ΑΠΔ 55/2010
Προειδοποίηση προς τράπεζα για
καταστροφή από τον φάκελο δανειολήπτη της ευαίσθητων δεδομένων υγείας του.
Προσήκουσα διαδικασία ενημέρωσης του υποψήφιου προς ασφάλιση από τις
ασφαλιστικές εταιρίες ζωής για το είδος των απαιτούμενων ιατρικών εξετάσεων.
Α Π Ο Φ Α Σ Η 55/2010
Η Αρχή Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα, συνήλθε μετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση
την 22/4/2010, ημέρα Πέμπτη και ώρα 10.00, προκειμένου να εξετάσει την υπόθεση,
που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Χ. Γεραρής,
Πρόεδρος, Λ. Κοτσαλής, Α. Παπανεοφύτου, Α.
Πράσσος, Α. Μεταξάς, και Α. Ρουπακιώτης,
τακτικά μέλη της Αρχής. Επίσης παρέστη το αναπληρωματικό μέλος της Αρχής, Γ. Πάντζιου σε αντικατάσταση του τακτικού μέλους Α. Πομπόρτση αντίστοιχα, ο οποίος, αν και κλήθηκε νομίμως
εγγράφως, δεν παρέστη λόγω κωλύματος. Στη συνεδρίαση παρέστησαν επίσης με
εντολή του Προέδρου, η Κ. Λωσταράκου, νομική
ελέγκτρια, ως εισηγήτρια και η Γ. Παλαιολόγου, υπάλληλος του Διοικητικού
- Οικονομικού Τμήματος της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Ο Α με την με αρ.πρωτ. Γ/ΕΙΣ/1935/15.4.2008 προσφυγή
του προς την Αρχή, καταγγέλλει ότι η Εμπορική Τράπεζα Ελλάδος τηρεί παρανόμως
αρχείο με ευαίσθητα δεδομένα υγείας του καθώς και ότι δεν ενημερώθηκε
προσηκόντως από την Εμπορική Ζωής Α.Α.Ε.Ζ για τις
ιατρικές εξετάσεις στις οποίες κλήθηκε να υποβληθεί. Συγκεκριμένα, προκειμένου
να του χορηγηθεί από την ανωτέρω τράπεζα συμπληρωματικό στεγαστικό δάνειο πέραν
του ποσού των 145.000 ευρώ, τα οποία είχε ήδη λάβει,
του ζητήθηκε να συνάψει ασφαλιστήριο συμβόλαιο ζωής με την Εμπορική Ζωής Α.Α.Ε.Ζ. Προς τούτο, ο ανωτέρω υπέγραψε αίτηση ασφάλισης
συμπληρώνοντας ερωτηματολόγιο σχετικά με την κατάσταση της υγείας του και
συγκατατέθηκε να υποβληθεί σε σειρά ιατρικών εξετάσεων. Μεταξύ των εξετάσεων
στις οποίες υποβλήθηκε στο ιατρικό ινστιτούτο «EUROMEDICA Κρήτης Α.Ε.» με το οποίο η καταγγελλόμενη
ασφαλιστική εταιρία διατηρεί συνεργασία, διαπίστωσε ότι πέραν των τυπικών
εξετάσεων, περιλαμβανόταν και εξέταση
για αντισώματα HIV. Τα δε
αποτελέσματα των εξετάσεων, όπως διαπίστωσε ο καταγγέλλων
σε επικοινωνία που είχε με τους εκπροσώπους του υποκαταστήματος της τράπεζας
που εδρεύει στις Μοίρες Κρήτης, διαβιβάστηκαν με φαξ από το ανωτέρω διαγνωστικό
κέντρο στην τράπεζα σε πλήρη και αναλυτική μορφή και στη συνέχεια περιλήφθησαν
στο αρχείο που τηρεί η τράπεζα.
Ο προσφεύγων κατόπιν τούτου άσκησε με
εξώδικη δήλωσή του το δικαίωμα πρόσβασης και αντίρρησης βάσει των άρθρων 12 και
13 του Ν. 2472/1997 προς την Εμπορική Τράπεζα Α.Ε. ζητώντας να
πληροφορηθεί για την εξέλιξη της
επεξεργασίας των ευαίσθητων του δεδομένων. Στο αίτημά του δεν έλαβε απάντηση.
