Νόμιμη η επεξεργασία δεδομένων υγείας φυσικών προσώπων από το taxis.
Ερώτημα έθεσε βουλευτής της χρυσής αυγής, προς το υπ. Δικαιοσύνης, σχετικά με την παραβίαση ευαίσθητων προσωπικών δεδομένων υγείας των πολιτών στο σύστημα “Taxis”, με αφορμή ορισμένα δημοσιεύματα στα ΜΜΕ.
Το υπουργείο Δικαιοσύνης Διαφάνειας και ανθρωπίνων δικαιωμάτων, απάντησε εγγράφως στον βουλευτή και απέστειλε μαζί και το σχετικό έγγραφο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Η ΑΠΠΔ γνωμάτευσε ότι η διαβίβαση των πληροφοριών σχετικά με το ποσοστό αναπηρίας συγκεκριμένων φυσικών προσώπων συνιστά καταρχήν νόμιμη επεξεργασία για το σκοπό της συμμόρφωσης προς τη φορολογική νομοθεσία, και συγκεκριμένα συνδρομής φορολογικών απαλλαγών στο πρόσωπο των συγκεκριμένων ατόμων. Ωστόσο όπως αναφέρει σχετικά στο έγγραφό της, θα αρκούσε η αποκάλυψη εκ μέρους των ΚΕ.Π.Α. του ΙΚΑ – ΕΤΑΜ στη Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών μόνο του ποσοστού αναπηρίας τουλάχιστον 67% και τουλάχιστον 80% για τις προβλεπόμενες φορολογικές ελαφρύνσεις στο πρόσωπο των συγκεκριμένων ατόμων, χωρίς την αποκάλυψη του είδους της παθήσεως.
Τι αναφέρει αναλυτικά το έγγραφο της Αρχής προστασίας προσωπικών δεδομένων σχετικά το θέμα:
—–
Αθήνα, 24-06-2016
Αριθ. Πρωτ.: Γ/ΕΞ/3956-1/24-06-2016
Δ/νση Γραμματείας – Τμήμα Ελεγκτών Πληροφορίες: Χαρίκλεια Ζ. Λάτσιου Τηλέφωνο: 210 6475692
Email: clatsiou@dpa.gr
Προς
Υπουργείο Δικαιοσύνης, Διαφάνειας & Ανθρωπίνων Δικαιωμάτων Αυτοτελές Τμήμα Κοινοβουλευτικού Ελέγχου
Υπόψη Προϊσταμένης Τμήματος Α. Μεσογείων 96 Τ.Κ. 115 27 Αθήνα
Θέμα: Απάντηση σε ερώτημα στο πλαίσιο Κοινοβουλευτικού Ελέγχου
Σχετικά: Το υττ’ αρ. ηρωτ. 19/22.06.2016 (ΑΠΔΠΧ Γ/ΕΙΣ/3956/22.06.2016) έγγραφό σας.
Με το ανωτέρω σχετικό έγγραφο διαβιβάζετε την υπ’ αρ. πρωτ. 6266/17.06/2016 ερώτηση του Βουλευτή Γεώργιου Γερμενή και ζητείτε τις απόψεις της Αρχής στο πλαίσιο άσκησης κοινοβουλευτικού ελέγχου, σύμφωνα με το άρθρο 138Α (Κεφ. Ζ’) του τρίτου μέρους του Κανονισμού της Βουλής. Με το προαναφερόμενο έγγραφο ο Βουλευτής Γεώργιος Γερμενής αναφερόμενος σε δημοσιεύματα Τύπου σχετικά με την παραβίαση ευαίσθητων δεδομένων υγείας των πολιτών (γνωματεύσεων υγειονομικών επιτροπών των Κέντρων Πιστοποίησης Αναπηρίας) από κρατικούς υπαλλήλους ή εργαζομένους που χειρίζονται το σύστημα υποβολής φορολογικών δηλώσεων Taxis της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών υποβάλλει, μεταξύ άλλων, στο Υπουργείο Δικαιοσύνης τα ακόλουθα ερωτήματα: « Όσον αφορά την καταγραφή των ιατρικών γνωματεύσεων των υγειονομικών επιτροπών των ΚΕ.Π.Α., έχει ληφθεί σχετική άδεια από την Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ); 2) Ποιες ενέργειες να πραγματοποιηθούν με σκοπό τη διαφύλαξη των προσωπικών δεδομένων υγείας των ασθενών».
Σε απάντηση του ανωτέρω εγγράφου σας γνωρίζουμε τα ακόλουθα:
Η Αρχή έχει δυνάμει του άρθρου 15 του νόμου 2472/1997 την αρμοδιότητα να εποπτεύει την εφαρμογή του νόμου αυτού, καθώς και άλλων ρυθμίσεων που αφορούν στην προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Η συλλογή πληροφοριών σχετικά με την κατάσταση της υγείας φυσικών προσώπων από τα ΚΕ.Π.Α. του ΙΚΑ – ΕΤΑΜ συνιστά επεξεργασία προσωπικών δεδομένων, και μάλιστα ευαίσθητων που αφορούν στην υγεία, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 2 στοιχ. α’, β’ και δ’ του ν.2472/1997.
Ως προς την επεξεργασία αυτή, το ΙΚΑ – ΕΤΑΜ, ως υπεύθυνος επεξεργασίας, έχει γνωστοποιήσει στην Αρχή τη συλλογή αρχείου προσωπικών δεδομένων, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 6 και 7 του ν.2472/1997, και έχει λάβει, μεταξύ άλλων, την υπ’ αρ. πρωτ. ΓΝ/ΕΞ/2653/13.11.2003 και με α/α αδείας 652 άδεια ίδρυσης και λειτουργίας αρχείου από την Αρχή για το σκοπό της παροχής υπηρεσιών υγείας. Ακολούθως, έχει υποβληθεί από το ΙΚΑ – ΕΤΑΜ η υπ’ αρ. πρωτ. ΓΝ/ΕΙΣ/1081/28.11.2008 αίτηση ανανέωσης άδειας ίδρυσης και λειτουργίας αρχείου με ευαίσθητα δεδομένα και διασύνδεσης αρχείων, όπως έχει συμπληρωθεί με νεότερα έγγραφα, και ιδίως, με την υπ’ αρ. πρωτ. Γ31/ΑΣΦΑΛΕΙΑ/71/14.06.2016 (ΑΠΔΠΧ ΓΝ/ΕΙΣ/1530/23.06.2016) αίτηση γνωστοποίησης της Γενικής Διεύθυνσης Πληροφορικής του ΙΚΑ – ΕΤΑΜ που αφορά στην «Ηλεκτρονική υπηρεσία γνωστοποίησης αποτελέσματος αναπηρίας» και η οποία θα εξετασθεί από την Αρχή.
Περαιτέρω, η διαβίβαση των γνωματεύσεων των υγειονομικών επιτροπών των ΚΕ.Π.Α. στη Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών και η συλλογή τους από την Υπηρεσία αυτή για τη συμπλήρωση των φορολογικών δηλώσεων φυσικών προσώπων μέσω του συστήματος “Taxis” συνιστά διακριτή επεξεργασία ευαίσθητων δεδομένων που αφορούν στην υγεία, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 2 στοιχ. α’, β’ και δ’ του ν.2472/1997.
Προκειμένου η επεξεργασία αυτή να είναι νόμιμη θα πρέπει να τηρούνται οι όροι της παρ. 2 του άρθρου 7 και παράλληλα να πληρούνται οι προϋποθέσεις του άρθρου 4 του νόμου 2472/1997, ιδίως όσον αφορά την τήρηση των αρχών της αναλογικότητας, προσφορότητας και καταλληλότητας της επίμαχης επεξεργασίας προς την επίτευξη του προβαλλομένου σκοπού (άρθρο 4 παρ. 1 στοιχ. β’ του ν.2472/1997).
