Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα - απόφαση 126/2013 : Απόρριψη αιτήσεως του Υπουργείου Υγείας για έκδοση άδειας συλλογής και επεξεργασίας ευαίσθητων δεδομένων υγείας, λόγω έλλειψης νομικής βάσης

ΑΠΟΦΑΣΗ 126/2013 - Απόρριψη αιτήσεως του Υπουργείου Υγείας για έκδοση άδειας συλλογής και επεξεργασίας ευαίσθητων δεδομένων υγείας, λόγω έλλειψης νομικής βάσης.

Το Υπουργείο Υγείας γνωστοποίησε στην Αρχή με το υπ. αρ. πρωτ. ΓΝ/ΕΙΣ/390/22-03-2013 έγγραφό του τη σύσταση και έναρξη λειτουργίας αρχείου με ευαίσθητα δεδομένα που αφορούν την υγεία των ωφελούμενων χρηστών/ληπτών υπηρεσιών ψυχικής υγείας από μονάδες ψυχικής υγείας, δυνάμει της υπ. αριθμ. Υ5α,β/ΓΠ.οικ.39321 Απόφασης της Υφυπουργού Υγείας (ΦΕΚ 453/Τεύχος Β/16.04.2010). _ς σκοπός της επεξεργασίας του αρχείου αναφέρεται ο έλεγχος των δαπανών (προϋπολογιστικά και απολογιστικά στοιχεία) των χρηματοδοτούμενων από το Υπουργείο μονάδων ψυχικής υγείας. Τα προσωπικά δεδομένα των χρηστών/ληπτών ψυχικής υγείας που υφίστανται επεξεργασία περιλαμβάνουν ονοματεπώνυμο, φύλο, ηλικία, τόπο μόνιμης κατοικίας, ΑΜΚΑ, ασφαλιστικό φορέα, ημερομηνία και τρόπο προσέλευσης, ένδειξη αν πρόκειται για νέο ή  επαναλαμβανόμενο λήπτη, αριθμό επισκέψεων και θεραπευτικών πράξεων μηνιαίως, λειτουργικότητα ασθενούς, ύπαρξη οικογενειακού περιβάλλοντος, διάγνωση, υποστηρικτικό περιβάλλον, στοιχεία δικαστικού συμπαραστάτη (τα τελευταία τρία για χρόνιους ασθενείς), κ.ά. Η παραπάνω γνωστοποίηση του Υπουργείου επείχε και θέση αίτησης για άδεια από την Αρχή βάσει του άρθρου 7 ν. 2472/1997.

Η Αρχή, κατά την εξέταση της γνωστοποίησης και του σχετικού νομικού πλαισίου, εθεώρησε (βλ. αρ. πρωτ. ΓΝ/ΕΞ/390-1/30-05-2013 έγγραφό της) ότι η υπ.αριθμ. Υ5α,β/ΓΠ.οικ.39321 απόφαση δεν παρέχει την απαραίτητη νομική βάση για την επεξεργασία των ευαίσθητων δεδομένων από το Υπουργείο Υγείας. Κι αυτό γιατί η εν λόγω απόφαση αναφέρεται αποκλειστικά σε ποσοτική  εκτίμηση/αποτύπωση στοιχείων των μονάδων ψυχικής υγείας που αφορούν στους χρήστες/λήπτες υπηρεσιών ψυχικής υγείας, δηλαδή στην επεξεργασία αποκλειστικά στατιστικών στοιχείων και όχι δεδομένων προσωπικού χαρακτήρα. _ς εκ τούτου, η Αρχή κάλεσε το Υπουργείο να θεμελιώσει την απαιτούμενη νομική βάση για την επεξεργασία, προκειμένου να προχωρήσει στην αναλυτικότερη εξέταση της υπόθεσης και ιδίως των όρων και προϋποθέσεων για την έκδοση άδειας.

