ΕΟΔΥ: Πόσο προστατευμένα είναι τα προσωπικά μας δεδομένα – Αναφορά Αυγέρη

Μετά τις αποκαλύψεις για τα διπλά βιβλία καταγραφής κρουσμάτων και τις δυσλειτουργίες στον ΕΟΔΥ, άλλο ένα σκοτεινό κεφάλαιο έρχεται να προστεθεί στις ύποπτες, παράτυπες και καταχρηστικές πρακτικές του Οργανισμού. Πρόκειται για την κατά παράβαση του νόμου συλλογή και απευθείας επεξεργασία προσωπικών δεδομένων ασθενών Covid-19 από τον ΕΟΔΥ. Και αυτό, ενώ ήδη για το ζήτημα των προσωπικών δεδομένων των πολιτών εγκαλείται  η κυβέρνηση Μητσοτάκη  σε σχέση με την υπόθεση Palantir.
Στην πρακτική του ΕΟΔΥ, η οποία «δεν βρίσκει έρεισμα στο νόμο, αλλά αντίθετα προσκρούει στον ΓΚΠΔ( GDPR)»  αναφέρεται η  γνωμοδότηση του Αυτοτελούς Γραφείου Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ/DPO) του Υπουργείου Υγείας. Την εν λόγω γνωμοδότηση επικαλείται και επισυνάπτει η Αν. Τομεάρχης Υγείας του ΣΥΡΙΖΑ-ΠΣ και Βουλευτής Β’ Θεσσαλονίκης , Δώρα Αυγέρη, στην αναφορά που απέστειλε σήμερα προς τον Υπουργό,  Βασίλη Κικίλια.
Σύμφωνα με την γνωμοδότηση του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων του Υπουργείου Υγείας, κατά παρέκκλιση  των ισχυουσών διατάξεων για την προστασία δεδομένων προσωπικού χαρακτήρα, ο ΕΟΔΥ από τα μέσα Νοεμβρίου συγκεντρώνει μέσω των Υγειονομικών Περιφερειών (ΥΠΕ) και επεξεργάζεται απευθείας (σε καθημερινή βάση) τα ιατρικά προσωπικά δεδομένα του συνόλου των ασθενών που νόσησαν με Covid-19 σε όλα τα νοσοκομεία της χώρας.
Η εν λόγω γνωμοδότηση χρονολογείται στις 23.12.2020 και ήρθε σε συνέχεια εγγράφου του ΕΟΔΥ, το οποίο είχε ημερομηνία ένα μήνα πριν, στις 18.11.2021 και θέμα την «Επιτήρηση της νοσηλείας επιβεβαιωμένων κρουσμάτων SARS-Cov2.
Με το συγκεκριμένο έγγραφό του  ο ΕΟΔΥ ζητούσε από όλες τις ΥΠE να του αποστέλλονται σε καθημερινή βάση ηλεκτρονικά και συγκεντρωτικά τα ιατρικά δεδομένα προσωπικού χαρακτήρα όλων των εργαστηριακά επιβεβαιωμένων ασθενών  SARS-CoV2 που νοσηλεύονται σε όλα τα νοσοκομεία της χώρας. Μάλιστα, ζητούσε την αποστολή δεδομένων, δυο μέρες νωρίτερα, από τις 16.11.2020!
Ο ΕΟΔΥ όρισε και οδηγίες, βάσει των οποίων οι ΥΠΕ θα πρέπει καθημερινά να συγκεντρώνουν απ’ όλα τα νοσοκομεία που υπάγονται στην περιφέρειά τους τα ιατρικά δεδομένα του συνόλου των ασθενών με κορωνοϊό, να τα ενοποιούν σε ένα αρχείο και να τα προωθούν απευθείας στον ΕΟΔΥ. Σημειώνεται ότι πρόκειται για ιατρικά δεδομένα προσωπικού χαρακτήρα, στα οποία ταυτοποιείται πλήρως ο ασθενής (ονοματεπώνυμο, ΑΜΚΑ) και όχι ανωνυμοποιημένα ή ψευδοποιημένα στοιχεία.
O Υπεύθυνος Προστασίας Δεδομένων στην γνωμοδότηση-καταπέλτη, μεταξύ άλλων, αποφαίνεται ότι δεν έχει έρεισμα στο νόμο, άλλα αντίθετα προσκρούει σε αυτόν η πρακτική που ακολουθείται από τον ΕΟΔΥ και τις ΥΠΕ από τις 16 Νομβερίου του 2020.
Αποκαλύπτεται ότι στο πρώτο κύμα της πανδημίας ο ΕΟΔΥ έστησε δικό του παράλληλο σύστημα καταγραφής κρουσμάτων κορωνοϊού. Αποκαλύπτεται τώρα ότι στο δεύτερο κύμα της πανδημίας ο ΕΟΔΥ, αντιβαίνοντας το νόμο,  συλλέγει και επεξεργάζεται ιατρικά δεδομένα προσωπικού χαρακτήρα των ασθενών με Covid-19. Τι ακριβώς κάνει ο ΕΟΔΥ; Ο οργανισμός που έχει τεράστιες ευθύνες για την αναποτελεσματική διαχείριση της πανδημίας εμφανίζεται εξαιρετικά ενεργός σε θέματα που δεν άπτονται των αρμοδιοτήτων του. Ποιος είναι ο πραγματικός ρόλος του στην πανδημία;
Σε αυτά τα αμείλικτα ερωτήματα προς τον υπουργό Υγείας και την κυβέρνηση προστίθενται και μερικές εύλογες απορίες. Όπως, γιατί χρειάστηκε να μεσολαβήσει ένας ολόκληρος μήνας προκειμένου να βγει η γνωμοδότηση του Υπευθύνου Προστασίας Δεδομένων στις 23 Δεκεμβρίου. Ημέρα που συμπτωματικά (;) λύεται η συνεργασία Μητσοτάκη με την εταιρία Palantir.
Οι ΥΠΕ συνεχίζουν την αποστολή δεδομένων στον ΕΟΔΥ για απευθείας επεξεργασία προσωπικών δεδομένων; Ποιος είχε και έχει την  ευθύνη για την συλλογή και επεξεργασία αυτών των δεδομένων από τον ΕΟΔΥ; Πώς και από ποιον χρησιμοποιούνται ή χρησιμοποιήθηκαν; Πώς διασφαλίζεται η προστασία των προσωπικών δεδομένων των πολιτών; Ποιος παίζει ύποπτα παιχνίδια με την ασφάλειάς μας;

Ακολουθεί η σχετική αναφορά:

ΑΝΑΦΟΡΑ
Προς τον Υπουργό Υγείας

Η Βουλευτής του ΣΥΡΙΖΑ της Β΄ εκλογικής περιφέρειας Θεσσαλονίκης Θεοδώρα (Δώρα) Αυγέρη καταθέτει ως αναφορά την υπ’ αριθμ. πρωτοκόλλου 3950 /23.12.2020 γνωμοδότηση του Αυτοτελούς Γραφείου Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ/ DPO) του Υπουργείου Υγείας. Η ως άνω γνωμοδότηση έρχεται σε συνέχεια του υπ. αριθμ. πρωτ. ΕΟΔΥ ΚΠ 24627/2020 -18.11.2020 εγγράφου του ΕΟΔΥ με θέμα την : «Επιτήρηση της νοσηλείας επιβεβαιωμένων κρουσμάτων  SARS – CoV2».
Από την γνωμοδότηση προκύπτει ξεκάθαρα ότι ο ΕΟΔΥ ήδη από τον περασμένο Νοέμβριο (16.11.2020),  κατά παρέκκλιση των ισχυουσών διατάξεων για την προστασία δεδομένων προσωπικού χαρακτήρα (ΓΚΠΔ), συγκεντρώνει  μέσω των ΥΠΕ και επεξεργάζεται  απευθείας (σε καθημερινή βάση) τα ιατρικά προσωπικά δεδομένα του συνόλου των ασθενών που νόσησαν με COVID -19 σε όλα τα νοσοκομεία της χώρας. Η γνωμοδότηση του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (DPO) του Υπουργείου Υγείας θέτει ξεκάθαρα και με απόλυτη σαφήνεια ζήτημα νομιμότητας της πρακτικής που ακολουθείται από τον ΕΟΔΥ, η οποία καθιστά εντελώς διάτρητο το Μητρώο Ασθενών.
Συγκεκριμένα, ο ΕΟΔΥ με έγγραφό του στις 18/11/2020  ζητούσε από όλες τις Υγειονομικές Περιφέρειες (ΥΠΕ) να του αποστέλλονται σε καθημερινή βάση ηλεκτρονικά και συγκεντρωτικά τα ιατρικά δεδομένα προσωπικού χαρακτήρα όλων των εργαστηριακά επιβεβαιωμένων ασθενών  SARS – CV2 που νοσηλεύονται σε όλα τα νοσοκομεία της χώρας. Μάλιστα, ζητά την αποστολή δεδομένων ήδη από τις 16.11.2020.  Προς αυτή την κατεύθυνση, ο ΕΟΔΥ απέστειλε σε όλες τις Υγειονομικές Περιφέρειες (ΥΠΕ)  σαφείς οδηγίες για τον τρόπο με τον οποίο θα συλλέγουν και θα του αποστέλλουν όλες τις πληροφορίες για τις νοσηλείες  ασθενών COVID -19.
Ειδικότερα, σύμφωνα με το εν λόγω έγγραφο, οι ΥΠΕ θα πρέπει καθημερινά να συγκεντρώνουν απ’ όλα τα νοσοκομεία που υπάγονται στην περιφέρειά τους τα ιατρικά δεδομένα του συνόλου των ασθενών με κορωνοϊό, να τα ενοποιούν σε ένα αρχείο και να τα προωθούν απευθείας στον ΕΟΔΥ. Σημειώνεται ότι πρόκειται για ιατρικά δεδομένα προσωπικού χαρακτήρα, στα οποία ταυτοποιείται πλήρως ο ασθενής (ονοματεπώνυμο, ΑΜΚΑ).
