Πρόστιμο σε νοσοκομείο για φωτογραφίες ασθενούς

Περιεχόμενο καταγγελίας

Το Συμβούλιο Προστασίας Προσωπικών Δεδομένων (Personal Data Protection Board) της Τουρκίας επέβαλε πρόστιμο σε Νοσοκομείο, κατόπιν καταγγελίας σχετικά με την κοινοποίηση φωτογραφιών ασθενούς.  Οι φωτογραφίες τραβήχτηκαν κατά τη διάρκεια χειρουργικής επέμβασης. Μάλιστα, ακολούθησε δημοσίευση των φωτογραφιών στον λογαριασμό των μέσων κοινωνικής δικτύωσης ιατρού που εργάζεται σε αυτό.

Σύμφωνα με την καταγγελία υποστηρίζεται ότι τα προσωπικά δεδομένα του υποκειμένου των δεδομένων υποβλήθηκαν σε παράνομη επεξεργασία. Συγκεκριμένα, ο ασθενής δεν έδωσε ρητή συγκατάθεση, για την κοινοποίηση φωτογραφιών, που τραβήχτηκαν κατά τη διάρκεια της επέμβασης, από τρίτον στα μέσα κοινωνικής δικτύωσης. Μάλιστα, ο χρόνος διατήρησης  των φωτογραφιών από τον ιατρό  του Νοσοκομείου  υπολογίζεται στα 2 χρόνια.

Το Συμβούλιο έκανε τις ακόλουθες εξηγήσεις σχετικά με την καταγγελία

Οι φωτογραφίες που αποτελούν το αντικείμενο της καταγγελίας αποτελούν προσωπικά δεδομένα. Ειδικότερα, τα μέρη του προσώπου του υποκειμένου των δεδομένων, (π.χ. τα φρύδια, το μουστάκι κ.λπ.) καθιστούν το άτομο αναγνωρίσιμο. Τα  εν λόγω μέρη περιλαμβάνονται σαφώς και δεν έχουν ανωνυμοποιηθεί .

Από την άλλη πλευρά, το Νοσοκομείο (ως υπεύθυνος επεξεργασίας) υποστηρίζει  ότι έλαβαν τη ρητή συναίνεση του υποκείμενου των δεδομένων. Ωστόσο, οι εν λόγω φωτογραφίες υποβλήθηκαν σε επεξεργασία από ιατρό, που εργάζεται στο Νοσοκομείο και όχι από το ίδιο το  Νοσοκομείο.

Η ρητή συγκατάθεση που δόθηκε στο Νοσοκομείο δεν παρέχει νομιμοποιητική βάση για τη χρήση φωτογραφιών από τον ιατρό. Τα προσωπικά δεδομένα του υποκειμένου των δεδομένων έχουν υποστεί παράνομη επεξεργασία. Το Νοσοκομείο, που είναι υπεύθυνος επεξεργασίας δεδομένων, έχει γνώση αυτής της κατάστασης. Επομένως, η κοινοποίηση των φωτογραφιών του υποκειμένου των δεδομένων στα μέσα κοινωνικής δικτύωσης από τρίτον υποδηλώνει, ότι δεν ελήφθησαν τα απαραίτητα τεχνικά και οργανωτικά μέτρα από το Νοσοκομείο.

Η απόφαση του Συμβουλίου

Το Συμβούλιο αποδέχτηκε ότι το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για την επεξεργασία των δεδομένων του προς το Νοσοκομείο (που λειτουργεί εν προκειμένω ως υπεύθυνος επεξεργασίας δεδομένων). Παρά ταύτα ο ιατρός  του Νοσοκομείου δεν είχε λάβει ρητή συγκατάθεση σχετικά με την κοινοποίηση των εικόνων στα μέσα κοινωνικής δικτύωσης.

