται και μετά ενδεχομένως όμως. Καθώς πρόκειται για Πλειστηριασμό και όχι για Διαγωνισμό ανάθεσης, πουθενά δεν περιγράφονται τα μέτρα ασφαλείας που θα πρέπει να τηρεί ο πιθανός «ανάδοχος» κατά τη μεταφορά, φύλαξη και εμπιστευτική καταστροφή των προσωπικών μας δεδομένων.
Η ΑΑΔΕ ξεκαθαρίζει επίσης ότι «ο αγοραστής/πλειοδότης απαιτείται να είναι εγγεγραμμένος στο Ηλεκτρονικό Μητρώο Αποβλήτων, να διαθέτει άδεια συλλογής και μεταφοράς αποβλήτων για το συγκεκριμένο υλικό, συμφωνητικό συνεργασίας με ολοκληρωμένο σύστημα εναλλακτικής διαχείρισης του υλικού αυτού, καθώς και την κατάλληλη περιβαλλοντική αδειοδότηση διαχείρισης σύμφωνα με την ισχύουσα νομοθεσία και επομένως δεν μπορεί να είναι «οποιοσδήποτε ιδιώτης».
Ωστόσο εκτός από την καταβολή εγγύησης για συμμετοχή στο διαγωνισμό, δεν ζητείται καμία πιστοποίηση των ενδιαφερομένων για την ορθή χρήση των προσωπικών δεδομένων – προκειμένου να μην καταλήξουν και στον οποιονδήποτε τρίτο– αλλά μόνον για την τήρηση των περιβαλλοντικών κανόνων ανακύκλωσης.
Θεωρητικά πάντως, ο οδηγός προετοιμασίας που έχει δημοσιεύσει το Υπουργείο Υγείας για τα προσωπικά δεδομένα, ορίζει ότι «σε ένα ασθενοκεντρικό σύστημα παροχής υπηρεσιών υγείας, η προστασία του ατόμου έναντι της επεξεργασίας δεδομένων του προσωπικού χαρακτήρα δεν συνιστά απλή επιλογή, αλλά πρωταρχικό σκοπό του συστήματος».