Συχνές Ερωτήσεις
25/07/2018
Απαιτείται όπως κάθε φορέας παροχής υπηρεσιών υγείας να έχει οπωσδήποτε λάβει την προηγούμενη συγκατάθεση κάθε ασθενούς για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα, προκειμένου να του παράσχει υπηρεσίες υγείας;
Όχι, δεν απαιτείται. Η συγκατάθεση του ασθενούς, ως υποκειμένου των δεδομένων, είναι απλώς μία από τις δυνατές νομικές βάσεις για την επεξεργασία δεδομένων του προσωπικού χαρακτήρα και καταρχήν δεν απαιτείται στον τομέα παροχής υπηρεσιών υγείας.
Πράγματι, στον τομέα παροχής υπηρεσιών υγείας κατεξοχήν ενδεδειγμένες (ως ειδικές) νομικές βάσεις για την επεξεργασία δεδομένων των υποκειμένων (κυρίως των ασθενών, αλλά όχι μόνο αυτών) είναι: (α) η παροχή ιατρικών υπηρεσιών κατά το άρθρο 9 παρ. 2 στοιχ. (η΄) του ΓΚΠΔ, είτε η εν λόγω παροχή ιατρικών υπηρεσιών στηρίζεται ειδικότερα σε νομικές ρυθμίσεις για την παροχή υπηρεσιών φροντίδας υγείας από φορείς του Δημοσίου τομέα είτε σε σύμβαση παροχής ιατρικών υπηρεσιών από φορέα του ιδιωτικού τομέα, και (β) η εκπλήρωση δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας κατά το άρθρο 9 παρ. 2 στοιχ. (θ΄) του ΓΚΠΔ, και όχι η συγκατάθεση του υποκειμένου (ιδίως του ασθενούς).
Η συγκατάθεση του υποκειμένου είναι απαραίτητη νομική βάση για τη σύννομη επεξεργασία δεδομένων του προσωπικού χαρακτήρα στον τομέα της υγείας μόνο όταν αυτή απαιτείται ρητά από διάταξη νόμου, πχ. για τη συμμετοχή σε δραστηριότητες επιστημονικής έρευνας στο πλαίσιο κλινικών δοκιμών (Πρβλ. αιτιολογική σκέψη 161 του ΓΚΠΔ). Στις περιπτώσεις όπου απαιτείται ρητά η συγκατάθεση του υποκειμένου για την επεξεργασία ευαίσθητων δεδομένων του προσωπικού χαρακτήρα, αυτή πρέπει επιπλέον να είναι έγγραφη.
Με βάση τα προαναφερόμενα, εάν το υποκείμενο των δεδομένων καλείται να υπογράψει κατά την παραλαβή εντύπου ενημέρωσης για την επεξεργασία δεδομένων του προσωπικού χαρακτήρα, η υπογραφή του αυτή έχει την έννοια ότι «έλαβε γνώση» των απαιτούμενων εκ του νόμου στοιχείων για την προσήκουσα ενημέρωσή του και όχι ότι συγκατατίθεται για την επεξεργασία δεδομένων του προσωπικού χαρακτήρα, καθόσον η νομική βάση για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα είναι καταρχήν η παροχή ιατρικών υπηρεσιών κατά το άρθρο 9 παρ. 2 στοιχ. (η΄) του ΓΚΠΔ.
Συνεπώς, δεν επιτρέπεται η άρνηση παροχής υπηρεσιών υγείας με το επιχείρημα ότι το υποκείμενο των δεδομένων αρνήθηκε να παράσχει τη συγκατάθεσή του για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, καθόσον η νομική βάση για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα είναι καταρχήν η παροχή ιατρικών υπηρεσιών κατά το άρθρο 9 παρ. 2 στοιχ. (η΄) του ΓΚΠΔ.
Απαιτείται όπως κάθε φορέας παροχής υπηρεσιών υγείας να έχει οπωσδήποτε λάβει την προηγούμενη συγκατάθεση κάθε εργαζομένου του για την επεξεργασία των ευαίσθητων δεδομένων του προσωπικού χαρακτήρα, στο πλαίσιο της εργασιακής του σχέσης;
Και πάλι, όχι. Επισημαίνουμε, ότι για την επεξεργασία ευαίσθητων δεδομένων των εργαζομένων στον τομέα παροχής υπηρεσιών υγείας καταρχήν ενδεδειγμένη νομική βάση είναι εκείνη του άρθρου 9 παρ. 2 στοιχ. (β΄) του ΓΚΠΔ: «η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων».
Επίσης, επεξεργασίες ευαίσθητων δεδομένων των εργαζομένων στον τομέα παροχής υπηρεσιών υγείας δύνανται να θεμελιωθούν και στη διάταξη του άρθρου 9 παρ. 2 στοιχ. (η΄) του ΓΚΠΔ, εφόσον πρόκειται για επεξεργασίες απαραίτητες για την πλήρωση σκοπών προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών.
Επιπλέον, επεξεργασίες ευαίσθητων δεδομένων των εργαζομένων στον τομέα παροχής υπηρεσιών υγείας δύνανται να θεμελιωθούν και στη διάταξη του άρθρου 9 παρ. 2 στοιχ. (η΄) του ΓΚΠΔ, εφόσον πρόκειται για επεξεργασίες απαραίτητες για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
Εν κατακλείδι, οι επεξεργασίες ευαίσθητων δεδομένων των εργαζομένων στον τομέα παροχής υπηρεσιών υγείας δύνανται να θεμελιωθούν σε περισσότερες νομικές βάσεις μεταξύ εκείνων που αναφέρονται στο άρθρο 9 παρ. 2 του ΓΚΠΔ (είτε σε μία από αυτές που προαναφέρθηκαν είτε σε κάποια άλλη), χωρίς να απαιτείται οπωσδήποτε η συγκατάθεση καθενός εξ αυτών, ως υποκειμένου των δεδομένων.
Η συγκατάθεση του εργαζομένου για την επεξεργασία ευαίσθητων δεδομένων του στον τομέα παροχής υπηρεσιών υγείας – υπό τους όρους του άρθρου 9 παρ. 2 στοιχ. (α΄) του ΓΚΠΔ – απαιτείται μόνο στην περίπτωση που δεν δύναται να θεμελιωθεί η επεξεργασία των κρίσιμων ευαίσθητων δεδομένων σε οποιαδήποτε άλλη από τις νομικές βάσεις του άρθρου 9 παρ. 2 του ΓΚΠΔ.
Δικαιούται ένας ασθενής να λάβει αντίγραφα του ιατρικού του φακέλου από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας;
Κάθε ασθενής, ως υποκείμενο δεδομένων προσωπικού χαρακτήρα, έχει δικαίωμα να λαμβάνει γνώση του ιατρικού του φακέλου και να λαμβάνει, επίσης, αντίγραφα αυτού και, αντίστοιχα, ο φορέας παροχής υπηρεσιών υγείας, ως υπεύθυνος επεξεργασίας, υποχρεούται να ικανοποιήσει το δικαίωμά του αυτό, σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 15 του ΓΚΠΔ.