Επομένως, δεδομένου ότι το Νοσοκομείο γνώριζε την διενεργηθείσα κοινοποίηση και την επέτρεψε τεκμαίρεται ότι ο  υπεύθυνος επεξεργασίας δεδομένων δεν λαμβάνει επαρκή τεχνικά και οργανωτικά μέτρα. Το Νοσοκομείο δεν εξασφάλισε το κατάλληλο επίπεδο ασφάλειας. Συνεπώς, δεν απέτρεψε την παράνομη πρόσβαση και την επεξεργασία προσωπικών δεδομένων, για να εξασφαλίσει την προστασία τους. Στο πλαίσιο αυτό το Συμβούλιο επέβαλε διοικητικό πρόστιμο στο Νοσοκομείο ύψους 4.657 ευρώ.

Πηγή:

Lexology.com/ Hospital fined after doctor shares surgery photos on social media / Διαθέσιμο εδώ

Turkish Law-Blog/ Sharing the Photos Taken During Surgery /Διαθέσιμο εδώ

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Δεδομένα υγείας και cookies: πρόστιμο 380.000 €

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε στον ιστότοπο DOCTISSIMO πρόστιμο 380.000 ευρώ, καθώς η συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον GDPR ήταν ανεπαρκής. Το πρόστιμο αφορούσε τα δεδομένα υγείας και την χρήση των cookies. Ο DOCTISSIMO προέβη στη συλλογή και χρήση των δεδομένων υγείας των υποκειμένων και η συμμόρφωση με τους κανόνες για τα cookies ήταν ανεπαρκής.

Γενικές πληροφορίες

Ο ιστότοπος DOCTISSIMO δημιουργήθηκε αρχικά για την ενημέρωση των επισκεπτών στον τομέα της υγείας. Διαθέτει τεστ, κουίζ και φόρουμ συζήτησης που αφορούν την υγεία και την ευεξία για το ευρύ κοινό. Κατόπιν καταγγελίας της ένωσης PRIVACY INTERNATIONAL, η Γαλλική Αρχή διεξήγαγε 4 έρευνες για τον DOCTISSIMO.

Κατά τη διάρκεια των ερευνών, η Γαλλική Αρχή  εντόπισε αρκετές παραβιάσεις. Συγκεκριμένα, οι παραβιάσεις αφορούσαν τον χρόνο διατήρησης δεδομένων, τη συλλογή δεδομένων υγείας μέσω online tests, την ασφάλεια των δεδομένων και τον τρόπο με τον οποίο τα cookies συλλέγουν τα δεδομένα των χρηστών.

Η Γαλλική Αρχή επέβαλε 2 πρόστιμα στον ιστότοπο DOCTISSIMO:
  • Αρχικά, επέβαλε πρόστιμο 280.000 ευρώ για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Το πρόστιμο αυτό λήφθηκε σε συνεργασία με όλους τους ευρωπαϊκούς ομόλογους της Γαλλικής Αρχής, διότι η ιστοσελίδα δύναται να έχει επισκέπτες από όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.
  • Το δεύτερο πρόστιμο των 100.000 ευρώ επεβλήθη για τη μη συμμόρφωση με τη χρήση των cookies (άρθρο 82 της γαλλικής νομοθεσίας για την προστασία δεδομένων). Σε αυτήν την περίπτωση, η Γαλλική Αρχή έχει τη δικαιοδοσία να ενεργεί από μόνη της.
Κυρώσεις για παραβιάσεις

Παραβίαση της βασικής αρχής του περιορισμού της περιόδου αποθήκευσης· (Άρθρο 5.1(ε) GDPR)

Ο ιστότοπος διατηρούσε δεδομένα από τα tests που συμπλήρωναν οι χρήστες. Ο χρόνος διατήρησης των δεδομένων ανερχόταν στους 24 μήνες. Η Γαλλική Αρχή υποστήριξε ότι αυτές οι περίοδοι διατήρησης είναι υπερβολικές, διότι δεν συνάδουν με τις ανάγκες του ιστότοπου. Επιπλέον, υπήρξε διατήρηση δεδομένων των χρηστών των οποίων ο λογαριασμός ήταν ανενεργός για περισσότερο από τρία χρόνια, χωρίς καμία διαδικασία ανωνυμοποίησης.

