Απαντήσεις σε συχνές ερωτήσεις για την εφαρμογή του Γενικού Κανονισμού 2016/679 για την προστασία προσωπικών δεδομένων

Transcript

1 Απαντήσεις σε συχνές ερωτήσεις για την εφαρμογή του Γενικού Κανονισμού 2016/679 για την προστασία προσωπικών δεδομένων Ερώτηση: Εφαρμόζεται ο Γενικός Κανονισμός για την προστασία των προσωπικών δεδομένων στα ιδιωτικά ιατρεία; Απάντηση: Ο Γενικός Κανονισμός για την προστασία των προσωπικών δεδομένων εφαρμόζεται και στα ιδιωτικά ιατρεία με κλιμακούμενες, όμως, υποχρεώσεις ανάλογα με τα κριτήρια που θέτει ο Κανονισμός, ανάλογα με το μέγεθος της κλίμακας της επεξεργασίας των δεδομένων υγείας, αλλά και την επικινδυνότητα των πράξεων επεξεργασίας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Ερώτηση: Πρέπει στο ιδιωτικό μου ιατρείο να προσλάβω Υπεύθυνο Προστασίας (DPO); Απάντηση: Η επεξεργασία δεδομένων προσωπικού χαρακτήρα ασθενών ιδιώτη ιατρού, όπου υφίσταται η απλή σχέση ιατρού ασθενή, δεν θεωρείται ότι είναι μεγάλης κλίμακας, οπότε δεν απαιτείται η πρόσληψη DPO, ούτε όμως και απαγορεύεται. Ερώτηση: Υποχρεούμαι στην τήρηση του αρχείου δραστηριοτήτων που προβλέπεται στο άρθρο 30 του Γενικού Κανονισμού; Απάντηση: Ο ιδιώτης ιατρός που λειτουργεί ένα ιδιωτικό ιατρείο μικρής κλίμακας οφείλει να διατηρεί αρχείο δραστηριοτήτων για την επεξεργασία δεδομένων υγείας. Το αρχείο αυτό είναι ένα πολύ χρήσιμο μέσο για την ανάλυση των συνεπειών των επεξεργασιών, την αναγνώριση και υλοποίηση των κατάλληλων μέτρων ασφαλείας στο πλαίσιο της υποχρέωσης για λογοδοσία του Υπεύθυνου Επεξεργασίας. [1]

2 Ερώτηση: Στην περίπτωση που το ιδιωτικό μου ιατρείο δεν είναι απολύτως προσαρμοσμένο στις απαιτήσεις του Γενικού Κανονισμού στις , θα υπάρξει πρόστιμο 20 εκατ. Ευρώ εκ μέρους της Αρχής Προστασίας Προσωπικών Δεδομένων; Απάντηση: Τα ποσά των προστίμων που ορίζει ο Γενικός Κανονισμός είναι τα ανώτατα. Κατά την επιβολή τους λαμβάνονται υπόψη η φύση, η βαρύτητα, η διάρκεια της παράβασης, η ύπαρξη δόλου ή αμέλειας, ο μετριασμός της ζημίας, ο αριθμός των θιγομένων από την παραβίαση των προσωπικών δεδομένων, ο βαθμός συνεργασίας με την Αρχή Προστασίας Προσωπικών Δεδομένων και άλλοι παράγοντες. Η συμμόρφωση στον Γενικό Κανονισμό δεν είναι υπόθεση μιας ημέρας, αλλά απαιτεί την ενημέρωση για τις διατάξεις του και την σταδιακή εξοικείωση με την εφαρμογή τους. Ερώτηση: Υπάρχει περίπτωση να δοθεί παράταση στην έναρξη εφαρμογής του Γενικού Κανονισμού; Απάντηση: Ο Γενικός Κανονισμός εκδόθηκε στις 27 Απριλίου 2016 και δόθηκε προθεσμία συμμόρφωσης των υπευθύνων επεξεργασίας διάρκειας δυο ετών. Στις θα ξεκινήσει να εφαρμόζεται χωρίς παράταση στην έναρξη εφαρμογής του σε όλα τα κράτη του Ευρωπαϊκού Οικονομικού Χώρου. Οι περισσότερες διατάξεις του υπήρχαν και στο προηγούμενο νομοθετικό καθεστώς. Ερώτηση: Μπορώ να μην τηρώ ιατρικό αρχείο προκειμένου να μην εμπίπτω στο πεδίο εφαρμογής του Γενικού Κανονισμού; Απάντηση: Σύμφωνα με τον Κώδικα Ιατρικής Δεοντολογίας, ο ιατρός υποχρεούται να τηρεί ιατρικό αρχείο, σε ηλεκτρονική ή μη μορφή, το οποίο περιέχει δεδομένα που συνδέονται αρρήκτως ή αιτιωδώς με την ασθένεια ή την υγεία των ασθενών. Τα ιατρικά αρχεία πρέπει να περιέχουν το ονοματεπώνυμο, το πατρώνυμο, το φύλο, την ηλικία, το επάγγελμα, τη διεύθυνση του ασθενή, τις ημερομηνίες της επίσκεψης, καθώς και κάθε άλλο ουσιώδες στοιχείο που συνδέεται με την παροχή φροντίδας στον ασθενή, όπως ενδεικτικά και ανάλογα με την ειδικότητα, τα ενοχλήματα της υγείας του και το λόγο της επίσκεψης, την πρωτογενή και δευτερογενή διάγνωση ή την αγωγή που ακολουθήθηκε. Η επεξεργασία [2]

