Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκου Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, Γενικός Κανονισμός για τη Προστασία Δεδομένων (ΓΚΠΔ) έχει τεθεί σε εφαρμογή στις 25 Μαΐου του 2018. Ο ΓΚΠΔ αντικαθιστά την Οδηγία 95/46/ΕΚ, οι διατάξεις της οποίας μεταφέρθηκαν στο Νόμο 138(Ι)/2001. Ο ΓΚΠΔ επιβάλλει υποχρεώσεις σχετικά με την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων.
Σύμφωνα με το Άρθρο 9 των Περί Ιατρικής Επαγγελματικής Δεοντολογίας Κανονισμών του 1991 (ΚΔΠ 100/91) που εκδόθηκαν βάση των Περί Ιατρών (Σύλλογοι, Πειθαρχία και Ταμείο Συντάξεων) Νόμων του 1967 και 1970, οι ιατροί σε κάθε περίπτωση δεσμεύονται από την υποχρέωση τήρησης ιατρικού απορρήτου (εμπιστευτικότητας) και όπως προνοείται «μόνο με τη γραπτή συγκατάθεση του αρρώστου ή του νόμιμου αντιπροσώπου του μπορεί ο ιατρός να αποκαλύψει τις πληροφορίες αυτές. Την ίδια υποχρέωση για τήρηση απόλυτης εχεμύθειας θα πρέπει ο ιατρός να μεταδώσει και στους βοηθούς του ή σε άτομα που προπαρασκευάζονται για το ιατρικό επάγγελμα».
Περαιτέρω, σύμφωνα με το Άρθρο 15(1) του Περί της Κατοχύρωσης και της Προστασίας των Δικαιωμάτων των Ασθενών Νόμος του 2004 (1(I)/2005) «(α) όλες οι πληροφορίες για την ιατρική κατάσταση του ασθενούς,… τηρούνται εμπιστευτικές ακόμα και μετά το θάνατό του…, (β) ο αρμόδιος παροχέας υπηρεσιών υγείας ή οποιοσδήποτε εργαζόμενος σε ιατρικό ίδρυμα δεν αποκαλύπτει οποιαδήποτε πληροφορία που αφορά ασθενή η οποία περιέρχεται σε γνώση του, κατά την εκτέλεση των καθηκόντων του ή της εργασίας του, (γ) η διεύθυνση του ιατρικού ιδρύματος ή ο αρμόδιος παροχέας υπηρεσιών υγείας προβαίνει στις κατάλληλες διευθετήσεις για να διασφαλιστεί ότι οι εργαζόμενοι κάτω από τη διεύθυνσή του δεν αποκαλύπτουν τέτοιες πληροφορίες». Το Άρθρο 15(2) του ιδίου Νόμου παρέχει πληροφορίες για το πότε μπορεί κάποιο ιατρικό ίδρυμα ή ο αρμόδιος παροχέας υπηρεσιών υγείας να αποκαλύπτουν σε τρίτο πρόσωπο ιατρικές πληροφορίες.
Η επεξεργασία των ειδικών κατηγοριών δεδομένων κατά κανόνα απαγορεύεται, εκτός εάν συντρέχουν οι προϋποθέσεις που ορίζει ο κανονισμός. Περιπτώσεις στις οποίες επιτρέπεται η επεξεργασία, οι οποίες τυγχάνουν εφαρμογής όταν διενεργείται επεξεργασία από επαγγελματίες υγείας, αποτελούν ενδεικτικά:
(α) η επεξεργασία που γίνεται με ρητή συγκατάθεση του υποκειμένου,
(β) η επεξεργασία που γίνεται για την προστασία των ζωτικών συμφερόντων του υποκειμένου ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί (Άρθρο 9(2)(γ) του Γενικού Κανονισμού για την Προστασία Δεδομένων),
(γ) η επεξεργασία που είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει της εφαρμοστέας νομοθεσίας ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας,
(δ) η επεξεργασία που είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων.
Δε χρειάζεται να συντρέχουν όλες οι ανωτέρω προϋποθέσεις, αρκεί μία από αυτές για να θεμελιωθεί η νόμιμη βάση της επεξεργασίας. Όταν ο ασθενής επισκέπτεται ένα ιατρείο για να λάβει ιατρικές υπηρεσίες, η νόμιμη βάση της επεξεργασίας έγκειται στο ότι η επεξεργασία είναι αναγκαία για σκοπούς ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας.
«Υπεύθυνος της επεξεργασίας»
Ο Υπεύθυνος της επεξεργασίας είναι το πρόσωπο το οποίο καθορίζει μεμονωμένα ή μαζί με άλλους, τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων στο πλαίσιο λειτουργίας του ιατρείου. Σε ένα ιδιωτικό ιατρείο ενός φυσικού προσώπου, ο Υπεύθυνος Επεξεργασίας είναι ο γιατρός.
Το Άρθρο 30 του Γενικού Κανονισμού προβλέπει την υποχρέωση του Υπεύθυνου Επεξεργασίας να τηρεί ένα αρχείο όπου καταγράφονται οι δραστηριότητες/διαδικασίες επεξεργασίας.
«Υπεύθυνος Προστασίας Δεδομένων»
Ο Υπεύθυνος Προστασίας Δεδομένων διορίζεται από τον Υπεύθυνο Επεξεργασίας και είναι αρμόδιος να επιβλέπει την εφαρμογή της στρατηγικής και των πολιτικών για την προστασία των δεδομένων ώστε να διασφαλίζεται η συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων. Ο ορισμός του Υπευθύνου Προστασίας Δεδομένων καθίσταται υποχρεωτικός σε κάποιες περιπτώσεις.
Ο Κανονισμός δεν ορίζει συγκεκριμένες διαδικασίες που θα πρέπει να ακολουθούνται για την ασφάλεια της προστασίας προσωπικών δεδομένων, όπως είναι εύλογο. Το ποια μέτρα είναι κατάλληλα, εξαρτάται από πολλούς παράγοντες και κυρίως από τον κίνδυνο που συνδέεται με κάθε επεξεργασία (ανάλογα με το είδος και το εύρος των δεδομένων), το σκοπό της επεξεργασίας κτλ.
Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας τηλεφωνικώς ή με email στο info@pirilides.com.