Λίγους μήνες μετά και χωρίς να έχει υπάρξει σχετική ενημέρωση της Αρχής από το Υπουργείο, υποβλήθηκαν στην Αρχή καταγγελίες από μονάδες ψυχικής υγείας αναφορικά με το υπ. αρ. πτωτ. Υ5β/Γ.Π.οικ.63818/28-06-2013 έγγραφο του Υπουργείου που τις υποχρέωνε σε διαβίβαση αναλυτικών δεδομένων ωφελούμενων χρηστών/ληπτών υπηρεσιών ψυχικής υγείας προς το Υπουργείο. Συγκεκριμένα πρόκειται για τις υπ. αρ. πρωτ. Γ/ΕΙΣ/4588/08-07-2013, Γ/ΕΙΣ/4587/08-07-2013, Γ/ΕΙΣ/4491/04-07-2013 και Γ/ΕΙΣ/4613/09-07-2013 καταγγελίες, από τις οποίες η Αρχή πληροφορήθηκε την έκδοση νέων υπουργικών αποφάσεων για το ίδιο ζήτημα.

Εν συνεχεία, με τη ΓΝ/ΕΙΣ/1011/22-07-2013 συμπληρωματική γνωστοποίησή του, το Υπουργείο Υγείας διαβίβασε στην Αρχή τις αποφάσεις Υ5β/Γ.Π.οικ 50557/29-05-2013 (ΦΕΚ 1299-Β/29-5-2013), Υ5β/Γ.Π.οικ 50552/29-05-2013 (ΦΕΚ 1299-Β/29-5-2013), Υ5β/Γ.Π.οικ 56669/11-06-2013 (ΦΕΚ 1426-Β/12-6-2013) και Υ5β/Γ.Π.οικ.56675/11-06-2013 (ΦΕΚ 1426-Β/12-6-2013) της Υφυπουργού Υγείας που τροποποιούν παλαιότερες υπουργικές αποφάσεις αναφορικά με τον τρόπο λειτουργίας και οργάνωσης των Κέντρων Ημέρας, Κινητών Μονάδων Ψυχικής Υγείας, Μονάδων Ψυχοκοινωνικής Αποκατάστασης (Οικοτροφεία, Ξενώνες) και Προγραμμάτων Προστατευόμενων ιαμερισμάτων. Βάσει των παραπάνω υπουργικών αποφάσεων που αναφέρονται ειδικά στην επεξεργασία δεδομένων ωφελούμενων χρηστών/ληπτών υπηρεσιών ψυχικής υγείας, το Υπουργείο επανέφερε το αίτημά του για άδεια επεξεργασίας ευαίσθητων δεδομένων, επισυνάπτοντας και τους πίνακες με τα αναλυτικά στοιχεία που επιθυμεί να τηρεί στο πληροφοριακό του σύστημα ανά κατηγορία μονάδων ψυχικής υγείας.

Με σκοπό την περαιτέρω διερεύνηση της νομικής βάσης, καθώς και του προτεινόμενου από το Υπουργείο τρόπου επεξεργασίας και ιδίως των μέτρων ασφαλείας που εφαρμόζονται για την προστασία των προσωπικών δεδομένων, πραγματοποιήθηκε ειδική συνάντηση στις 31/7/2013 μεταξύ στελεχών του Υπουργείου και των ελεγκτών της Αρχής που χειρίζονται την υπόθεση. Στη συνάντηση συζητήθηκαν δυνατές λύσεις αναφορικά με την ψευδωνυμοποίηση και την ασφάλεια των δεδομένων τόσο για το τρέχον χρονικό διάστημα (μέχρι την εξέταση του θέματος από το συμβούλιο της Αρχής), όσο και για την τελική εφαρμογή του νέου συστήματος.

Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου, αφού άκουσε τους εισηγητές και τους βοηθούς εισηγητές, οι τελευταίοι στη συνέχεια αποχώρησαν και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

1. Επειδή, από τις διατάξεις των άρθρων 2, 4 παρ. 1 και 7 παρ. 2 του ν. 2472/1997 προκύπτει ότι η επεξεργασία ευαίσθητων προσωπικών δεδομένων επιτρέπεται μετά από άδεια της Αρχής, η οποία εκδίδεται στην περίπτωση που ο σκοπός της γνωστοποιηθείσας επεξεργασίας είναι νόμιμος, σαφής και καθορισμένος, τα δεδομένα τα οποία τυγχάνουν επεξεργασίας είναι συναφή, πρόσφορα και όχι περισσότερα από όσα απαιτούνται για την επίτευξη του σκοπού της επεξεργασίας και εφόσον επιπλέον συντρέχει μία από τις προϋποθέσεις που προβλέπονται στο άρθρο 7 παρ. 2 του προαναφερθέντος νόμου.

