Νέο ενιαίο σύνολο κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στην ΕΕ τίθεται σε εφαρμογή από τις 25 Μάιου, με σκοπό τον εκσυγχρονισμό του υφιστάμενου πλαισίου. Οι βασικές κατευθυντήριες γραμμές είναι νέα δικαιώματα για τους πολίτες, ενίσχυση της προστασίας των προσωπικών δεδομένων και επιβολή αυστηρών διοικητικών κυρώσεων.
Όπως αναφέρει στο ΑΠΕ-ΜΠΕ ο ειδικός επιστήμονας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Δημήτρης Ζωγραφόπουλος, ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων / General Data Protection Regulation – GDPR, στο εσωτερικό της ΕΕ τέθηκε σε ισχύ στις 24 Μαΐου 2016 με εφαρμογή από τις 25 Μαΐου 2018, οπότε και αναμένεται η θέσπιση νέων εθνικών ρυθμίσεων, οι οποίες θα εξειδικεύσουν την εφαρμογή διατάξεων του ΓΚΠΔ στην ελληνική έννομη τάξη. Το πεδίο εφαρμογής του ΓΚΠΔ καλύπτει τόσο τον ιδιωτικό όσο και το δημόσιο τομέα.
Αλλαγές στο χώρο της Υγείας από την εφαρμογή του ΓΚΠΔ
Ο Δημήτρης Ζωγραφόπουλος, εξηγεί στο ΑΠΕ-ΜΠΕ ότι ο ΓΚΠΔ περιέχει περισσότερες ειδικές αναφορές στις επεξεργασίες δεδομένων προσωπικού χαρακτήρα για το σκοπό της παροχής υπηρεσιών υγείας και υπογραμμίζει ότι το σύνολο των διατάξεων του ΓΚΠΔ εφαρμόζεται στις επεξεργασίες δεδομένων προσωπικού χαρακτήρα για το σκοπό της παροχής υπηρεσιών υγείας.
Προσθέτει ότι και στο ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία συμπεριλαμβάνονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, δηλαδή στα λεγόμενα ευαίσθητα δεδομένα προσωπικού, τα οποία χαίρουν αυξημένης προστασίας σε σχέση με τα απλά δεδομένα προσωπικού χαρακτήρα.
Επισημαίνει ότι για τα ευαίσθητα δεδομένα ισχύει η αρχή ότι απαγορεύεται καταρχήν η επεξεργασία τους και επιτρέπεται μόνο κατ’ εξαίρεση, για λόγους που περιοριστικά προβλέπει ο νόμος.
Με την εφαρμογή του ΓΚΠΔ θα αντικατασταθεί αυτόματα το υπάρχον νομοθετικό καθεστώς για την προστασία δεδομένων προσωπικού χαρακτήρα. Οι υπεύθυνοι επεξεργασίας (νοσοκομεία, κλινικές, φαρμακευτικές εταιρείες, ασφαλιστικές εταιρείες, κλπ) θα απαλλάσσονται πλέον από τη γενική υποχρέωση γνωστοποίησης τήρησης αρχείου ή λήψης άδειας για την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα. Θα υπάρχουν πλέον εναλλακτικοί τρόποι προστασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία και αυστηρότερα πρόστιμα για την αθέμιτη επεξεργασία τους. «Εκτός, εάν ο Έλληνας νομοθέτης επιλέξει ταυτόχρονα και τη διατήρηση του συστήματος λήψης αδείας για την επεξεργασία τους», τονίζει ο κ. Ζωγραφόπουλος.
Ο ειδικός επιστήμονας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αναφέρεται σε πρόσφατη υπόθεση με «τράπεζα βλαστοκυττάρων», (σσ ασκήθηκε ποινική δίωξη για απάτη κατ’ εξακολούθηση), σημειώνοντας ότι «ανέδειξε τους κινδύνους για την αθέμιτη επεξεργασία ευαίσθητων δεδομένων».
Υπογραμμίζει, ωστόσο, ότι «το μεγάλο στοίχημα είναι να διασφαλίσουμε ένα υψηλό επίπεδο ουσιαστικής προστασίας – και όχι μόνο θεωρητικές εγγυήσεις προστασίας – με το νέο νομοθετικό καθεστώς».
Υψηλής εμπορικής αξίας τα δεδομένα για την υγεία
Ο κ. Ζωγραφόπουλος υπογραμμίζει στο ΑΠΕ-ΜΠΕ ότι τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία θεωρείται ότι έχουν «υψηλή εμπορική αξία» για πολλούς υπευθύνους επεξεργασίας (ως εργοδότες, ως φαρμακευτικές εταιρείες, ως ασφαλιστικές εταιρείες, κλπ) γιατί μπορούν να επηρεάσουν την ικανότητα του προσώπου για εργασία, για ασφάλιση, κλπ. Μπορούν, ακόμα, σε μαζική μορφή (big data) να χρησιμεύσουν σε τομείς όπως οι κλινικές μελέτες και η παραγωγή φαρμάκων.
