Πέμπτη 28 Ιανουαρίου 2021

Πού πήγαν τα προσωπικά δεδομένα των πολιτών;...

 Εκθετοι ο ΕΟΔΥ και το Υπ. Υγείας:...

Την ώρα που η πανδημία δείχνει να θεριεύει και πάλι, ιδιαίτερα στην Αττική, τεράστια ερωτηματικά προκύπτουν και πάλι για τον τρόπο που καταγράφει τα κρούσματα του κορονοϊού ο ΕΟΔΥ αλλά για το... πως χειρίζεται τα προσωπικά δεδομένα των πολιτών.

Τα ερωτήματα, αυτή τη φορά, δεν τα βάζει, η δημοσιογραφική έρευνα αλλά ο ίδιος ο Υπεύθυνος Προστασίας Δεδομένων του Υπουργείου Υγείας Δημήτρης Ζωγραφόπουλος ο οποίος, με σχετική γνωμοδότησή του στις 23 Δεκεμβρίου του 2020 ξετινάζει όλη την επιχειρηματολογία του ΕΟΔΥ και λέει, ορθά-κοφτά, ότι ο οργανισμός δεν τηρεί τον GDPR, τον κανονισμό, δηλαδή, για τα προσωπικά δεδομένα.

Για την εν λόγω γνωμάτευση έχουν αρμοδίως ενημερωθεί τόσο ο ΕΟΔΥ (στον οποίο κοινοποιείται το έγγραφο) όσο και ο Υπουργός Υγείας Βασίλης Κικίλιας, στον οποίο προσωπικά αναφέρεται ο Υπεύθυνος Προστασίας Δεδομένων βάσει του νόμου. Και όμως, εδώ και ένα μήνα, από τις 23 Δεκεμβρίου, δεν έχει αλλάξει ο τρόπος καταγραφής (ή, τουλάχιστον, δεν υπάρχει ενημέρωση για το θέμα).




Το πιο σοβαρό όμως συμπέρασμα από τη γνωμάτευση-καταπέλτη του Δημήτρη Ζωγραφόπουλου (που αποκάλυψε η βουλευτής του ΣΥΡΙΖΑ, Δώρα Αυγέρη) είναι ότι ουσιαστικά επιβεβαιώνεται ότι ο ΕΟΔΥ έχει διπλό σύστημα καταγραφής των κρουσμάτων. Εκτός δηλαδή από τον Εθνικό Μητρώο Ασθενών από τον κορονοϊό covid-19, ο ΕΟΔΥ αντλεί πληροφόρηση και απευθείας από τα νοσοκομεία. Σ' αυτήν την πληροφόρηση συμπεριλαμβάνονται και ευαίσθητα προσωπικά δεδομένων των πολιτών (όνομα, επώνυμο, ΑΜΚΑ).

Στη γνωμοδότησή του ο YΠΔ του Υπουργείου Υγείας, αφού ενημερώνει αναλυτικά για το τι προβλέπει ο νόμος για το ρόλο του, είναι ξεκάθαρος. "Η ζητηθείσα από τον ΕΟΔΥ επεξεργασία ιατρικών δεδομένων προσωπικού χαρακτήρα από κάθε νοσοκομείο ως υπεύθυνο επεξεργασίας, προς τις ΥΠΕ και τον ΕΟΔΥ, ως αποδέκτες, δεν βρίσκει έρεισμα στο νόμο αλλά αντίθετα προσκρούει στις διατάξεις του άρθρου 5 του GDPR και της απόφασης της Ολομέλειας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα" υπογραμμίζει χαρακτηριστικά.

Παρακάτω, η γνωμάτευση αναφέρει ρητά ότι "ο ΕΟΔΥ δικαούται-για την επίτευξη των σκοπών του, μεταξύ των οποίων είναι και η επιδημιολογική επιτήρηση- να είναι αποδέκτης δεδομένων από το εν λόγω Εθνικό Μητρώο Ασθενών και όχι απευθείας από τα Νοσοκομεία της χώρας". Δεν χρειάζεται, κοντολογίς, διπλή καταγραφή.