2. Επειδή, το άρθρο 4 παρ. 4 και 5 ν. 2716/1999 («Ανάπτυξη και εκσυγχρονισμός των υπηρεσιών ψυχικής υγείας και άλλες διατάξεις») ορίζει ότι οι μονάδες ψυχικής υγείας οποιασδήποτε νομικής μορφής που επιχορηγούνται εν όλω ή εν μέρει, άμεσα ή έμμεσα, από το Δημόσιο, υπάγονται στην εποπτεία του Υπουργείου Υγείας, ως προς τον τρόπο λειτουργίας τους, καθώς και ως προς τον τρόπο διοίκησης και οικονομικής διαχείρισής τους. Επίσης, το άρθρο 11 του ίδιου νόμου, όπως αυτός τροποποιήθηκε από το ν. 3754/2009 («Ρυθμίσεις για την Ψυχική Υγεία») προβλέπει τη σύσταση ειδικής Επιτροπής _ιοικητικού, Οικονομικού – _ιαχειριστικού Ελέγχου (Ε._.Ο.Ε.) για το διοικητικό, οικονομικό – διαχειριστικό έλεγχο των μονάδων ψυχικής υγείας που ανήκουν σε φυσικά ή νομικά πρόσωπα ιδιωτικού δικαίου, ο τρόπος άσκησης ελέγχου και οι σχετικές με αυτόν αρμοδιότητες, θα καθορίζονται με απόφαση του υπουργού. Βάσει των παραπάνω διατάξεων, εκδόθηκε η υπουργική απόφαση Υ5β/Γ.Π.οικ 50557/29-05-2013 της Υφυπουργού Υγείας σε τροποποίηση της Υ5β/Γ.Π.οικ.156618/25-11-2009 («Καθορισμός του τρόπου οργάνωσης και λειτουργίας των Κέντρων Ημέρας άρθρου 8 ν. 2716/1999»), η οποία ορίζει (άρθρο 16 παρ. 2, 3 και 6) ότι: « 2. Για κάθε ωφελούμενο (χρήστη/λήπτη υπηρεσιών ψυχικής υγείας) θα τηρούνται στοιχεία επικοινωνίας και θα δηλώνεται υποχρεωτικά ο Αριθμός Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ). Τα στοιχεία των ωφελουμένων θα τηρούνται στη μονάδα ψυχικής υγείας και υποχρεωτικά στο πληροφοριακό σύστημα υπηρεσιών ψυχικής υγείας της Διεύθυνσης Ψυχικής Υγείας. 3.

Προκειμένου να καθίσταται δυνατή η πιστοποίηση της διενέργειας των δηλούμενων επισκέψεων, θα υποβάλλεται στη Διεύθυνση Ψυχικής Υγείας από τη μονάδα ψυχικής υγείας αναλυτική αποτύπωση και υποβολή των διενεργούμενων επισκέψεων ανά είδος και ωφελούμενο. Οι επισκέψεις ανά ωφελούμενο θα συσχετίζονται με σχετικές θεραπευτικές πράξεις. Σε περίπτωση κατά την οποία διαπιστωθεί, με βάση τα στατιστικά στοιχεία κίνησης που τηρούνται από προηγούμενα έτη, αύξηση/μείωση μεγαλύτερη του 10% των διενεργούμενων επισκέψεων, η #ιεύθυνση Ψυχικής Υγείας θα προβαίνει σε έλεγχο της μονάδας. (…) 6. Σε περίπτωση μη τήρησης των αναφερομένων στο παρόν άρθρο, δεν θα καθίσταται δυνατή, η επιχορήγηση κάθε μορφής.»

Περαιτέρω, το άρθρο 11 (παρ. 2, 3 και 6) της υπουργικής απόφασης Υ5β/Γ.Π.οικ 50552/29-05-2013 (σε τροποποίηση της Υ5β/οικ 1662/21-05-2001) καθορίζει τον τρόπο λειτουργίας και στελέχωσης των κινητών μονάδων ψυχικής υγείας του άρθρου 7 ν. 2716/1999.

