2627/2017 ΣΤΕ (Α` ΔΗΜΟΣΙΕΥΣΗ ΝΟΜΟΣ)

Η εν λόγω απόφαση αφορά στο προ GDPR νομικό καθεστώς. Είναι, όμως, σημαντική στον βαθμό που σκιαγραφεί την υποχρέωση των ιδιωτικών κλινικών να λαμβάνουν τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων που τηρούν, ώστε να είναι σε θέση να γνωρίζουν και να μπορούν να αποδείξουν τι έχει περιληφθεί στο αρχείο τους, τι έχει παραληφθεί και τι έχει επιστραφεί στον κομιστή.

ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΠΙΚΡΑΤΕΙΑΣ

ΤΜΗΜΑ Δ΄

Συνεδρίασε δημόσια στο ακροατήριό του στις 10 Νοεμβρίου 2015, με την εξής σύνθεση: Ε. Σαρπ, Αντιπρόεδρος, Προεδρεύουσα, σε αναπλήρωση του Προέδρου του Τμήματος, που είχε κώλυμα,  Δ. Κυριλλόπουλος, Κ. Κουσούλης, Σύμβουλοι, Μ. Αθανασοπούλου, Χρ. Μπολόφη, Πάρεδροι. Γραμματέας ο Ν. Αθανασίου.

Για να δικάσει την από 1 Οκτωβρίου 2012 αίτηση:

της ανώνυμης εταιρείας με την επωνυμία «………..», που εδρεύει στο …………… Αττικής (…………), η οποία παρέστη με τον δικηγόρο Χρίστο Βαρδάκα (Α.Μ. 2389), που τον διόρισε με πληρεξούσιο,

κατά της Ανεξάρτητης Διοικητικής Αρχής με την επωνυμία «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα», που εδρεύει στην Αθήνα, η οποία παρέστη με τον δικηγόρο Πέτρο Τσαντίλα (Α.Μ. 20211), που τον διόρισε με απόφαση του Προέδρου της.

Με την αίτηση αυτή η αιτούσα εταιρεία επιδιώκει να ακυρωθεί η υπ’ αριθμ. 131/2012 απόφαση της «Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα».

Οι πληρεξούσιοι των διαδίκων δήλωσαν, σύμφωνα με τις διατάξεις της παρ. 2 του άρθρου 21 του Κανονισμού Λειτουργίας του Δικαστηρίου, ότι δεν θα αγορεύσουν.

Η εκδίκαση άρχισε με την ανάγνωση της εκθέσεως της εισηγήτριας, Παρέδρου Χρ. Μπολόφη.

Μετά τη δημόσια συνεδρίαση το δικαστήριο συνήλθε σε διάσκεψη σε αίθουσα του δικαστηρίου

κ α ι

Α φ ο ύ  μ ε λ έ τ η σ ε  τ α  σ χ ε τ ι κ ά  έ γ γ ρ α φ α

Σ κ έ φ θ η κ ε  κ α τ ά  τ ο ν  Ν ό μ ο

1. Επειδή, για την άσκηση της κρινόμενης αιτήσεως καταβλήθηκε το νόμιμο παράβολο (.., ../2012 ειδικά γραμμάτια).

2. Επειδή, με την υπό κρίση αίτηση, όπως αυτή συμπληρώθηκε παραδεκτώς με δικόγραφο προσθέτων λόγων, ζητείται η ακύρωση της 131/9.8.2012 αποφάσεως της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.). Με την απόφαση αυτή επεβλήθησαν στην αιτούσα εταιρεία, ιδιοκτήτρια ιδιωτικής κλινικής, πρόστιμα ύψους 7.500 ευρώ έκαστο, για παράβαση των άρθρων 10 παρ. 3 και 12 του  ν. 2472/1997, αντιστοίχως.