Η λήψη από ασθενή αντιγράφων του ιατρικού του φακέλου συνιστά σαφώς άσκηση του δικαιώματος πρόσβασης του υποκειμένου, σύμφωνα με το άρθρο 15 του ΓΚΠΔ (Βλ. επιπλέον και το άρθρο 14 παρ. 8 του Ν. 3418/2005, Κώδικας Ιατρικής Δεοντολογίας). Βλ. ανωτέρω για το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων.
Δικαιούται ασθενής, ως υποκείμενο δεδομένων, να ζητήσει από φορέα παροχής υπηρεσιών υγείας να διαγράψει τον ιατρικό του φάκελο από τα αρχεία του;
Καταρχάς, ισχύουν οι διατάξεις του άρθρου 14 παρ. 4 του Ν. 3418/2005, Κώδικας Ιατρικής Δεοντολογίας: «4. Η υποχρέωση διατήρησης των ιατρικών αρχείων ισχύει: α) στα ιδιωτικά ιατρεία και τις λοιπές μονάδες πρωτοβάθμιας φροντίδας υγείας του ιδιωτικού τομέα, για μία δεκαετία από την τελευταία επίσκεψη του ασθενή και β) σε κάθε άλλη περίπτωση, για μία εικοσαετία από την τελευταία επίσκεψη του ασθενή».
Ακολούθως, όπως προαναφέρθηκε, το δικαίωμα του υποκειμένου των δεδομένων «να λησμονηθεί» και το δικαίωμα διαγραφής των δεδομένων του (Δικαίωμα διαγραφής, «δικαίωμα στη λήθη» / Right to be forgotten), όπως κατοχυρώνεται στις διατάξεις του άρθρου 17 του ΓΚΠΔ, δεν εφαρμόζεται στην επεξεργασία δεδομένων στον τομέα της παροχής υπηρεσιών υγείας, λαμβανομένων υπόψη των διατάξεων της παρ. 3 του άρθρου αυτού.
Δικαιούται φορέας παροχής υπηρεσιών υγείας, ως υπεύθυνος επεξεργασίας, να χορηγήσει αντίγραφα του ιατρικού φακέλου ασθενούς, που έχει αποβιώσει, σε τρίτο;
Όπως προαναφέρθηκε, υποκείμενο δεδομένων προσωπικού χαρακτήρα, κατά το άρθρο 4 του ΓΚΠΔ, μπορεί να είναι μόνο ζων φυσικό πρόσωπο. Συνεπώς, εξαιρούνται του προστατευτικού πεδίου εφαρμογής των ρυθμίσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα οι θανόντες.
Αίτημα για χορήγηση από φορέα παροχής υπηρεσιών υγείας αντιγράφων ιατρικού φακέλου ασθενούς, που έχει αποβιώσει, σε τρίτο (είτε αυτός είναι συγγενής του αποβιώσαντος ασθενούς είτε οποιοσδήποτε άλλος τρίτος), θα κριθεί στη βάση της επίκλησης και απόδειξης ειδικού εννόμου συμφέροντος και της εφαρμογής των διατάξεων του Ν. 3418/2005, Κώδικας Ιατρικής Δεοντολογίας (Βλ. ιδίως άρθρα 13 παρ. 6 και 14 παρ. 8 του Ν. 3418/2005).
Δεν απαιτείται η επίκληση και απόδειξη ειδικού εννόμου συμφέροντος του τρίτου, όταν ο φορέας παροχής υπηρεσιών υγείας υποχρεούται να διαβιβάσει στον τρίτο βάσει δικαστικής απόφασης (πχ. απόφαση ασφαλιστικών μέτρων). Ούτε στις περιπτώσεις, όπου ο φορέας παροχής υπηρεσιών υγείας υποχρεούται να διαβιβάσει σε δημόσιες αρχές ή σε δικαστικές αρχές αντίστοιχα, στο πλαίσιο διενέργειας προκαταρκτικής εξέτασης, προανάκρισης ή τακτικής ανάκρισης, σύμφωνα με όσα έχουν εκτεθεί ανωτέρω.
Δικαιούται τρίτος να λάβει από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, αντίγραφα ιατρικού φακέλου ασθενούς;
Η διαβίβαση σε τρίτο από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, συνιστά επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, σχετικών ειδικότερα με την υγεία του υποκειμένου τους, υπό την έννοια των άρθρων 4 και 9 παρ. 2 του ΓΚΠΔ. Συνεπώς, για τη νομιμότητά της απαιτούνται σωρευτικά (όπως για κάθε άλλη επεξεργασία δεδομένων προσωπικού χαρακτήρα) καταρχήν: (α) η ύπαρξη ενός νόμιμου, καθορισμένου και σαφή σκοπού επεξεργασίας, (β) η συνδρομή μίας τουλάχιστον από τις νομικές βάσεις, που αναφέρονται στο άρθρο 9 παρ. 2 του ΓΚΠΔ για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (ευαίσθητα δεδομένα) και (γ) η διασφάλιση της τήρησης όλων των θεμελιωδών αρχών, που διέπουν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα. Απαιτείται, επιπλέον, ο φορέας παροχής υπηρεσιών υγείας, ως υπεύθυνος επεξεργασίας, να ενημερώσει το υποκείμενο των δεδομένων για τη σκοπούμενη διαβίβαση και να του θέσει εύλογη προθεσμία, προκειμένου να είναι σε θέση να προβάλει ενδεχομένως αντιρρήσεις για τη διαβίβαση αυτή.
Δικαιούται συγγενής ασθενούς να λάβει από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, αποτελέσματα εξετάσεων του ασθενούς, εφόσον αυτός δεν είναι σε θέση να τα παραλάβει ο ίδιος;
Μπορεί να θεμελιωθεί η νομιμότητα της επεξεργασίας αυτής (διαβίβασης) σε δύο τουλάχιστον νομικές βάσεις, που περιλαμβάνονται στο άρθρο 9 παρ. 2 του ΓΚΠΔ: (1) εφόσον πρόκειται για επεξεργασία που είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί (άρθρο 9 παρ. 2 στοιχ. (γ΄) του ΓΚΠΔ) και (2) εφόσον πρόκειται για επεξεργασία που είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα (άρθρο 9 παρ. 2 στοιχ. (στ΄) του ΓΚΠΔ).
