Μια πρόσφατη απόφαση της Αρχής Προστασίας Δεδομένων της Λιθουανίας αναδεικνύει ένα κρίσιμο ζήτημα που δεν αφορά μόνο τον χώρο της υγείας, αλλά κάθε κλάδο που διαχειρίζεται ευαίσθητα ή εμπορικά πολύτιμα προσωπικά δεδομένα. Μεταξύ αυτών, φυσικά, βρίσκεται και η ασφαλιστική αγορά.
Η υπόθεση αφορά γιατρό, στην οποία επιβλήθηκε διοικητικό πρόστιμο ύψους 1.153 ευρώ, καθώς κρίθηκε ότι επεξεργάστηκε παράνομα δεδομένα ασθενών, παραβιάζοντας βασικές διατάξεις του GDPR και ειδικότερα τις αρχές νομιμότητας της επεξεργασίας, τη νόμιμη βάση επεξεργασίας και τους κανόνες για ειδικές κατηγορίες δεδομένων, όπως τα δεδομένα υγείας.
Η υπόθεση
Σύμφωνα με την απόφαση, η λιθουανική εποπτική αρχή εξέτασε περιστατικό που συνδεόταν με απώλεια εμπιστευτικότητας δεδομένων 1.231 ασθενών σε κέντρο πρωτοβάθμιας φροντίδας υγείας. Η έρευνα κατέληξε ότι η γιατρός, ενώ διέθετε δικαιώματα πρόσβασης στο πληροφοριακό σύστημα λόγω της επαγγελματικής της ιδιότητας, χρησιμοποίησε τα δεδομένα για σκοπό διαφορετικό από εκείνον για τον οποίο είχε δοθεί η πρόσβαση.
Η αρχή διαπίστωσε ότι η γιατρός, σε περίοδο κατά την οποία δεν εκτελούσε εργασιακά καθήκοντα, συνδέθηκε στο σύστημα και προέβη σε προβολή καρτελών ασθενών. Η ίδια υποστήριξε ότι ήθελε να ενημερώσει τους ασθενείς για την αλλαγή του χώρου εργασίας της, ωστόσο η εποπτική αρχή έκρινε ότι η χρήση των δεδομένων έγινε για δικό της σκοπό και όχι για σκοπό του φορέα υγείας.
Το κρίσιμο στοιχείο της υπόθεσης είναι ότι η αρχή δεν αντιμετώπισε τη γιατρό απλώς ως εργαζόμενη που έκανε λάθος χρήση ενός συστήματος. Τη θεώρησε, υπό τις συγκεκριμένες περιστάσεις, αυτοτελή υπεύθυνη επεξεργασίας, καθώς αποφάσισε η ίδια τον σκοπό και τον τρόπο χρήσης των δεδομένων.
Το μήνυμα για την ασφαλιστική αγορά
Η υπόθεση έχει ιδιαίτερο ενδιαφέρον για ασφαλιστικές εταιρείες, ασφαλιστικούς διαμεσολαβητές, πρακτορεία και δίκτυα πωλήσεων. Στον ασφαλιστικό κλάδο η πρόσβαση σε προσωπικά δεδομένα είναι καθημερινή: στοιχεία επικοινωνίας, οικονομικά δεδομένα, πληροφορίες για ασφαλιστήρια, ζημιές, οικογενειακή κατάσταση, επαγγελματική δραστηριότητα και, σε αρκετές περιπτώσεις, δεδομένα υγείας.
Η απόφαση υπενθυμίζει ότι άλλο πράγμα είναι η τεχνική δυνατότητα πρόσβασης σε ένα σύστημα και άλλο πράγμα η νόμιμη δυνατότητα χρήσης των δεδομένων. Ένας εργαζόμενος, συνεργάτης ή στέλεχος μπορεί να έχει πρόσβαση σε πελατολόγιο, αρχεία ζημιών ή στοιχεία ασφαλισμένων μόνο για συγκεκριμένο επαγγελματικό σκοπό. Δεν μπορεί να χρησιμοποιεί τα δεδομένα αυτά για προσωπική προβολή, μεταφορά πελατών, εμπορική προσέγγιση εκτός πλαισίου ή επικοινωνία που δεν έχει εγκριθεί από τον οργανισμό.