Η Αρχή με τα υπ΄αριθμ. Γ/ΕΞ/1935-1/31.7.2008 και Γ/ΕΞ/6002/8.10.2009 έγγραφά της ζήτησε
τις απόψεις της τράπεζας και της
ασφαλιστικής.
Η τράπεζα ανέφερε στο απαντητικό
έγγραφό της (Γ/ΕΙΣ/4725/16.9.2008) ότι
ο καταγγέλλων παρείχε μέσω των όρων της σύμβασης
αφενός τη ρητή συγκατάθεσή του στη τράπεζα για άντληση και διατήρηση ευαίσθητων
προσωπικών δεδομένων του, αφετέρου έδινε την έγγραφη συγκατάθεσή του στην
τράπεζα για τη συλλογή και επεξεργασία ευαίσθητων δεδομένων του. Ακολούθως, η
τράπεζα, όταν ολοκληρώθηκαν οι εξετάσεις και έγινε δεκτή η αίτηση ασφάλισης από
την Eμπορική Life,
ενημέρωσε σχετικά τον καταγγέλλοντα, ο οποίος ζήτησε
να του αποστείλουν τα αποτελέσματα των εξετάσεων Η τράπεζα διαβίβασε το αίτημα
του πελάτη στην ασφαλιστική εταιρία και στη συνέχεια έλαβε τα αποτελέσματα τα
οποία και του παρέδωσε. Τον Φεβρουάριο του επόμενου έτους ο προσφεύγων ζήτησε εκ νέου τα αποτελέσματα
των εξετάσεων και η τράπεζα του τα απέστειλε ανασύροντάς τα από τα
φωτοαντίγραφα των εξετάσεων που είχαν παραμείνει στο φάκελό του.
Η ασφαλιστική εταιρία απάντησε στην Αρχή (Γ/ΕΙΣ/6599/4.11.2009)
ότι η τράπεζα αποτελεί,
ως λήπτης της ασφάλισης και ανέκκλητος δικαιούχος του ασφαλισμένου σε περίπτωση
επέλευσης του ασφαλιστικού κινδύνου, νόμιμο αποδέκτη των δεδομένων υγείας που
τηρεί η ασφαλιστική, βάσει των όρων της χορηγηθείσας από την Αρχή προς την
ασφαλιστική άδειας ίδρυσης και λειτουργίας αρχείου με ευαίσθητα δεδομένα. Περαιτέρω η τράπεζα ενεργεί, βάσει σύμβασης με την ασφαλιστική Εμπορική Ζωής, ως
συνδεδεμένος ασφαλιστικός διαμεσολαβητής
υπό την έννοια του ΝΔ190/2006, και άρα αποτελεί εξουσιοδοτημένο εκπρόσωπό της.
Ο προσφεύγων είχε εξουσιοδοτήσει με τη συγκατάθεση που έδωσε στο έντυπο της
αίτησης συμμετοχής στην ομαδική ασφάλιση κάθε τρίτο φορέα υπηρεσιών υγείας,
μεταξύ των οποίων και το εν λόγω διαγνωστικό κέντρο, να παρέχει σε
εξουσιοδοτημένο εκπρόσωπο της ασφαλιστικής κάθε πληροφορία σχετική για την
κατάσταση της υγείας του.
Η Αρχή, διαπιστώνοντας ότι τα θέματα
υπό εξέταση αφορούν γενικότερα τον κλάδο έκρινε ότι ήταν σκόπιμο να υπάρξει
ενιαία αντιμετώπιση για το θέμα ως προς τις υποχρεώσεις των ασφαλιστικών
εταιριών και των τραπεζών οι οποίες απορρέουν από τη νομοθεσία περί προστασίας
προσωπικών δεδομένων και για το λόγο αυτό κάλεσε στις 11.12.2009 στα γραφεία
της τους εκπροσώπους της Ένωσης Ασφαλιστικών Εταιριών Ελλάδος (Ε.Α.Ε.Ε.) και της ασφαλιστικής εταιρίας Eμπορική Life. Στη συζήτηση παρέστησαν η εισηγήτρια, ο
επόπτης και οι ελεγκτές του Γραφείου της Αρχής που είναι επιφορτισμένο με τα
θέματα υγείας, η Β εκπρόσωπος της ΕΑΕΕ, η Γ
εκπρόσωπος της Εμπορικής Ζωής, καθώς και εκπρόσωποι άλλων ασφαλιστικών
εταιριών. Σε συνέχεια της συνάντησης, η Ε.Α.Ε.Ε.