Εννοείται ότι εφόσον ο ασθενής, που δεν είναι σε θέση να παραλάβει ο ίδιος τα αποτελέσματα των εξετάσεών του (πχ. διότι αναρρώνει), έχει εξουσιοδοτήσει νομίμως συγκεκριμένο συγγενή του να τα παραλάβει στο όνομα και για λογαριασμό του, αυτός ο νομίμως εξουσιοδοτημένος συγγενής του ασθενούς ταυτίζεται με το υποκείμενο των δεδομένων και ασκεί το δικαίωμα πρόσβασης στο όνομα και για λογαριασμό του, σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 15 του ΓΚΠΔ.
Δικαιούται τρίτος να λάβει από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, αντίγραφα ιατρικού φακέλου ασθενούς στη βάση εισαγγελικής παραγγελίας;
Η διαβίβαση σε τρίτο από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, συνιστά επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, σχετικών ειδικότερα με την υγεία του υποκειμένου τους, υπό την έννοια των άρθρων 4 και 9 παρ. 2 του ΓΚΠΔ. Συνεπώς, για τη νομιμότητά της απαιτούνται σωρευτικά (όπως για κάθε άλλη επεξεργασία δεδομένων προσωπικού χαρακτήρα) καταρχήν: (α) η ύπαρξη ενός νόμιμου, καθορισμένου και σαφή σκοπού επεξεργασίας, (β) η συνδρομή μίας τουλάχιστον από τις νομικές βάσεις, που αναφέρονται στο άρθρο 9 παρ. 2 του ΓΚΠΔ για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (ευαίσθητα δεδομένα) και (γ) η διασφάλιση της τήρησης όλων των θεμελιωδών αρχών, που διέπουν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Απαιτείται, επιπλέον, ο φορέας παροχής υπηρεσιών υγείας, ως υπεύθυνος επεξεργασίας, να ενημερώσει το υποκείμενο των δεδομένων για τη σκοπούμενη διαβίβαση και να του θέσει εύλογη προθεσμία, προκειμένου να είναι σε θέση να προβάλει ενδεχομένως αντιρρήσεις για τη διαβίβαση αυτή.
Ως προς την εισαγγελική παραγγελία, η ΑΠΔΠΧ έχει κατ’ επανάληψη κρίνει ότι αυτή δεν δεσμεύει το φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, ως προς τη διαβίβαση. Ο φορέας παροχής υπηρεσιών υγείας, ως υπεύθυνος επεξεργασίας, οφείλει σε κάθε περίπτωση να εξετάζει τη συνδρομή των προαναφερόμενων προϋποθέσεων για τη νομιμότητα της διαβίβασης στον αιτούντα τρίτο. Εάν κρίνει ότι τα ζητηθέντα δεδομένα προσωπικού χαρακτήρα για οποιονδήποτε νόμιμο λόγο δεν επιτρέπεται να διαβιβαστούν στον αιτούντα τρίτο, οφείλει να απορρίπτει αιτιολογημένα τη σχετική αίτηση, κονιοποιώντας την απορριπτική αυτή απάντηση και στην εισαγγελία που είχε εκδώσει τη σχετική παραγγελία.
Δικαιούται δικηγόρος να λάβει από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, δεδομένα προσωπικού χαρακτήρα εντολέα του;
Το πρόσωπο, που είναι νόμιμα εξουσιοδοτημένο από το υποκείμενο των δεδομένων, ταυτίζεται με το υποκείμενο των δεδομένων και δύναται να ασκήσει το δικαίωμα πρόσβασης, κατά το άρθρο 15 του ΓΚΠΔ, στο όνομα και για λογαριασμό του υποκειμένου.
Τα προαναφερόμενα ισχύουν και για τον πληρεξούσιο δικηγόρο του υποκειμένου των δεδομένων, αρκεί να είναι νόμιμα εξουσιοδοτημένος από το υποκείμενο, βάσει είτε πληρεξούσιου εγγράφου είτε έγγραφης εξουσιοδότησης θεωρημένης από δημόσια αρχή για το γνήσιο της υπογραφής του υποκειμένου των δεδομένων. Αντίθετα, δεν επιτρέπεται η χορήγηση σε δικηγόρο δεδομένων προσωπικού χαρακτήρα – και, μάλιστα, ευαίσθητων – του υποκειμένου των δεδομένων στη βάση της απλής διαβεβαίωσης του δικηγόρου ότι του έχει δοθεί σχετικά νόμιμη προφορική εντολή από το υποκείμενο σύμφωνα με τις σχετικές διατάξεις του Ν.4194/2013 (Κώδικας περί Δικηγόρων).
Δικαιούται φορέας παροχής υπηρεσιών υγείας να παράσχει τηλεφωνικά πληροφορίες για την κατάσταση της υγείας ασθενούς (και, μάλιστα αποτελέσματα εξετάσεών του);
Όχι, η δυνατότητα παροχής πληροφοριών από τηλεφώνου σχετικά με την κατάσταση της υγείας ασθενούς πρέπει να αποκλειστεί, λόγω των κινδύνων που εγκυμονεί – πρωτίστως για τους ασθενείς, αλλά και τους φορείς παροχής υπηρεσιών υγείας, ως υπευθύνους επεξεργασίας – και, ειδικότερα, για τους ακόλουθους λόγους:
Καταρχάς, σύμφωνα και με τα οριζόμενα στο άρθρο 12 παρ. 1 του ΓΚΠΔ, ο κανόνας είναι ότι οι πληροφορίες παρέχονται στο υποκείμενο γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Συνεπώς, ο κανόνας είναι η έγγραφη ενημέρωση του υποκειμένου, κατά μείζονα λόγο σχετικά με ευαίσθητα δεδομένα του προσωπικού χαρακτήρα. Εφόσον ευαίσθητα δεδομένα του προσωπικού χαρακτήρα του αποστέλλονται ηλεκτρονικά (μέσω ηλεκτρονικού ταχυδρομείου), πρέπει να έχει συγκατατεθεί εκ των προτέρων εγγράφως και πρέπει τα εν λόγω ευαίσθητα δεδομένα του να του αποστέλλονται κρυπτογραφημένα (το δε κλειδί της αποκρυπτογράφησης πρέπει να του αποστέλλεται ξεχωριστά).
Το άρθρο 12 παρ. 1 του ΓΚΠΔ ορίζει ακόμα ότι : «‘Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα». Προϋποθέσεις εφαρμογής της διάταξης αυτής είναι: (1) το υποκείμενο των δεδομένων να έχει ζητήσει εγγράφως να του δίνονται προφορικά και από τηλεφώνου οι πληροφορίες, που το αφορούν, (2) να διασφαλίζεται η ταυτότητα του υποκειμένου κατά τη διάρκεια της τηλεφωνικής επικοινωνίας και (3) να μπορεί να αποδειχθεί (λόγω της αρχής της λογοδοσίας) ότι ο φορέας παροχής υπηρεσιών υγείας όντως ενημέρωσε πλήρως και προσηκόντως το υποκείμενο των δεδομένων. Είναι προφανής η δυσκολία να τηρηθούν οι δύο τελευταίες από τις προαναφερόμενες προϋποθέσεις.