«Υπάρχουν κατηγορίες επιχειρήσεων που ενδιαφέρονται ιδιαίτερα για τη γνώση ιατρικών δεδομένων πολιτών. Για παράδειγμα ασφαλιστικές εταιρείες, τράπεζες (γι’ αυτό έχουν αυξηθεί οι ασφαλίσεις δανειοληπτών), αλλά και πολλοί εργοδότες. Χρειάζεται να διασφαλιστεί η προστασία των προσωπικών δεδομένων, η αποκάλυψη να γίνεται μόνο όταν υπάρχει έννομο συμφέρον, ώστε να μην καταλήγουμε σε ιατρικό φακέλωμα του πληθυσμού και παράλληλα, να αποφευχθούν ευγονικού τύπου πρακτικές (πχ να ασφαλίζονται, να δανείζονται ή να εργάζονται οι απολύτως υγιείς)».
Όπως αναφέρει ο κ. Ζωγραφόπουλος, μέχρι τώρα οι παρανομούντες έμπαιναν σε μια λογική στάθμισης κόστους ζημίας. «Εφόσον πίστευαν ότι τα πρόστιμα που θα τους επιβληθούν θα είναι χαμηλά, η κύρωση δεν λειτουργούσε αποτρεπτικά. Τώρα με την αύξηση των προστίμων θα επιδιωχθεί να παταχθούν τα φαινόμενα παρανομίας».
Αλλαγή στον τρόπο λήψης αποτελεσμάτων ιατρικών πράξεων
Μεταξύ των αλλαγών που θα επιφέρει η εφαρμογή του νέου κανονισμού, είναι και η διαδικασία λήψης αποτελεσμάτων ιατρικών εξετάσεων. Ήδη, αρκετές Μονάδες Υγείας, στον ιδιωτικό και δημόσιο τομέα, σταμάτησαν να αποστέλλουν ηλεκτρονικά τα αποτελέσματα εξετάσεων, ενώ για την παραλαβή τους από τρίτο πρόσωπο, ζητούν εξουσιοδότηση.
Όπως μας εξηγεί ο κ. Ζωγραφόπουλος, τα αποτελέσματα ιατρικών εξετάσεων καταρχήν, πρέπει να παραλαμβάνονται αυτοπροσώπως από τον ασθενή και εάν το ζητήσει ο ίδιος είναι δυνατή και η αποστολή με ηλεκτρονικό ταχυδρομείο. Η ορθή πρακτική για να αποφεύγονται διαρροές είναι να αποστέλλονται κρυπτογραφημένα (κλειδώνεις με τη χρήση λογισμικού, το «κλειδί» να το έχει ο ασθενής). Μέχρι σήμερα η κρυπτογράφηση των προσωπικών δεδομένων για την αποστολή τους μέσω mails δεν ήταν ευρέως διαδεδομένη παρόλο που ήταν απαραίτητη προϋπόθεση για την ασφάλεια των δεδομένων, σύμφωνα και με τις συστάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
«Από τις 25 Μαΐου του 2018 που θα εφαρμοστεί ο κανονισμός, αν ένα ιδιωτικό κέντρο υγείας ή ένας γιατρός ή ένα νοσοκομείο χάσει ιατρικά δεδομένα ή περιέλθουν σε μη δικαιούμενα πρόσωπα, γίνονται βαρύτερες οι διοικητικές κυρώσεις (ιδίως πρόστιμα). Αυτό μπορεί να έχει ως συνέπεια να αυξηθούν και τα ποσά που επιδικάζουν τα δικαστήρια στους θιγόμενους (είτε ως χρηματική αποζημίωση για τη ζημία που υπέστησαν ή και χρηματική ικανοποίηση για την ηθική βλάβη που υπέστησαν)».
Ο κ. Ζωγραφόπουλος βάζει και άλλη μια παράμετρο, αυτή της φήμης. «Υπάρχουν και οι παρεπόμενες συνέπειες όπως είναι συνέπειες για τη φήμη, ιδίως ενός ιδιωτικού οργανισμού παροχής υπηρεσιών υγείας. Σε μια εποχή που καταβάλλονται σημαντικές προσπάθειες να αναπτυχθεί ο ιατρικός τουρισμός αυτό μπορεί να αποτελέσει τροχοπέδη από μόνο του. Οποιοσδήποτε ασθενής δεν ενδιαφέρεται μόνο για υψηλού επιπέδου παροχές υπηρεσιών υγείας αλλά και για την ασφαλή τήρηση των δεδομένων υγείας του».
ΑΠΕ-ΜΠΕ