ΖΗΤΗΜΑΤΑ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΏΝ ΔΕΔΟΜΈΝΩΝ ΣΤΗΝ ΒΙΟΪΑΤΡΙΚΉ ΕΡΕΥΝΑ. Δημήτρης Γούλας

Σχετικά έγγραφα
Το ελληνικό νομικό πλαίσιο δωρεάς οργάνων σώματος

Η Προστασία των προσωπικών δεδομένων στην επιστημονική έρευνα

Δίκαιο Μ.Μ.Ε. Μάθημα 13: H προστασία των προσωπικών δεδομένων και ιδίως στο διαδίκτυο. Επικ. Καθηγητής Παναγιώτης Μαντζούφας Τμήμα Νομικής Α.Π.Θ.

ΝΟΜΟΣ ΥΠ'ΑΡΙΘ.2472/1997

Αθήνα, ΑΠ: Γ/ΕΞ/5792-1/ Α Π Ο Φ Α Σ Η 153/2011

Α Π Ο Φ Α Σ Η 60/2012

Α Π Ο Φ Α Σ Η 56/2012

Αθήνα, ΑΠ: Γ/ΕΞ/133-1/

Α Π Ο Φ Α Σ Η 6/2012

Αθήνα, ΑΠ: Γ/ΕΞ/4279/

Α Π Ο Φ Α Σ Η 152/2011

Η προστασία των ευαίσθητων δεδομένων υγείας στην ηλεκτρονική υγεία

Αθήνα, $$202$$ Αριθ. Πρωτ.: $$201$$

Α Π Ο Φ Α Σ Η 143/2011

Α Π Ο Φ Α Σ Η 147/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1166/ Α Π Ο Φ Α Σ Η 10/2011

Α Π Ο Φ Α Σ Η 21 /2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/65-2/

Α Π Ο Φ Α Σ Η 31/2012

Α Π Ο Φ Α Σ Η 151/2011

Αθήνα, ΑΠ: Γ/ΕΞ/2107/

Α Π Ο Φ Α Σ Η 14/2012

Α Π Ο Φ Α Σ Η 2/2012

Α Π Ο Φ Α Σ Η 161/2011

Α Π Ο Φ Α Σ Η 13/2012

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ-ΝΟΜΙΜΟΤΗΤΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Α Π Ο Φ Α Σ Η 154/2011

Προσωπικά Δεδομένα. 2. Χρήσιμοι ορισμοί και επεξηγήσεις

ΒΙΒΛΙΑΡΙΟ ΔΙΚΑΙΩΜΑΤΩΝ ΑΣΘΕΝΩΝ

Στοιχεία Υπεύθυνου Επεξεργασίας: Αρμόδια Υπηρεσία Επεξεργασίας: Στοιχεία Επικοινωνίας υπεύθυνου επεξεργασίας:

Α Π Ο Φ Α Σ Η 159/2011

Α Π Ο Φ Α Σ Η 108/2011

Αν. Τσόχα , Αθήνα, Ελλάδα Τηλέφωνο: +30 (210) Ιστοσελίδα:

ΠΑΡΑΡΤΗΜΑΤΑ. της ΕΚΤΕΛΕΣΤΙΚΗΣ ΑΠΟΦΑΣΗΣ (ΕΕ).../... ΤΗΣ ΕΠΙΤΡΟΠΗΣ

ΤΡΑΠΕΖΕΣ ΒΙΟΛΟΓΙΚΟΥ ΥΛΙΚΟΥ:

Ο Ατομικός Ηλεκτρονικός Φάκελος Υγείας και ο Γενικός Κανονισμός Προστασίας Δεδομένων

Αθήνα, ΑΠ: Γ/ΕΞ/5525-1/

Αντικείμενο της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΑΠΟΦΑΣΗ. Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ),

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5151/

ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΦΑΝΗ ΛΙΑΚΑΤΗ

Α Π Ο Φ Α Σ Η 16/2012

Α Π Ο Φ Α Σ Η 63/2012

Α Π Ο Φ Α Σ Η 90/2011

ΝΟΜΙΚΑ ΚΑΙ ΗΘΙΚΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΑΝΑΚΟΠΗ ΚΑΙ ΤΗΝ ΑΝΑΖΩΟΓΟΝΗΣΗ ΕΛΛΗΝΙΚΟ ΚΑΙ ΕΥΡΩΠΑΪΚΟ ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ

Α Π Ο Φ Α Σ Η 92/2011

Α Π Ο Φ Α Σ Η 1/2012

Α Π Ο Φ Α Σ Η 11/2014

Αθήνα, ΑΠ: Γ/ΕΞ/2552-1/

Άρθρο 2: Νομική φύση του Κώδικα Δεοντολογίας- Σχέση Κώδικα με εθνική και κοινοτική νομοθεσία

Α Π Ο Φ Α Σ Η 49/2012

ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΔΗΛΩΣΗ ΠΕΡΙ ΑΠΟΡΡΗΤΟΥ. Όνομα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας: Όνομα και στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων:

ΝΟΜΙΚΑ ΚΑΙ ΗΘΙΚΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΑΝΑΚΟΠΗ ΚΑΙ ΤΗΝ ΑΝΑΖΩΟΓΟΝΗΣΗ ΕΛΛΗΝΙΚΟ ΚΑΙ ΕΥΡΩΠΑΪΚΟ ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ

Α Π Ο Φ Α Σ Η 18/2012

Α Π Ο Φ Α Σ Η 141/2012

«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 GDPR

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1091/ Α Π Ο Φ Α Σ Η 4 /2019

Δωρεά οργάνων σώματος για ερευνητικούς σκοπούς - Η σύσταση και λειτουργία της ΠΑ.ΒΙ.Ν.Ν.