Για τους λόγους αυτούς πρέπει να αποκλειστεί η δυνατότητα παροχής πληροφοριών από τηλεφώνου σε ασθενή σχετικά με την κατάσταση της υγείας του.
Κατά μείζονα λόγο πρέπει να αποκλειστεί η δυνατότητα παροχής πληροφοριών από τηλεφώνου σε τρίτους σχετικά με τη νοσηλεία ασθενούς ή την κατάσταση της υγείας αυτού.
Δικαιούται νοσηλευτικό ίδρυμα να αναρτά σε οθόνη, στον χώρο αναμονής, ορατά από όλους, τα ονοματεπώνυμα των εξεταζόμενων, την ώρα του ραντεβού τους και το ιατρείο, το οποίο επισκέπτονται;
Αυτού του τύπου η επεξεργασία απαγορεύεται απολύτως, εν όψει των διατάξεων του άρθρου 9 του ΓΚΠΔ, σε συνδυασμό με την επιταγή τήρησης των θεμελιωδών αρχών του άρθρου 5 του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα (ιδίως, των αρχών της ελαχιστοποίησης των δεδομένων και της ακεραιότητας και εμπιστευτικότητας των δεδομένων).
Η ανάρτηση αυτού του τύπου παραβιάζει κατάφωρα τις θεμελιώδεις αρχές της ελαχιστοποίησης των δεδομένων και της ακεραιότητας και εμπιστευτικότητας των δεδομένων, σε σχέση με τις κρίσιμες πληροφορίες των ενδιαφερομένων προσώπων, και, συνακόλουθα, τις διατάξεις του άρθρου 9 του ΓΚΠΔ. Πρόκειται, συνεπώς, για απολύτως παράνομη επεξεργασία.
Θα πρέπει ο εξεταζόμενος να ενημερώνεται για τη σειρά του μέσω της χρήσης ανωνυμοποιημένου κωδικού, ο οποίος θα του απονέμεται κατά το χρόνο που κλείνεται το ραντεβού και θα ισχύει μόνο για τις ανάγκες του ραντεβού αυτού.
Δικαιούται νοσηλευτικό ίδρυμα να αναρτά σε οθόνη, στον χώρο αναμονής, ορατά από όλους, αντί των ονοματεπωνύμων των εξεταζόμενων, τον ΑΜΚΑ τους ή τα αρχικά των ονοματεπωνύμων τους, την ώρα του ραντεβού τους και το ιατρείο, το οποίο επισκέπτονται;
Και αυτού του τύπου η επεξεργασία απαγορεύεται, εν όψει των διατάξεων του άρθρου 9 του ΓΚΠΔ, σε συνδυασμό με την επιταγή τήρησης των θεμελιωδών αρχών του άρθρου 5 του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα (ιδίως, των αρχών της ελαχιστοποίησης των δεδομένων και της ακεραιότητας και εμπιστευτικότητας των δεδομένων).
Η ανάρτηση του ΑΜΚΑ του εξεταζόμενου ή των αρχικών του ονοματεπωνύμου του δεν συνιστά μορφή ανωνυμοποίησης των δεδομένων. Συνεπώς, και η ανάρτηση αυτή απαγορεύεται, κατά τα προαναφερόμενα.
Μόνο η απονομή στον εξεταζόμενο ενός τυχαίου κωδικού, κατά το χρόνο που κλείνεται το ραντεβού, ο οποίος θα ισχύει μόνο για τις ανάγκες του ραντεβού αυτού, μπορεί να πληροί τα ενδεδειγμένα εχέγγυα ανωνυμοποίησης των δεδομένων.
Το Υπουργείο Υγείας έχει ήδη ζητήσει από την ΗΔΙΚΑ, ως εκτελούσα την επεξεργασία, να απονέμει έναν κωδικό αυτού του τύπου κατά τη χρήση της υπηρεσίας e-ραντεβού.
Δικαιούται φορέας παροχής υπηρεσιών υγείας, ως υπεύθυνος επεξεργασίας, να διαβιβάζει σε ασφαλιστική εταιρεία πληροφορίες σχετικά με την κατάσταση της υγείας ασθενούς;
(1) Εφόσον υπάρχει σύμβαση ασφάλισης μεταξύ ασθενούς και ασφαλιστικής εταιρείας, ο κανόνας είναι ότι ο ασθενής, ασκώντας το δικαίωμα πρόσβασης, λαμβάνει τα κρίσιμα ιατρικά δεδομένα του από το φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, και τα προσκομίζει, στη συνέχεια, στην ασφαλιστική εταιρεία, για λόγους που αφορούν τη μεταξύ τους σύμβαση.
(2) Η διαβίβαση σε ασφαλιστική εταιρεία, ως τρίτη, από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, συνιστά επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, σχετικών ειδικότερα με την υγεία του υποκειμένου τους, υπό την έννοια των άρθρων 4 και 9 παρ. 2 του ΓΚΠΔ. Συνεπώς, για τη νομιμότητά της απαιτούνται σωρευτικά (όπως για κάθε άλλη επεξεργασία δεδομένων προσωπικού χαρακτήρα) καταρχήν: (α) η ύπαρξη ενός νόμιμου, καθορισμένου και σαφή σκοπού επεξεργασίας, (β) η συνδρομή μίας τουλάχιστον από τις νομικές βάσεις, που αναφέρονται στο άρθρο 9 παρ. 2 του ΓΚΠΔ για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (ευαίσθητα δεδομένα) και (γ) η διασφάλιση της τήρησης όλων των θεμελιωδών αρχών, που διέπουν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η πλέον συνηθισμένη νομική βάση για τη διαβίβαση σε ασφαλιστική εταιρεία, ως τρίτη, από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, ευαίσθητων δεδομένων προσωπικού χαρακτήρα, σχετικών ειδικότερα με την υγεία του υποκειμένου τους, είναι εκείνη του άρθρου 9 παρ. 2 στοιχ. (στ΄) του ΓΚΠΔ: «επεξεργασία [που είναι] είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα» (όταν πχ. η ασφαλιστική εταιρεία βρίσκεται σε αντιδικία με τον ασφαλισμένο σε αυτή ασθενή και επικαλείται τη συνδρομή ειδικού εννόμου συμφέροντος για τη διαβίβαση των κρίσιμων δεδομένων του).
Για τη νομιμότητα της διαβίβασης σε ασφαλιστική εταιρεία, ως τρίτης, από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, απαιτείται και η προηγούμενη ενημέρωση του ενδιαφερομένου ασθενούς, ως υποκειμένου των δεδομένων, και η θέση σε αυτόν ευλόγου προθεσμίας για την ενδεχόμενη υποβολή αντιρρήσεων για τη διαβίβαση.
