Μια ενδιαφέρουσα υπόθεση αποστολής προσωπικών δεδομένων σε λάθος παραλήπτη περιλαμβάνεται στην τελευταία Ετήσια Έκθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Το ενδιαφέρον στην υπόθεση αυτή έγκειται στο ότι η μέριμνα του υπευθύνου επεξεργασίας στην αποστολή των δεδομένων – και δη δεδομένων υγείας – σε κρυπτογραφημένη μορφή απέτρεψε την ανάγνωση του αποσταλέντος αρχείου, ως εκ τούτου και τη γνωστοποίηση των δεδομένων σε τρίτο πρόσωπο.
Όπως ειδικότερα αναφέρεται στην υπόθεση με τίτλο «Περιστατικό παραβίασης κρυπτογραφημένων δεδομένων (Ενότητα 3.1.4. Υγεία, σελ. 66):
«Η Αρχή εξέτασε καταγγελία ασθενούς κατά διαγνωστικού κέντρου, η οποία αφορούσε στην αποστολή αποτελεσμάτων ιατρικών εξετάσεων μέσω ηλεκτρονικού ταχυδρομείου σε τρίτο πρόσωπο (παραλήπτη).
Από τα στοιχεία του φακέλου της υπόθεσης προέκυψε ότι η αποστολή του αρχείου των αποτελεσμάτων των εξετάσεων της καταγγέλλουσας μέσω ηλεκτρονικού ταχυδρομείου σε μη δικαιούμενο πρόσωπο πραγματοποιήθηκε από το διαγνωστικό κέντρο σε κρυπτογραφημένη μορφή και ότι η δυνατότητα αποκρυπτογράφησής του παρεχόταν με τη χρήση του κωδικού πελάτη, ο οποίος αναγράφεται στο σώμα της απόδειξης παροχής υπηρεσιών.
Ως εκ τούτου, η ανάγνωση του εν λόγω αρχείου δεν κατέστη δυνατή από το τρίτο (μη δικαιούμενο) πρόσωπο/παραλήπτη του επίμαχου μηνύματος ηλεκτρονικού ταχυδρομείου, εφόσον το πρόσωπο αυτό δεν είχε πρόσβαση στον κωδικό πελάτη της καταγγέλλουσας. Συνακόλουθα, προέκυψε ότι με τη λαθεμένη αποστολή του επίμαχου μηνύματος ηλεκτρονικού ταχυδρομείου της καταγγέλλουσας σε τρίτο μη δικαιούμενο πρόσωπο-παραλήπτη, δεν υπήρξε γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα της καταγγέλλουσας σε τρίτο πρόσωπο, η οποία να δικαιολογούσε παραβίαση της εμπιστευτικότητας του άρθρου 5 παρ.1 στοιχ. στ’ ΓΚΠΔ.
Κατ’ ακολουθία των ανωτέρω, η Αρχή με το υπ’ αρ. πρωτ. Γ/ΕΞΕ/3421/07.12.2022 έγγραφο επέστησε την προσοχή στο καταγγελλόμενο διαγνωστικό κέντρο ότι, ως υπεύθυνος επεξεργασίας, πρέπει να λαμβάνει και να εφαρμόζει σε κάθε περίπτωση τα τεχνικά και οργανωτικά μέτρα ασφάλειας της επεξεργασίας σύμφωνα με τα άρθρα 24 και 32 παρ. 1 ΓΚΠΔ.
Συγκεκριμένα, πρέπει να λαμβάνει χώρα επαλήθευση της ταυτότητας του εξεταζόμενου με τη χρήση περαιτέρω στοιχείων ταυτοποίησης πέραν του επωνύμου (ενδεικτικά: ΑΜΚΑ, e-mail, αριθμό τηλεφώνου), ώστε να αποφεύγονται τυχόν περιστατικά παραβίασης της εμπιστευτικότητας των δεδομένων, ελλείψει κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας».