1. Τι είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ/GDPR)
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation / GDPR, https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679) («Κανονισμός») περιλαμβάνει το νέο νομικό πλαίσιο για την προστασία δεδομένων.
Δημοσιεύθηκε στις 27 Απριλίου 2016 και τίθεται σε εφαρμογή από τις 25 Μαΐου 2018. Ο Κανονισμός έχει άμεση εφαρμογή σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης και δεν χρειάζεται τα τελευταία να ενσωματώσουν τις διατάξεις του στην εθνική νομοθεσία τους.
Στην Ελλάδα αναμένεται η ψήφιση νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα, το δε νομοσχέδιο είναι δημοσιευμένο στην διεύθυνση http://www.opengov.gr/ministryofjustice/wp-content/uploads/downloads/2018/02/sxedio_nomou_prostasia_pd.pdf. Με το νέο νόμο θα καταργηθεί ο ισχύον Νόμος 2472/1997 και θα τεθούν σε ισχύ διατάξεις που συμπληρώνουν τον Κανονισμό και εξειδικεύουν ορισμένες από τις υποχρεώσεις που θεσπίζει ο Κανονισμός.
2. Τι αλλαγές φέρνει ο Κανονισμός στο προηγούμενο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων;
Ο Κανονισμός εισάγει αρκετές αλλαγές στο προηγούμενο νομικό καθεστώς για την προστασία των φυσικών προσώπων αναφορικά με την επεξεργασία των προσωπικών δεδομένων τους και θεσπίζει αυξημένες υποχρεώσεις για οποιονδήποτε οργανισμό επεξεργάζεται προσωπικά δεδομένα.
Κατάργηση γνωστοποιήσεων / αδειών: Πλέον δεν απαιτείται προηγούμενη γνωστοποίηση της επεξεργασίας δεδομένων στην αρχή προστασίας δεδομένων ούτε είναι απαραίτητο να ληφθεί προηγούμενη άδεια της αρχής σε περιπτώσεις επεξεργασίας ευαίσθητων δεδομένων (ή «ειδικών κατηγοριών δεδομένων» σύμφωνα με τους όρο που χρησιμοποιείται στον Κανονισμό), όπως τα δεδομένα που αφορούν την υγεία.
Είναι όμως αναγκαίο να λαμβάνονται τα απαραίτητα μέτρα για την προστασία των δικαιωμάτων των ατόμων. Όσοι επεξεργάζονται προσωπικά δεδομένων θα πρέπει να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με το νέο νομικό πλαίσιο και να ενημερώνουν αντίστοιχα την αρμόδια αρχή και τα ενδιαφερόμενα πρόσωπα.
Αρχή της Λογοδοσίας: Ο Κανονισμός εισάγει την αρχή της «λογοδοσίας», που σημαίνει ότι όσοι επεξεργάζονται προσωπικά δεδομένα δεν αρκεί να συμμορφώνονται με τις υποχρεώσεις τους, αλλά πρέπει και να είναι σε θέση να αποδείξουν τη συμμόρφωσή τους.
Συγκεκριμένα, πρέπει να τηρούν επικαιροποιημένα αρχεία των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων καθώς και να εφαρμόζουν διαδικασίες που αντανακλούν όλες τις αρχές τις επεξεργασίας και αντιμετωπίζουν ορθά οποιαδήποτε αιτήματα προβάλλουν τα υποκείμενα των δεδομένων.
Όποιος επεξεργάζεται προσωπικά δεδομένα πρέπει να ορίζει και να καταγράφει τη νομική βάση και τον σκοπό της επεξεργασίας και να προάγει την διαφάνεια κάθε επεξεργασίας. Σε ορισμένες περιπτώσεις, όπως αναφέρεται κατωτέρω, εκείνοι που επεξεργάζονται προσωπικά δεδομένα χρειάζεται να διενεργούν Εκτιμήσεις Αντικτύπου σχετικά με την Προστασία Δεδομένων, όταν η επεξεργασία δεδομένων είναι υψηλού ρίσκου, και να διορίζουν, εφόσον απαιτείται, Υπεύθυνο Προστασίας Δεδομένων.
Αρχές Επεξεργασίας & Ενισχυμένα δικαιώματα των υποκειμένων:
Ο Κανονισμός ορίζει πλέον με σαφή τρόπο τις βασικές αρχές που πρέπει να τηρούνται σε κάθε επεξεργασία προσωπικών δεδομένων και ενισχύει τα δικαιώματα των επηρεαζόμενων προσώπων.
