CASE OF I v. FINLAND

RESPONDENT

FIN

HOTĂRÂRE

17.07.2008

Pe scurt

Instanță: CtEDO
Concluzie: Violation of Art. 8;Pecuniary damage - award;Non-pecuniary damage - award

RĂSFOIEȘTE: CtEDO · 2008
DESCARCĂ: PDF · DOCX 🔒 Pro

Citează această cauză

CASE OF I v. FINLAND (CtEDO, 2008)

HUDOC · oficial

Reclamantul s-a născut în 1960. Între 1989 și 1994 reclamantul a lucrat la contracte pe termen fix ca asistentă în policlinică pentru boli oculare într-un spital public. Din 1987 a efectuat vizite periodice la policlinică pentru boli infecțioase ale aceluiași spital, fiind diagnosticată ca HIV-pozitiv. La începutul anului 1992, reclamantul a început să suspecteze că colegii ei au fost conștienți de boala ei. În acel moment, personalul spitalului a avut acces gratuit la registrul pacientului care conținea informații despre diagnosticul pacientului și tratarea medicilor. După ce i-a confiat suspiciunilor medicului ei în vara 1992, registrul spitalului a fost modificat astfel încât, în prezent, numai personalul clinicului de tratament a avut acces la dosarele pacienților săi. Reclamantul a fost înregistrat în registrul pacientului cu un nume fals. Aparent, mai târziu, identitatea ei a fost schimbată din nou și a primit un nou număr de securitate socială. În 1995 reclamantul și-a schimbat slujba deoarece contractul ei temporar nu a fost reînnoit. La 25 noiembrie 1996, reclamantul s-a plâns la Consiliul de Administrație (läninhallitus, länsstyrelsen), solicitându-i să examineze cine i-a accesat dosarul de pacient confidențial. La cerere, directorul responsabil cu arhivele spitalului a depus o declarație la Consiliul de Administrație al Comitatului, potrivit căreia nu a fost posibil să se afle cine, dacă cineva, a accesat înregistrarea pacientului reclamantului, deoarece sistemul de date a dezvăluit numai cele cinci cele mai recente consultări (de către unitatea de lucru și nu de către persoană) și chiar aceste informații au fost eliminate după ce dosarul a fost returnat în arhive. 10. În decizia sa din 20 octombrie 1997, Consiliul de Administrație a Județeanului a susținut că: „Secțiunea 12 din Legea privind statutul și drepturile pacientului (Laki potilaan asemasta ja oikeuksista, lag om patientens ställning och rättigheter) prevede că autoritățile de sănătate și personalul trebuie să respecte reglementările emise de Ministerul Afacerilor Sociale și Sănătății (sosiaali- ja terveysministeriö, social-och hälsovårdsministeriet, „Ministerul” la pregătirea și prelucrarea dosarelor de pacienți. În conformitate cu această secțiune, Ministerul a emis, la 25 februarie 1993, Regulamentul nr. 16/02/93. În regulamentul menționat se remarcă că pacienții trebuie să fie pregătiți având în vedere normele privind secretul și obligația de protecție și obligația de a avea grijă în temeiul Legii privind fișierele personale (henkilörekistersilaki, personregistrlagen; Act nr. 471/1987). Potrivit obligației de a avea grijă, trebuie respectate precauția și bunele practici de înregistrare atunci când colectează, depune, utilizează și furnizează date și acestea trebuie să se facă într-un mod care să nu încălceze în mod inutil dreptul la confidențialitate al persoanei înregistrate sau beneficiile și drepturile acesteia. Obligația de protecție înseamnă că datele în dosarele pacientului trebuie protejate în mod corespunzător împotriva prelucrării, utilizării, distrugerii, modificărilor și furtului (secțiunea 3 și 26 din Legea privind fișierele personale). În regulamentul menționat se menționează, de asemenea, că înregistrările pacientului trebuie să formeze o entitate care să asigure faptul că străinii nu pot obține acces neautorizat la acestea și că, în plus față de aceste obligații, în conformitate cu Legea privind fișierele personale, scopul utilizării acestor date poate fi luat în considerare. Astfel se poate asigura că datele necesare pentru pacienți sunt date numai personalului care participă la tratamentul pacientului. [Reclamantul] a susținut în reprezentările sale că [X], care lucrează pentru [spitalul], a ordonat istoricul cazului [fostul soț al reclamantului] și că altcineva și-a comandat dosarul sau a vizitat arhiva și a citit dosarul și/sau dosarul [fiului său] și că datele au fost transmise [Y] și alți personali menționate în reprezentanțele [reclamantului]. [X] a contestat că s-a procedat în mod eronat. Celelalte persoane