Συλλογή και επεξεργασία απλών και ευαίσθητων προσωπικών δεδομένων.

 

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ 82/2009

ΠΕΡΙΛΗΨΗ

Η συλλογή και επεξεργασία τόσο των απλών όσο και των ευαίσθητων δεδομένων προσωπικού χαρακτήρα επιτρέπεται, εφ όσον το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του.

Η συλλογή και κάθε περαιτέρω επεξεργασία, τόσο των απλών, όσο και των ευαίσθητων προσωπικών δεδομένων επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων στις περιπτώσεις που περιοριστικά προβλέπει ο νόμος.

Ειδικότερα, επιτρέπεται για τα δεδομένα προσωπικού χαρακτήρα που αφορούν στην υγεία (ευαίσθητα προσωπικά δεδομένα) εφόσον είναι απολύτως αναγκαία για την άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου.

Τόσο για τα απλά, όσο και για τα ευαίσθητα δεδομένα πρέπει ο σκοπός επεξεργασίας να είναι νόμιμος, σαφής και καθορισμένος και τα δεδομένα να μην υπερβαίνουν το σκοπό της επεξεργασίας.

 

ΑΠΟΦΑΣΗ

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ 82/2009

Απόσπασμα…….1. Επειδή, το άρθρο 2 στοιχ. β΄ του ν.2472/1997 ορίζει ότι για τους σκοπούς του νόμου αυτού νοούνται ως «ευαίσθητα δεδομένα», τα δεδομένα που αφορούν, μεταξύ άλλων, στην υγεία. 2. Επειδή, το άρθρο 4 παρ.1 του ν.2472/1997 ορίζει, μεταξύ άλλων, ότι: «Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει: α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών. β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας (...)». Με τις διατάξεις αυτές καθιερώνονται ως θεμελιώδεις προϋποθέσεις για τη νομιμότητα κάθε επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και για τη νομιμότητα της σύστασης και λειτουργίας κάθε αρχείου, οι αρχές του σκοπού της επεξεργασίας και της αναλογικότητας των δεδομένων σε σχέση πάντα με το σκοπό επεξεργασίας. Συνεπώς, κάθε επεξεργασία προσωπικών δεδομένων, που γίνεται πέραν του επιδιωκόμενου σκοπού η οποία δεν είναι πρόσφορη και αναγκαία για την επίτευξή του, δεν είναι νόμιμη. 3. Επειδή, το άρθρο 7 του ν.2472/1997 ορίζει, μεταξύ άλλων, ότι: «1. Απαγορεύεται η συλλογή και επεξεργασία ευαίσθητων προσωπικών δεδομένων. 2. Κατ’ εξαίρεση επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων, καθώς και η ίδρυση και λειτουργία σχετικού αρχείου, ύστερα από άδεια της Αρχής, όταν συντρέχουν μία ή περισσότερες από τις ακόλουθες προϋποθέσεις: α) Το υποκείμενο των δεδομένων έδωσε τη γραπτή συγκατάθεσή του εκτός εάν η συγκατάθεση έχει αποσπασθεί με τρόπο που αντίκειται στο νόμο ή τα χρηστά ήθη ή νόμος ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση (...) γ) Η επεξεργασία αφορά δεδομένα που δημοσιοποιεί το ίδιο το υποκείμενο ή είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση ενώπιον δικαστηρίου ή πειθαρχικού οργάνου (...)».