(3) Ο ασθενής δύναται να παράσχει ειδική, ρητή (έγγραφη), και ελεύθερη εξουσιοδότηση στο φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, για τη διαβίβαση στην ασφαλιστική εταιρεία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, σχετικών ειδικότερα με την υγεία του. Νομική βάση για τη διαβίβαση στην ασφαλιστική εταιρεία των εν λόγω ευαίσθητων δεδομένων του είναι τότε η συγκατάθεση του υποκειμένου των δεδομένων (του ασθενούς), κατά το άρθρο 9 παρ. 2 στοιχ. (α΄) του ΓΚΠΔ: «το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων».
Επίσης, ο ασθενής δύναται να παράσχει ειδική, ρητή (έγγραφη) και ελεύθερη εξουσιοδότηση στην ασφαλιστική εταιρεία για τη λήψη από αυτή, στο όνομα και για λογαριασμό του, από φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, ευαίσθητων δεδομένων προσωπικού χαρακτήρα, σχετικών ειδικότερα με την υγεία του. Νομική βάση για τη λήψη από την ασφαλιστική εταιρεία, στο όνομα και για λογαριασμό του ασθενούς, των εν λόγω ευαίσθητων δεδομένων του είναι και τότε η συγκατάθεση του υποκειμένου των δεδομένων (του ασθενούς), κατά το άρθρο 9 παρ. 2 στοιχ. (α΄) του ΓΚΠΔ, σε συνδυασμό με τις διατάξεις του άρθρου 15 του ΓΚΠΔ.
Στις περιπτώσεις αυτές πρέπει επιπλέον να τηρούνται οι όροι και οι προϋποθέσεις της συγκατάθεσης του υποκειμένου, σύμφωνα με τα οριζόμενα στο άρθρο 4 στοιχ. (11) του ΓΚΠΔ : ««συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν».
Δεν πληροί την έννοια της ειδικής, ρητής (έγγραφης) και ελεύθερης συγκατάθεσης του υποκειμένου των δεδομένων, κατά τα προαναφερόμενα, όρος της ασφαλιστικής σύμβασης, ο οποίος παρέχει (εν είδει, μάλιστα, «λευκής εξουσιοδότησης») στην ασφαλιστική εταιρεία τη δυνατότητα να συλλέγει οποτεδήποτε και από οποιοδήποτε νοσηλευτικό ίδρυμα ευαίσθητα δεδομένα του υποκειμένου – ασφαλισμένου της, προκειμένου να τον αποζημιώσει. Σε περίπτωση επίκλησης όρου τέτοιου τύπου από ασφαλιστική εταιρεία, δεν μπορεί να θεμελιωθεί νόμιμη συλλογή από αυτή των κρίσιμων ευαίσθητων δεδομένων του υποκειμένου τους στη βάση της συγκατάθεσης αυτού. Οπότε, η διαβίβαση των δεδομένων στην ασφαλιστική εταιρεία δύναται τότε να διενεργηθεί υπό τα ανωτέρω (1) και (2).
Μπορεί ένα νοσηλευτικό ίδρυμα να αποστείλει ιατρικές εξετάσεις ασθενούς και αποτελέσματά τους σε άλλα νοσηλευτικά ιδρύματα, στη λογική λήψης «δεύτερης γνώμης» και με ποιο τρόπο;
Εφόσον απαιτείται, είναι δυνατή η αποστολή από νοσηλευτικό ίδρυμα, ως υπεύθυνο επεξεργασίας, ιατρικών εξετάσεων ασθενούς και των αποτελεσμάτων τους σε άλλα νοσηλευτικά ιδρύματα, για την εκ νέου αξιολόγησή τους, εφόσον η επεξεργασία αυτή (διαβίβαση) δύναται να θεμελιωθεί σε οποιαδήποτε από τις αναφερόμενες στο άρθρο 9 παρ. 2 του ΓΚΠΔ νομικές βάσεις. Εφόσον πρόκειται ιδίως για επεξεργασία απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής ή ιατρικής διάγνωσης, η διαβίβαση αυτή δύναται να θεμελιωθεί στη διάταξη του άρθρου 9 παρ. 2 στοιχ. (η΄) του ΓΚΠΔ. Σε κάθε περίπτωση, το πρώτο νοσηλευτικό ίδρυμα, ως υπεύθυνος επεξεργασίας, οφείλει να ενημερώσει προηγουμένως τον ασθενή για τους αποδέκτες των δεδομένων του.
Όσον αφορά ειδικότερα τον τρόπο της διαβίβασης, θα πρέπει να διασφαλίζεται η τήρηση της αρχής της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, με τη λήψη όλων των ενδεδειγμένων μέτρων για τη διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας. Εφόσον η διαβίβαση γίνεται ηλεκτρονικά, θα πρέπει να διενεργείται στη βάση ψευδωνυμοποίησης και κρυπτογράφησης.
Εάν η διαβίβαση γίνεται μέσω εταιρειών – παρόχων υπηρεσιών αποστολής (κούριερ), θα πρέπει και πάλι να διασφαλίζονται τα προαναφερόμενα, με την πρόσθετη επισήμανση ότι οι εν λόγω εταιρείες, σε κάθε περίπτωση, δεν θα πρέπει να έχουν πρόσβαση στα δεδομένα των ασθενών.
Έχουν υποχρέωση τα νοσηλευτικά ιδρύματα ή άλλοι φορείς παροχής υπηρεσιών υγείας να διαθέτουν τα δεδομένα αγορών και αναλώσεων φαρμάκων σε εταιρείες στατιστικής ανάλυσης και μελετών;
Τα δεδομένα αγορών και αναλώσεων φαρμάκων, εφόσον είναι απολύτως ανωνυμοποιημένα, δύνανται ενδεχομένως να χορηγηθούν, πχ. στη βάση των διατάξεων για τη διάθεση ανοικτών δεδομένων, εφόσον υποστηρίζουν ήδη τη διαδικασία ανωνυμοποίησης και ανάρτησης στο διαδίκτυο των δεδομένων αυτών.
Προκειμένου να υπάρχει διασφάλιση της πλήρους ανωνυμοποίησης των δεδομένων αυτών και για λόγους ελέγχου της νομιμότητας και ομοιόμορφης αντιμετώπισης των αιτημάτων διάθεσης των δεδομένων αυτών, πρέπει τα αιτήματα των ενδιαφερομένων εταιρειών να υποβάλλονται / διαβιβάζονται στη Διεύθυνση Ηλεκτρονικής Διακυβέρνησης του Υπουργείου Υγείας (doap@moh.gov.gr ). Η ιδανική λύση θα ήταν να διατίθενται τα δεδομένα αυτά μέσω του ΒΙ του Υπουργείου Υγείας.