menționate în [reprezentările reclamantului] au contestat că au avut cunoștințe ale datelor menționate în acest articol cu privire la [reclamantul] și familia ei. Potrivit directorului responsabil de arhivele [spitalului], nu este posibilă clarificarea retroactivă a utilizării dosarelor de pacienți. Sistemul de date dezvăluie doar cele cinci cele mai recente consultări (de către unitatea de lucru și nu de către persoană), dar aceste informații sunt eliminate odată ce fișierul a fost returnat în arhive. Prin urmare, Consiliul de Administrație County nu poate reglementa dacă informațiile conținute în dosarele pacientului au fost utilizate de un extern sau date unui om. Având în vedere cele de mai sus, consiliul de administrație al districtului constată totuși că sistemul ar trebui să înregistreze orice consultare a dosarelor de pacient ca o protecție a vieții private, pentru a se asigura că responsabilitatea pentru o posibilă scurgere de informații poate fi individualizată. Pentru viitor, Consiliul de Administrație a Județeanului atrage atenția spitalului asupra obligației de protecție și obligația de a avea grijă de legea privind fișierele personale și, în continuare, de necesitatea de a se asigura că protecția confidențialității nu este pusă în pericol atunci când prelucrarea datelor medicale în spital. ...” 11. Ulterior, în martie 1998, registrul spitalului a fost modificat în sensul că a devenit posibilă identificarea retrospectivă a oricărei persoane care au accesat un dosar de pacienți. 12. La 15 mai 2000, reclamantul a instituit o procedură civilă împotriva Autorității de Sănătate de District (sairaanhoitopiirin kuntayhtymä, samkommunen för sjukvårdsdisdriktet), care a fost responsabil pentru registrul pacientului spitalului, susținând prejudiciu moral și pecuniare pentru presupusul eșec de a-și păstra în mod confidențial recordul pacientului. 13. La 10 aprilie 2001, Curtea de District (käräjäoikeus, tingsrätten), care a desfășurat o audiere orală, a respins acțiunea. Având evaluat dovezile dinaintea acesteia, inclusiv cinci declarații de martor, hotărârea Consiliului de Administrație al Comitetului și o declarație a Ombudsmanului pentru Protecția Datelor (tietosuojavaltuutettu, dataombudsmannen), instanța nu a găsit dovezi ferme că dosarul pacientului reclamantului a fost consultat ilegal. 14. Reclamantul a apelat la Curtea de Apel (Hovioikeus, hovrätten), menținând afirmația ei că spitalul nu a respectat dreptul intern, în încălcarea dreptului ei de a respecta viața sa privată. 15. La 7 martie 2002, Curtea de Apel, care a organizat o audiere orală, a considerat că mărturia reclamantului în legătură cu evenimentele, cum ar fi sugestiile și remarcile colegilor ei despre infecția ei cu HIV, a fost fiabilă și credibilă. La fel ca Curtea de District, nu a găsit însă dovezi ferme că înregistrarea pacientului ei a fost consultată ilegal. Acesta a ordonat reclamantului să ramburseze cheltuielile juridice ale instituției în fața Curții de District și a Curții de Apel, cu valoare de 2.000 de euro (EUR) și respectiv de 3.271.80 euro plus dobânzi. 16. În cererea ei de concediu de recurs la Curtea Supremă (Korkein oikeus), reclamantul a susținut, printre altele, că a existat o încălcare a dreptului ei de a-și respecta viața privată. 17. La 23 decembrie 2002, Curtea Supremă a refuzat să recurgă. 18. Legea constituțională finlandeză (Suomen halitusmuoto, Regeringsform för Finlanda; Legea nr. 94/1919, modificată de Legea nr. 969/1995) a fost în vigoare până la 1 martie 2000. Secțiunea 8 a acestuia corespunde art. 10 din actuala Constituție finlandeză (Suomen perustuslaki, Finlanda grundlag; Legea nr. 731/1999), care prevede că dreptul tuturor la viața privată este garantat. 19. Până la 1 iunie 1999, normele care reglementează utilizarea și confidențialitatea datelor cu caracter personal au fost stabilite în Legea privind fișierele personale din 1987. Secțiunile 6 și 7 din Legea interzise prelucrarea datelor cu caracter personal sensibil, inclusiv informații privind sănătatea și tratamentul medical al unei persoane, cu excepția autorităților de sănătate. Informarea neautorizată a datelor cu caracter personal a fost interzisă în temeiul art. 18 și utilizarea ilegală a datelor divulgate a fost interzisă în temeiul art. 21. În conformitate cu secțiunea 26, operatorul de date a trebuit să se asigure că datele cu caracter personal și informațiile conținute în aceasta sunt garantate în mod corespunzător împotriva oricărei prelucrare ilegală, utilizarea, distrugerea, modificarea și furtul. În acest sens, raportul explicativ al proiectului de lege al Guvernului (nu. 49/1986) pentru promulgarea Legii privind fișierele personale a afirmat că pur și simplua existență de dispoziții juridice nu a fost suficientă pentru a garanta protecția vieții private. În plus, operatorul de date a trebuit să se asigure că datele sunt protejate de facto. În planificarea protecției fizice a sistemului de date trebuie să fie obligată, printre altele, să se asigure dacă sistemul este manual sau automatizat. Natura delicată a informațiilor a afectat în mod natural domeniul de aplicare al obligației de protecție. În temeiul articolului 42, titularul de date a fost responsabil pentru compensarea prejudiciilor materiale suferite ca urmare a utilizării sau a divulgării datelor cu caracter personal necorespunzător sau a utilizării sau divulgării ilegale a datelor cu caracter personal. 20. La 1 iunie 1999, o nouă Lege privind datele cu caracter personal (henkilötietolaki, personupp donslag; Legea nr. 523/1999) a intrat în vigoare. Secțiunea 11 din Lege interzice prelucrarea datelor cu caracter personal sensibil. Cu toate acestea, în secțiunea 12, profesioniștii în domeniul asistenței medicale pot procesa datele referitoare la starea de sănătate, de boală, de handicap sau de tratament a unei persoane în cazul în care acestea sunt indispensabile în tratamentul său. Secțiunea 32 prevede că operatorul de date efectuează măsurile tehnice și organizaționale necesare pentru asigurarea datelor cu caracter personal împotriva accesului neautorizat, distrugerea accidentală sau ilegală, manipularea, divulgarea și transferul, precum și împotriva altor prelucrare ilegală. Secțiunea 33 stabilește o obligație de secret pentru cei care au cunoaștet circumstanțele personale ale cuiva. În temeiul articolului 47, persoana care controlează datele este responsabilă să compenseze prejudiciul pecuniar și alte daune suferite de persoana care are datorită prelucrării datelor cu caracter personal în încălcarea dispozițiilor din Lege. 21. Legea privind statutul și drepturile pacientului a intrat în vigoare la 1 martie 1993. Secțiunea 12, în vigoare până la 1 august 2000, cu condiția ca autoritățile de sănătate să respecte reglementările emise de Ministerul Afacerilor Sociale și Sănătății („ Ministerul”) atunci când au fost create și prelucrate datele personale și medicale ale pacienților. 22. În conformitate cu Regulamentul Ministerului nr. 16/02/93, emis la 25 februarie 1993, intimitatea unui pacient a trebuit asigurată atunci când a fost creat și prelucrat dosarul său de pacient. Operatorul de date a trebuit să se asigure că străinii nu pot obține acces neautorizat la date personale sensibile și că numai personalul care trata un pacient a avut acces la registrul său de pacient. 23. Secțiunea 13 din Legea privind statutul și drepturile pacientului cu condiția ca profesioniștii în domeniul asistenței medicale sau altor persoane care lucrează într-o unitate de îngrijire sănătății să nu poată dezvălui un străin (care este o persoană care nu participă la tratamentul pacientului) informații conținute în documentele pacientului fără consimțământul scris al pacientului. La 1 august 2000, respectiva secțiune a fost modificată (Legea nr. 653/2000), în sensul că trebuie înregistrată în dosarul datelor, în cazul în care au fost descoperite înregistrările pacienților, precum și motivele de divulgare. 24. Mai departe, Legea profesioniștilor de sănătate (Laki terveydenhuollon ammatchenkilöistä, lag om yrkesutbildade personer inom hälso- och sjukvården; Legea nr. 559/1994) conține dispoziții privind menținerea documentelor de pacient și confidențialitatea lor (secțiunea 16) și privind obligația de secret (secțiunea 17). 25. În cele din urmă, noua lege privind procesarea electronică a informațiilor cu clienți (laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsitetlystä, lag om elektronisk behandling av klientupp doner inom social- och hälsovården; Lege nr. 159/2007) a intrat în vigoare la 1 iulie 2007. Obiectivul prezentei legi este de a respecta în continuare drepturile pacienților în contextul prelucrării datelor cu caracter personal electronic în cadrul asistenței sociale și sănătății.