3. Επειδή, ειδικότερα, από τα στοιχεία του φακέλου της υποθέσεως προκύπτουν τα εξής: Η καθ’ ης η αίτηση Αρχή επελήφθη της υποθέσεως κατόπιν της υπ’ αριθμ. ../27.3.2006 καταγγελίας συγκεκριμένου προσώπου. Συγκεκριμένα, σύμφωνα με την ανωτέρω καταγγελία, μετά από χειρουργική επέμβαση στο χέρι λόγω κατάγματος, στην οποία υποβλήθηκε ο καταγγείλας και, αφού αυτή (επέμβαση), κατά τους ισχυρισμούς του, δεν είχε επιτυχία, ο εν λόγω θέλησε να αποστείλει τον ιατρικό του φάκελο στις ΗΠΑ, προκειμένου να διαπιστωθεί αν υπήρχε δυνατότητα αντιμετώπισης της βλάβης που είχε επέλθει από την αρχική επέμβαση. Για τον λόγο αυτό ο ανωτέρω ζήτησε, με την από 17.1.2006 αίτησή του, από την ιδιωτική κλινική (…………..), της οποίας ιδιοκτήτρια είναι η αιτούσα εταιρεία, να του χορηγήσει δικά του προσωπικά δεδομένα, δηλαδή το ιατρικό νοσηλείας και την ακτινογραφία, την οποία, κατά τους ισχυρισμούς του, είχε προσκομίσει ο ίδιος στην Κλινική, προκειμένου να υποβληθεί στη χειρουργική επέμβαση. Στην αίτησή του αυτή ο εν λόγω δεν έλαβε ποτέ απάντηση από την κλινική και για τον λόγο αυτό υπέβαλε την ανωτέρω καταγγελία στην Αρχή. Η τελευταία, με το υπ’ αριθμ. πρωτ. ../1.12.2006 έγγραφό της, ζήτησε από την Κλινική να ικανοποιήσει το δικαίωμα πρόσβασης του εν λόγω καταγγείλαντος, καθώς και να την ενημερώσει για τις ενέργειές της. Κανένα από τα δύο αιτήματα της Αρχής δεν ικανοποιήθηκε, κατόπιν τούτου δε, με την …/3.5.2007 εντολή της Αρχής διενεργήθηκε έλεγχος στην Κλινική, προκειμένου να διαπιστωθεί αν τηρείται αρχείο για εξωτερικούς ασθενείς, καθώς και αν περιλαμβάνονται σε αυτό και δεδομένα του προσώπου αυτού. Από τον διενεργηθέντα έλεγχο διαπιστώθηκε ότι η Κλινική διατηρεί Βιβλίο Εξωτερικών Ασθενών (σε έντυπη και ηλεκτρονική μορφή) που περιλαμβάνει τα ατομικά στοιχεία των ασθενών, τη διάγνωση του ιατρικού προβλήματος, τις εργαστηριακές εξετάσεις (δεν διαπιστώθηκε κάτι τέτοιο στην περίπτωση του καταγγείλαντος προσώπου) και την οικονομική τακτοποίηση των υποχρεώσεων των ασθενών έναντι της Κλινικής. Ειδικότερα, όσον αφορά την επίμαχη ακτινογραφία, δεν διαπιστώθηκε η προσκόμιση ή η λήψη της από τον εν λόγω ασθενή. Μετά από επίμονη απαίτηση της Αρχής, η Κλινική απέστειλε τελικώς προς αυτήν το υπ’ αριθμ. πρωτ. ../18.6.2007 έγγραφο, στο οποίο αναφέρεται, μεταξύ άλλων, ότι «στα εξωτερικά ιατρεία της Κλινικής τηρείται μόνο βιβλίο Εξωτερικών Ασθενών, το οποίο περιλαμβάνει τα ατομικά στοιχεία του ασθενούς, συμπτωματολογία της ασθένειάς του και απλή μνεία των τυχόν εργαστηριακών ή ιατρικών εξετάσεων, στις οποίες αυτός υποβλήθηκε στην Κλινική…», καθώς και ότι «η Κλινική […] δεν τηρεί αρχείο ούτε καν των διενεργηθεισών εξετάσεων στην Κλινική, πολλώ δε μάλλον εξετάσεων, που ο ασθενής διενήργησε σε άλλο διαγνωστικό …………… , όπως εν προκειμένω, και [τις οποίες] προσκόμισε μαζί του προκειμένου να τις επιδείξει κατά την επίσκεψή του στον θεράποντα ιατρό του». Η Αρχή, αφού έλαβε υπόψη τα ανωτέρω πραγματικά περιστατικά καθώς και τις προφορικές και γραπτές εξηγήσεις της αιτούσας, εξέδωσε την προσβαλλόμενη απόφαση, η οποία διαλαμβάνει το εξής σκεπτικό: «Στην υπό κρίση υπόθεση ο υπεύθυνος επεξεργασίας, δηλαδή το … όφειλε να απαντήσει στο αίτημα του προσφεύγοντα σχετικά με την ύπαρξη των δεδομένων του, τόσο αυτών που τηρούσε (….) όσο και αυτών που κατά τους ισχυρισμούς του δεν τηρούσε (προεγχειρητική ακτινογραφία). Ειδικότερα, σχετικά με εκείνα που δεν τηρούσε, δηλαδή την προεγχειρητική ακτινογραφία, το Ιατρικό όφειλε να έχει ρητά καταστήσει γνωστό ότι δεν τηρεί τέτοιου είδους δεδομένα, ικανοποιώντας με αυτόν τον τρόπο το γενικότερο δικαίωμα πληροφόρησης του υποκειμένου των δεδομένων. Ο ισχυρισμός του .. ότι δεν τηρεί τα αιτούμενα δεδομένα δεν συνεπάγεται ότι δεν οφείλει να απαντήσει, έστω αρνητικά, στο υποκείμενο. Επίσης, όσον αφορά στα οργανωτικά μέτρα που τηρεί το Ιατρικό, συμπεραίνεται ότι αυτά δεν είναι επαρκή, αφού δεν δύναται το … στην υπό κρίση υπόθεση να εξηγήσει τι απέγινε η αιτούμενη ακτινογραφία. Μολονότι από τον έλεγχο και τις έγγραφες διαβεβαιώσεις του προκύπτει ότι δεν τηρεί αρχείο με εξετάσεις για τους εξωτερικούς ασθενείς, το … πιθανολογείται σφόδρα ότι στη συγκεκριμένη περίπτωση παρέλαβε μέσω του ιατρού του την προεγχειρητική ακτινογραφία και κατ’ αυτήν την έννοια η τελευταία περιελήφθη στο αρχείο του .., προκειμένου να προχωρήσει ο γιατρός στη χειρουργική επέμβαση. Αυτό γιατί, κατά τα διδάγματα της κοινής πείρας, δεν νοείται να γίνει χειρουργική επέμβαση στο χέρι λόγω κατάγματος χωρίς να υπάρχει ακτινογραφία. Αυτό άλλωστε διαφαίνεται και από την από 7.10.2007 απάντηση του χειρουργού ιατρού προς τον ………….. , κατόπιν καταγγελίας που υπέβαλε σε βάρος του ο προσφεύγων, σύμφωνα με την οποία παραδέχεται ο γιατρός ότι έλαβε την προεγχειρητική ακτινογραφία αλλά την επέστρεψε στον προσφεύγοντα. Εξ άλλου, το γεγονός ότι το συγκεκριμένο είδος δεδομένων (κλινικοεργαστηριακό υλικό) δεν τηρείται για τους εξωτερικούς ασθενείς, δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από το να τηρεί τέτοια οργανωτικά μέτρα που να επιτρέπουν και στον ίδιο αλλά και στα υποκείμενα των δεδομένων να γνωρίζουν τι επεξεργασία έχει λάβει χώρα σε σχέση με τα δεδομένα που ο γιατρός του, έστω και προσωρινά, έλαβε στην κατοχή του από τα υποκείμενα, όπως στην υπό κρίση υπόθεση, ή ο ίδιος παρήγαγε στην περίπτωση που ο υπεύθυνος επεξεργασίας κάνει ο ίδιος τις κλινικοεργαστηριακές εξετάσεις. Αυτή η υποχρέωση γίνεται ακόμα πιο επιτακτική στη περίπτωση που τα δεδομένα περιέρχονται έστω και προσωρινά στο αρχείο του υπευθύνου, όπως στην υπό κρίση υπόθεση. Με τον τρόπο αυτό δημιουργείται επιπλέον η πεποίθηση στον καλόπιστο ασθενή υποκείμενο των δεδομένων ότι τα δεδομένα του – και ιδιαίτερα τα ευαίσθητα – τηρούνται με ασφάλεια στην κλινική ή το εξωτερικό ιατρείο, το οποίο τα παρέλαβε, προκειμένου να προχωρήσει στην ιατρική πράξη. Η προστασία, συνεπώς, των ευαίσθητων δεδομένων του υποκειμένου γίνεται αποτελεσματικότερη όταν μπορεί να αποκλεισθεί η δυνατότητα παράνομης πρόσβασης ή γενικότερα τυχαίας απώλειας». Κατόπιν τούτων, με την προσβαλλόμενη απόφαση κρίθηκε ότι, κατά παράβαση του άρθρου 12 παρ. 1 του ν. 2472/1997, το … δεν απήντησε εγγράφως στο αίτημα του προσφεύγοντος σχετικά με τη χορήγηση σε αυτόν της προεγχειρητικής ακτινογραφίας και του ιατρικού του ιστορικού, ενώ το γεγονός ότι το ……. δεν τηρεί τα δεδομένα που του ζήτησε ο προσφεύγων δεν το απαλλάσσει από την υποχρέωσή του να απαντήσει. Περαιτέρω, με την ίδια απόφαση κρίθηκε ότι το …., κατά παράβαση του άρθρου 10 παρ. 3 του ίδιου ως άνω νόμου, «δεν έχει λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων που τηρεί, ώστε να είναι σε θέση να γνωρίζει και να μπορεί να αποδείξει τι έχει περιληφθεί στο αρχείο του, τι έχει παραληφθεί και τι έχει επιστραφεί στον κομιστή του. Τα μέτρα αυτά, μάλιστα, θα πρέπει να είναι ιδιαίτερα αυστηρά, διότι τα δεδομένα που κατά κύριο λόγο το … επεξεργάζεται είναι δεδομένα υγείας, δηλαδή ευαίσθητα και ως τέτοια χρήζουν ιδιαίτερα μεγάλης προστασίας. Συνεπώς, το …. έχει αυξημένη υποχρέωση επιμέλειας κατά την επεξεργασία των δεδομένων που συλλέγει και τηρεί. Αυτή η ιδιαίτερη επιμέλεια που οφείλει να επιδεικνύει ο υπεύθυνος επεξεργασίας κατά την επεξεργασία ευαίσθητων δεδομένων αφορά στην επεξεργασία από την έναρξη αυτής, δηλαδή τη συλλογή τέτοιων δεδομένων, μέχρι και το τέλος της επεξεργασίας, όπως είναι, δηλαδή, ενδεικτικά, η καταστροφή ή η χορήγηση αυτών των δεδομένων στον ασθενή – υποκείμενο των δεδομένων. Όφειλε, συνεπώς, το .. να έχει λάβει τα κατάλληλα οργανωτικά μέτρα, έτσι ώστε να μπορεί να γνωρίζει το ίδιο και να αποδεικνύει όποτε είναι αναγκαίο ποια η τύχη των ευαίσθητων δεδομένων που περιήλθαν κάποτε στην κατοχή ιατρού ή υπαλλήλου του. Στην υπό κρίση υπόθεση, κατά την οποία ο προσφεύγων ισχυρίζεται ότι το … έχει χάσει ευαίσθητα δεδομένα που τον αφορούν, το .. αδυνατεί να αποδείξει ότι η ακτινογραφία για την ορθοπαιδική επέμβαση έχει επιστραφεί στον προσφεύγοντα, γεγονός που επιβεβαιώνει την ελλιπή λήψη, από την πλευρά του …, των κατάλληλων οργανωτικών μέτρων για την ασφάλεια των ιατρικών δεδομένων». Με τις ανωτέρω αιτιολογίες επεβλήθησαν στην αιτούσα εταιρεία με την προσβαλλόμενη απόφαση της Α.Π.Δ.Π.Χ. αφενός πρόστιμο 7.500 ευρώ για παράβαση του άρθρου 12 του ν. 2472/1997, και αφετέρου πρόστιμο, ομοίως 7.500 ευρώ, για παράβαση του άρθρου 10 παρ. 3 του ιδίου ως άνω νόμου.