Για τη διαμεσολάβηση, το ζήτημα αποκτά ακόμη μεγαλύτερη σημασία σε περιπτώσεις μετακίνησης συνεργατών, αλλαγής δικτύου, αποχώρησης υπαλλήλων ή μεταφοράς χαρτοφυλακίων. Το ποιος έχει δικαίωμα να επικοινωνήσει με έναν πελάτη, με ποια ιδιότητα, για ποιον σκοπό και με ποια νόμιμη βάση, δεν είναι απλή εμπορική λεπτομέρεια. Είναι ζήτημα κανονιστικής συμμόρφωσης.
Η σημασία των εσωτερικών κανόνων
Στην υπόθεση της Λιθουανίας, η αρχή έλαβε υπόψη ότι ο φορέας υγείας είχε θεσπίσει βασικά τεχνικά και οργανωτικά μέτρα, καθώς και κανόνες πρόσβασης στα δεδομένα. Διαπιστώθηκε ότι τα δεδομένα μπορούσαν να υποβάλλονται σε επεξεργασία μόνο για την εκτέλεση εργασιακών καθηκόντων και ότι η ελεγχόμενη γιατρός είχε ενημερωθεί για τους κανόνες αυτούς.
Αυτό είναι ένα ιδιαίτερα χρήσιμο σημείο για κάθε ασφαλιστική επιχείρηση. Οι πολιτικές GDPR δεν πρέπει να παραμένουν τυπικά έγγραφα σε έναν φάκελο συμμόρφωσης. Χρειάζονται σαφείς κανόνες πρόσβασης, καταγραφή ενεργειών, περιορισμός δικαιωμάτων ανά ρόλο, διαδικασίες αποχώρησης συνεργατών και εργαζομένων, καθώς και τεκμηριωμένη ενημέρωση όσων χειρίζονται δεδομένα.
Η ύπαρξη logs, δηλαδή αρχείων καταγραφής πρόσβασης στα συστήματα, αποδείχθηκε επίσης κρίσιμη. Η αρχή αξιολόγησε τα στοιχεία του συστήματος και διαπίστωσε ότι δεν επρόκειτο για μία απλή ή μεμονωμένη ενέργεια, αλλά για πολλαπλές συνδέσεις σε διαφορετικούς χρόνους και σε διαφορετικές καρτέλες ασθενών.
Τα δεδομένα υγείας στο επίκεντρο
Η απόφαση αποκτά ακόμη μεγαλύτερη βαρύτητα επειδή αφορούσε δεδομένα υγείας, δηλαδή ειδική κατηγορία προσωπικών δεδομένων που προστατεύεται αυστηρότερα από τον GDPR. Η αρχή έκρινε ότι η φύση των δεδομένων επιβάρυνε τη σοβαρότητα της παράβασης, ενώ σημείωσε ότι επηρεάστηκε μεγάλος αριθμός υποκειμένων δεδομένων, συνολικά 1.231 πρόσωπα.
Για τον ασφαλιστικό κλάδο, αυτό αγγίζει ευθέως το πεδίο των ασφαλίσεων υγείας, ζωής, προσωπικών ατυχημάτων, αποζημιώσεων και underwriting. Τα δεδομένα υγείας δεν μπορούν να αντιμετωπίζονται ως απλά στοιχεία πελατειακής σχέσης. Απαιτούν αυξημένη προσοχή, περιορισμένη πρόσβαση, σαφή νόμιμη βάση και αυστηρή εσωτερική πειθαρχία.
Η υπόθεση δείχνει ότι οι ευρωπαϊκές εποπτικές αρχές εξετάζουν πλέον όχι μόνο αν υπήρξε διαρροή ή κυβερνοεπίθεση, αλλά και αν έγινε κακή εσωτερική χρήση δεδομένων από πρόσωπα που είχαν νόμιμη πρόσβαση στα συστήματα. Και αυτό είναι ίσως το πιο σημαντικό μήνυμα: ο κίνδυνος για τα προσωπικά δεδομένα δεν βρίσκεται μόνο έξω από τον οργανισμό, αλλά πολλές φορές και μέσα στις καθημερινές διαδικασίες του.
Πηγή: Απόφαση της Κρατικής Αρχής Προστασίας Δεδομένων της Λιθουανίας, 5 Ιουνίου 2026, αριθ. 3R-1040, και σχετική ανακοίνωση της αρχής.