4. Επειδή, το άρθρο 11 παρ. 3 του ν.2472/1997 ορίζει ότι: «Εάν δεδομένα προσωπικού χαρακτήρα ανακοινώνονται σε τρίτους, το υποκείμενο ενημερώνεται για την ανακοίνωση πριν από αυτούς».  5. Επειδή, το άρθρο 14 του ν.3418/2005 (Κώδικας Ιατρικής Δεοντολογίας) ορίζει, μεταξύ άλλων, ότι: «1. Ο ιατρός υποχρεούται να τηρεί ιατρικό αρχείο, σε ηλεκτρονική ή μη μορφή, το οποίο περιέχει δεδομένα που συνδέονται αρρήκτως ή αιτιωδώς με την ασθένεια ή την υγεία των ασθενών του. Για την τήρηση του αρχείου αυτού και την επεξεργασία των δεδομένων του εφαρμόζονται οι διατάξεις του Ν. 2472/1997(ΦΕΚ 50 Α΄). (...) 9. Δεν επιτρέπεται σε τρίτο η πρόσβαση σε ιατρικά αρχεία ασθενή. Κατ’ εξαίρεση επιτρέπεται η πρόσβαση: α) στις δικαστικές και εισαγγελικές αρχές κατά την άσκηση των καθηκόντων τους αυτεπάγγελτα ή μετά από αίτηση τρίτου που επικαλείται έννομο συμφέρον και σύμφωνα με τις νόμιμες διαδικασίες (...)». Εξάλλου, το άρθρο 5 παρ. 3 του ίδιου νόμου ορίζει ότι: «(…) 3. Τα ιατρικά πιστοποιητικά και οι ιατρικές γνωματεύσεις εκδίδονται μετά από προηγούμενη γραπτή ή προφορική αίτηση του προσώπου στο οποίο αφορούν ή, κατ’ εξαίρεση, τρίτου προσώπου που έχει έννομο συμφέρον και το αποδεικνύει, καθώς και όταν αυτό ρητά προβλέπεται στο νόμο (…) ». Περαιτέρω, το άρθρο 13 ορίζει, μεταξύ άλλων: «3. Η άρση ιατρικού απορρήτου επιτρέπεται όταν: (...) β) Ο ιατρός αποβλέπει στη διαφύλαξη έννομου ή άλλου δικαιολογημένου, ουσιώδους δημοσίου συμφέροντος ή συμφέροντος του ίδιου του ιατρού ή κάποιου άλλου, το οποίο δεν μπορεί να διαφυλαχθεί διαφορετικά (...)». Οι διατάξεις αυτές, που δεν καθιερώνουν απόλυτη προστασία του ιατρικού απορρήτου, επιφυλάσσουν, καθόσον αφορά την επεξεργασία ιατρικών δεδομένων, την εφαρμογή των διατάξεων του Ν. 2472/1997.

6. Επειδή, από τον συνδυασμό των προαναφερομένων διατάξεων προκύπτει ότι η συλλογή και κάθε περαιτέρω επεξεργασία τόσο των απλών όσο και των ευαίσθητων δεδομένων προσωπικού χαρακτήρα επιτρέπεται, καταρχήν, εφόσον το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του. Ωστόσο, η συλλογή και κάθε περαιτέρω επεξεργασία τόσο των απλών όσο και των ευαίσθητων προσωπικών δεδομένων επιτρέπεται, κατ’ εξαίρεση, και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων στις περιπτώσεις που περιοριστικά προβλέπει ο νόμος. Ειδικότερα, επιτρέπεται για τα δεδομένα προσωπικού χαρακτήρα που αφορούν στην υγεία (ευαίσθητα προσωπικά δεδομένα), ιδίως, υπό τις προϋποθέσεις του άρθρου 7 παρ. 2 στοιχ. γ΄ του Ν. 2472/1997, εφόσον είναι απολύτως αναγκαία για την άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου (βλ. σχετικά, ιδίως, αποφάσεις της Αρχής 61/2003 και 38/2006). Επιπλέον, τόσο για τα απλά όσο και για τα ευαίσθητα δεδομένα πρέπει ο σκοπός επεξεργασίας να είναι νόμιμος, σαφής και καθορισμένος, και τα δεδομένα να μην υπερβαίνουν το σκοπό της επεξεργασίας. 

Χρίστος Καραμπάγιας | Μέλος του Δικηγορικού Συλλόγου Αθηνών