4. Επειδή, με τον ν. 2472/1997 «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» (Α΄ 50), ο οποίος εξεδόθη εν όψει και της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 281), ρυθμίσθηκαν τα της προστασίας των φυσικών προσώπων από προσβολές κατά την επεξεργασία προσωπικών τους δεδομένων. Σύμφωνα δε με το άρθρο 2 («Ορισμοί») του ως άνω νόμου, ως «Δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων (περ. α), ενώ, ως «ευαίσθητα δεδομένα» νοούνται τα δεδομένα που αφορούν, πλην άλλων, στην υγεία [περ. β, όπως αντικαταστάθηκε με το άρθρο όγδοο παρ. 3 του ν. 3625/2007 (Α΄ 290)]. Περαιτέρω, κατά το ίδιο ως άνω άρθρο 2, ως «Υποκείμενο των δεδομένων», νοείται το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (περ. γ), ως «Επεξεργασία δεδομένων προσωπικού χαρακτήρα» («επεξεργασία»), νοείται κάθε εργασία ή σειρά εργασιών που πραγματοποιείται από το Δημόσιο ή από νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή (περ. δ), ως «Αρχείο» νοείται κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, το οποίο είναι προσιτό με γνώμονα συγκεκριμένα κριτήρια [περ. ε, όπως αντικαταστάθηκε με το άρθρο 18 παρ. 2 του ν. 3471/2006 (Α΄ 133)], ως «Υπεύθυνος επεξεργασίας» νοείται οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός (περ. ζ), και ως «Αρχή», η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (περ. ιβ). Στο άρθρο 10, υπό τον τίτλο «Απόρρητο και ασφάλεια της επεξεργασίας», του ίδιου ως άνω νόμου ορίζεται ότι «1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ’ εντολήν του. 2… 3. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας…». Στο άρθρο 12 προβλέπεται ότι «1. Καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως. 2. Το υποκείμενο των δεδομένων έχει δικαίωμα να ζητεί και να λαμβάνει από τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση και κατά τρόπο εύληπτο και σαφή, τις ακόλουθες πληροφορίες: α) Όλα τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, καθώς και την προέλευσή τους. β) Τους σκοπούς της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών. γ) … 3. Το δικαίωμα της προηγούμενης παραγράφου και τα δικαιώματα του άρθρου 13 ασκούνται με την υποβολή της σχετικής αίτησης στον υπεύθυνο επεξεργασίας … 4. Εάν ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή. …». Στο άρθρο 19 ορίζεται ότι «1. Η Αρχή έχει τις εξής αρμοδιότητες: α) … γ) Απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας ή τους τυχόν εκπροσώπους τους…», ενώ στο άρθρο 21 του ίδιου ως άνω ν. 2472/1997 ορίζονται τα εξής: «1. Η Αρχή επιβάλλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεών τους που απορρέουν από τον παρόντα νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα: α)… β) Πρόστιμο ποσού από τριακόσιες χιλιάδες (300.000) έως πενήντα εκατομμύρια (50.000.000) δραχμές. γ) … 2. Οι υπό στοιχεία β΄, γ΄, δ΄ και ε΄ διοικητικές κυρώσεις της προηγούμενης παραγράφου επιβάλλονται πάντοτε ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται…».