Σε κάθε περίπτωση, δεν επιτρέπεται η παροχή πρόσβασης στις εταιρείες αυτές σε οποιαδήποτε βαθμίδα του πληροφοριακού συστήματος νοσηλευτικού ιδρύματος ή άλλου φορέα παροχής υπηρεσιών υγείας για τη διενέργεια της σχετικής άντλησης των ζητηθέντων δεδομένων.
Επιτρέπεται η χρήση καμερών σε εξωτερικούς ή εσωτερικούς χώρους νοσηλευτικού ιδρύματος;
Εάν επιτρέπεται η καταγραφή σε μορφή video, για πόσο χρονικό διάστημα μπορεί να φυλάσσεται το υλικό;
Η εγκατάσταση και λειτουργία κλειστού κυκλώματος τηλεόρασης σε νοσηλευτικά ιδρύματα είναι νόμιμη για το σκοπό της ασφάλειας προσώπων και αγαθών, σε χώρους όπου καταρχήν δεν μπορεί να έχει πρόσβαση ένας επισκέπτης ή ασθενής (Πρβλ. την Οδηγίας της ΑΠΔΠΧ 1/2011, άρθρο 20 παρ. 1).
Μετά τη θέση σε εφαρμογή του ΓΚΠΔ, έχει καταργηθεί η υποχρέωση γνωστοποίησης σύστασης και λειτουργίας συστήματος αρχειοθέτησης (Πρβλ. αρχείου) και λήψης άδειας, εφόσον οι σχετικές επεξεργασίες διενεργούνται σε ευαίσθητα δεδομένα προσωπικού χαρακτήρα. Ωστόσο, απαιτείται η τήρηση του συνόλου των σχετικών επιταγών του ΓΚΠΔ (ιδίως, η διενέργεια μελέτης αντικτύπου).
Η Οδηγία της ΑΠΔΠΧ 1/2011 (άρθρο 20 παρ. 2 στοιχ. (στ΄) επέτρεπε την τήρηση των δεδομένων έως σαράντα οκτώ (48) ώρες το πολύ, με σκοπό «τη διερεύνηση συμβάντων υγείας από αρμόδιο ιατρικό προσωπικό».
Οι Οδηγίες της ΑΠΔΠΧ, που εκδόθηκαν υπό το καθεστώς του Ν. 2472/1997, ο οποίος καταργήθηκε με τη θέση σε εφαρμογή του ΓΚΠΔ, εξακολουθούν να ισχύουν, στο μέτρο που οι διατάξεις τους συνάδουν προς τις διατάξεις του ΓΚΠΔ.
Παραθέτουμε εδώ το σχετικό άρθρο 20 – σχετικά με Νοσοκομεία, κλινικές, ιατρεία, φυσικοθεραπευτήρια, διαγνωστικά κέντρα – της Οδηγίας της ΑΠΔΠΧ 1/2011:
«Η λειτουργία συστήματος βιντεοεπιτήρησης σε νοσοκομεία, κλινικές, ιατρεία και λοιπούς χώρους όπου παρέχονται υπηρεσίες υγείας για τον σκοπό της ασφάλειας προσώπων και αγαθών πρέπει να περιορίζεται αποκλειστικά στα σημεία εισόδου και εξόδου, στους χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων (π.χ. ηλεκτρομηχανολογικές εγκαταστάσεις, αποθήκες ιατροφαρμακευτικού υλικού κλπ) όπου, κατ’ αρχήν, δεν μπορεί να έχει πρόσβαση ένας επισκέπτης ή ασθενής. Οι κάμερες δεν επιτρέπεται σε καμία περίπτωση να ελέγχουν την κίνηση στις αίθουσες αναμονής, τα κυλικεία και τους χώρους εστίασης, τους διαδρόμους του νοσοκομείου, τους θαλάμους ασθενών, τους θαλάμους εξέτασης ή ιατρικών επεμβάσεων, τις τουαλέτες και τα λουτρά, τα γραφεία ιατρών και τους χώρους εργασίας του λοιπού ιατρικού και νοσηλευτικού προσωπικού.
2. Εγκατάσταση συστημάτων βιντεοεπιτήρησης με σκοπό την παροχή υπηρεσιών υγείας μπορεί να πραγματοποιείται υπό προϋποθέσεις μόνο από νοσηλευτικά ιδρύματα, ψυχιατρικά ιδρύματα, ιδρύματα περίθαλψης ατόμων με αναπηρίες και παρόμοιους φορείς παροχής υπηρεσιών υγείας.
Χαρακτηριστικές περιπτώσεις λειτουργίας συστημάτων βιντεοεπιτήρησης για τον παραπάνω σκοπό είναι η επιτήρηση βαριά ψυχικά ή νοητικά ασθενούς που μπορεί να προκαλέσει βλάβη στην υγεία του ή σε τρίτους ή η επιτήρηση ασθενών σε Μονάδες Εντατικής Θεραπείας.
Ο υπεύθυνος επεξεργασίας οφείλει:
α.. Να έχει λάβει την άδεια της Αρχής για την επεξεργασία ευαίσθητων δεδομένων με σκοπό την παροχή υπηρεσιών υγείας. Στην άδεια αυτή πρέπει να περιλαμβάνονται και τα δεδομένα που λαμβάνονται από το σύστημα βιντεοεπιτήρησης.
β. Η εγκατάσταση των καμερών να περιορίζεται αποκλειστικά στους χώρους όπου αυτό είναι απαραίτητο για την προστασία της ζωής και της υγείας των ασθενών.
γ. Η ανάγκη χρήσης καμερών για το σκοπό της παροχής υπηρεσιών υγείας πρέπει να τεκμηριώνεται από επιτροπή αποτελούμενη από αρμόδιο ιατρικό και νοσηλευτικό προσωπικό, η οποία θα αποφασίσει για τους χώρους τοποθέτησης των καμερών και την εμβέλειά τους. Η σχετική απόφαση πρέπει να αναθεωρείται τακτικά και όχι αργότερα από ένα έτος.
δ. Η μονάδα ελέγχου του κυκλώματος να εγκαθίσταται σε απομονωμένο χώρο, πρόσβαση στον οποίο θα μπορούν να έχουν μόνο τα εξουσιοδοτημένα πρόσωπα του ιατρικού/νοσηλευτικού προσωπικού που ασχολούνται με την παρακολούθηση των ασθενών. Σε περίπτωση που ο ίδιος φορέας χρησιμοποιεί σύστημα βιντεοεπιτήρησης και για σκοπούς προστασίας προσώπων ή αγαθών, οι μονάδες ελέγχου πρέπει να είναι διαχωρισμένες.
ε. Εκτός των πινακίδων που ενημερώνουν σχετικά με τη λειτουργία του συστήματος βιντεοεπιτήρησης πρέπει να παρέχεται και ξεχωριστή έγγραφη ενημέρωση στους νόμιμους πληρεξούσιους ή στους δικαστικούς συμπαραστάτες ή στους ασκούντες τη γονική μέριμνα των συγκεκριμένων ασθενών σχετικά με τη λειτουργία του συστήματος και τους λόγους τήρησης των δεδομένων.