απέστειλε έγγραφο προς την Αρχή στο οποίο παραθέτει τα συμπεράσματα που
προέκυψαν και τις επισημάνσεις που διατυπώθηκαν από τους συμμετέχοντες.
Από το ανωτέρω έγγραφο προέκυψαν τα
ακόλουθα: Οι τράπεζες, οι οποίες ασκούν
εργασίες ασφαλιστικής διαμεσολάβησης, καταχωρούν σε ηλεκτρονικό σύστημα,
υπεύθυνος επεξεργασίας του οποίου είναι η ασφαλιστική, στοιχεία της αίτησης
ασφάλισης, η οποία υπογράφεται από τον πελάτη, αντίγραφο δε αυτής τηρείται στο
αρχείο των τραπεζών από τον εξουσιοδοτημένο υπάλληλό τους. Στο αρχείο των
τραπεζών δεν τηρείται φάκελος με ιατρικά δεδομένα και δη ιατρικών εξετάσεων,
αλλά ευαίσθητα δεδομένα υγείας μπορεί να απορρέουν υπό τη μορφή δηλώσεων από
τις αιτήσεις ασφάλισης ή ενδεχομένως και από τις αναγγελίες που γίνονται κατά
την επέλευση της ασφαλιστικής περίπτωσης. Περαιτέρω, η ενημέρωση του προς ασφάλιση πελάτη για τις
απαιτούμενες ιατρικές εξετάσεις, συμπεριλαμβανομένων και αυτών για HIV, γίνεται είτε εγγράφως εφόσον τούτο είναι εφικτό,
άλλως τηλεφωνικά πριν την εξέταση, μέσω του διαμεσολαβούντος
προσώπου του διαγνωστικού κέντρου στο οποίο η ασφαλιστική εταιρία διαβιβάζει το
παραπεμπτικό με την αναλυτική καταγραφή των απαιτούμενων εξετάσεων.
Επίσης σε συνέχεια της συνάντησης, η
ασφαλιστική εταιρία γνωστοποίησε στην Αρχή την νέα διαδικασία που ακολουθεί από
τον Μάρτιο του 2010 ως προς την ενημέρωση των υποψηφίων προς ασφάλιση για τις ιατρικές εξετάσεις μέσω των διαγνωστικών κέντρων euromedica και των
συνεργαζόμενων ιατρών περιφέρειας.
Ενημέρωσε ακόμα ότι έχει τροποποιήσει αντίγραφο της δήλωσης που υπογράφει ο
πελάτης στη γραμματεία των ως άνω διαγνωστικών κέντρων πριν τη διενέργεια των ιατρικών εξετάσεων και
απέστειλε το υπόδειγμα παραπεμπτικού σημειώματος προασφαλιστικού
ελέγχου από την ασφαλιστική προς το διαγνωστικό κέντρο με τις οποίες
ενημερώνεται ο υποψήφιος προς ασφάλιση για το είδος των εξετάσεων στις οποίες
θα υποβληθεί και δίνει τη γραπτή συγκατάθεσή του.
