Αγαπητοί συνάδελφοι,
Όπως ήδη γνωρίζετε, από αύριο τίθεται σε εφαρμογή ο Γενικός Κανονισμός Προστασίας Δεδομένων. Κρίναμε σκόπιμο να σας αποστείλουμε ένα συνοπτικό οδηγό των ελάχιστων υποχρεώσεων που απαιτούνται από τον γιατρό για την εφαρμογή του. Με τον ΓΚΠΔ ενισχύονται σημαντικά τα δικαιώματα των ασθενών σχετικά με τα προσωπικά τους δεδομένα και φυσικά αυξάνονται οι υποχρεώσεις μας ως υπεύθυνοι επεξεργασίας αυτών. Επιγραμματικά στο πλαίσιο της ομαλής προσαρμογής μας στον κανονισμό, στην καθημερινότητα των ιατρείων, πρέπει να γνωρίζεται:
- ΔΙΚΑΙΩΜΑΤΑ ΑΣΘΕΝΩΝ:
Οι ασθενείς αποκτούν δικαίωμα στην ενημέρωση, στην πρόσβαση, στην διόρθωση, στον περιορισμό, στην εναντίωση της επεξεργασίας, στη λήθη και στη φορητότητα των δεδομένων τους. Στο αίτημα του ασθενούς για οποιαδήποτε από τα παραπάνω, ο γιατρός, οφείλει να απαντήσει εντός 30 ημερών, είτε θετικά, είτε αρνητικά (αιτιολογημένα), δίδοντας εξηγήσεις για τους λόγους της καθυστέρησης.
- Ο ΓΙΑΤΡΟΣ ΤΗΡΕΙ ΑΡΧΕΙΟ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ: Σύμφωνα με το άρθρο 30 ο υπεύθυνος επεξεργασίας, ο γιατρός δηλαδή, πρέπει να τηρεί ΑΡΧΕΙΟ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ. Σκοπός της τήρησης του είναι να έχουμε τη δυνατότητα να λογοδοτήσουμε τεκμηριωμένα αν μας ζητηθεί, σε περίπτωση διαρροής των δεδομένων, για τις ενέργειες που εμείς έχουμε κάνει π.χ. καταγράφουμε, ημερομηνία, το όνομα και τις εξετάσεις που έχουμε ζητήσει, το αίτημα και την γραπτή συγκατάθεση ή εξουσιοδότηση του αν ο ίδιος επιθυμεί να το αποστείλουμε αλλού, ή ακόμα να διορθώσουμε ή και να διαγράψουμε οτιδήποτε. ΠΡΟΣΟΧΗ: το αρχείο δραστηριοτήτων επεξεργασίας καταγράφει διαδικασίες και δραστηριότητες ΔΕΝ είναι το ιατρικό αρχείο.
- ΓΝΩΜΑΤΕΥΣΕΙΣ – ΟΔΗΓΙΕΣ – ΑΠΟΤΕΛΕΣΜΑΤΑ ΕΞΕΤΑΣΕΩΝ ΣΕ ΤΡΙΤΟΥΣ: Για την κοινοποίηση – αποστολή γνωματεύσεων οδηγιών – αποτελεσμάτων ή και ενημέρωσης – σε τρίτους (ακόμα και άτομα της οικογένειας, εκτός κι αν πρόκειται για γονείς ανήλικων τέκνων ή ασκούντων την επιμέλεια αυτών) απαιτείται έγγραφη εξουσιοδότηση. Ειδικότερα σε περίπτωση που ο ασθενής σας αδυνατεί να παραλάβει αυτοπροσώπως τα αποτελέσματα του, συνίσταται να σας έχει υποδείξει (πάντα εγγράφως) εκ των προτέρων ποιο τρίτο εξουσιοδοτημένο φυσικό πρόσωπο θα τα παραλάβει για λογαριασμό του (π.χ. πατέρας, μητέρα, σύζυγος, τέκνο, φίλος κ.τ.λ). Στην ηλεκτρονική αποστολή ζητήστε από τον ασθενή σας ή τον αιτούντα να στείλει πρώτος ηλεκτρονικό μήνυμα με το αίτημα, ώστε να ακολουθεί η αποστολή σας ως απαντητικό μήνυμα.