Επίσης, το άρθρο 26 (παρ. 2 και 3) της Υ5β/Γ.Π.οικ. 56675/11-06-2013 (σε τροποποίηση της κοινής υπουργικής απόφασης Α3α/οικ.876/16-05-200 «Καθορισμός του τρόπου οργάνωσης και λειτουργίας των μονάδων ψυχοκοινωνικής αποκατάστασης (οικοτροφεία, ξενώνες) και των προγραμμάτων προστατευόμενων διαμερισμάτων του άρθρου 9 ν. 2716/1999) ορίζει τα εξής: «2. Για κάθε ωφελούμενο (χρήστη/λήπτη υπηρεσιών ψυχικής υγείας) θα τηρούνται στοιχεία επικοινωνίας και θα δηλώνεται υποχρεωτικά ο Αριθμός Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ). Τα στοιχεία των ωφελουμένων θα τηρούνται στη μονάδα ψυχικής υγείας και υποχρεωτικά στο πληροφοριακό σύστημα υπηρεσιών ψυχικής υγείας της #ιεύθυνσης Ψυχικής Υγείας, ώστε να ελέγχεται η πληρότητα των μονάδων σε καθημερινή βάση. (…) 6. Σε περίπτωση μη τήρησης των αναφερομένων στο παρόν άρθρο, δεν θα καθίσταται δυνατή, η επιχορήγηση κάθε μορφής.»

3. Επειδή, όπως προκύπτει από τις ανωτέρω διατάξεις, το Υπουργείο Υγείας έχει την αρμοδιότητα διοικητικής και οικονομικής εποπτείας των χρηματοδοτούμενων από το Δημόσιο μονάδων ψυχικής υγείας, ο τρόπος άσκησης της οποίας ειδικεύεται μέσω αποφάσεων του Υπουργού Υγείας. Οι υπουργικές αποφάσεις που έχουν αρμοδίως εκδοθεί για το σκοπό αυτό προβλέπουν ρητά τη διαβίβαση προσωπικών δεδομένων των ωφελούμενων χρηστών/ληπτών υπηρεσιών ψυχικής υγείας προς το Υπουργείο, τα οποία περιλαμβάνουν τόσο στοιχεία αναγνώρισης (ΑΜΚΑ, στοιχεία επικοινωνίας), όσο και ευαίσθητα δεδομένα υγείας (αναλυτική αποτύπωση και υποβολή διενεργούμενων επισκέψεων ανά είδος και ωφελούμενο για τα κέντρα ημέρας και τις κινητές μονάδες ψυχικής υγείας). Αναφέρεται δε ότι τα παραπάνω στοιχεία θα τηρούνται και στο πληροφοριακό σύστημα του Υπουργείου Υγείας. Η διαβίβαση δε των δεδομένων από τις μονάδες ψυχικής υγείας στη _ιεύθυνση Ψυχικής Υγείας του Υπουργείου αποτελεί προϋπόθεση για την επιχορήγηση των τελευταίων από το Υπουργείο Υγείας.

4. Επειδή, η συλλογή και περαιτέρω επεξεργασία των ευαίσθητων προσωπικών δεδομένων υγείας από το Υπουργείο Υγείας για το σκοπό του ελέγχου κρατικών δαπανών, πρέπει να λειτουργεί και αναπτύσσει τις συνέπειές της στο πλαίσιο του κράτους δικαίου και της αρχής της νομιμότητας. Όπως παγίως γίνεται δεκτό, η αρχή της νομιμότητας λειτουργεί ως περιοριστικό όριο της διοικητικής δράσης, ή, με αντίστροφο συλλογισμό, η διοικητική ενέργεια πρέπει να είναι σύμφωνη προς τον κανόνα δικαίου που διέπει τη δράση της _ιοίκησης. Επιπλέον, στο βαθμό που η προβλεπόμενη επεξεργασία συνιστά περιορισμό του ατομικού δικαιώματος του πληροφοριακού αυτοκαθορισμού και της προστασίας των προσωπικών δεδομένων, θα πρέπει να ορίζεται γενικώς και αντικειμενικώς με τυπικό νόμο ή κατόπιν ειδικής νομοθετικής εξουσιοδότησης με διάταγμα, να δικαιολογείται από αποχρώντες λόγους δημοσίου συμφέροντος, να τελεί σε πρόδηλη λογική συνάφεια με τον επιδιωκόμενο σκοπό, να είναι πρόσφορη, κατάλληλη και αναγκαία για την επίτευξη του σκοπού αυτού, να μην θίγει τον πυρήνα του δικαιώματος και να μην απονέμει στη διοίκηση ευρεία διακριτική ευχέρεια. Στην προκειμένη περίπτωση, επομένως, θα πρέπει καταρχήν να εξετασθεί κατά πόσον η ενέργεια της άντλησης των συγκεκριμένων δεδομένων από τις χρηματοδοτούμενες μονάδες ψυχικής υγείας και της περαιτέρω επεξεργασίας από το Υπουργείο Υγείας των ανωτέρω ευαίσθητων δεδομένων για τον σκοπό του ελέγχου των σχετικών δαπανών προβλέπεται από διάταξη νόμου ή από προεδρικό διάταγμα μετά από ειδική εξουσιοδότηση νόμου η οποία αναφέρει ρητώς τη διαβίβασηστο Υπουργείο και τα διαβιβαζόμενα προσωπικά δεδομένα.