Επεξεργασία προσωπικών δεδομένων χωρεί μόνο όταν πληρούνται τα κριτήρια που θέτει η νομοθεσία για την προστασία των δεδομένων. Όποιος επεξεργάζεται προσωπικά δεδομένα οφείλει να τηρεί τις αρχές του Κανονισμού, όπως η ελαχιστοποίηση των δεδομένων, η ακρίβεια, η ακεραιότητα και η εμπιστευτικότητα των δεδομένων, κτλ.
Αυστηρότερες προϋποθέσεις για να είναι έγκυρη η συναίνεση: Όταν η επεξεργασία των δεδομένων βασίζεται στην συγκατάθεση του ατόμου, θα πρέπει να διασφαλίζεται, επιπλέον των κριτηρίων που είχαν τεθεί από το προηγούμενο νομικό πλαίσιο, ότι η συγκατάθεση είναι σαφής και λεπτομερής. Πριν συναινέσει πρέπει να έχει ενημερωθεί επαρκώς σχετικά με το ποιος θα επεξεργαστεί τα δεδομένα του και για ποιο σκοπό. Ειδικά για τα δεδομένα υγείας, όταν η επεξεργασία τους βασίζεται σε συγκατάθεση, πρέπει αυτή να είναι ρητή.
Νέα δικαιώματα: Στα υποκείμενα των δεδομένων παρέχονται περισσότερα δικαιώματα σε σχέση με το προηγούμενο καθεστώς (δικαίωμα διαγραφής – «δικαίωμα στη λήθη», δικαίωμα στη φορητότητα δεδομένων, κτλ.).
Προστασία Δεδομένων εκ του σχεδιασμού: Τα μέτρα για την προστασία των προσωπικών δεδομένων πρέπει να λαμβάνονται ήδη από τον σχεδιασμό των διαδικασιών και εξ ορισμού.
Συνεργασία με τρίτους για επεξεργασία δεδομένων: Όποιος επεξεργάζεται προσωπικά δεδομένα θα πρέπει να εφαρμόζει νέες προδιαγραφές στις συνεργασίες του με τρίτα μέρη, οι οποίοι ενδέχεται να ενεργούν ως υπεύθυνοι ή συνυπεύθυνοι της επεξεργασίας ή εκτελούντες την επεξεργασία.
Γνωστοποίηση παραβιάσεων: Σε περίπτωση διαπιστωμένης παραβίασης προσωπικών δεδομένων θα πρέπει να γίνεται γνωστοποίηση στην αρμόδια εποπτική αρχή με τον τρόπο και εντός της προθεσμίας που προβλέπεται από το νομικό πλαίσιο. Περισσότερες λεπτομέρειες για τις παραπάνω έννοιες (αρχές, δικαιώματα, τεχνικά και οργανωτικά μέτρα, υποχρεώσεις γνωστοποίησης παραβίασης προσωπικών δεδομένων) θα βρείτε στις επόμενες ενότητες.
Κίνδυνος μη συμμόρφωσης: Ο Κανονισμός αυξάνει σημαντικά τους κινδύνους εκ της μη συμμόρφωσης για τα φυσικά ή νομικά πρόσωπα που επεξεργάζονται δεδομένα. Τα πρόστιμα που προβλέπονται σε περίπτωση παραβίασης της νομοθεσίας για την προστασία των προσωπικών δεδομένων μπορούν να αγγίξουν τα 20 εκατομμύρια Ευρώ ή το 4% του ετήσιου παγκόσμιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο. Επιπρόσθετα, αυξάνονται οι ελεγκτικές αρμοδιότητες των αρχών για την προστασία των προσωπικών δεδομένων, οι οποίες μπορούν να διενεργούν ελέγχους και επιτόπιες εφόδους, πρόσβαση στα προσωπικά δεδομένα που αποτελούν αντικείμενο επεξεργασίας, κτλ.
3. Ποιά δεδομένα αποτελούν «ειδικές κατηγορίες δεδομένων»;
Η επεξεργασία ορισμένων κατηγοριών προσωπικών δεδομένων μπορεί να έχει σημαντικό αντίκτυπο στα δικαιώματα των ατόμων στην ιδιωτικότητα και, άρα, πρέπει να προστατεύονται με αυξημένα μέτρα ασφάλειας σε σχέση με άλλες κατηγορίες προσωπικών δεδομένων.
Ο Κανονισμός περιγράφει τα δεδομένα αυτά ως οποιαδήποτε δεδομένα που είναι σε θέση να αποκαλύψουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, τα γενετικά ή βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
Η επεξεργασία των εν λόγω δεδομένων κατά κανόνα απαγορεύεται, εκτός εάν συντρέχουν οι προϋποθέσεις που ορίζει ο κανονισμός (δείτε κατωτέρω, «Πότε επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων;»).
Δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή υπό την προϋπόθεση ότι η νομοθεσία προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Επομένως, δεν μπορούν να ζητούνται αδιακρίτως ποινικά μητρώα συνεργατών ή εργαζομένων, παρά μόνο ότι υπό προϋποθέσεις και συγκεκριμένους σκοπούς.
Θα πρέπει να δοθεί ιδιαίτερη προσοχή στο γεγονός ότι η νομική βάση της επεξεργασίας των ειδικών κατηγοριών δεδομένων διαφέρει από τη νομική βάση των μη ειδικών κατηγοριών.
4. Πότε επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων;
Η επεξεργασία ειδικών κατηγοριών δεδομένων επιτρέπεται υπό προϋποθέσεις. Περιπτώσεις στις οποίες επιτρέπεται η επεξεργασία των ειδικών κατηγοριών δεδομένων, οι οποίες τυγχάνουν εφαρμογής όταν διενεργείται επεξεργασία από επαγγελματίες υγείας, αποτελούν ενδεικτικά
(α) η επεξεργασία που γίνεται με ρητή συγκατάθεση του υποκειμένου,
(β) η επεξεργασία που γίνεται για την προστασία των ζωτικών συμφερόντων του υποκειμένου ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,
(γ) η επεξεργασία που είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει της εφαρμοστέας νομοθεσίας ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας,
(δ) η επεξεργασία που είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων.
Ο Κανονισμός προβλέπει και άλλες περιπτώσεις στις οποίες επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων, ωστόσο οι ανωτέρω είναι οι πιο συνήθεις νόμιμες βάσεις για την επεξεργασία δεδομένων ασθενών που διενεργείται από γιατρούς. Διευκρινίζεται ότι δε χρειάζεται να συντρέχουν όλες οι ανωτέρω προϋποθέσεις, αρκεί μία από αυτές για να θεμελιωθεί η νόμιμη βάση της επεξεργασίας.
5. Πώς εξασφαλίζεται έγκυρη συγκατάθεση για την επεξεργασία ειδικών κατηγοριών δεδομένων;
Ως συγκατάθεση του υποκειμένου των δεδομένων ορίζεται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Όταν ο ασθενής επισκέπτεται ένα ιατρείο για να λάβει ιατρικές υπηρεσίες (διάγνωση, θεραπεία κ.ο.κ.), η νόμιμη βάση της επεξεργασίας έγκειται στο ότι η επεξεργασία είναι αναγκαία για σκοπούς ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας.
Επομένως, δεν χρειάζεται να ζητείται κάθε φορά ειδική έγγραφη συναίνεση από κάθε ασθενή που αναζητά ιατρική συμβουλή ή ιατρικές υπηρεσίες από έναν ιδιώτη ιατρό. Εάν ο γιατρός θέλει να επεξεργαστεί τα δεδομένα και για άλλους σκοπούς, τότε πρέπει να ζητήσει τη ρητή συγκατάθεση του ασθενή του.
Η συμμετοχή ενός ασθενή σε μια κλινική μελέτη προϋποθέτει τη ρητή συγκατάθεσή του, αφού προηγουμένως λάβει σαφή και πλήρη ενημέρωση σχετικά με την επεξεργασία των προσωπικών του δεδομένων.
Σε περιπτώσεις όπου η επεξεργασία δεδομένων ειδικών κατηγοριών από επαγγελματίες υγείας βασίζεται στην συγκατάθεση και όχι σε άλλη νομική βάση που προβλέπει η νομοθεσία προστασίας προσωπικών δεδομένων (π.χ. διάγνωση, περίθαλψη, θεραπεία, προστασία ζωτικών συμφερόντων του υποκειμένου, διαφύλαξη δημοσίου συμφέροντος, κτλ.), θα πρέπει να εξασφαλίζεται η γραπτή συγκατάθεση των υποκειμένων των δεδομένων. Άλλωστε, η έγγραφη συγκατάθεση διαθέτει σαφή πλεονεκτήματα, καθώς είναι σαφής, ρητή και μπορεί να αποδειχθεί.
6. Πρέπει να τηρώ Αρχείο Δραστηριοτήτων Επεξεργασίας;
Το άρθρο 30 προβλέπει την υποχρέωση του Υπεύθυνου Επεξεργασίας να τηρεί ένα αρχείο όπου καταγράφονται οι δραστηριότητες επεξεργασίας για τις οποίες είναι υπεύθυνος. Το αρχείο πρέπει να περιλαμβάνει:
1. Όνομα και στοιχεία επικοινωνίας υπεύθυνου επεξεργασίας, εκπροσώπου και DPO (εάν έχει οριστεί)
2. Σκοπούς επεξεργασίας
3. Κατηγορίες υποκειμένων δεδομένων (π.χ. ασθενείς, εργαζόμενοι)
4. Κατηγορίες αποδεκτών στους οποίους γνωστοποιούνται τα δεδομένα
5. Διαβιβάσεις σε τρίτες χώρες ή διεθνείς οργανισμούς
6. Προβλεπόμενες προθεσμίες διαγραφής
7. Τεχνικά και οργανωτικά μέτρα ασφάλειας
Στην παράγραφο 5 προβλέπεται παρέκκλιση από αυτήν την υποχρέωση για επιχειρήσεις ή οργανισμούς που απασχολούν λιγότερο από 250 άτομα. Ωστόσο, η παρέκκλιση που προβλέπεται στο άρθρο 30 παράγραφος 5 δεν είναι απόλυτη.