The applicant was born in 1960. 6. Between 1989 and 1994 the applicant worked on fixed-term contracts as a nurse in the polyclinic for eye diseases in a public hospital. From 1987 she paid regular visits to the polyclinic for infectious diseases of the same hospital, having been diagnosed as HIV-positive. 7. Early in 1992 the applicant began to suspect that her colleagues were aware of her illness. At that time hospital staff had free access to the patient register which contained information on patients’ diagnoses and treating doctors. Having confided her suspicions to her doctor in summer 1992, the hospital’s register was amended so that henceforth only the treating clinic’s personnel had access to its patients’ records. The applicant was registered in the patient register under a false name. Apparently later her identity was changed once again and she was given a new social security number. 8. In 1995 the applicant changed her job as her temporary contract was not renewed. 9. On 25 November 1996, the applicant complained to the County Administrative Board (lääninhallitus, länsstyrelsen), requesting it to examine who had accessed her confidential patient record. Upon request, the director in charge of the hospital’s archives filed a statement with the County Administrative Board, according to which it was not possible to find out who, if anyone, had accessed the applicant’s patient record as the data system revealed only the five most recent consultations (by working unit and not by person) and even this information was deleted once the file was returned to the archives. 10. In its decision of 20 October 1997 the County Administrative Board held that: “Section 12 of the Patient’s Status and Rights Act (laki potilaan asemasta ja oikeuksista, lag om patientens ställning och rättigheter) provides that the health authorities and staff have to comply with the regulations issued by the Ministry for Social Affairs and Health (sosiaali- ja terveysministeriö, social- och hälsovårdsministeriet, “the Ministry”) when preparing and processing patient records. Pursuant to this section the Ministry has issued, on 25 February 1993, Regulation no. 16/02/93. In the said Regulation it is noted that patients records must be prepared having due regard to the secrecy regulations and the protection obligation and the duty to take care pursuant to the Personal Files Act (henkilörekisterilaki, personregisterlagen; Act no. 471/1987). According to the duty to take care, precaution and good registering practices must be observed when gathering, depositing, using and delivering data and these must be done in a manner so as not to infringe unnecessarily the right to privacy of the registered person or his or her benefits and rights. The protection obligation means that data in patient records must be duly protected against unauthorised processing, use, destruction, amendment and theft (sections 3 and 26 of the Personal Files Act). In the said Regulation it is also noted that the patient records must form an entity to ensure that outsiders cannot gain unauthorised access to them and that, in addition to the said obligations, in accordance with the Personal Files Act, the purpose of use of the said data can be taken into account. This way it can be made sure that requisite patient data are only given to the personnel participating in the treatment of the patient. [The applicant] has in her representations alleged that [X], who is working for [the hospital] has ordered up the case history of [the applicant’s ex-husband] and that someone else has ordered up her file or visited the archives and read her file and/or that of [her son] and that the data have been transmitted to [Y] and other staff mentioned in [the applicant’s] representations. [X] has contested having proceeded erroneously. The other persons mentioned in [the applicant’s] representations have contested having had knowledge of the data mentioned therein concerning [the applicant] and her family. According to the director in charge of [the hospital’s] archives it is not possible to retroactively clarify the use of patient records. The data system reveals only the five most recent consultations (by working unit and not by person) but this information is deleted once the file has been returned to the archives. Therefore, the County Administrative Board cannot further rule on whether information contained in the patient records has been used by or given to an outsider. Having regard to the foregoing, the County Administrative Board however finds that the system should record any consultation of patient files as a safeguard of privacy in order to ensure that the responsibility for a possible leak of information can be individualised. For the future, the County Administrative Board draws the hospital’s attention to the protection obligation and the duty to take care provided by the Personal Files Act, and further, to the need to ensure that privacy protection is not put at risk when processing medical data within the hospital. ...” 11. Subsequently, in March 1998, the hospital’s register was amended in that it became possible retrospectively to identify any person who had accessed a patient record. 12. On 15 May 2000, the applicant instituted civil proceedings against the District Health Authority (sairaanhoitopiirin kuntayhtymä, samkommunen för sjukvårdsdistriktet), which was responsible for the hospital’s patient register, claiming non-pecuniary and pecuniary damage for the alleged failure to keep her patient record confidential. 13. On 10 April 2001, the District Court (käräjäoikeus, tingsrätten), having held an oral hearing, rejected the action. Having assessed the evidence before it, including five witness statements, the decision of the County Administrative Board and a statement of the Data Protection Ombudsman (tietosuojavaltuutettu, dataombudsmannen), the court did not find firm evidence that the applicant’s patient record had been unlawfully consulted. 