5. Επειδή, με την υπό κρίση αίτηση προβάλλεται, κατ` αρχάς, ότι η καθ` ης η αίτηση Αρχή αναρμοδίως επελήφθη της προσφυγής του προαναφερθέντος καταγγείλαντος προσώπου και επέβαλε το ένδικο πρόστιμο σε βάρος της αιτούσας, για παράβαση του άρθρου 10 παρ. 3 του ν. 2472/1997, δεδομένου ότι, κατά τις διατάξεις του νόμου αυτού, αποκλειστική αρμοδιότητα της Αρχής είναι η διαπίστωση της παραβίασης των προσωπικών δεδομένων του υποκειμένου από κάποιας μορφής επεξεργασία και όχι η υπόδειξη του είδους και του περιεχομένου των αρχείων που κάθε υπεύθυνος επεξεργασίας οφείλει να τηρεί. Τούτο διότι, κατά τους ισχυρισμούς της αιτούσας, το ειδικότερο περιεχόμενο των ιατρικών αρχείων που οφείλουν να τηρούν οι ιδιωτικές κλινικές, όπως αυτή της αιτούσας, καθορίζεται από τα νομοθετήματα που διέπουν την ίδρυση και λειτουργία τους, η διαπίστωση δε τυχόν πλημμελειών ή ελλείψεων στην τήρηση των αρχείων αυτών αποτελεί αντικείμενο της αρμοδιότητας των οικείων οργάνων της νομαρχίας που κατά νόμον χορηγούν τις άδειες στις κλινικές, καθώς και των αρμόδιων υπηρεσιών του Υπουργείου Υγείας. Ο λόγος πρέπει να απορριφθεί ως αβάσιμος, διότι, κατά τη ρητή διατύπωση των προπαρατεθέντων άρθρων 19 παρ. 1 περ. γ) και 21 του ν. 2472/1997, η Αρχή έχει αρμοδιότητα να απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας και να επιβάλλει τις προβλεπόμενες από τον νόμο αυτό κυρώσεις για παραβάσεις των διατάξεων του νόμου αυτού. Εν προκειμένω δε, όπως προεκτέθηκε, με την προσβαλλόμενη απόφαση επιβλήθηκε πρόστιμο στην αιτούσα, διότι διαπιστώθηκε ότι, κατά παράβαση του άρθρου 10 παρ. 3 του ν. 2472/1997, η κλινική της αιτούσας δεν είχε λάβει τα κατάλληλα οργανωτικά μέτρα για την καταχώριση σε αρχείο των ιατρικών εξετάσεων των εξωτερικών ασθενών που έχουν διενεργηθεί αλλού, και τις οποίες αυτοί (εξωτερικοί ασθενείς) προσκομίζουν στην Κλινική, έτσι ώστε να είναι σε θέση να γνωρίζει και να αποδείξει ποια δεδομένα έχουν παραληφθεί από αυτήν και ποια έχουν επιστραφεί στους κομιστές τους. Είναι διάφορο δε το ζήτημα αν η αιτούσα υπόκειται ενδεχομένως και σε κυρώσεις που προβλέπονται από τη νομοθεσία που διέπει την ίδρυση και λειτουργία της κλινικής που διατηρεί από τη μη τήρηση ή την πλημμελή τήρηση των ιατρικών αρχείων που υποχρεούται από τις διατάξεις της νομοθεσίας αυτής να τηρεί.

6. Επειδή, περαιτέρω, με την κρινόμενη αίτηση προβάλλεται ότι η προσβαλλόμενη απόφαση εξεδόθη κατ` εσφαλμένη ερμηνεία και εφαρμογή του άρθρου 12 του ν. 2472/1997 (δικαίωμα πρόσβασης), διότι προϋπόθεση για την εφαρμογή της διάταξης αυτής είναι το δεδομένο να συνιστά πράγματι περιεχόμενο του αρχείου, δηλαδή να έχει συλλεγεί, καταχωρισθεί και να έχει τύχει επεξεργασίας, εν προκειμένω, όμως, όπως δέχεται και η προσβαλλόμενη απόφαση, το επίμαχο δεδομένο (η προεγχειρητική ακτινογραφία) ουδέποτε αποτέλεσε, έστω και προσωρινά, στοιχείο του αρχείου που τηρείται στην κλινική της αιτούσας, αλλά το προσκόμισε ο καταγγείλας, ο οποίος προσήλθε στην κλινική ως εξωτερικός ασθενής, και το παρέλαβε αποκλειστικά ο θεράπων ιατρός του, ο οποίος διατηρεί δικό του ιατρείο εντός του νοσοκομείου, και ο οποίος έχει κατά νόμον υποχρέωση τηρήσεως αρχείου απολύτως διακριτού από το αρχείο που τηρεί η κλινική για τους νοσηλευόμενους σε αυτήν ασθενείς.