Α Π Ο Φ Α Σ Η 38/2014

Α Π Ο Φ Α Σ Η 116/2017

Δικαιώματα Πνευματικής και Βιομηχανικής Ιδιοκτησίας

Α Π Ο Φ Α Σ Η 12/2012

Α Π Ο Φ Α Σ Η 3/2012

Α Π Ο Φ Α Σ Η 50/2012

Α Π Ο Φ Α Σ Η 169/2011

Η ΝΟΜΙΚΗ ΚΑΤΟΧΥΡΩΣΗ ΤΩΝ ΔΙΚΑΙΩΜΑΤΩΝ ΤΩΝ ΑΣΘΕΝΩΝ. ΚΩΝΣΤΑΝΤΙΝΑ Π. ΜΠΡΟΥΣΑ Υ.Δ.Ν., ΔΙΚΗΓΟΡΟΣ Υπεύθυνη Διεκδίκησης Δικαιωμάτων Ασθενών ΑΚΕΣΩ

Α Π Ο Φ Α Σ Η 43/2017

Α Π Ο Φ Α Σ Η ΑΡ. 26/2004

ΚΕΦΑΛΑΙΟ III. Δικαιώματά του υποκειμένου των δεδομένων. Τμήμα 1. Διαφάνεια και ρυθμίσεις. Άρθρο 12

ΠΟΛΙΤΙΚΗ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Α Π Ο Φ Α Σ Η 58/2017

Α Π Ο Φ Α Σ Η 137/2012

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

Α Π Ο Φ Α Σ Η 85/2012

Τι χρειάζεται να γνωρίζει ο ασθενής πριν αποφασίσει τη συμμετοχή του;

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Νομικό Πλαίσιο. Γενικές Αρχές

ΠΟΛΙΤΙΚΗ ΣΤΑΤΙΣΤΙΚΟΥ ΑΠΟΡΡΗΤΟΥ

Αθήνα, ΑΠ: Γ/ΕΞ/1284-2/

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Αθήνα, ΑΠ: Γ/ΕΞ/1343-1/

Γνώμη 3/2019 σχετικά με τις ερωτήσεις και απαντήσεις για την αλληλεπίδραση μεταξύ του Κανονισμού για τις Κλινικές Δοκιμές και του Γενικού Κανονισμού

Δεδομένα Ειδικών κατηγοριών. Πεδίο Εφαρμογής. Επεξεργασία. Δεδομένα Προσωπικού Χαρακτήρα. Εισαγωγικές έννοιες και ορισμοί..

(Αποστολή µε FAX) Αριθ. Πρωτ.: Γ/ΕΞ/2122-1/ Α Π Ο Φ Α Σ Η 34/2017

Α Π Ο Φ Α Σ Η 158/2011

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΟ ΨΝΑ ΔΡΟΜΟΚΑΪΤΕΙΟ

Παραβίαση της ασφάλειας των προσωπικών δεδομένων

Τα προσωπικά σας δεδομένα ενδέχεται να συλλέγονται από εσάς προσωπικά ή από τρίτους εκ μέρους σας.

Αθήνα, ΑΠ: Γ/ΕΞ/1852-1/

ΟΡΓΑΝΙΣΜΟΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΤΗΣ ΕΛΛΑΔΟΣ Α.Ε.

Α Π Ο Φ Α Σ Η 111/2011

Α Π Ο Φ Α Σ Η 37/2012

Α Π Ο Φ Α Σ Η 160/2011

Α Π Ο Φ Α Σ Η 145/2011

Δήλωση Απορρήτου. H Revoil είναι μια εταιρεία κύρια δραστηριότητα την εμπορία πετρελαιοειδών προϊόντων.

Α Π Ο Φ Α Σ Η 159/2012

1 Σκοπός. 2 Αρμοδιότητα. 3 Γενικές διατάξεις. 3.1 Τήρηση νομοθεσίας / Αρχές προστασίας. Power Tools

ΣΧΕΔΙΟ ΝΟΜΟΥ «ΗΛΕΚΤΡΟΝΙΚΗ ΚΑΤΑΧΩΡΙΣΗ ΚΑΙ ΕΚΤΕΛΕΣΗ ΣΥΝΤΑΓΩΝ» Αρθρο 1. Εννοιολογικοί Προσδιορισμοί

Transcript:

ΖΗΤΗΜΑΤΑ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΏΝ ΔΕΔΟΜΈΝΩΝ ΣΤΗΝ ΒΙΟΪΑΤΡΙΚΉ ΕΡΕΥΝΑ Δημήτρης Γούλας Διδάκτωρ Νομικής, Δικηγόρος, dgoulas@gmail.com ΠΕΡΊΛΗΨΗ Η παρούσα εισήγηση επιχειρεί να σκιαγραφήσει ορισμένα βασικά σημεία του ελληνικού νομικού πλαισίου περί προστασίας προσωπικών δεδομένων, τα οποία αφορούν ιδίως την βιοϊατρική έρευνα. Σε αυτό το πλαίσιο ιδιαίτερη έμφαση δίνεται στον ορισμό των βασικών νομικών εννοιών, στην ανάγκη συγκατάθεσης του υποκειμένου ως προς την επεξεργασία, στην χορήγηση άδειας από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στο δικαίωμα πρόσβασης του υποκειμένου στα δεδομένα που το αφορούν. Λέξεις κλειδιά: προσωπικά δεδομένα, βιοϊατρική έρευνα, συγκατάθεση. ΕΙΣΑΓΩΓΉ Η προστασία των προσωπικών δεδομένων συνδέεται στενά με την ανθρώπινη αξία (άρθρο 2 παρ. 1 Σ.) και προσωπικότητα (άρθρο 5 παρ. 1 Σ.). Ήδη, βεβαίως, μετά την συνταγματική αναθεώρηση του 2001 το δικαίωμα στην προστασία των προσωπικών δεδομένων τυποποιήθηκε ρητά ως αυτοτελές ατομικό δικαίωμα (άρθρο 9Α Σ). Από την άλλη πλευρά, η επιστήμη και η έρευνα τυγχάνουν επίσης συνταγματικής προστασίας (άρθρο 16 παρ. 1 Σ.). Ωστόσο, συχνά η επιστημονική έρευνα αποτελεί πεδίο αυξημένης διακινδύνευσης για τα προσωπικά δεδομένα, ιδίως μάλιστα στο πεδίο της βιοϊατρικής. Η πρόοδος της τεχνολογίας καθιστά πλέον εφικτή τόσο την επεξεργασία τεράστιου όγκου πληροφοριών όσο και την ηλεκτρονική διασύνδεση πλήθους βάσεων δεδομένων. Η δε μελέτη του ανθρώπινου γονιδιώματος αποκαλύπτει πληροφορίες ζωτικής σημασίας για τα άτομα που αφορά. Μολονότι, λοιπόν, η ευρύτερη δυνατή αξιοποίηση των προσωπικών δεδομένων είναι αναγκαία για την πρόοδο της επιστήμης και της έρευνας, οι αυξημένοι κίνδυνοι για την ιδιωτική ζωή και τον πληροφοριακό αυτοκαθορισμό των ατόμων αναδεικνύουν τον κρίσιμο ρόλο του νομικού πλαισίου. Σε αυτό πρέπει να εξισορροπούνται επαρκώς τα αντικρουόμενα συμφέροντα αφενός των υποκειμένων των προσωπικών δεδομένων και των συγγενών τους και αφετέρου των ερευνητών και των επενδυτών, καθώς βεβαίως και το γενικότε