14. The applicant appealed to the Court of Appeal (hovioikeus, hovrätten), maintaining her claim that the hospital had not complied with the domestic law, in breach of her right to respect for her private life. 15. On 7 March 2002, the Court of Appeal, having held an oral hearing, considered that the applicant’s testimony about the events, such as her colleagues’ hints and remarks about her HIV infection, was reliable and credible. Like the District Court it did not, however, find firm evidence that her patient record had been unlawfully consulted. It ordered the applicant to reimburse the respondent’s legal expenses before the District Court and the Court of Appeal, amounting to 2,000 euros (EUR) and EUR 3,271.80 plus interest, respectively. 16. In her application for leave to appeal to the Supreme Court (korkein oikeus), the applicant claimed inter alia that there had been a violation of her right to respect for her private life. 17. On 23 December 2002 the Supreme Court refused leave to appeal. 18. The Finnish Constitution Act (Suomen hallitusmuoto, Regeringsform för Finland; Act no. 94/1919, as amended by Act no. 969/1995) was in force until 1 March 2000. Its section 8 corresponded to Article 10 of the current Finnish Constitution (Suomen perustuslaki, Finlands grundlag; Act no. 731/1999), which provides that everyone’s right to private life is guaranteed. 19. Until 1 June 1999, the rules governing the use and confidentiality of personal data were laid down in the Personal Files Act of 1987. Sections 6 and 7 of the Act prohibited the processing of sensitive personal data, including information on a person’s health and medical treatment, except within the health authorities. Unauthorised disclosure of personal data was prohibited under section 18 and illegal use of disclosed data was prohibited under section 21. Pursuant to section 26 the data controller had to ensure that personal data and information contained therein were appropriately secured against any unlawful processing, use, destruction, amendment and theft. In this regard, the explanatory report of the Government Bill (no. 49/1986) for the enactment of the Personal Files Act stated that the mere existence of legal provisions did not suffice to guarantee the protection of privacy. In addition, the data controller had to make sure that data were protected de facto. When planning the physical protection of the data system regard must be had to, inter alia, whether the system was manual or automated. The delicate nature of the information naturally affected the scope of the protection obligation. Under section 42, the data controller was liable to compensate pecuniary damage suffered as a result of the use or disclosure of incorrect personal data or of unlawful use or disclosure of personal data. 20. On 1 June 1999, a new Personal Data Act (henkilötietolaki, personuppgiftslag; Act no. 523/1999) entered into force. Section 11 of the Act prohibits processing of sensitive personal data. However, under section 12, health care professionals may process data relating to a person’s state of health, illness, handicap or treatment if they are indispensable in his/her treatment. Section 32 provides that the data controller shall carry out the technical and organisational measures necessary for securing personal data against unauthorised access, accidental or unlawful destruction, manipulation, disclosure and transfer as well as against other unlawful processing. Section 33 lays down a secrecy obligation for those who have gained knowledge of someone’s personal circumstances. Under section 47, the data controller is liable to compensate pecuniary and other damage suffered by the data subject or another person as a result of the processing of personal data in violation of the provisions of the Act. 21. The Patient’s Status and Rights Act entered into force on 1 March 1993. Section 12, as in force until 1 August 2000, provided that the health authorities had to comply with the regulations issued by the Ministry for Social Affairs and Health (“the Ministry”) when creating and processing patients’ personal and medical data. 22. According to the Ministry’s Regulation no. 16/02/93, issued on 25 February 1993, a patient’s privacy had to be secured when creating and processing his/her patient record. The data controller had to make sure that outsiders could not gain unauthorised access to sensitive personal data and that only the personnel treating a patient had access to his/her patient register. 23. Section 13 of the Patient’s Status and Rights Act provided that health care professionals or other persons working in a health care unit were not allowed to reveal to an outsider (that is a person not participating in the treatment of the patient) information contained in the patient documents without the written consent of the patient. The said section has been amended as of 1 August 2000 (Act no. 653/2000) to the effect that it must be recorded in the data file if patient records have been revealed as well as the grounds for the disclosure. 24. Further, the Health Care Professionals Act (laki terveydenhuollon ammattihenkilöistä, lag om yrkesutbildade personer inom hälso- och sjukvården; Act no. 559/1994) contains provisions on the retention of patient documents and their confidentiality (section 16) and on the obligation of secrecy (section 17). 25. Finally, the new Electronic Processing of Client Information Act (laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä, lag om elektronisk behandling av klientuppgifter inom social- och hälsovården; Act no. 159/2007) entered into force on 1 July 2007. The aim of this Act is to further enforce patients’ rights in the context of the processing of electronic personal data within the social and health care.

§ Cauze similare