Ωστόσο, σύμφωνα με την γνωμοδότηση του Υπευθύνου  Προστασίας Δεδομένων του Υπουργείο Υγείας, τα νοσοκομεία όλης της χώρας εκ του νόμου οφείλουν να ενημερώνουν προσηκόντως το Εθνικό Μητρώο Ασθενών από κορωνοϊό  COVID – 19, δηλαδή να καταχωρούν συστηματικά και σε καθημερινή βάση στον εν λόγω Μητρώο τα αναγκαία πρόσφορα δεδομένα προσωπικού χαρακτήρα. Όσο δε για τον ΕΟΔΥ, αυτός δικαιούται για την επίτευξη των νόμιμων σκοπών του (επιδημιολογική επιτήρηση) να είναι μόνον αποδέκτης δεδομένων από το εν λόγω Εθνικό Μητρώο και όχι αποδέκτης στοιχείων απευθείας από τα νοσοκομεία της χώρας, τα οποία συλλέγονται από τις ΥΠΕ.
Εξάλλου, όπως επισημαίνει στη γνωμοδότησή του ο Υπεύθυνος Προστασίας Δεδομένων του Υπουργείου Υγείας (σημ. 3.4., σ. 9) «[…] οι προαναφερόμενες νομικές ρυθμίσεις δεν απονέμουν στις ΥΠΕ αρμοδιότητα να συλλέγουν και να υποβάλλουν σε περαιτέρω επεξεργασία ιατρικά δεδομένα προσωπικού χαρακτήρα των ασθενών, που έχουν προσβληθεί από SARS – CoV -2 και νοσηλεύονται στα νοσοκομεία της περιοχής ευθύνης τους.»
Περαιτέρω δε, σύμφωνα με την γνωμοδότηση του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (DPO) του Υπουργείου Υγείας: «ο ΕΟΔΥ[…] επεξεργάζεται ανωνυμοποιημένα ή / και ψευδοποιημένα δεδομένα και όχι δεδομένα προσωπικού χαρακτήρα των ενδιαφερόμενων ασθενών», κατόπιν υποβολής του απαραίτητου γραπτού και αιτιολογημένου αιτήματός του.
Επειδή, το Υπουργείο Υγείας έχει θέση υπεύθυνου επεξεργασίας για το Εθνικό Μητρώο Ασθενών από τον κορωνοϊο  COVID -19  και ο ΕΟΔΥ επέχει θέση αποδέκτη δεδομένων από το εν λόγω Μητρώο.
Επειδή, τίθεται σοβαρό ζήτημα διασφάλισης της νομιμότητας της επεξεργασίας των ιατρικών προσωπικών δεδομένων των ασθενών με  COVID – 19.
Επειδή, είναι αναγκαία η διαφύλαξη και προστασία του Εθνικού Μητρώου Ασθενών και η αποφυγή διασύνδεσής του με συστήματα αρχειοθέτησης.
Επειδή, η πανδημία δεν πρέπει να γίνεται αιτία καταπάτησης δικαιωμάτων, και ιδίως των πλέον ευαίσθητων, όπως τα ιατρικά δεδομένα ασθενών.
Παρακαλούμε για την απάντηση και τις δικές σας ενέργειες και  σε σχέση  με τις ευθύνες του ΕΟΔΥ και των ΥΠΕ.
Επισυνάπτεται η σχετική γνωμοδότηση του Αυτοτελούς Γραφείου Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ/ DPO) του Υπουργείου Υγείας.

https://www.avgeri.gr/%ce%b5%cf%80%ce%b9%ce%ba%ce%b1%ce%b9%cf%81%cf%8c%cf%84%ce%b7%cf%84%ce%b1/%ce%bf-%ce%b5%ce%bf%ce%b4%cf%85-%cf%80%ce%b9%ce%ac%cf%83%cf%84%ce%b7%ce%ba%ce%b5-%ce%bd%ce%b1-%cf%80%ce%b1%cf%81%ce%b1%ce%b2%ce%b9%ce%ac%ce%b6%ce%b5%ce%b9-%cf%84%ce%b1-%cf%80%cf%81%ce%bf%cf%83/