Ηθικά Διλήμματα και Νέες Τεχνολογίες στην Άνοια 85 ρο συμφέρον στη δημόσια υγεία (Bahr, Quistorp και Höger, 1984, σ. 296-297 Wellbrock, 2003, σ. 77). Το βασικό νομοθέτημα το οποίο εξειδικεύει τις συνταγματικές διατάξεις στο πεδίο της προστασίας των προσωπικών δεδομένων και ταυτόχρονα μεταφέρει την Οδηγία 95/46/ΕΚ στο ελληνικό δίκαιο είναι ο ν. 2472/1997, όπως τροποποιήθηκε και ισχύει σήμερα. Η παρούσα εισήγηση επιχειρεί να παρουσιάσει συνοπτικά τα βασικά σημεία του νομικού πλαισίου προστασίας των προσωπικών δεδομένων που αφορούν ιδίως την διεξαγωγή βιοϊατρικής έρευνας. ΟΡΙΟΘΈΤΗΣΗ ΤΟΥ ΠΕΔΊΟΥ ΕΦΑΡΜΟΓΉΣ ΤΗΣ ΠΡΟΣΤΑΣΊΑΣ Η έννοια των δεδομένων προσωπικού χαρακτήρα Οι ορισμοί των βασικών όρων που χρησιμοποιούνται στο ν. 2472/1997 παρατίθενται στο άρθρο 2 αυτού και αποδίδουν, κατά κανόνα, τους αντίστοιχους ορισμούς της Οδηγίας 95/46. Έτσι, σύμφωνα με την περ. α του άρθρου αυτού, ως δεδομένο προσωπικού χαρακτήρα νοείται «κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων». Σύμφωνα με το νόμο (άρθρα 1 και 2 περ. γ), «υποκείμενο των δεδομένων» αποτελούν μόνο φυσικά πρόσωπα (Ιγγλεζάκης, 2003, σ. 65). Επομένως, η προστασία βάσει του νόμου παύει μετά τον θάνατο του υποκειμένου (Απόφαση ΑΠΔΠΧ 38/2010), ενώ διαφορετικό είναι βεβαίως το ζήτημα της μετά θάνατον προστασίας εκφάνσεων της προσωπικότητας του θανόντος ή των κληρονόμων του βάσει του άρθρου 57 παρ. 1 εδ. β ΑΚ ή η υποχρέωση τήρησης του ιατρικού απορρήτου εκ μέρους του ιατρού, κατά το άρθρο 13 παρ. 6 του ν. 3418/2005 περί «Κώδικα Ιατρικής Δεοντολογίας» (Mand, 2005, σ. 569 πρβλ. πάντως Heinemann και Heinemann, 2013 Pöttgen, 2009). Επίσης, προκειμένου μια τέτοια πληροφορία να θεωρηθεί «προσωπικό δεδομένο» θα πρέπει, σύμφωνα με το άρθρο 2 περ. γ του ν. 2472/1997, να αναφέρεται σε συγκεκριμένο φυσικό πρόσωπο «του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως». Επομένως, δεν εμπίπτουν στο πεδίο εφαρμογής του νόμου τα ανώνυμα δεδομένα, δηλαδή πληροφορίες που δεν συσχετίζονται καθ οιονδήποτε τρόπο με συγκεκριμένο φυσικό πρόσωπο. Για τον έλεγχο της ταυτοποίησης συγκεκριμένου προσώπου θα πρέπει να ληφθεί υπ όψιν το σύνολο των μέσων που μπορούν ενδεχομένως να αξιοποιηθούν, αν καταβληθεί εύλογη προσπάθεια και αξιοποιηθούν οι τεχνολογικές εξελίξεις. Έτσι λοιπόν δεν αρκεί η απαλοιφή του ονόματος του ατόμου, όταν η ταυτότητά του μπορεί να γίνει

86 Δημήτρης Γούλας γνωστή από άλλα στοιχεία, όπως ο αριθμός ασφαλισμένου, η ημερομηνία γέννησης κλπ. (Καρδασιάδου, 2006, σ. 76 Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σσ. 33-34 Ιγγλεζάκης, 2003, σ. 62). Συναφώς, «ανωνυμοποίηση» των προσωπικών δεδομένων λαμβάνει χώρα όταν η ταυτοποίηση του φυσικού προσώπου στο οποίο αναφέρονται καθίσταται πλέον τεχνικά αδύνατη ή, έστω, ιδιαιτέρως δυσχερής (Pöttgen, 2009, σ. 76επ. Mand, 2005, σ. 566-568 Wellbrock, 2003, σ. 78 Bahr et al., 1984, σ. 298 Luttenberger, Reischl, Schröder και Stürzebecher, 2004, σ. 357-358). Αντιθέτως, «κωδικοποίηση» των δεδομένων υφίσταται όταν η αναγωγή στα στοιχεία της ταυτότητας του υποκειμένου καθίσταται εφικτή, με την καταβολή εύλογης προσπάθειας, μέσω ενός συστήματος κωδικοποίησης (Pöttgen, 2009, σ. 85επ. Mand, 2005, σ. 568 πρβλ. και απόφαση ΑΠΔΠΧ 31/2010). Μολονότι στην περίπτωση αυτή τα δεδομένα καταρχήν εξακολουθούν να εμπίπτουν στο πεδίο εφαρμογής του νόμου, εφόσον μπορεί να ανακτηθεί η πρόσβαση στο υποκείμενό τους, ωστόσο η κωδικοποίηση λειτουργεί ως οργανωτικό μέτρο ασφάλειας των δεδομένων, το οποίο αποτρέπει την αυθαίρετη πρόσβαση τρίτων σε αυτά (Καρδασιάδου, 2006, σσ. 76-77). Τα ευαίσθητα προσωπικά δεδομένα Ιδιαίτερη πρόνοια λαμβάνει ο νόμος ιδίως για ορισμένες κατηγορίες δεδομένων, τα οποία συνδέονται με ζωτικές εκφάνσεις της ανθρώπινης προσωπικότητας ή με την άσκηση δικαιωμάτων που τυγχάνουν συνταγματικής κατοχύρωσης και προστασίας. Μολονότι η απαρίθμηση των περιπτώσεων ευαίσθητων δεδομένων στο άρθρο 2 περ. β ν. 2472/1997 είναι εξαντλητική, ο κατάλογος αυτός μπορεί να συμπληρώνεται και με διατάξεις άλλων νόμων (Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σσ. 36-37 Ιγγλεζάκης, 2003, σ. 62). Όπως είναι λογικό, τα ευαίσθητα προσωπικά δεδομένα τυγχάνουν αυστηρότερης προστασίας σε σχέση με τα «απλά». Έτσι, ενώ για την επεξεργασία των ευαίσθητων προσωπικών δεδομένων απαιτείται η γραπτή συγκατάθεση του υποκειμένου, για τα λοιπά δεδομένα αρκεί και η προφορική συγκατάθεση. Επίσης, η επεξεργασία των ευαίσθητων δεδομένων προϋποθέτει άδεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής ΑΠΔΠΧ), σε αντίθεση με την επεξεργασία απλών προσωπικών δεδομένων, η οποία πρέπει απλώς να γνωστοποιείται στην Αρχή (Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σ. 37). Όπως είναι προφανές, η διεξαγωγή βιοϊατρικής έρευνας απαιτεί κατά κανόνα την επεξεργασία ευαίσθητων δεδομένων που αφορούν στην υγεία. Τέτοια δεδομένα μπορούν να χαρακτηρισθούν ιδίως όσα περιέχουν πληροφορίες σχετικά με ασθένειες, ιατρικές διαγνώσεις, θεραπείες, επεμβάσεις,