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1.Σύμφωνα με το άρθρο 7 παρ. 2 του Ν. 2472/1997
επιτρέπεται. κατ΄ εξαίρεση η συλλογή και η επεξεργασία ευαίσθητων δεδομένων,
καθώς και η ίδρυση και λειτουργία σχετικού αρχείου, ύστερα από άδεια της Αρχής,
όταν συντρέχουν μία ή περισσότερες από τις
προϋποθέσεις της παραγράφου 2. Κατά την παρ.2 περ.α,
επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το
υποκείμενο των δεδομένων έχει δώσει τη
γραπτή συγκατάθεσή του. Συγκατάθεση του υποκειμένου των δεδομένων, σύμφωνα με
το άρθρο 2 περ. ια΄ του ιδίου νόμου αποτελεί «κάθε
ελεύθερη, ρητή και ειδική δήλωση της βουλήσεως, που εκφράζεται με τρόπο σαφή
και πλήρη επίγνωση, και με την οποία, το υποκείμενο των δεδομένων, αφού
προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο τα δεδομένα
προσωπικού χαρακτήρα που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση
τουλάχιστον για τον σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες
δεδομένων που αφορά η επεξεργασία, τους αποδέκτες των δεδομένων, καθώς και το
όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν
εκπροσώπου του». Στο άρθρο 3 της Καν. Πράξης 1/1999 που αφορά την ενημέρωση των
υποκειμένων των δεδομένων ορίζεται ότι όταν
το υποκείμενο παρέχει τη συγκατάθεσή ή τη συνδρομή του, η ενημέρωσή του γίνεται
εγγράφως.
2.Στην προκείμενη
περίπτωση, όπως προκύπτει από τα προσκομισθέντα έγγραφα, η Εμπορική Τράπεζα
ενεργεί, βάσει σύμβασης με την ασφαλιστική Εμπορική Ζωής, ως συνδεδεμένος
ασφαλιστικός διαμεσολαβητής, υπό την έννοια του π.δ.190/2006 και την
υπ΄αριθμ.Κ3-8010/2007 απόφαση του Υπουργού Ανάπτυξης. Στο πλαίσιο αυτό, οι
τράπεζες διαβιβάζουν προς την ασφαλιστική εταιρία έγγραφα που σχετίζονται με
την εν γένει εκτέλεση της ασφαλιστικής σύμβασης και τα οποία υποβάλλουν οι
ίδιοι οι ασφαλισμένοι ή οι προς ασφάλιση- πελάτες ως επί το πλείστον των
τραπεζών-στα υποκαταστήματά τους. Σύμφωνα με τα παραπάνω, κατά την επεξεργασία
προσωπικών δεδομένων πελατών που είναι απαραίτητα για τη λειτουργία της
ασφαλιστικής σύμβασης η τράπεζα ενεργεί ως εκτελούσα την επεξεργασία υπό την
έννοια του άρθρου 2 στοιχ η) του Ν.2472/97 για
λογαριασμό της ασφαλιστικής εταιρίας που αποτελεί τον υπεύθυνο επεξεργασίας του
αρχείου.
3.Η πρώτη διαβίβαση των αποτελεσμάτων των ιατρικών
εξετάσεων στην τράπεζα έγινε μετά από
σχετικό αίτημα του προσφεύγοντος, ο οποίος ζήτησε από την τράπεζα να του
αποστείλει τα αποτελέσματα των εξετάσεών του σε αριθμό φαξ που της
υπέδειξε. Επομένως ο ανωτέρω είχε δώσει
τη συγκατάθεσή του για την εν λόγω επεξεργασία, όπως και ο ίδιος παραδέχεται.
Ακόμα και στην περίπτωση που τα εν λόγω στοιχεία διαβιβάστηκαν στην τράπεζα όχι
από την ασφαλιστική, αλλά από το διαγνωστικό κέντρο, όπως εμφαίνεται από τα
στοιχεία επικοινωνίας στο έγγραφο του φαξ, η επεξεργασία αυτή δεν είναι
παράνομη, αφού τα στοιχεία αυτά απεστάλησαν στην τράπεζα αποκλειστικά
προκειμένου να παραδοθούν στον ίδιο τον προσφεύγοντα ως υποκείμενο των
δεδομένων και όχι μετά από αίτημα της τράπεζας για ιδία χρήση.