Σε πρόσφατα δημοσιεύματα Τύπου της 14ης και 15ης Ιουνίου 2016 αναφέρεται ότι το ηλεκτρονικό αρχείο των γνωματεύσεων των υγειονομικών επιτροπών των ΚΕ.Π.Α. του ΙΚΑ είναι συνδεδεμένο με το σύστημα “Taxis” της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών, κατά τρόπο που επιτρέπει σε κάθε κρατικό υπάλληλο ή αξιωματούχο που χειρίζεται το σύστημα υποβολής φορολογικών δηλώσεων να έχει πρόσβαση σε δεδομένα υγείας φυσικών προσώπων1.
Στα εν λόγω δημοσιεύματα αναφέρεται, ακόμα, ότι ο Σύλλογος Οροθετικών Ελλάδος «Θετική Φωνή» σε συνεργασία με τη Μη Κυβερνητική Οργάνωση “Synthesis” έχει αποστείλει επιστολή προς το Υπουργείο Οικονομικών, κοινοποιούμενη, μεταξύ άλλων, στην Αρχή, καλώντας το Υπουργείο να παρέμβει άμεσα, προκειμένου το ηλεκτρονικό σύστημα “Taxis” να παρέχει μεν πρόσβαση στο ποσοστό αναπηρίας, αλλά όχι στους λόγους απόδοσής του.
Από τα τηρούμενα στην Αρχή αρχεία και μητρώα, δυνάμει του άρθρου 19 του ν.2472/1997, προκύπτει ότι μέχρι σήμερα2 δεν έχει κοινοποιηθεί η αναφερόμενη στα δημοσιεύματα επιστολή του Συλλόγου Οροθετικών Ελλάδος «Θετική Φωνή», ούτε έχει υποβληθεί κάποιο σχετικό για το θέμα αυτό ερώτημα στην Αρχή.
Αναφορικά με την επίμαχη επεξεργασία της διαβίβασης δεδομένων υγείας φυσικών προσώπων από τα ΚΕ.Π.Α. του ΙΚΑ – ΕΤΑΜ στο σύστημα “Taxis” της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών λεκτέα είναι τα ακόλουθα:
Η διαβίβαση των πληροφοριών σχετικά με το ποσοστό αναπηρίας συγκεκριμένων φυσικών προσώπων συνιστά καταρχήν νόμιμη επεξεργασία για το σκοπό της συμμόρφωσης προς τη φορολογική νομοθεσία, και συγκεκριμένα συνδρομής φορολογικών απαλλαγών στο πρόσωπο των συγκεκριμένων ατόμων.
Ωστόσο, για το σκοπό αυτό, αρκεί η διαβίβαση μόνο μέρους της πληροφορίας που συνδέεται με την προβλεπόμενη από τη νομοθεσία φορολογική απαλλαγή, όπως π.χ. το ποσοστό της αναπηρίας, και δεν θα πρέπει να γίνεται αποκάλυψη και της συγκεκριμένης παθήσεως φυσικού προσώπου, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 4 παρ. 1 στοιχ. β’ του ν.2472/1997.
Άλλωστε, στο έντυπο φορολογικής δήλωσης φυσικών προσώπων (έντυπο Ε1) φορολογικού έτους 2015 προβλέπονται τρεις περιπτώσεις μείωσης φόρου λόγου αναπηρίας: 1) στον κωδικό 001 του πίνακα 3 για πρόσωπα που παρουσιάζουν αναπηρία σε ποσοστό τουλάχιστον 67%, ανεξαρτήτως του είδους αναπηρίας, 2) στον κωδικό 913 του πίνακα 2 για πρόσωπα του παρουσιάζουν αναπηρία σε ποσοστό τουλάχιστον 80%, ανεξαρτήτως του είδους της αναπηρίας, και 3) στον κωδικό 905 του πίνακα 2 για πρόσωπα που είναι ολικά τυφλοί ή παρουσιάζουν βαριά κινητική αναπηρία σε ποσοστό 80% και άνω 3 .
Συνεπώς, τουλάχιστον ως προς τις δύο πρώτες περιπτώσεις θα αρκούσε η αποκάλυψη εκ μέρους των ΚΕ.Π.Α. του ΙΚΑ – ΕΤΑΜ στη Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών μόνο του ποσοστού αναπηρίας τουλάχιστον 67% και τουλάχιστον 80% για τις προβλεπόμενες φορολογικές ελαφρύνσεις στο πρόσωπο των συγκεκριμένων ατόμων, χωρίς την αποκάλυψη του είδους της παθήσεως.
Περαιτέρω, θεμελιώδεις αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων είναι αυτές του απορρήτου και της ασφάλειας της επεξεργασίας. Συγκεκριμένα, το άρθρο 10 του νόμου 2472/1997 προβλέπει ότι ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια ή άλλη αθέμιτη επεξεργασία (παρ. 3), καθώς και ότι ο υπεύθυνος επεξεργασίας για τη διεξαγωγή της επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου (παρ. 2).
Η ευθύνη αυτή βαρύνει και τους δύο εμπλεκόμενους υπεύθυνους επεξεργασίας, δηλ. τόσο το ΙΚΑ – ΕΤΑΜ όσο και τη Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών.
Θα πρέπει να σημειωθεί, εξάλλου, ότι οι προαναφερόμενες αρχές ισχύουν, ανεξαρτήτως δέσμευσης από τυχόν συναφείς κώδικες ή κανόνες δεοντολογίας σχετικά με την τήρηση επαγγελματικής εχεμύθειας και του απορρήτου (πρβλ. άρθρο 371 ΠΚ), ενώ παραβίασή τους επισύρει την επιβολή διοικητικών και ποινικών κυρώσεων, σύμφωνα με τα οριζόμενα σας διατάξεις των άρθρων 21 και 22 του ν.2472/1997.
Επιπλέον, προς συμμόρφωση των ανωτέρω δύο αρχών η πρόσβαση στα αρχεία που περιέχουν δεδομένα υγείας και η διαβίβαση αυτών θα πρέπει να πραγματοποιείται κατ’ ασφαλή τρόπο από ειδικά εξουσιοδοτημένους χρήστες και να τηρούνται τα κατάλληλα αρχεία καταγραφής.
Σας γνωρίζουμε, τέλος, ότι η Αρχή εν αναμονή της προαναφερόμενης στα δημοσιεύματα Τύπου επιστολής του Συλλόγου Οροθετικών Ελλάδος «Θετική Φωνή» και αξιολογώντας την βαρύτητα της συγκεκριμένης επεξεργασίας προτίθεται να εξετάσει την συγκεκριμένη υπόθεση και στο πλαίσιο της αυτεπάγγελτης αρμοδιότητας που έχει.
Το παρόν αποστέλλεται προς ενημέρωσή σας, καθώς η Αρχή είναι, σύμφωνα με το άρθρο 15 του ν. 2472/1997, ανεξάρτητη αρχή και ο κοινοβουλευτικός έλεγχος σε αυτή ασκείται, όπως άλλωστε επισημαίνετε με το ανωτέρω σχετικό έγγραφό σας, μόνο σύμφωνα με το άρθρο 138Α του Κανονισμού Βουλής.
(1) Ενδεικτικά, αναφέρονται τα δημοσιεύματα Τύπου από 14.06.2016 του Athina 98.4 «Παραβίαση ιατρικού απορρήτου η διασύνδεση του Taxis με τα ΚΕΠΑ» και της iefimerida «Παραβίαση προσωπικών δεδομένων στο Taxis», καθώς και αυτά από 15.06.2016 του insuranceword.gr «Παραβίαση του ιατρικού απορρήτου από το …Taxisnet», της huffingtonpost.gr «Τί συμβαίνει με τα προσωπικά δεδομένα των οροθετικών;» και του newsbomb.gr «Παραβίαση ευαίσθητων δεδομένων ασθενών
μέσω … TAXISNET».
(2)Τελευταία ενημέρωση 23.06.2016
(3) Βλ. Οδηγίες της Γενικής Γραμματείας Δημοσίων Εσόδων του Υπουργείου Οικονομικών για τη συμπλήρωση της δήλωσης φορολογίας εισοδήματος φυσικών προσώπων φορολογικού έτους 2015, σελ. 14-16.
Με εντολή Προέδρου
Χαρίκλεια Ζ Λάτσιου
ΔΝ, Νομικός Ελεγκτής
Πηγή: www.taxheaven.gr