7. Επειδή, με τις προπαρατεθείσες διατάξεις του άρθρου 12 του ν. 2472/1997 δεν κατοχυρώνεται μόνον το δικαίωμα πρόσβασης κάθε προσώπου σε δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία απετέλεσαν αντικείμενο επεξεργασίας – ως τέτοιας νοουμένης, πλην άλλων, κατά την περ. γ του άρθρου 2 του νόμου αυτού, και της καταχώρισης/αποθήκευσης αυτών- αλλά, κατά τη ρητή της διατύπωση, με την εν λόγω διάταξη κατοχυρώνεται πρωτίστως δικαίωμα του ενδιαφερόμενου στην πληροφόρηση περί του αν δεδομένα που τον αφορούν αποτέλεσαν αντικείμενο επεξεργασίας. Αντιστοίχως δε ιδρύεται υποχρέωση του υπεύθυνου επεξεργασίας να ενημερώνει τον ενδιαφερόμενο για το αν τα δεδομένα που τον αφορούν έτυχαν επεξεργασίας. Εξ άλλου, το ανωτέρω δικαίωμα πρόσβασης του υποκειμένου των δεδομένων ασκείται με την υποβολή από αυτό σχετικής αιτήσεως στον υπεύθυνο επεξεργασίας, κατά τα οριζόμενα στην παρ. 3 του άρθρου 12 του ν. 2472/1997. Περαιτέρω, κατά τα προβλεπόμενα στην παρ. 4 του ιδίου άρθρου 12 του ν. 2472/1997, κατά της ρητής ή σιωπηρής απορρίψεως από τον υπεύθυνο επεξεργασίας αιτήσεως του ενδιαφερομένου για την πρόσβαση σε προσωπικά δεδομένα που τον αφορούν, χωρεί – απροθέσμως – προσφυγή ενώπιον της Α.Π.Δ.Π.Χ., η απόφαση δε της Αρχής επί της προσφυγής αποτελεί εκτελεστή πράξη, δεσμευτική για τον υπεύθυνο επεξεργασίας, ο οποίος, εφ’ όσον δεν ασκεί τα προβλεπόμενα κατά της πράξεως αυτής ένδικα μέσα, έχει υποχρέωση σε συμμόρφωση (πρβλ. ΣτΕ 3276/2007). Εν όψει των ανωτέρω, με ορθή ερμηνεία και εφαρμογή της διατάξεως του άρθρου 12 του ν. 2472/1997 και με νόμιμη και επαρκή αιτιολογία επεβλήθη με την προσβαλλόμενη απόφαση στην αιτούσα η ένδικη κύρωση του προστίμου, για τον λόγο ότι η κλινική της αιτούσας, κατά παράβαση της διατάξεως αυτής, δεν απήντησε, ως ώφειλε, στο αίτημα του καταγγείλαντος να πληροφορηθεί αν στα τηρούμενα από αυτήν αρχεία περιελήφθη συγκεκριμένο δεδομένο προσωπικού χαρακτήρα που τον αφορά (προεγχειρητική ακτινογραφία), χωρίς να την απαλλάσσει από την υποχρέωση αυτή ενημερώσεως το γεγονός ότι το επίμαχο δεδομένο δεν είχε παραχθεί στην Κλινική της και, συνεπώς, δεν είχε καταχωρισθεί στο τηρούμενο από αυτήν αρχείο. Συνεπώς, ο παρατιθέμενος στην προηγούμενη σκέψη λόγος ακυρώσεως, ο οποίος εκκινεί από την αντίθετη ερμηνευτική εκδοχή της ανωτέρω διατάξεως (ότι, δηλαδή, το δεδομένο πρέπει να συνιστά πράγματι στοιχείο του τηρούμενου αρχείου), πρέπει να απορριφθεί ως αβάσιμος.