- ΑΝΑΘΕΩΡΗΣΤΕ ΤΙΣ ΠΟΛΙΤΙΚΕΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ:
Μην αφήνετε ελεύθερους φακέλους ή εξετάσεις στο γραφείο σας ή στο εξεταστήριο (clean desc policy). Επιλέξτε λογισμικό στους υπολογιστές σας με αυξημένες ρυθμίσεις ασφαλείας και προστασίας (antivirus, firewall κτλ). Εφαρμόστε ρυθμίσεις υψηλής ασφάλειας και προστασίας καθώς και πρωτόκολλο ενεργειών ασφαλείας στα ήδη υπάρχοντα δεδομένα και λογισμικά. (π.χ., λήψη αντιγράφων ασφαλείας -back up-, προγράμματα κρυπτογράφησης, καταστροφέα εγγράφων, αρχείο που να ασφαλίζει αν διατηρείτε χειρόγραφους φακέλους κτλ). Αποφύγετε την χρήση λογισμικών ελεύθερης χρήσης (free download) αλλά και χρήση λογισμικών με παραχώρηση δικαιωμάτων πρόσβασης παρόλο που μπορεί να διευκολύνουν την εργασία σας.
- ΓΝΩΣΤΟΠΟΙΗΣΗ ΔΙΑΡΡΟΗΣ ΔΕΔΟΜΕΝΩΝ: Εντός 72 ωρών από την στιγμή που αντιλαμβάνεστε την διαρροή των δεδομένων οφείλετε να την γνωστοποιήσετε, αναλυτικά, αιτιολογημένα και τεκμηριωμένα, στην εποπτεύουσα αρχή. (π.χ. η απώλεια υπολογιστή, η τσάντας που περιείχε εξετάσεις ή φακέλους κτλ).
- ΧΡΗΣΗ ΗΛΕΚΤΡΟΝΙΚΗΣ ΣΥΝΤΑΓΟΓΡΑΦΗΣΗΣ:
O γιατρός που χρησιμοποιεί ΜΟΝΟ το πρόγραμμα της ηλεκτρονικής συνταγογράφησης (ΗΔΙΚΑ), το e-dapy (ΕΟΠΥΥ) είναι χρήστες του συστήματος. Σημειώστε ότι για να δείτε το ΙΣΤΟΡΙΚΟ ΑΣΘΕΝΗ (πατήστε εδώ) δεν αρκεί (δεν αρκούσε και πριν) η προφορική συγκατάθεση του ασθενούς. Απαραίτητη είναι η έγγραφη συναίνεση – ρητή συγκατάθεση του για την ενέργεια αυτή. Επιβάλλεται ωστόσο να τηρείτε τις αρχές του Κανονισμού κατά την εισαγωγή των ευαίσθητων προσωπικών δεδομένων των ασθενών στο σύστημα.
Ως Ιατρικός Σύλλογος έχουμε επισημάνει και έχουμε αποστείλει στην Αρχή Προστασίας Προσωπικών Δεδομένων (πατήστε εδώ) ερωτήματα και προβληματισμούς σχετικά με την εφαρμογή του κανονισμού στην καθημερινή λειτουργία της ηλεκτρονικής συνταγογράφησης.
Αγαπητοί συνάδελφοι, τα παραπάνω αποτελούν τις ελάχιστες υποχρεώσεις εφαρμογής του κανονισμού από έναν γιατρό. Άλλωστε λεπτομερής ανάλυση του Γενικού Κανονισμού Προστασίας Δεδομένων σας έχει ήδη σταλεί (πατήστε εδώ) στις αρχές του μήνα. Η συμμόρφωση μας και η τήρηση των βασικών κανόνων ασφαλείας και προστασίας των προσωπικών δεδομένων αποτελούν την βάση για την αξιόπιστη λειτουργία κάθε ιατρείου.
Ο Πρόεδρος Ο Γεν. Γραμματέας
Χάρης Βαβουρανάκης Γεώργιος Κοχιαδάκης
Τη μεγαλύτερη μεταρρύθμιση/ αναπροσαρμογή όσον αφορά στους νόμους προστασίας προσωπικών δεδομένων εδώ και 20 χρόνια συνιστά ο ευρωπαϊκός Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR- ΓΚΠΔ).
Ο νόμος τίθεται σε εφαρμογή σήμερα, 25 Μαΐου, προσφέροντας στους πολίτες της ΕΕ νέα δικαιώματα ως προς το πώς χρησιμοποιούνται τα προσωπικά τους δεδομένα. Οι εταιρείες που δραστηριοποιούνται στην Ευρωπαϊκή Ένωση θα έχουν να κάνουν με νέους κανόνες ως προς το πώς διαχειρίζονται τα δεδομένα των πολιτών, ενώ επιβάλλονται νέες, αυστηρότερες ποινές για την παραβίαση του νόμου.
Γενικότερα μιλώντας, ο νόμος έχει σχεδιαστεί για να επιτρέπει σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και επιβάλλει νέες υποχρεώσεις σε οργανισμούς που συλλέγουν, διαχειρίζονται ή αναλύουν τέτοιου είδους δεδομένα- συμπεριλαμβανομένων των οργανισμών εκτός της ΕΕ, όπως μεγάλες αμερικανικές εταιρείες τεχνολογίας/ κοινωνικής δικτύωσης κλπ (χαρακτηριστικό παράδειγμα το Facebook, που βρέθηκε πρόσφατα στο επίκεντρο του σκανδάλου της Cambridge Analytica ως προς το ζήτημα της προστασίας των δεδομένων των χρηστών του- ή, για την ακρίβεια, της ανεπάρκειας αυτής).
Ακολουθούν τα βασικά χαρακτηριστικά του νόμου:
Τι διέπει ο GDPR
Όπως αναφέρεται σε σχετική ιστοσελίδα της ΕΕ, ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ. Δεν υπάγεται σε αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων.
«Οι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, υπό την προϋπόθεση ότι δεν συνδέονται με κάποια επαγγελματική ή εμπορική δραστηριότητα. Όταν ένα άτομο χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα εκτός της ιδιωτικής σφαίρας, παραδείγματος χάρη για κοινωνικοπολιτιστικές ή χρηματοοικονομικές δραστηριότητες, τότε το δίκαιο περί προστασίας δεδομένων πρέπει να τηρείται» υπογραμμίζεται σχετικά.
Νέος ορισμός των προσωπικών δεδομένων
Στο πλαίσιο του GDPR, προσωπικά δεδομένα αποτελεί οτιδήποτε σχετίζεται με ένα ταυτοποιημένο ή ταυτοποιήσιμο άτομο- για παράδειγμα όνομα, διεύθυνση, διεύθυνση email, δεδομένα τοποθεσίας ή διεύθυνση IP. Επιπλέον ευαίσθητα δεδομένα, όπως οι θρησκευτικές πεποιθήσεις, η φυλετική ή εθνοτική καταγωγή, ο σεξουαλικός προσανατολισμός ή η συμμετοχή σε συνδικαλιστικούς φορείς, υπάγονται σε επιπλέον προστασία.
LUCADP VIA GETTY IMAGES
Ισχυρότερα δικαιώματα για τους Ευρωπαίους
Οι πολίτες της ΕΕ θα έχουν το δικαίωμα να:
-Λαμβάνουν ξεκάθαρες και κατανοητές πληροφορίες σχετικά με το ποιος επεξεργάζεται τα δεδομένα τους και γιατί.
-Έχουν πρόσβαση σε δεδομένα για τους ίδιους που έχει στην κατοχή του ένας οργανισμός.
-Διορθώνουν δεδομένα εάν αυτά είναι λάθος.
-Μεταφέρουν δεδομένα από έναν πάροχο υπηρεσιών, όπως μια υπηρεσία email ή κοινωνικό δίκτυο, σε έναν άλλο. Ειδικότερα, ο κανονισμός εισάγει νέο δικαίωμα φορητότητας των δεδομένων, το οποίο θα επιτρέπει στους πολίτες να ζητούν από μια εταιρεία ή έναν οργανισμό να τους επιστρέψει τα προσωπικά δεδομένα προσωπικού χαρακτήρα που είχαν παράσχει στην εν λόγω εταιρεία ή στον εν λόγω οργανισμό και θα επιτρέπει επίσης την άμεση διαβίβαση των εν λόγω δεδομένων προσωπικού χαρακτήρα σε άλλη εταιρεία ή άλλο οργανισμό, όταν αυτό είναι τεχνικά εφικτό.
Αυστηρότερες ποινές
Ο GDPR προβλέπει πρόστιμα 2%-4% των ετησίων εσόδων μιας εταιρείας ή 20 εκατομμυρίων ευρώ- οποιοδήποτε είναι υψηλότερο.
Αυστηρότεροι κανόνες ως προς τη συναίνεση
Οι εταιρείες θα πρέπει να λαμβάνουν τη σαφή και ξεκάθαρη συναίνεση των πολιτών για να επεξεργάζονται τα δεδομένα τους. Επίσης, οι χρήστες θα πρέπει να κάνουν opt-in για την επεξεργασία των δεδομένων τους (να την επιλέγουν οι ίδιοι): Το να τους παρέχεται απλά η δυνατότητα opt-out (να επιλέξουν να μη γίνεται) δεν επαρκεί. Εν ολίγοις, οι εταιρείες δεν θα έχουν πλέον τη δυνατότητα να ζητούν από τους καταναλωτές να κάνουν ένα «tick» σε ένα κουτάκι μετά από μια μακρά σειρά όρων και κανονισμών, τους οποίους οι περισσότεροι δεν διαβάζουν ποτέ.
Ποια είναι η εμβέλειά του
Ο GDPR θα ισχύει για κάθε εταιρεία που έχει πελάτες στην ΕΕ, είτε η εταιρεία αυτή εδρεύει στην Ένωση είτε όχι.
Νέοι κανόνες για «data controllers» και «data processors»
Ο GDPR κάνει διάκριση μεταξύ «controllers» (οι έχοντες τον έλεγχο) και «processors» (αυτοί που κάνουν επεξεργασία) δεδομένων. Ένας data controller καθορίζει γιατί τα προσωπικά δεδομένα πρέπει να συλλέγονται και να υφίστανται επεξεργασία, καθώς και το πώς. Ένας data processor επεξεργάζεται μόνο προσωπικά δεδομένα εκ μέρους του controller, και είναι συνήθως μια «τρίτη» εταιρεία. Για παράδειγμα, ένα κατάστημα που προσλαμβάνει μια εταιρεία human resources να διαχειρίζεται τις πληρωμές και άλλες λειτουργίες της είναι ο data controller, ενώ η εταιρεία human resources είναι ο data processor. Στο πλαίσιο του GDPR, οι data processors πρέπει να εγγυώνται τον ίδιο βαθμό προστασίας με τους controllers και να διασφαλίζεται πως τηρούνται οι προδιαγραφές που επιβάλλει ο νόμος. Πρέπει να υπάρχει επίσημη, νομικά δεσμευτική συμφωνία μεταξύ ενός processor και ενός controller, και ο processor δεν θα μπορεί να εμπλέξει άλλη εταιρεία στην επεξεργασία, χωρίς τη συναίνεση του controller.
Η νομιμότητα της επεξεργασίας δεδομένων
Οι εταιρείες που επεξεργάζονται προσωπικά δεδομένα πρέπει να διασφαλίζουν ότι η επεξεργασία αυτή είναι νόμιμη, δίκαιη και με διαφάνεια. Δεν μπορούν να χρησιμοποιούν δεδομένα για σκοπούς άλλους από αυτούς για τους οποίους συνελέγησαν, με περιορισμένες εξαιρέσεις.
Η επεξεργασία δεδομένων είναι νόμιμη εάν:
-Ο χρήστης έχει συναινέσει σε αυτήν
-Είναι απαραίτητη για την εκπλήρωση ενός συμβολαίου
-Είναι απαραίτητη για να τηρηθεί μια νομική υποχρέωση υπό τον νόμο της ΕΕ ή της εθνικής νομοθεσίας του κράτους-μέλους
-Είναι απαραίτητη για να προστατευθούν τα ζωτικής σημασίας συμφέροντα ενός ατόμου
-Είναι απαραίτητη για την πραγματοποίηση ενός έργου προς το δημόσιο συμφέρον, υπό τους νόμους της ΕΕ ή του κράτους-μέλους
-Είναι στο νόμιμο συμφέρον της εταιρείας, αρκεί να μην παραβιάζει τα θεμελιώδη δικαιώματα και ελευθερίες του ατόμου
Εάν μια εταιρεία έχει συλλέξει δεδομένα στη βάση της συναίνεσης, τότε δεν μπορεί να τα χρησιμοποιήσει για άλλους σκοπούς.
Οι εταιρείες πρέπει να ενημερώνουν τις αρμόδιες αρχές προστασίας προσωπικών δεδομένων για παραβιάσεις εντός 72 ωρών από τη στιγμή που τις αντιλήφθηκαν, εάν υπάρχει περίπτωση να έχουν επιπτώσεις σε δικαιώματα φυσικών προσώπων. Εάν η παραβίαση συνιστά υψηλό κίνδυνο για τους χρήστες, τότε η εταιρεία πρέπει να τους ενημερώνει χωρίς καμία αδικαιολόγηση καθυστέρηση.
«One stop»
O GDPR περιλαμβάνει έναν μηχανισμό «one stop» για να διευκολύνει τις εταιρείες που δραστηριοποιούνται ανά την ΕΕ, όπως για παράδειγμα το Facebook, η Google και η Mastercard. Οι εταιρείες που επεξεργάζονται δεδομένα στην Ένωση θα έχουν μια αρμόδια αρχή στη χώρα όπου έχουν τη βάση τους, όπως για παράδειγμα η Ιρλανδία για το Facebook. Η αρχή αυτή θα είναι το κύριο σημείο επαφής για την εταιρεία και θα είναι υπεύθυνη για να διασφαλίζεται η τήρηση του GDPR. Σε περιπτώσεις που αφορούν σε πολίτες διαφόρων χωρών η αρχή αυτή θα συντονίζει τις δραστηριότητές της με άλλες, «ομόλογες» αρχές. Εάν υπάρχουν διαφωνίες μεταξύ των αρχών αυτών, τότε ένας νέος φορέας, το EDPB (European Data Protection Board- Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) θα λαμβάνει τις τελικές αποφάσεις.