Ηθικά Διλήμματα και Νέες Τεχνολογίες στην Άνοια 87 φαρμακευτική αγωγή, εργαστηριακές εξετάσεις, το ιατρικό ιστορικό (ατομικό και οικογενειακό) κλπ. Επίσης τα δεδομένα αυτά συχνά συνοδεύονται και από πληροφορίες σχετικές με τον τρόπο ζωής και διατροφής, την σωματική άσκηση, την οικογενειακή, επαγγελματική, κοινωνική και σεξουαλική ζωή, το κοινωνικοοικονομικό περιβάλλον κλπ. Συναφείς είναι και οι διοικητικού ή οργανωτικού χαρακτήρα πληροφορίες που συνδέονται με την διαχείριση της πρακτικής λειτουργίας των νοσοκομείων, των ασφαλιστικών οργανισμών, των ερευνητικών ινστιτούτων κλπ., όπως λ.χ. η καταγραφή του χρόνου ασθένειας ή νοσηλείας, η καταγραφή της διάγνωσης ή της θεραπείας κ.ά. Κατά κανόνα τα δεδομένα που αφορούν στην υγεία του ατόμου χαρακτηρίζονται ευαίσθητα. Κρίσιμη παράμετρος, πάντως, για την διάγνωση του ευαίσθητου ή μη χαρακτήρα των δεδομένων είναι και οι συνθήκες, ο σκοπός και η συγκυρία της επεξεργασίας (Καρδασιάδου, 2006, σσ. 74-76). Η επεξεργασία και ο υπεύθυνος επεξεργασίας Ως επεξεργασία των προσωπικών δεδομένων ορίζεται ευρέως στο άρθρο 2 περ. δ του ν. 2742/1997 κάθε εργασία ή σειρά εργασιών, με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων, που πραγματοποιείται σε προσωπικά δεδομένα (Ιγγλεζάκης, 2003, σ. 68). Αντιστοίχως, ως υπεύθυνος επεξεργασίας νοείται «οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα» (άρθρο 2 περ. ζ ν. 2472/1997). Ο υπεύθυνος επεξεργασίας είναι το κεντρικό πρόσωπο για την προστασία των προσωπικών δεδομένων και ως εκ τούτου βαρύνεται με τις υποχρεώσεις που του επιβάλλει ο νόμος. Σε αντίθεση με άλλες έννομες τάξεις, όπως π.χ. η γερμανική, ο ελληνικός νόμος καταλαμβάνει εξίσου τους φορείς τόσο του δημοσίου όσο και του ιδιωτικού τομέα (Ιγγλεζάκης, 2003, σ. 64). Επίσης, εφόσον πληρούνται τα στοιχεία του παραπάνω ορισμού, η ιδιότητα του υπεύθυνου επεξεργασίας δεν προϋποθέτει την ύπαρξη νομικής προσωπικότητας. Έτσι, ακόμα και φορείς χωρίς νομική προσωπικότητα μπορούν να χαρακτηρισθούν υπεύθυνοι επεξεργασίας προσωπικών δεδομένων, εφόσον καθορίζουν τον σκοπό και τον τρόπο επεξεργασίας τους (Καρδασιάδου, 2006, σ. 78). Περαιτέρω, όπως προκύπτει από το άρθρο 2 περ. η του ν. 2472/1997, η ιδιότητα του υπεύθυνου επεξεργασίας δεν συνεπάγεται ότι ο ίδιος θα πρέπει να πραγματοποιεί και την επεξεργασία των δεδομένων. Σε περίπτωση ανάθεσης της επεξεργασίας σε τρίτο, αυτός ονομάζεται στο νόμο «εκτελών την επεξεργασία» (για ζητήματα προστασίας δεδομένων στο πλαίσιο της μεταξύ τους σχέσης βλ. ειδικότερα Buchner, 2013, σ. 337επ.). Σύμφωνα, άλλωστε, με το άρθρο 3 του ν. 2472/1997, αποφασιστικό κριτήριο για την εφαρμογή του συγκεκριμέ