στ. Καταγραφή των δεδομένων επιτρέπεται το πολύ για σαράντα οκτώ (48) ώρες με σκοπό τη διερεύνηση συμβάντων υγείας από αρμόδιο ιατρικό προσωπικό.
ζ. Σε περίπτωση που συγκεκριμένα δεδομένα που έχουν καταγραφεί για τον σκοπό παροχής υπηρεσιών υγείας απαιτείται να χρησιμοποιηθούν περαιτέρω για σκοπούς επιστημονικής έρευνας, είναι δυνατή η αποθήκευσή τους σε ξεχωριστό αρχείο αφού ανωνυμοποιηθούν (π.χ. με θόλωση του προσώπου του ασθενούς). Στην περίπτωση αυτή απαιτείται (α) έγκριση της αρμόδιας επιστημονικής επιτροπής του νοσοκομείου και (β) προηγούμενη συγκατάθεση του ασθενούς ή του νομίμου εκπροσώπου του».
Ποιοι φορείς παροχής υπηρεσιών υγείας οφείλουν να έχουν DPO; Υπάρχει η ίδια απαίτηση και σε επίπεδο ΥΠΕ και λοιπών εποπτευόμενων από το Υπουργείο Υγείας φορέων (ΕΟΦ, ΕΟΠΥΥ, ΙΦΕΤ, ΟΚΑΝΑ, ΚΕΘΕΑ, ΚΕΕΛΠΝΟ, ΕΟΜ, ΕΚΑΠΤΥ, ΕΚΑΠΥ, Ινστιτούτο Υγείας του Παιδιού, Ινστιτούτο Παστέρ, ΕΚΑΒ, ΕΚΕΑ, κτλ);
Ο ρόλος του DPO είναι υψίστης σημασίας για τη σωστή εφαρμογή του ΓΚΠΔ και την απαιτούμενη προετοιμασία και υποστήριξη του φορέα προς την κατεύθυνση αυτή.
Κρίσιμες για τον ορισμό DPO είναι, καταρχάς, οι διατάξεις του άρθρου 37 του ΓΚΠΔ:
«1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:
(α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
(β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
(γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10. (…)
3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους. (…)».
Λαμβάνοντας υπόψη τις προαναφερόμενες διατάξεις, το Υπουργείο Υγείας όρισε DPO, ο οποίος επίσης θα συνδράμει και θα συντονίζει τους DPO των εποπτευόμενων φορέων, όσον αφορά τις απαιτήσεις γενικής συμμόρφωσης προς τις διατάξεις του ΓΚΠΔ. Απαιτείται, συνεπώς, η συνεργασία των νομίμων εκπροσώπων και των DPO των εποπτευόμενων φορέων με τον DPO του Υπουργείου Υγείας, για το σκοπό της πλήρους συμμόρφωσης προς το ΓΚΠΔ και της ανάγκης ενιαίων και ομοιόμορφων λύσεων. Για τον ίδιο σκοπό, ο DPO του Υπουργείου Υγείας είναι στη διάθεση και των φορέων παροχής υπηρεσιών υγείας του ιδιωτικού τομέα, ιδίως μέσω των DPO τους και των συλλογικών τους οργάνων.
Ακολούθως, με βάση τις προαναφερόμενες διατάξεις, όλες οι νοσοκομειακές μονάδες (ανεξαρτήτως μεγέθους), οι ΥΠΕ και όλοι οι εποπτευόμενοι φορείς οφείλουν να ακολουθήσουν τις διαδικασίες για την απόδοση του ρόλου του DPO (καταρχάς, μέσω εσωτερικής πρόσκλησης και, στη συνέχεια, στην περίπτωση που αυτή χαρακτηρισθεί άγονη και μόνο τότε, μέσω διαγωνιστικής διαδικασίας προς τον ιδιωτικό τομέα). Εξαίρεση αποτελούν οι περιπτώσεις συνεργαζόμενων ή ενοποιημένων νοσοκομειακών μονάδων κοινής διοίκησης, όπου στην περίπτωση αυτή απαιτείται ο ορισμός ενός DPO στο σύνολο των νοσοκομειακών μονάδων. Ο DPO κάθε ΥΠΕ θα καλύπτει και τις ανάγκες συμμόρφωσης των μονάδων ΠΦΥ της αρμοδιότητας της ΥΠΕ.
Επαναλαμβάνουμε και εδώ ότι ο ορισμός DPO στηρίζεται στην αρχή της εθελοντικής ανάληψης καθηκόντων. Συνεπώς, από 01/09/2018, εφόσον δεν έχει ήδη οριστεί DPO στη βάση της εθελοντικής ανάληψης καθηκόντων, θα πρέπει να απευθυνθεί πρόσκληση εκδήλωσης ενδιαφέροντος προς το προσωπικό του φορέα για υποβολή υποψηφιότητας σχετικά με την ανάληψη καθηκόντων DPO και αναπληρωτή αυτού, οπότε ο DPO και ο αναπληρωτής αυτού θα επιλεγούν, μεταξύ ενδεχομένως περισσότερων υποψηφίων, μετά από μοριοδότηση και οπωσδήποτε στη βάση επαγγελματικών προσόντων και, ιδίως, στη βάση της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του ΓΚΠΔ (Βλ. άρθρο 37 παρ. 5 του ΓΚΠΔ).
Μόνο εφόσον δεν υπάρξει εκδήλωση ενδιαφέροντος από το προσωπικό του φορέα ή εφόσον δεν υπάρχουν στο προσωπικό πρόσωπα με τα απαιτούμενα εκ του νόμου προσόντα για την ανάληψη καθηκόντων DPO, θα γίνεται δημόσια πρόσκληση για την πλήρωση θέσης DPO στη βάση σύμβασης παροχής υπηρεσιών (Βλ. άρθρο 37 παρ. 6 του ΓΚΠΔ).
Με βάση τα προαναφερόμενα, με το πέρας της διαδικασίας για τον ορισμό DPO και αναπληρωτή αυτού, απαιτείται όπως κάθε εποπτευόμενος από το Υπουργείο Υγείας φορέας γνωστοποιήσει στο DPO του Υπουργείου Υγείας τα στοιχεία του DPO του και του αναπληρωτή αυτού. Συνιστάται όπως και οι φορείς παροχής υπηρεσιών υγείας του ιδιωτικού τομέα γνωστοποιούν στο DPO του Υπουργείου Υγείας τα στοιχεία του DPO τους και του αναπληρωτή αυτού, προκειμένου να διευκολύνεται η μεταξύ τους επικοινωνία για το σκοπό συμμόρφωσης προς τις διατάξεις του ΓΚΠΔ.