8. Επειδή, κατά την έννοια της επίσης προπαρατεθείσης διατάξεως της παρ. 3 του άρθρου 10 του ίδιου ως άνω ν. 2472/1997, ο υπεύθυνος επεξεργασίας, στο πλαίσιο της υποχρέωσης λήψης των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, έχει ιδιαίτερο καθήκον τηρήσεως και επιμελούς διαφυλάξεως αρχείου με δεδομένα προσωπικού χαρακτήρα για τους καθορισμένους, σαφείς και νόμιμους σκοπούς και για την επιτρεπτή και θεμιτή επεξεργασία τους, καθώς και αποφυγής αμελών ενεργειών (τυχαία ή αθέμιτη καταστροφή ή τυχαία απώλεια κλπ) που έχουν αποτέλεσμα να θίγονται τα σχετικά δικαιώματα των ενδιαφερομένων (βλ. ΣτΕ 749/2005). Εν όψει τούτων, και ως προς τη στοιχειοθέτηση της παράβασης του άρθρου 10 παρ. 3 του ν. 2472/1997 η αιτιολογία της προσβαλλόμενης απόφασης παρίσταται νόμιμη και επαρκής. Τούτο διότι η κλινική της αιτούσας υπείχε, κατά την έννοια της ανωτέρω διάταξης, την υποχρέωση λήψης των κατάλληλων οργανωτικών και τεχνικών μέτρων για τη φύλαξη και προστασία των προσωπικών δεδομένων των ασθενών της και μάλιστα αδιακρίτως του αν πρόκειται περί νοσηλευόμενων σε αυτήν ή εξωτερικών ασθενών. Εν προκειμένω, κατά τα διαλαμβανόμενα στην προσβαλλόμενη απόφαση, η κλινική της αιτούσας τηρεί Βιβλίο Εξωτερικών Ασθενών, το οποίο, καθ’ ομολογίαν της, περιλαμβάνει μόνον τα ατομικά στοιχεία του εξωτερικού ασθενούς, τη συμπτωματολογία της ασθένειάς του και απλή μνεία τυχόν κλινικοεργαστηριακών εξετάσεων, στις οποίες αυτός υποβλήθηκε στην κλινική, όχι δε και των κλινικοεργαστηριακών εξετάσεων, στις οποίες ο εξωτερικός ασθενής είχε υποβληθεί σε άλλη κλινική ή διαγνωστικό κέντρο, και τα αποτελέσματα των οποίων αυτός προσκόμισε κατά την επίσκεψή του στην κλινική, προκειμένου να τα επιδείξει απευθείας στον θεράποντα ιατρό του, που εργάζεται εντός της κλινικής. Η επιλογή, όμως αυτή της τήρησης από την Κλινική αρχείου για τους εξωτερικούς ασθενείς με το ανωτέρω περιεχόμενο, δεν συνιστά, κατά την έννοια της διάταξης του άρθρου 10 παρ. 3 του ν. 2472/1997, μέτρο κατάλληλο για την ασφάλεια και προστασία των δεδομένων αυτών από καταστροφή, τυχαία απώλεια κ.λπ., λαμβανομένης υπόψη και της φύσης τους ως ευαίσθητων προσωπικών δεδομένων αφορώντων στην υγεία του υποκειμένου τους. Συνεπώς, αβασίμως προβάλλεται ότι η προσβαλλόμενη απόφαση εξεδόθη κατ` εσφαλμένη ερμηνεία και εφαρμογή του άρθρου 10 παρ. 3 του ν. 2472/1997, διότι προϋπόθεση της διάταξης αυτής είναι το δεδομένο να συνιστά πράγματι περιεχόμενο του αρχείου, δηλαδή να έχει συλλεγεί, καταχωρισθεί και να έχει τύχει επεξεργασίας από τον υπεύθυνο επεξεργασίας, και ότι, ως εκ τούτου, το επίμαχο δεδομένο (η προεγχειρητική ακτινογραφία) δεν εμπίπτει στην κατά νόμον έννοια του «αρχείου», που τηρεί ή οφείλει να τηρεί η Κλινική, καθόσον ουδέποτε αποτέλεσε, έστω και προσωρινά, στοιχείο του αρχείου που αυτή τηρεί, αλλά είχε παραληφθεί αποκλειστικά από τον θεράποντα ιατρό του καταγγείλαντος. Εξ άλλου, η κατά το ανωτέρω άρθρο 10 παρ. 3 του ν. 2472/1997 υποχρέωση που υπέχει η Κλινική για τη λήψη των κατάλληλων οργανωτικών μέτρων για την επιμελή τήρηση ιατρικού αρχείου ούτε διαφοροποιείται ανάλογα με το αν πρόκειται περί εσωτερικών ή εξωτερικών ασθενών, ούτε εξαρτάται από τη συμβατική σχέση που τη συνδέει με τους ιατρούς που εργάζονται στον χώρο της. Συνεπώς, αβασίμως προβάλλονται οι ισχυρισμοί ότι η προσβαλλόμενη απόφαση δεν έλαβε υπόψη ότι ο καταγγείλας ήταν εξωτερικός ασθενής, ως προς τον οποίο η Κλινική ουδεμία υποχρέωση υπείχε να τηρεί αρχείο με το ανωτέρω περιεχόμενο, καθώς και ότι η Κλινική δεν συνδέεται με σχέση πρόστησης με τους θεράποντες ιατρούς, ώστε να φέρει ευθύνη για τις πράξεις ή παραλείψεις των τελευταίων ως προστηθέντων, αλλά λειτουργεί επιχειρηματικά ως «…………….», δηλαδή λειτουργεί μέσω συνεργασιών με τους ιδιώτες ιατρούς, οι οποίοι απλώς χρησιμοποιούν τις εγκαταστάσεις της Κλινικής για την παροχή των υπηρεσιών τους προς την ιδιωτική τους πελατεία, και συνεπώς, υπόχρεοι να τηρούν τέτοιο αρχείο είναι αποκλειστικά οι θεράποντες ιατροί. Περαιτέρω, δεν καθίσταται αντιφατική η αιτιολογία της προσβαλλόμενης απόφασης εκ του ότι, όπως αβασίμως προβάλλει η αιτούσα, ενώ η Αρχή δέχεται ότι, όσον αφορά την επίμαχη ακτινογραφία, «δεν διαπιστώθηκε η προσκόμιση ή λήψη της από τον προσφεύγοντα», εντούτοις «πιθανολογεί σφόδρα ότι το Ιατρικό παρέλαβε μέσω του ιατρού τη συγκεκριμένη ακτινογραφία». Τούτο διότι η προσβαλλόμενη απόφαση, όπως προκύπτει από το αναλυτικώς παρατιθέμενο ανωτέρω περιεχόμενό της, αφενός διαλαμβάνει ότι δεν διαπιστώθηκε η προσκόμισή της στην Κλινική από τον ενδιαφερόμενο ασθενή (πράγμα το οποίο, άλλωστε, επιβεβαιώνει και η ίδια η Κλινική, αφού, καθ` ομολογίαν της, δεν τηρεί σχετικό αρχείο για τους εξωτερικούς ασθενείς, με την καταχώριση σε αυτό των εξετάσεων που οι ασθενείς αυτοί διενεργούν αλλού), αφετέρου δε, κατά την κοινή λογική αντίληψη, συνάγει το εύλογο συμπέρασμα ότι αυτή (ακτινογραφία) προσκομίσθηκε και επιδείχθηκε απευθείας στον θεράποντα ιατρό που εργάζεται στην κλινική (πράγμα το οποίο άλλωστε επιβεβαιώνει και ο ίδιος ο γιατρός), και ο οποίος στη συνέχεια προχώρησε στην χειρουργική επέμβαση, η οποία, κατά την κοινή πείρα, δεν θα μπορούσε να διενεργηθεί χωρίς την ακτινογραφία. Ούτε, τέλος, ασκεί επιρροή στην κατά τα ανωτέρω υποχρέωση της Κλινικής να λαμβάνει τα κατάλληλα μέτρα με την επιμελή τήρηση αρχείου ο ισχυρισμός της αιτούσας ότι τελικώς η ακτινογραφία επεστράφη στον ενδιαφερόμενο ασθενή από τον ίδιο τον γιατρό.