4.Η τράπεζα, συνεπώς, κατά την πρώτη αναζήτηση δεν
τηρούσε τα σχετικά στοιχεία στο αρχείο
της. Η μεταγενέστερη τήρηση αυτών στο αρχείο της τράπεζας έγινε, κατά τους
ισχυρισμούς της τράπεζας, επ ευκαιρία της κατοχής
του εγγράφου μετά τη πρώτη αναζήτησή του από τον προσφεύγοντα, προκειμένου να
διευκολυνθεί νέα τυχόν αναζήτηση από τον ίδιο. Όπως αναφέρθηκε και στη
συνάντηση με τους εκπροσώπους της Ε.Α.Ε.Ε., τα
αποτελέσματα των ιατρικών εξετάσεων των ασφαλισμένων δεν τηρούνται στα αρχεία
των τραπεζών. Εξάλλου για να είναι νόμιμη η επεξεργασία αυτή, θα έπρεπε να έχει
λάβει η κάθε τράπεζα από την Αρχή άδεια τήρησης αρχείου με ευαίσθητα
δεδομένα υγείας των δανειοληπτών της,
εφόσον συνέτρεχαν οι προϋποθέσεις του Ν.2472/97. Επομένως δεν υπάρχει νόμιμος
λόγος για την εν λόγω τήρηση των ιατρικών δεδομένων από την τράπεζα και, ως εκ
τούτου, τα αποτελέσματα των ιατρικών εξετάσεων του καταγγέλλοντα
πρέπει άμεσα να διαγραφούν από το αρχείο της τράπεζας.
5. Όπως προκύπτει από το έντυπο της αίτησης
συμμετοχής στην ομαδική ασφάλιση, ο
προσφεύγων κλήθηκε να δώσει τη
συγκατάθεσή του σύμφωνα με το άρθρο 7 του Ν. 2472/1997 και ύστερα από
ενημέρωση που μου έγινε, για τη συλλογή
και επεξεργασία των ευαίσθητων δεδομένων προσωπικού χαρακτήρα που σας γνωρίζω
με την παρούσα αίτησή μου καθώς και κάθε άλλου σχετικού με την εκτέλεση της
σύμβασης ασφάλισής μου. Στη
συγκεκριμένη περίπτωση, διαπιστώνεται ότι δεν έγινε η εκ του νόμου απαιτούμενη
έγγραφη ενημέρωση του προσφεύγοντα για το είδος των εξετάσεων στις οποίες
κλήθηκε αυτός να υποβληθεί, και για το λόγο αυτό, υπάρχει παράβαση του άρθρου
11 παρ.1 του ν.2472/97. Δεδομένου, ωστόσο, ότι η ασφαλιστική εταιρία ακολουθεί
πλέον την ενδεδειγμένη διαδικασία ενημέρωσης κατά τον προασφαλιστικό
έλεγχο, η οποία κρίνεται επαρκής και σαφής, η Αρχή εκτιμά ότι δεν είναι σκόπιμο
να επιβληθεί κάποια κύρωση. Επιπλέον δεν
διαπιστώνεται ότι η εξέταση για HIV
υπερέβαινε τον σκοπό επεξεργασίας που έγκειται στην αξιολόγηση των πραγματικών
περιστατικών του κινδύνου και τελικά στην απόφαση ανάληψης ή όχι της κάλυψης
και της σωστής τιμολόγησής της.
Συνιστάται ωστόσο, στην Ε.Α.Ε.Ε.,
να θεσπίσει διαδικασίες προασφαλιστικού ελέγχου
υγείας που οφείλουν να ακολουθούν οι ασφαλιστικές εταιρίες-μέλη της σχετικά με
την ενημέρωση που παρέχεται στον υποψήφιο προς ασφάλιση για το είδος των
εξετάσεων στις οποίες θα υποβληθεί προκειμένου αυτός να δώσει τη γραπτή
συγκατάθεσή του.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
Απευθύνει σύμφωνα με το άρθρο 21 παρ.1α
του ν.2472/97 προειδοποίηση προς την Εμπορική Τράπεζα της Ελλάδος να
καταστρέψει, εντός τριών ημερών από την κοινοποίηση της παρούσας, από το φάκελο
του καταγγέλλοντα τα φωτοαντίγραφα των αποτελεσμάτων
των ιατρικών εξετάσεών του.
Ο
Πρόεδρος Η Γραμματέας
Χ. Γεραρής
Γ. Παλαιολόγου