Υπάρχουν τρεις τύποι επεξεργασίας στην οποία δεν εφαρμόζεται:
» Επεξεργασία που ενδέχεται να έχει ως αποτέλεσμα κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
» Επεξεργασία που δεν είναι περιστασιακή.
» Επεξεργασία που περιλαμβάνει ειδικές κατηγορίες δεδομένων ή προσωπικά δεδομένα που αφορούν σε ποινικές καταδίκες και αδικήματα.
Συνεπώς, όταν γίνεται επεξεργασία δεδομένων υγείας, που εμπίπτουν στην κατηγορία των ειδικών κατηγοριών δεδομένων, δεν ισχύει η παρέκκλιση. Επιβάλλεται η τήρηση αρχείου επεξεργασίας, ακόμη και εάν ο υπεύθυνος επεξεργασίας απασχολεί λιγότερα από 250 άτομα. Ωστόσο, οι οργανισμοί αυτοί πρέπει να τηρούν αρχεία επεξεργασίας μόνο για τις μορφές επεξεργασίας που αναφέρονται στο άρθρο 30 παράγραφος 5, όχι για κάθε επεξεργασία.
7. Τι σημαίνει παραβίαση δεδομένων προσωπικού χαρακτήρα;
Παραβίαση δεδομένων προσωπικού χαρακτήρα συντελείται όταν υπάρχει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, χωρίς άδεια γνωστοποίηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που αποτέλεσαν αντικείμενο επεξεργασίας. Η ασφάλεια των ειδικών κατηγοριών δεδομένων, στα οποία περιλαμβάνονται τα δεδομένα υγείας, είναι μέγιστης σημασίας για τα συμφέροντα των υποκειμένων.
Επομένως, είναι σημαντικό να λαμβάνεται υπ’ όψιν ότι η προστασία των δεδομένων δεν αφορά μόνο την προστασία της εμπιστευτικότητάς τους (αποτροπή διαρροής), αλλά και της ακεραιότητάς τους (αποτροπή της αλλοίωσής τους) και της διαθεσιμότητάς τους (αποτροπή απώλειας).
Ο τύπος παραβίασης που έχει συμβεί πρέπει να λαμβάνεται υπ’ όψιν για να προσδιοριστεί ο κίνδυνος που προκαλείται από αυτήν.
Παραβίαση Εμπιστευτικότητας: Μια παραβίαση εμπιστευτικότητας, με την οποία οι ιατρικές πληροφορίες έχουν αποκαλυφθεί σε μη εξουσιοδοτημένα μέρη, μπορεί να δημιουργεί κίνδυνο διακρίσεων σε βάρος των ασθενών στο κοινωνικό ή επαγγελματικό τους χώρο.
Παραβίαση Ακεραιότητας: Μια παραβίαση ακεραιότητας, όπου στοιχεία του ιστορικού ή των εξετάσεων ενός ασθενή έχουν αλλοιωθεί μπορεί να οδηγήσει σε εσφαλμένη διάγνωση ή θεραπεία με σοβαρούς κινδύνους για τη ζωή του.
Παραβίαση Διαθεσιμότητας: Στο πλαίσιο λειτουργίας ενός νοσοκομείου, εάν τα ιατρικά δεδομένα των ασθενών καταστούν μη διαθέσιμα, ακόμη και προσωρινά, αυτό θα μπορούσε να θέσει σε σοβαρό κίνδυνο την υγεία ασθενών.
Οι παραβιάσεις δεδομένων υγείας, εγγράφων ταυτότητας ή οικονομικών στοιχείων, όπως τα στοιχεία της πιστωτικής κάρτας, μπορούν να προκαλέσουν βλάβη μόνα τους, αλλά εάν χρησιμοποιηθούν μαζί θα μπορούσαν να χρησιμοποιηθούν για κλοπή ταυτότητας. Ο συνδυασμός προσωπικών δεδομένων είναι συνήθως πιο ευαίσθητος από μεμονωμένες πληροφορίες που συνιστούν προσωπικά δεδομένα.
Πηγη:http://www.healthreport.gr