Επίσης, ο κ. Ζωγραφόπουλος υπενθυμίζει, ως οφείλει, στον ΕΟΔΥ ότι εφόσον επιθυμεί να καταστεί αποδέκτης δεδομένων από το Εθνικό Μητρώο Ασθενών για το σκοπό της επιδημιολογικής επιτήρησης, μπορεί "να υποβάλει προς το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, το ως άνω απαραίτητο γραπτό και αιτιολογημένο αίτημα με το οποίο θα προσδιορίζει επακριβώς τα δεδομένα τα οποία ζητεί το στο πλαίσιο της επιδημιολογικής επιτήρησης που υλοποιείται από τις αρμόδιες υπηρεσίες του μαζί με το προτεινόμενο διάγραμμα ροής δεδομένων, προκειμένου να διασφαλιστεί η νομιμότητα της εν λόγω επεξεργασίας και, ιδίως, ότι δεν θα διαβιβαστεί το σύνολο των δεδομένων του εν λόγω Εθνικού Μητρώου Ασθενών και ότι δεν υπάρχει ζήτημα διασύνδεσης συστημάτων αρχειοθέτησης".

Οπως είπαμε, για τη γνωμάτευση είναι επαρκώς ενημερωμένοι όλοι οι εμπλεκόμενοι. Το ερώτημα που προκύπτει είναι το εξής: Πως ακριβώς χειρίστηκε ο Υπουργός Βασίλης Κικίλιας το ζήτημα των ξεκάθαρων ευθυνών που προκύπτουν για τον επικεφαλής του ΕΟΔΥ Παναγιώτη Αρκουμανέα; Τα ευαίσθητα προσωπικά δεδομένων χιλιάδων πολιτών δεν είναι κάτι με το οποίο μπορεί να παίξει κανείς. Ο νόμος παραβιάζεται. Το αναφέρει ο DPO του Υπουργείου.

Κάτι άλλο, εξίσου σημαντικό αν όχι και σημαντικότερο: Υπάρχει περίπτωση τα προσωπικά αυτά δεδομένα των πολιτών να διοχετεύτηκαν στην Palantir; Θυμίζουμε ότι η συνεργασία της ελληνικής κυβέρνησης με την εν λόγω εταιρία σταμάτησε στις 23 Δεκεμβρίου. Την ίδια ημερομηνία έχει και η γνωμάτευση του Υπευθύνου Προστασίας Δεδομένων του Υπουργείο Υγείας. Πρέπει να δοθεί ξεκάθαρη διαβεβαίωση (από το Υπουργείο Υγείας) ότι δεν δόθηκαν προσωπικά δεδομένα πολιτών στην αμερικανική εταιρία.

Για το τέλος, το News24/7 απευθύνει, τρία ερωτήματα προς τον Yπεύθυνο Προστασίας Δεδομένων του Υπουργείου Υγείας:

1.Το Εθνικό Μητρώο ασθενών με Covid 19 που συστάθηκε δυνάμει της ΚΥΑ 2650/10-4-2020 προβλέπει τη διενέργεια ΕΑΠΔ (Εκτίμηση Αντικτύπου) από την ΗΔΙΚΑ ΑΕ, ως εκτελούσα την επεξεργασία, σε σχέση με τις σχεδιαζόμενες επεξεργασίες. Για την ΕΑΠΔ αυτή προβλέφθηκε να ζητηθεί η γνώμη του ΥΠΔ του Υπουργείου Υγείας. Έχει διενεργηθεί η εν λόγω ΕΑΠΔ σύμφωνα με τα προβλεπόμενα στον ΓΚΠΔ; Ζητήθηκε η γνώμη του ΥΠΔ; Έχει δημοσιευθεί η εν λόγω ΕΑΠΔ;

2. Οι Υπεύθυνοι Προσωπικών Δεδομένων των Νοσοκομείων έθεσαν σχετικό με την αιτούμενη διαβίβαση στοιχείων από τον ΕΟΔΥ ερώτημα στον ΥΠΔ του Υπουργείου Υγείας πριν την αποστολή στοιχείων αυτών στον ΕΟΔΥ;

3. Σε διάφορες πλατφόρμες της Κεντρικής Κυβέρνησης σχετικές με την Covid 19 γίνεται επεξεργασία δπχ (testing.gov.gr, emvolio.gov.gr, κλπ). Καθώς πρόκειται για προσωπικά δεδομένα ιατρικού χαρακτήρα, ποια είναι η σχέση του Υπουργείου Υγείας με αυτές τις πλατφόρμες; Έχει γνώση σχετικά ο Υπεύθυνος Προστασίας Δεδομένων του Υπουργείου Υγείας; Έχει ζητηθεί η γνώμη του;...

Νίκος Γιαννόπουλος

news247.gr

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου