28 Απριλίου 2019

«Με το κιλό» εκποιεί τα προσωπικά δεδομένα μας το υπουργείο Οικονομικών - ΕΓΓΡΑΦΟ

Στην εποχή του GDPR η Ελλάδα πουλάει «με το κιλό» τα ευαίσθητα προσωπικά δεδομένα εκατοντάδων χιλιάδων πολιτών.

Σε ανοικτές δημοπρασίες και με προφορική διαδικασία, εκποιούνται από το Δημόσιο «με το κιλό» πολύτιμες πληροφορίες εκατοντάδων χιλιάδων [δείτε το έγγραφο]...


... πολιτών, όπως οι εξής:  86.000 ιατρικοί φάκελοι με 155.000 ακτινογραφίες προς μισό ευρώ το κιλό 5.000 φάκελοι ασθενών προς 80 λεπτά το κιλό αρχειακό υλικό με ιστορικά ασθενών στο οποίο περιλαμβάνονται και ακτινολογικά φιλμς, προς 50 λεπτά το κιλό.

Πλειστηριασμοί από το Δημόσιο
Παρά τις Κοινοτικές Οδηγίες και τις προστατευτικές διατάξεις του Συντάγματος, το υπουργείο Οικονομικών βγάζει «στο σφυρί» το ιατρικό απόρρητο των Ελλήνων προς «εκποίηση/πώληση με το ζύγι και μεικτοβαρώς», όπως χαρακτηριστικά αναφέρει και η προκήρυξη του σχετικού πλειστηριασμού.

Εδώ και δεκαετίες όλοι γνώριζαν ότι το Δημόσιο βγάζει σε πλειστηριασμό κατασχεμένα αυτοκίνητα, μοτοσυκλέτες ή σκάφη, παλαιά έπιπλα και διάφορες άλλα μηχανήματα όπως τα περίφημα «slot machines» (τα γνωστά «φρουτάκια») που είχαν πλημμυρίσει την Ελλάδα αλλά απαγορεύτηκαν πριν 25 χρόνια και ακόμα παραμένουν στα αζήτητα στις εγκαταστάσεις του ΟΔΔΥ στη Μαγουλέζα.

Την ώρα όμως που στον δημόσιο διάλογο κυριαρχούν οι πλειστηριασμοί κατοικιών οφειλετών, ελάχιστοι ίσως γνωρίζουν ότι το Δημόσιο εκποιεί πλέον τόνους ολόκληρους αρχειακού υλικού με άκρως ευαίσθητα προσωπικά δεδομένα.

Προ ημερών, μόλις βγήκε στον αέρα ένας ακόμη τέτοιος πλειστηριασμός, με υλικό που περιέχει σε έντυπη μορφή ευαίσθητες πληροφορίες και για τις οποίες κάποιοι θα πλήρωναν αδρά ενδεχομένως –και για στατιστικούς έστω λόγους- για το ιστορικό ασθενών από όλα σχεδόν τα μεγάλα κρατικά νοσοκομεία της χώρας.

«Στο ζύγι» τα λεφτά και τα προσωπικά δεδομένα
Αν και η διαδικασία αποσκοπεί στην αύξηση των εσόδων του δημοσίου, θέτει εμφανώς σε δεύτερη μοίρα την προστασία των προσωπικών δεδομένων, όπως είναι οι φάκελοι ασθενών ή άλλα διοικητικά έγγραφα που αφορούν τους Έλληνες πολίτες.

Στη διακήρυξη (3942Ε του 2019) για την εκποίηση αρχειακού υλικού νοσηλευομένων στα κρατικά νοσοκομεία της χώρας, δεν μνημονεύεται πουθενά ο νέος πανευρωπαϊκός Κανονισμός περί Προστασίας Προσωπικών Δεδομένων (GDPR) ο οποίος έχει τεθεί σε ισχύ και στη χώρα μας από τις 25 Μαΐου 2018.

Έτσι, ενώ λόγω GDPR οι ίδιοι οι ασθενείς απαιτείται να υπογράφουν ειδικό έντυπο πριν από κάθε εξέταση (αν πχ επιτρέπουν στον σύζυγό τους να παραλάβει τα αποτελέσματα ή όχι κλπ) το Κράτος πουλά σαν «σακί με πατάτες» τα προσωπικά τους δεδομένα, «με το ζύγι», προφορικά και ...μεικτοβαρώς. Ταυτόχρονα δίνει πρόσβαση στον οποιοδήποτε ενδιαφερόμενο να μπορεί να επιθεωρήσει το εν λόγω αρχειακό υλικό, πριν την αγορά του.

Επί της ουσίας, μνεία γίνεται μόνον στην Οδηγία 1/2005 την οποία εξέδωσε -προ 15ετίας σχεδόν- η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Ούτε κι αυτήν όμως φαίνεται να την έχουν διαβάσει οι αρμόδιοι, καθώς προβλέπει σύμβαση της ανάθεσης όπου «θα πρέπει να ορίζονται τα μέτρα που θα εφαρμόσει ο εκτελών την επεξεργασία για την ασφαλή μεταφορά των δεδομένων στον τόπο καταστροφής, ο τόπος καταστροφής, οι τυχόν ενδιάμεσοι τόποι αποθήκευσης των δεδομένων, ο τρόπος καταστροφής, καθώς επίσης και ο μέγιστος επιτρεπόμενος χρόνος από την στιγμή της παράδοσης των δεδομένων από τον υπεύθυνο επεξεργασίας στον εκτελούντα την επεξεργασία μέχρι την οριστική καταστροφή τους».

Πρακτικά όμως, τέτοια σύμβαση δεν απαιτείται να υπάρχει πριν τη συμμετοχή στη δημοπρασία – ούτε ελέγχεται και μετά ενδεχομένως όμως. Πουθενά δεν περιγράφονται άλλωστε τα μέτρα ασφαλείας που θα πρέπει να τηρεί ο πιθανός ανάδοχος κατά τη μεταφορά, φύλαξη και εμπιστευτική καταστροφή των προσωπικών μας δεδομένων.

Εκτός από την καταβολή εγγύησης για συμμετοχή στο διαγωνισμό, δεν ζητείται καμία πιστοποίηση, ούτε καν έλεγχος των πιθανών αναδόχων πριν την εκποίηση, οπότε το εν λόγω αρχειακό υλικό μπορεί να καταλήξει στον οποιονδήποτε ιδιώτη -και όχι μόνον στους «επαγγελματίες» ανακυκλωτές υλικού («σκραπατζήδες»).

Όλα στη φόρα...
Ωστόσο, σύμφωνα με το GDPR, υπεύθυνος για την επεξεργασία των δεδομένων του εκάστοτε φορέα, νοσοκομείου, υπηρεσίας ή οργανισμού του δημοσίου, είναι ο ίδιος ο Οργανισμός ή Δημόσια Αρχή και οφείλει να προβαίνει σε όλες τις απαραίτητες ενέργειες και να παρακολουθεί την διαδικασία της εμπιστευτικής καταστροφής μέχρι και την τελική εκκαθάριση (GDPR άρθρο 28).

Αυτό ισχύει ακόμα περισσότερο για τους φακέλους ασθενών που καλύπτονται από το Ιατρικό Απόρρητο τα οποία συγκαταλέγονται σε δεδομένα με ιδιαίτερη ευαισθησία και πρέπει να διαχειρίζονται αναλόγως. Εκτός από τους σχετικούς νόμους που υπάρχουν σε όλες τις χώρες του κόσμου (πχ Ν.3318 Κώδικας Ιατρικής Δεοντολογίας κλπ), ο ίδιος ο Όρκος του Ιπποκράτη ορίζει ότι «δεν θα μιλήσω για όσα δω και μάθω» για τον ασθενεί (« Ἃ δ' ἂν ἐν θεραπείῃ ἢ ἴδω, ἢ ἀκούσω (...) σιγήσομαι, ἄῤῥητα ἡγεύμενος εἶναι τὰ τοιαῦτα»).

Το πλέον οξύμωρο στην όλη κατάσταση είναι ότι οι σχετικές διατάξεις και απαγορεύσει ισχύουν στο ακέραιο για τον Ιδιωτικό τομέα, όπου πιθανές καταγγελίες επιφέρουν ελέγχους και τυχόν αστοχίες οδηγούν σε πρόστιμα της τάξης των 20.000.000 ευρώ. Δεν συμβαίνει το ίδιο όμως για το Δημόσιο Τομέα που –όπως πολλοί θεωρούν- είναι ο θεματοφύλακας των δικαιωμάτων κάθε Πολίτη.

Θεωρητικά πάντως, ο οδηγός προετοιμασίας που έχει δημοσιεύσει το Υπουργείο Υγείας για τα προσωπικά δεδομένα, ορίζει ότι «σε ένα ασθενοκεντρικό σύστημα παροχής υπηρεσιών υγείας, η προστασία του ατόμου έναντι της επεξεργασίας δεδομένων του προσωπικού χαρακτήρα δεν συνιστά απλή επιλογή, αλλά πρωταρχικό σκοπό του συστήματος».
Κωστή Πλάντζου, newmoney