Με ποιους όρους και με ποιες προϋποθέσεις επιτρέπεται η ανάρτηση εγγράφων στο «Διαύγεια» από φορείς παροχής υπηρεσιών φροντίδας υγείας του Δημόσιου τομέα και ευρύτερα από εποπτευόμενους φορείς του Υπουργείου Υγείας;
Η ανάρτηση διοικητικών πράξεων στο «Πρόγραμμα Διαύγεια» διενεργείται με βάση τις διατάξεις του Ν. 3861/2010 για την ενίσχυση της διαφάνειας με την υποχρεωτική ανάρτηση νόμων και πράξεων των κυβερνητικών, διοικητικών και αυτοδιοικητικών οργάνων στο Διαδίκτυο «Πρόγραμμα Διαύγεια» κα., όπως αυτός ισχύει.
Έχει παρατηρηθεί πληθώρα προβλημάτων κατά την ανάρτηση διοικητικών πράξεων στο «Πρόγραμμα Διαύγεια» και από φορείς παροχής υπηρεσιών υγείας του Δημόσιου τομέα.
Πρέπει να υπογραμμιστεί, καταρχάς, ότι στις περιπτώσεις, στις οποίες οι διατάξεις του άρθρου 2 του Ν. 3861/2010 προβλέπουν την ανάρτηση διοικητικών πράξεων στο Πρόγραμμα Διαύγεια που περιέχουν δεδομένα προσωπικού χαρακτήρα, η επεξεργασία αυτή (ανάρτηση) προβλέπεται από διατάξεις νόμου και δεν εξαρτάται από τη συγκατάθεση του υποκειμένου των δεδομένων. Συνεπώς, η ανάρτηση επιτρέπεται να διενεργηθεί και χωρίς τη συγκατάθεσή ή παρά την άρνηση του υποκειμένου των δεδομένων (με εξαίρεση τις περιπτώσεις που ενδεχομένως γίνουν δεκτές αντιρρήσεις του υποκειμένου στη βάση ιδίως των διατάξεων του άρθρου 21 του ΓΚΠΔ).
Ακολούθως, οι συνήθεις και συστηματικές παραβιάσεις των διατάξεων για την προστασία του ατόμου από την επεξεργασία προσωπικών του δεδομένων από αναρτήσεις διοικητικών εγγράφων στο Πρόγραμμα Διαύγεια είναι ιδίως οι εξής:
(1) Καταρχάς, οι πράξεις, που αναρτώνται, πρέπει να είναι πράγματι αναρτητέες στο διαδίκτυο, σύμφωνα με τα οριζόμενα στο άρθρο 2 του Ν. 3861/2010. Δυστυχώς, συστηματικά αναρτώνται πράξεις, οι οποίες δεν είναι αναρτητέες κατά το άρθρο 2 του Ν. 3861/2010 (για παράδειγμα, έχουν αναρτηθεί μέχρι πρακτικά πειθαρχικών συμβουλίων). Η ανάρτηση τέτοιων πράξεων, κατά παράβαση του άρθρου 2 του Ν. 3861/2010, συνιστά αυτόματα παραβίαση και των διατάξεων για την προστασία του ατόμου από την επεξεργασία προσωπικών του δεδομένων.
(2) Στη συνέχεια, αναρτώνται συστηματικά πράξεις που περιέχουν ευαίσθητα δεδομένα προσωπικού χαρακτήρα, υπό την έννοια των άρθρων 9 παρ. 1 και 10 του ΓΚΠΔ, κατά παράβαση της ρητής απαγόρευσης του άρθρου 5 παρ. 1 του Ν. 3861/2010.
(3) Περαιτέρω, αναρτώνται συστηματικά πράξεις, που περιέχουν μεν απλά και όχι ευαίσθητα δεδομένα προσωπικού χαρακτήρα, αλλά κατά παράβαση των θεμελιωδών αρχών, που πρέπει να διέπουν κάθε επεξεργασία δεδομένων, όπως αυτές ορίζονται πλέον στο άρθρο 5 του ΓΚΠΔ. Οι θεμελιώδεις αρχές, που παραβιάζονται περισσότερο, είναι η αρχή της ελαχιστοποίησης των δεδομένων και του περιορισμού της περιόδου αποθήκευσης, καθόσον δεν προβλέπεται σαφής χρονική διάρκεια της ανάρτησης, με αποτέλεσμα διοικητικές πράξεις, που περιέχουν προσωπικά δεδομένα, να παραμένουν αναρτημένες στο διαδίκτυο για αόριστο χρονικό διάστημα, γεγονός καταφανώς παράνομο και απαράδεκτο.
Η ΑΠΔΠΧ έχει, κατ’ επανάληψη, υπογραμμίσει στο παρελθόν ότι η ανάρτηση δεδομένων προσωπικού χαρακτήρα, όπως ο αριθμός φορολογικού μητρώου, ο αριθμός του Δελτίου Αστυνομικής Ταυτότητας, αλλά και ο IBAN τραπεζικού λογαριασμού, που περιέχονται στα χρηματικά εντάλματα πληρωμής ή σε άλλες διοικητικές πράξεις που αναρτώνται στο διαδίκτυο, παραβιάζει προδήλως την αρχή της αναλογικότητας (πλέον, αρχή της ελαχιστοποίησης των δεδομένων) και, για το λόγο αυτό, απαγορεύεται.
Προκειμένου να αποφεύγονται καταστρατηγήσεις και κατάφωρες παραβιάσεις των διατάξεων του ΓΚΠΔ θα ήταν καταρχήν σκόπιμο να προβλεφθεί η ανάρτηση περίληψης ή αποσπάσματος του περιεχομένου διοικητικών πράξεων και όχι το συνολικό τους περιεχόμενο. Κάτι τέτοιο δεν θα έπληττε την αρχή της διαφάνειας της δημόσιας διοίκησης, πόσο μάλλον που προβλέπεται πάντοτε η δυνατότητα χορήγησης διοικητικών εγγράφων σε φυσικά ή νομικά πρόσωπα, που επικαλούνται και αποδεικνύουν την ύπαρξη ειδικού εννόμους συμφέροντος. Μία τέτοια λύση επιβάλλεται ουσιαστικά και από τη νομολογία του Δικαστηρίου της ΕΕ (Βλ. ιδίως: ΔΕΕ, απόφαση της 16ης Δεκεμβρίου 2008, στην υπόθεση C-73/07, Satakunnan Markkinapörssi Oy, Satamedia Oy, ΔΕΕ, απόφαση της 29ης Ιουνίου 2010, στην υπόθεση C‑28/08 P, The Bavarian Lager Co. Ltd, ΔΕΕ, απόφαση της 9ης Νοεμβρίου 2010 στις συνεκδικαζόμενες υποθέσεις C-92/09 και C-93/09, Volker und Markus Schecke GbR, Hartmut Eifert κατά Land Hessen).