88 Δημήτρης Γούλας νου ελληνικού νόμου είναι καταρχήν η εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της ελληνικής επικράτειας ή σε τόπο όπου εφαρμόζεται το ελληνικό δίκαιο. Τέλος, ως «αποδέκτης» των προσωπικών δεδομένων νοείται εκείνος στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα (άρθρο 2 περ. ι ν. 2472/1997). Γενικές αρχές ΠΡΟΫΠΟΘΈΣΕΙΣ ΝΌΜΙΜΗΣ ΕΠΕΞΕΡΓΑΣΊΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΏΝ ΔΕΔΟΜΈΝΩΝ Το άρθρο 4 ν. 2472/1997 καθορίζει τις γενικές προϋποθέσεις νόμιμης επεξεργασίας των προσωπικών δεδομένων. Σύμφωνα με αυτό, κάθε επεξεργασία πρέπει να εξυπηρετεί προκαθορισμένους, σαφείς και νόμιμους σκοπούς (περ. α). Επίσης τα δεδομένα θα πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από τα αναγκαία για την επίτευξη του σκοπού της επεξεργασίας (περ. β). Τέλος, τα δεδομένα θα πρέπει να είναι ακριβή και επικαιροποιημένα (περ. γ) και να διατηρούνται σε μορφή που επιτρέπει προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο όσο είναι απαραίτητο για την επίτευξη του σκοπού της επεξεργασίας, ενώ μετά θα πρέπει να διαγράφονται ή να ανωνυμοποιούνται (περ. δ). Η συγκατάθεση του υποκειμένου Οι επιμέρους προϋποθέσεις νόμιμης επεξεργασίας των προσωπικών δεδομένων παρατίθενται στο άρθρο 5 ν. 2472/1997. Ιδίως όμως όταν πρόκειται για ευαίσθητα δεδομένα, όπως θα συμβαίνει κατά κανόνα στην περίπτωση της βιοϊατρικής έρευνας, ισχύει ως ειδικότερη η διάταξη του άρθρου 7 (Καρδασιάδου, 2006, σ. 79). Παρά την νομοτεχνική διαφοροποίηση των δύο διατάξεων, ο κανόνας παραμένει ότι καταρχήν η επεξεργασία προσωπικών δεδομένων απαγορεύεται, αλλά κατ εξαίρεση επιτρέπεται εφόσον το υποκείμενο έχει δώσει την συγκατάθεσή του (Ιγγλεζάκης, 2003, σ. 70). Παρά το ευρύ περιεχόμενο του νομικού όρου, εδώ κατ ορθή ερμηνεία περιλαμβάνεται μόνο η συναίνεση, δηλαδή η συγκατάθεση πριν από την επεξεργασία, και όχι η έγκριση, δηλαδή η συγκατάθεση που χρονικά έπεται της επεξεργασίας (Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σ. 57 Pöttgen, 2009, σ. 103). Ως στοιχειώδης εκδήλωση του δικαιώματος πληροφοριακού αυτοκαθορισμού, η συγκατάθεση αποτελεί ίσως τον βασικότερο πυλώνα του νομικού πλαισίου για την προστασία των προσωπικών δεδομένων. Έτσι, καταρχήν η επεξεργασία των προσωπικών δεδομένων είναι επιτρεπτή, εφόσον το ίδιο το υποκείμενο των

Ηθικά Διλήμματα και Νέες Τεχνολογίες στην Άνοια 89 δεδομένων συναινεί σε αυτή (Ιγγλεζάκης, 2003, σ. 71 Pöttgen, 2009, σ. 97). Η έννομη τάξη καταρχήν δεν εμποδίζει την επεξεργασία των προσωπικών δεδομένων όταν προκύπτει πως αυτή υλοποιεί τον πληροφοριακό αυτοκαθορισμό του υποκειμένου. Όμως, ακριβώς προκειμένου να διασφαλίζεται πως η συγκατάθεση του υποκειμένου αποτελεί όντως εκδήλωση της αυτονομίας του, ο νόμος θέτει συγκεκριμένες προϋποθέσεις. Συγκεκριμένα, σύμφωνα με το άρθρο 7 παρ. 2 περ. α ν. 2472/1997, η συγκατάθεση δεν νομιμοποιεί την επεξεργασία των ευαίσθητων προσωπικών δεδομένων, εφόσον «έχει αποσπασθεί με τρόπο που αντίκειται στο νόμο ή τα χρηστά ήθη ή νόμος ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση». Τούτο προκύπτει ήδη εμμέσως και από τον ορισμό της συγκατάθεσης που περιέχεται στο άρθρο 2 περ. ια. Η συγκατάθεση, λοιπόν, πρέπει να είναι ελεύθερη, ρητή, ειδική, σαφής και ενημερωμένη. Επομένως, καταρχάς η συγκατάθεση δεν επιτρέπεται να έχει αποτελέσει προϊόν πλάνης, απάτης ή απειλής ή να έχει αποσπασθεί βιαίως ή με μέθοδο αντίθετη στα χρηστά ήθη. Εξάλλου, δεδομένου ότι στο νόμο αναφέρεται πως η συγκατάθεση θα πρέπει να είναι ρητή και σαφής, δεν περιλαμβάνεται σε αυτή και η σιωπηρή ή συναγόμενη συγκατάθεσης του υποκειμένου (Ιγγλεζάκης, 2003, σ. 215 Mand, 2005, σ. 571 πρβλ. όμως και Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σ. 59). Εξάλλου, η συγκατάθεση είναι ελευθέρως ανακλητή, η ανάκληση ωστόσο ενεργεί μόνο ex nunc και όχι αναδρομικά. Επίσης, η συγκατάθεση αποτελεί πράγματι υλοποίηση της πληροφοριακής αυτοδιάθεσης του ατόμου, μόνον εφόσον χορηγείται κατόπιν ειδικής και ενδελεχούς ενημέρωσης του υποκειμένου (Pöttgen, 2009, σ. 105-106 Mand, 2005, σ. 572). Η προηγούμενη ενημέρωση δεν θα πρέπει να γίνεται αντιληπτή ως μία τυπική διαδικασία, αλλά ως ένα ουσιαστικό στάδιο, το οποίο ακριβώς καθιστά ουσιαστική και έγκυρη την χορηγούμενη συναίνεση του υποκειμένου των δεδομένων. Σύμφωνα, λοιπόν, με το άρθρο 2 περ. ια ν. 2472/1997 «[η]ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για το σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του». Όπως αναφέρθηκε, σύμφωνα με το ν. 2472/1997 η συγκατάθεση του υποκειμένου για την επεξεργασία των προσωπικών του δεδομένων θα πρέπει να είναι ειδική. Θα πρέπει, δηλαδή, να αφορά όχι κάθε μελλοντική επεξεργασία αλλά μόνο τη συγκεκριμένη επεξεργασία (ως προς τον χρόνο, τον τόπο και το είδος της επεξεργασίας, τους εκτελούντες την επεξεργασία και τους αποδέκτες των δεδομένων), στο πλαίσιο και της συγκεκριμένης ενημέρωσης που προηγήθηκε (Ιγγλεζάκης, 2003, σ. 222 Αλεξανδροπούλου-Αιγυπτιάδου,

90 Δημήτρης Γούλας 2007, σ. 60). Ωστόσο, ενόψει των ιδιαιτεροτήτων της ερευνητικής δραστηριότητας, ιδίως στο πλαίσιο των βιοτραπεζών, η υποχρέωση ειδικής συγκατάθεσης μπορεί να προκαλέσει σημαντικές δυσχέρειες στην πρόοδο της διεξαγόμενης έρευνας. Για τους λόγους αυτούς παρατηρείται η τάση μετάβασης προς ένα μοντέλο «διευρυμένης» ή «ανοιχτής» συγκατάθεσης. Αυτή θα αρκείται σε μια πιο γενική νομιμοποίηση της επεξεργασίας των προσωπικών δεδομένων, περιλαμβάνοντας και ερευνητική δραστηριότητα που τυχόν θα λάβει χώρα μελλοντικά (Mand, 2005, σ. 572-574 Wellbrock, 2003, σ. 81). Δεν πρέπει να λησμονείται, ωστόσο, ότι η διεύρυνση αυτή της συναίνεσης αποτελεί σαφή νόθευση της αρχής της πληροφοριακής αυτοδιάθεσης του ατόμου και, ως εκ τούτου, πρέπει να οριοθετείται αυστηρά στο απολύτως αναγκαίο μέτρο (Pöttgen, 2009, σελ. 107-108). Τέλος, ενώ για την συγκατάθεση προς επεξεργασία απλών προσωπικών δεδομένων δεν απαιτείται η τήρηση τύπου, η συγκατάθεση για την επεξεργασία ευαίσθητων δεδομένων χορηγείται μόνον εγγράφως (άρθρο 7 παρ. 2 περ. α ν. 2472/1997). Επισημαίνεται, ωστόσο, ορθά (Ιγγλεζάκης, 2003, σ. 216-218 Καρδασιάδου, 2006, σ. 80) πως η απαίτηση αυτή του ελληνικού νόμου περί εγγράφου τύπου, την οποία δεν περιλαμβάνει η Οδηγία 95/46/ΕΚ, καθιστά ιδιαιτέρως δυσχερή την λήψη της συγκατάθεσης με χρήση ηλεκτρονικών μέσων επικοινωνίας. Και τούτο διότι η τήρηση του έγγραφου τύπου προϋποθέτει την χρήση όχι απλής αλλά προηγμένης ηλεκτρονικής υπογραφής (Ιγγλεζάκης, 2003, σ. 216 Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σ. 60 Pöttgen, 2009, σ. 99). Οι εξαιρέσεις από τον κανόνα της λήψης συγκατάθεσης Η συγκατάθεση του υποκειμένου, μολονότι αποτελεί τον σημαντικότερο παράγοντα νομιμοποίησης της επεξεργασίας προσωπικών δεδομένων, δεν αποκλείει την ύπαρξη και άλλων άξιων προστασίας συμφερόντων τρίτων βάσει των οποίων δικαιολογείται η επεξεργασία. Έτσι, λοιπόν, ο νόμος τυποποιεί συγκεκριμένες περιπτώσεις κατά τις οποίες, εφόσον πληρούνται και οι λοιπές προϋποθέσεις, επιτρέπεται κατ εξαίρεση η επεξεργασία των προσωπικών δεδομένων, ακόμα και αν το υποκείμενο αρνείται να συναινέσει. Ειδικά για την επεξεργασία των ευαίσθητων προσωπικών δεδομένων, το άρθρο 7 παρ. 2 περ. β - ζ παραθέτει συγκεκριμένες εξαιρετικές περιπτώσεις, εκ των οποίων αξίζει να επισημανθούν ιδίως οι ακόλουθες, οι οποίες παρουσιάζουν ενδιαφέρον για τις ανάγκες της βιοϊατρικής έρευνας: Περίπτωση β: Η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή προβλεπόμενου από το νόμο συμφέροντος τρίτου (π.χ. του κυοφορουμένου), εάν το υποκείμενο τελεί σε φυσική (λ.χ.