5. Επειδή, οι διατάξεις των άρθρων 4 παρ. 4 και 5 και 11 παρ. 7α και β του ν. 2716/199 τις οποίες επικαλείται ο υπεύθυνος επεξεργασίας δεν περιέχουν ειδική νομοθετική πρόβλεψη για τη σκοπούμενη επεξεργασία, όπως αυτή περιγράφεται στην κρινόμενη γνωστοποίηση και αίτηση λήψης αδείας τήρησης αρχείου και για τη σύσταση ειδικής ηλεκτρονικής βάσης δεδομένων μέσω της οποίας θα λαμβάνει χώρα η επεξεργασία αυτή, πολλώ δε μάλλον δεν αναφέρουν ειδικώς τα διαβιβαζόμενα προσωπικά δεδομένα των ωφελουμένων ούτε παρέχουν νόμιμη ειδική εξουσιοδότηση για την έκδοση κανονιστικής υπουργικής απόφασης και ως εκ τούτου οι σχετικές υπουργικές αποφάσεις που ρυθμίζουν τις ουσιαστικές και τεχνικές λεπτομέρειες του ελέγχου δεν μπορεί να θεωρηθούν ότι συνιστούν την απαραίτητη νομική βάση διαβίβασης των ανωτέρω στοιχείων.

6. Επειδή για να είναι νόμιμη η αιτούμενη επεξεργασία πρέπει να προβλέπεται σε διάταξη τυπικού νόμου όπου θα περιγράφονται οι αρμοδιότητες ελέγχου και εποπτείας των μονάδων ψυχικής υγείας και τα βασικά χαρακτηριστικά της επεξεργασίας των προσωπικών δεδομένων των ωφελουμένων, ο υπεύθυνος επεξεργασίας, ο σκοπός της επεξεργασίας, τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαίο να τύχουν επεξεργασίας, συμπεριλαμβανομένων και των ευαισθήτων, κατά τρόπο ώστε να

προκύπτει σαφώς ότι τα συγκεκριμένα δεδομένα είναι αναγκαία και πρόσφορα σε σχέση με τον σκοπό της επιδιωκόμενης επεξεργασίας κατ’ εφαρμογή της αρχής της αναλογικότητας, ο χρόνος τήρησης των δεδομένων, οι τυχόν αποδέκτες των δεδομένων αυτών και να παρέχεται ειδικώς η αναγκαία νομοθετική εξουσιοδότηση για τη ρύθμιση ειδικότερων, τεχνικών ή λεπτομερειακών θεμάτων, όπως ο σχεδιασμός του συγκεκριμένου συστήματος και τα εν γένει οργανωτικά και τεχνικά μέτρα για την ασφάλεια της επεξεργασίας των δεδομένων.

7. Επειδή, η γνωστοποίηση που υποβλήθηκε στην Αρχή τόσο κατά την αρχική της νομική θεμελίωση όσο και κατά την μεταγενέστερη δεν πληροί τους όρους της χορηγήσεως της αιτούμενης άδειας.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή απορρίπτει την κρινόμενη αίτηση.

Ο Πρόεδρος

Πέτρος Χριστόφορος

Η Γραμματέας

Ειρήνη Παραγεωργοπούλου