Μη λήψη συναίνεσης των επισκεπτών για τη συλλογή των δεδομένων υγείας τους (άρθρο 9 GDPR)

Ο εν λόγω ιστότοπος δεν προέβλεπε κανέναν ειδικό μηχανισμό προειδοποίησης ή συναίνεσης στα online tests, για να διασφαλίσει τη συναίνεση των επισκεπτών για την επεξεργασία των δεδομένων υγείας τους. Σύμφωνα με την εταιρεία, η συλλογή δεδομένων υγείας αφορούσε περίπου το 5% των τεστ.

Ανεπαρκές νομικό πλαίσιο για τις ενέργειες των από κοινού υπευθύνων επεξεργασίας (άρθρο 26 GDPR)

Η εταιρεία DOCTISSIMO υλοποιεί επεξεργασία προσωπικών δεδομένων με άλλες εταιρείες, ιδίως για διαφημιστικούς σκοπούς στον ιστότοπο. Αυτές οι σχέσεις κοινής ευθύνης δεν πλαισιώθηκαν από κανένα επίσημο έγγραφο, όπως μια σύμβαση. Ειδικότερα, ένα τέτοιο έγγραφο πρέπει να αναφέρει την κατανομή των υποχρεώσεων μεταξύ των από κοινού υπευθύνων επεξεργασίας.

Μη διασφάλιση της ασφάλειας των προσωπικών δεδομένων (άρθρο 32 GDPR)

Μέχρι τον Οκτώβριο του 2019, η εταιρεία χρησιμοποιούσε ένα πρωτόκολλο επικοινωνίας «http», το οποίο δεν είναι ασφαλές. Στη συνέχεια, εξέθετε τα δεδομένα σε κίνδυνο επιθέσεων ή παραβίασης δεδομένων. Επιπλέον, διατηρούσε τους κωδικούς πρόσβασης των χρηστών σε ανεπαρκώς ασφαλή μορφή.

Μη συμμόρφωση με τις υποχρεώσεις της χρήσης των cookies (άρθρο 82 της γαλλικής νομοθεσίας περί προστασίας δεδομένων)

Η Γαλλική Αρχή παρατήρησε ότι  ο τερματικός των χρηστών υφίστατο παρακολούθηση από διαφημιστικό cookie από τη στιγμή που εισήλθαν στον ιστότοπο, χωρίς τη συγκατάθεσή τους. Περαιτέρω, διαπιστώθηκε παρακολούθηση από 2 διαφημιστικά cookies, μετά την επιλογή του κουμπιού «Απόρριψη όλων».

Συμπέρασμα:

Ο εκάστοτε Υπεύθυνος Επεξεργασίας που συλλέγει με οποιονδήποτε τρόπο προσωπικά δεδομένα, θα πρέπει να προβλέπει τη συμμόρφωση και με το υφιστάμενο νομοθετικό πλαίσιο περί προστασίας τους. Εν προκειμένω, ο Υπεύθυνος Επεξεργασίας επέλεξε την συλλογή ειδικών κατηγοριών προσωπικών δεδομένων (δεδομένα υγείας) των επισκεπτών του ιστοτόπου του με διάφορα μέσα, χωρίς όμως να πληροί καμία από τις προϋποθέσεις της εγχώριας και της κοινοτικής νομοθεσίας.

Αυτό είχε σαν αποτέλεσμα την παράνομη επεξεργασία των προσωπικών δεδομένων των Υποκειμένων και την κατ’ εξακολούθηση διακινδύνευση των θεμελιωδών δικαιωμάτων των προσώπων που επισκέπτονταν τον ιστότοπο του. Από τα πρόστιμα της Γαλλικής Αρχής προκύπτει επομένως ότι ένας ιστότοπος που παρέχει ψηφιακό περιεχόμενο σχετικό με την υγεία, θα πρέπει να  είναι συμμορφομένος πλήρως με τον GDPR, ώστε να αποτρέψει τις ενδεχόμενες παραβιάσεις των δεδομένων που συλλέγει και να προστατεύσει τα δικαιώματα των χρηστών που τον επισκέπτονται.

Πηγή:

CNIL: Health data and use of cookies: DOCTISSIMO fined €380,000/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Top