Ηθικά Διλήμματα και Νέες Τεχνολογίες στην Άνοια 91 ψυχική ή άλλη σοβαρή νόσος, απουσία κλπ.) ή νομική αδυναμία (π.χ. δικαιοπρακτική αδυναμία και απουσία νόμιμου εκπροσώπου) να δώσει τη συγκατάθεσή του (Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σ. 66). Έτσι, λοιπόν, όταν πρόκειται για υποκείμενο προσωπικών δεδομένων το οποίο αδυνατεί να χορηγήσει το ίδιο την συγκατάθεσή του για την επεξεργασία των ευαίσθητων δεδομένων του, η επεξεργασία μπορεί να λάβει χώρα και δίχως την συγκατάθεση, εφόσον όμως η επεξεργασία αυτή είναι (α) αναγκαία για την διαφύλαξη (β) ζωτικού συμφέροντος του ιδίου του υποκειμένου ή τρίτου προσώπου που προβλέπεται από το νόμο, δηλαδή άκρως σπουδαίου συμφέροντος που αφορά ευθέως στην ζωή και την υγεία (Κοσμάτος, 2006, σ. 158επ. Καρδασιάδου, 2006, σ. 80-81. Πρβλ. συναφώς και το άρθρο 12 ν. 3418/2005 - Κώδικας Ιατρικής Δεοντολογίας). Περίπτωση γ: Η επεξεργασία επιτρέπεται όταν αφορά δεδομένα που δημοσιοποιεί το ίδιο το υποκείμενο. Έτσι, λ.χ. δεν απαιτείται συναίνεση για την επεξεργασία των προσωπικών δεδομένων που αφορούν στην κατάσταση της υγείας ατόμου, όταν το ίδιο τα ανακοίνωσε δημοσίως. Ιδιαίτερη προσοχή απαιτείται, ωστόσο, έτσι ώστε να διαπιστώνεται κάθε φορά ότι όντως υπήρχε πρόθεση δημοσιοποίησης των δεδομένων και όχι απλώς κοινοποίησής τους σε συγκεκριμένο ακροατήριο και για συγκεκριμένο σκοπό (Καρδασιάδου, 2006, σ. 81). Περίπτωση δ: Η επεξεργασία επιτρέπεται όταν αφορά θέματα υγείας και εκτελείται από πρόσωπο που ασχολείται κατ` επάγγελμα με την παροχή υπηρεσιών υγείας και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας, υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή τη διαχείριση υπηρεσιών υγείας. Η εξαίρεση αυτή αφορά κατά κύριο λόγο ιατρούς, νοσηλευτές, ψυχολόγους, μαίες, φαρμακοποιούς, διοικητικούς υπαλλήλους του τομέα της υγείας κλπ., εφόσον υπόκεινται σε καθήκον εχεμύθειας ή κώδικες δεοντολογίας, και ρυθμίζει, ευρύτερα, την επεξεργασία ευαίσθητων δεδομένων σε νοσηλευτικά ιδρύματα (Ιγγλεζάκης, 2003, σ. 231-234 Καρδασιάδου, 2006, σ. 96). Το ενισχυμένο νομικό πλαίσιο προστασίας που παρέχεται ήδη στα ευαίσθητα προσωπικά δεδομένα λόγω των συντρεχουσών επαγγελματικών υποχρεώσεων εχεμύθειας και απορρήτου καθιστά καταρχήν επιτρεπτή την επεξεργασία τους ακόμα και χωρίς την συγκατάθεση του ασθενή (Ιγγλεζάκης, 2003, σ. 230-231). Ωστόσο, πρέπει να σημειωθεί ότι η εξαίρεση ισχύει μόνο στο μέτρο που η επεξεργασία είναι αναγκαία για την πρόληψη, διάγνωση ή θεραπεία ασθένειας ή για την διαχείριση υπηρεσιών υγείας. Άρα, βάσει της διάταξης αυτής αλλά και του άρθρου 14 ν. 3418/2005 (Κώδικας Ιατρικής Δεοντολογίας), δεν επιτρέπεται η δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων ασθενών χωρίς την συγκατάθεσή τους σε επιστημονικές δημοσιεύσεις ή ανακοινώσεις των θεραπό

92 Δημήτρης Γούλας ντων ιατρών, πλην αν απαλειφθούν τα στοιχεία ταυτοποίησης των υποκειμένων, έτσι ώστε τα δεδομένα να καταστούν ανώνυμα (Αλεξανδροπούλου-Αιγυπτιάδου, 2007, σ. 66). Επίσης, βάσει της διάταξης αυτής δεν είναι επιτρεπτή η πρόσβαση στα ιατρικά δεδομένα των ασθενών από ιατρούς, νοσηλευτικό ή διοικητικό προσωπικό, εφόσον η επεξεργασία δεν είναι απολύτως αναγκαία για τον θεραπευτικό σκοπό ή για το διοικητικό έργο (Καρδασιάδου, 2006, σ. 96επ. Ιγγλεζάκης, 2003, σ. 233-234). Περίπτωση ε: Η επεξεργασία εκτελείται από Δημόσια Αρχή και είναι αναγκαία, μεταξύ άλλων, είτε για λόγους προστασίας της δημόσιας υγείας είτε για την άσκηση δημόσιου φορολογικού ελέγχου ή δημόσιου ελέγχου κοινωνικών παροχών. Τέτοια είναι π.χ. η περίπτωση της αποτροπής διάδοσης μολυσματικών νόσων ή του ελέγχου των δαπανών φορέων κοινωνικής ασφάλισης (Καρδασιάδου, 2006, σ. 81-82). Περίπτωση στ: Η επεξεργασία ευαίσθητων προσωπικών δεδομένων επιτρέπεται ακόμα και χωρίς συγκατάθεση του υποκειμένου, εφόσον πραγματοποιείται για ερευνητικούς και επιστημονικούς αποκλειστικά σκοπούς και υπό τον όρο ότι τηρείται η ανωνυμία και λαμβάνονται όλα τα απαραίτητα μέτρα για την προστασία των δικαιωμάτων των προσώπων στα οποία αναφέρονται. Επισημαίνεται συναφώς (Ιγγλεζάκης, 2003, σ. 241-242) ότι η εξαίρεση ισχύει σε περίπτωση επεξεργασίας των δεδομένων αποκλειστικά για επιστημονικούς και ερευνητικούς σκοπούς, αποκλειόμενης κάθε άλλης παράλληλης αξιοποίησής τους. Σε αυτό το πλαίσιο, όπως αναφέρθηκε ήδη, οι επιστημονικές δημοσιεύσεις θα πρέπει να εξασφαλίζουν την ανωνυμία του ασθενούς (Απόφαση ΑΠΔΠΧ 95/2002 Καρδασιάδου, 2006, σ. 94). Ωστόσο, η διάταξη δεν διευκρινίζει σε ποιο στάδιο θα πρέπει να λάβει χώρα η ανωνυμοποίηση των δεδομένων. Πάντως, ορθά επισημαίνεται (Καρδασιάδου, 2006, σ. 94-95) πως, εφόσον η ανωνυμοποίηση πραγματοποιηθεί σε στάδιο μεταγενέστερο της πρώτης συλλογής των δεδομένων, τότε θα πρέπει σε κάθε περίπτωση να έχει ληφθεί αρχικά η συγκατάθεση του ασθενούς. Επίσης, η επεξεργασία των ευαίσθητων προσωπικών δεδομένων για ερευνητικούς σκοπούς χωρίς την συγκατάθεση των υποκειμένων θα πρέπει να περιορίζεται μόνο στην απολύτως αναγκαία έκταση και με λήψη κάθε δυνατού μέτρου προστασίας της ιδιωτικής ζωής και της αξιοπρέπειας των ασθενών (Αποφάσεις ΑΠΔΠΧ 46/2004 και 47/2004). Εξάλλου, όπως ήδη αναφέρθηκε, ήδη κατά το άρθρο 2 ν. 2472/1997 εξαιρούνται από το πεδίο εφαρμογής του νόμου τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων.