9. Επειδή, εν όψει του ότι, όπως έγινε δεκτό στις προηγούμενες σκέψεις, η προσβαλλόμενη απόφαση, με το ανωτέρω αναλυτικώς παρατιθέμενο περιεχόμενο, παρίσταται νομίμως και επαρκώς αιτιολογημένη ως προς αμφότερες τις αποδοθείσες στην κλινική της αιτούσας παραβάσεις (:των άρθρων 10 παρ. 3 και 12 παρ. 1 του  ν. 2472/1997), είναι απορριπτέα τα προβαλλόμενα περί πλάνης περί τα πράγματα και, ειδικότερα, ότι η Αρχή εσφαλμένως υπέλαβε: α/ ότι δεν επεστράφη η ακτινογραφία από τον θεράποντα ιατρό στον ασθενή και ότι αυτή απωλέσθη, και β/ ότι παρελήφθη η ακτινογραφία από την Κλινική μέσω τής έστω και προσωρινής παράδοσής της στον θεράποντα ιατρό.

10. Επειδή, ενόψει της κατά τα ανωτέρω σαφούς εννοίας των διατάξεων των άρθρων 10 παρ. 3 και 12 παρ. 1 του ν. 2472/1997, βάσει των οποίων επεβλήθησαν τα ένδικα πρόστιμα, αβασίμως προβάλλεται με το δικόγραφο προσθέτων λόγων ότι, κατά παράβαση της αρχής της αναλογικότητας, επιβλήθηκαν οι κυρώσεις αυτές «λόγω του ασαφούς και δυσερμήνευτου των σχετικών διατάξεων». Εξ άλλου, οι επιλεγείσες κυρώσεις των προστίμων, ενόψει της φύσεως και της βαρύτητας των αποδοθεισών στην αιτούσα παραβάσεων, οι οποίες συνδέονται, αντιστοίχως, με τη μη ικανοποίηση του δικαιώματος πρόσβασης σε προσωπικά δεδομένα και με τη μη λήψη κατάλληλων οργανωτικών μέτρων για την προστασία ευαίσθητων προσωπικών δεδομένων υγείας, δεν παρίστανται δυσανάλογες. Επομένως, τα προβαλλόμενα ότι κατά παράβαση της αρχής της αναλογικότητας υφίσταται προφανής δυσαναλογία μεταξύ των επιβληθεισών κυρώσεων και του επιδιωκόμενου σκοπού, είναι απορριπτέα ως αβάσιμα. Τέλος, απαραδέκτως η αιτούσα ισχυρίζεται ότι αρκούσε η επιβολή σε αυτήν απλής συστάσεως, διότι αμφισβητεί την ουσιαστική κρίση της Αρχής ως προς την επιβλητέα κύρωση (πρβλ. ΣτΕ 1368/2008).

11. Επειδή, κατόπιν τούτων, η υπό κρίση αίτηση πρέπει να απορριφθεί.

Δ ι ά  τ α ύ τ α

Απορρίπτει την αίτηση.

Διατάσσει την κατάπτωση του παραβόλου.

Επιβάλλει στην αιτούσα εταιρεία τη δικαστική δαπάνη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία ανέρχεται στο ποσό των τετρακοσίων εξήντα (460) ευρώ.