3 δεδομένων υγείας θεωρείται δεδομένη στην περίπτωση των ιδιωτικών ιατρείων, όπως και η εφαρμογή του Γενικού Κανονισμού. Ερώτηση: Πρέπει να ψηφιοποιήσω το αρχείο μου στο ιδιωτικό μου ιατρείο; Απάντηση: Ο Γενικός Κανονισμός δεν προβλέπει την ψηφιοποίηση του ιδιωτικού ιατρείου. Εφαρμόζεται τόσο στην περίπτωση αυτοματοποιημένης, όσο και στην περίπτωση μη αυτοματοποιημένης επεξεργασίας. Ερώτηση: Μπορώ ως ιατρός να δίνω πληροφορίες που αφορούν πελάτη μου σε συγγενή του ή άλλο τρίτο πρόσωπο; Απάντηση: Αυτό επιτρέπεται μόνο εάν υπάρχει εξουσιοδότηση του ασθενή προς τον συγγενή του. Ερώτηση: Επιτρέπεται να ανταλλάσσω δεδομένα υγείας των ασθενών μου μέσω mail, facebook και άλλων μέσων κοινωνικής δικτύωσής με άλλους συναδέλφους μου; Απάντηση: Αυτό επιτρέπεται μόνο εάν ο ασθενής δεν είναι με κανένα τρόπο ταυτοποιήσιμος από τις πληροφορίες αυτές, δηλαδή οι πληροφορίες είναι ανωνυμοποιημένες. Ερώτηση: Μπορώ να αποστέλλω δεδομένα υγείας μέσω mail στον ίδιο τον ασθενή μου; Απάντηση: Αυτό επιτρέπεται μόνο εάν οι πληροφορίες είναι κρυπτογραφημένες, ο ασθενής έχει συγκατατεθεί να του αποσταλούν με τον τρόπο αυτό και έχει γνωστοποιήσει εγγράφως το mail του. [3]

4 Ερώτηση: Στην περίπτωση που ασθενής μου ζητήσει αντίγραφα από το αρχείο που τηρώ είμαι υποχρεωμένος να τα χορηγήσω; Απάντηση: Ο ιατρός οφείλει να χορηγήσει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία χωρίς επιβάρυνση του ασθενή. Εάν ζητούνται επιπλέον αντίγραφα, μπορεί να υπάρξει χρέωση. Οι ασθενείς δικαιούνται να έχουν πρόσβαση στα δεδομένα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση. Ειδικότερα, έχουν το δικαίωμα να γνωρίζουν και να τους ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, το δικαίωμά τους για διόρθωση ή διαγραφή ή αντίταξη στην εν λόγω επεξεργασία, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και την προέλευσή τους, εφόσον δεν προήλθαν από το ίδιο τον ίδιο τον ασθενή. Ερώτηση: Μπορεί ο ασθενής να ζητήσει την διόρθωση των δεδομένων του που τηρώ; Απάντηση: Ο ασθενής δικαιούται να ζητήσει τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που τον αφορούν ή/και τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα. Ερώτηση: Μπορεί ο ασθενής να ζητήσει την διαγραφή των δεδομένων του από το αρχείο μου; Απάντηση: Ο ασθενής δικαιούται να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και ο ιατρός υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα, εκτός εάν υφίσταται νόμιμος λόγος διατήρησης αυτών (π.χ. υποχρέωση διατήρηση σύμφωνα με τον νόμο, προθεσμία παραγραφής). [4]

5 Ερώτηση: Για πόσο χρόνο υποχρεούμαι να διατηρώ το ιατρικό μου αρχείο; Απάντηση: Ο ιατρός έχει υποχρέωση να διατηρεί το ιατρικό του αρχείο για μια δεκαετία από την τελευταία επίσκεψη του ασθενή. Ερώτηση: Έχω υποχρέωση λογοδοσίας σύμφωνα με τον Γενικό Κανονισμό; Απάντηση: Ο ιατρός έχει υποχρέωση λογοδοσίας, δηλαδή πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις απαιτήσεις του Γενικού Κανονισμού. Οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό. Ερώτηση: Τι οφείλω να κάνω στην περίπτωση που διαρρεύσουν από το ιατρείο μου δεδομένα των ασθενών μου; Απάντηση: Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο ιατρός οφείλει εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Προσωπικών Δεδομένων. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πρέπει να ανακοινωθεί η παραβίαση και στους ασθενείς, εκτός εάν τα δεδομένα δεν είναι κατανοητά σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως εάν έχει εφαρμοστεί η κρυπτογράφηση, ή ο ιατρός έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ή η ανακοίνωση προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ αυτής δημόσια ανακοίνωση ή άλλο παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο. [5]