Ηθικά Διλήμματα και Νέες Τεχνολογίες στην Άνοια 93 Η ΠΡΟΗΓΟΎΜΕΝΗ ΆΔΕΙΑ ΤΗΣ ΑΠΔΠΧ ΚΑΙ ΟΙ ΣΥΝΑΦΕΊΣ ΕΞΑΙΡΈΣΕΙΣ Ο ν. 2472/1997 θεσπίζει, κατά βάση, ένα σύστημα κατασταλτικού ελέγχου της επεξεργασίας προσωπικών δεδομένων (Ιγγλεζάκης, 2003, σ. 70 και 73). Ως εκ τούτου, βάσει του άρθρου 6 ο υπεύθυνος επεξεργασίας υποχρεούται καταρχήν απλώς σε έγγραφη γνωστοποίηση της επεξεργασίας στην ΑΠΔΠΧ. Ωστόσο, ειδικά όταν πρόκειται για την επεξεργασία ευαίσθητων προσωπικών δεδομένων, ο νόμος απαιτεί την χορήγηση προηγούμενης άδειας από την ΑΠΔΠΧ (άρθρο 7 παρ. 2). Η άδεια χορηγείται κατόπιν αίτησης του υπεύθυνου επεξεργασίας προς την ΑΠΔΠΧ. Η Αρχή εκδίδει την άδεια εφόσον συντρέχει μία από τις προϋποθέσεις επεξεργασίας ευαίσθητων δεδομένων που αναλύσαμε αμέσως παραπάνω. Στην άδεια ορίζονται οι πηγές και οι αποδέκτες των δεδομένων, καθώς και οργανωτικά και τεχνικά μέτρα ασφάλειας τα οποία πρέπει να τηρεί ο υπεύθυνος επεξεργασίας, σύμφωνα με το άρθρο 10 ν. 2472/1997 (Καρδασιάδου, 2006, σ. 83). Κατ εξαίρεση, πάντως, στο άρθρο 7Α περιγράφονται συγκεκριμένες περιπτώσεις κατά τις οποίες ο υπεύθυνος επεξεργασίας απαλλάσσεται τόσο από την υποχρέωση γνωστοποίησης όσο και από την υποχρέωση λήψης άδειας. Οι εξαιρέσεις αυτές έχουν ως κοινό στοιχείο ότι τα υπό επεξεργασία προσωπικά δεδομένα είτε δεν κοινοποιούνται σε τρίτους είτε ότι διασφαλίζονται ήδη από υποχρεώσεις εχεμύθειας ή απορρήτου που δεσμεύουν τους υπεύθυνους επεξεργασίας (Ιγγλεζάκης, 2003, σ. 74). Στο πλαίσιο της βιοϊατρικής έρευνας κρίσιμη είναι ιδίως η εξαίρεση της περίπτωσης δ του ίδιου άρθρου. Σύμφωνα με αυτή, δεν απαιτείται γνωστοποίηση ή άδεια για την επεξεργασία που αφορά δεδομένα υγείας και γίνεται από ιατρούς ή άλλα πρόσωπα που παρέχουν υπηρεσίες υγείας, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από το ιατρικό απόρρητο ή άλλο απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας, και τα δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους. Όπως διευκρινίζει όμως στη συνέχεια ο νόμος, στην εν λόγω απαλλαγή δεν εμπίπτουν «τα νομικά πρόσωπα ή οργανισμοί που παρέχουν υπηρεσίες υγείας, όπως κλινικές, νοσοκομεία, κέντρα υγείας, κέντρα αποθεραπείας και αποτοξίνωσης,ασφαλιστικά ταμεία και ασφαλιστικές εταιρίες, καθώς και οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν η επεξεργασία διεξάγεται στο πλαίσιο προγραμμάτων τηλεϊατρικής ή παροχής ιατρικών υπηρεσιών μέσω δικτύου». ΔΙΚΑΊΩΜΑ ΠΡΌΣΒΑΣΗΣ ΤΟΥ ΥΠΟΚΕΙΜΈΝΟΥ ΚΑΙ ΣΥΝΑΦΉ ΖΗΤΉΜΑΤΑ Ο ν. 2472/1997 ρυθμίζει τα δικαιώματα του υποκειμένου των δεδομένων στα άρθρα 11 έως και 14 (Κεφάλαιο Γ ). Συγκεκριμένα, τα δικαιώματα αυτά

94 Δημήτρης Γούλας αναλύονται στα δικαιώματα ενημέρωσης, πρόσβασης, αντίρρησης και προσωρινής δικαστικής προστασίας. Ιδιαίτερη χρησιμότητα στο πεδίο της βιοϊατρικής έρευνας παρουσιάζει ιδίως το δικαίωμα πρόσβασης (άρθρο 12 του νόμου). Βάσει αυτού το υποκείμενο δικαιούται, μεταξύ άλλων, να λαμβάνει γνώση όλων των προσωπικών δεδομένων που το αφορούν, των σκοπών της επεξεργασίας, της επεξεργασίας που έχει ήδη λάβει χώρα, καθώς και της τυχόν κοινοποίησης των δεδομένων σε τρίτους. Σύμφωνα δε με την παρ. 6 του άρθρου 12, δεδομένα που αφορούν την υγεία γνωστοποιούνται στο υποκείμενο μέσω ιατρού. Βεβαίως, όταν τα δεδομένα του ασκούντος το δικαίωμα πρόσβασης φυλάσσονται μαζί με άλλα, θα πρέπει να λαμβάνεται κάθε μέτρο διαφύλαξης των δεδομένων τρίτων προσώπων (Καρδασιάδου, 2006, σ. 103-104). Ζήτημα γεννάται, ωστόσο, αναφορικά με τα δεδομένα που δεν αναφέρονται ευθέως στο συγκεκριμένο πρόσωπο, αλλά εμμέσως συνδέονται με αυτό, όπως λ.χ. τα γενετικά δεδομένα ή τα εν γένει ιατρικά δεδομένα σχετικά με κληρονομικές ασθένειες, τα οποία ενδιαφέρουν τα μέλη της βιολογικής οικογένειας (Απόφαση ΑΠΔΠΧ 11/2003 Μάλλιος, 2006, σ. 218επ. Καρδασιάδου, 2006, σ. 104. Πρβλ. επίσης άρθρο 14 παρ. 8 ν. 3418/2005 - Κώδικας Ιατρικής Δεοντολογίας). Παρά την απόλυτη διατύπωση του άρθρου 12 ν. 2472/1997, γίνεται πάντως δεκτό πως σε ορισμένες εντελώς εξαιρετικές περιπτώσεις, όταν δηλαδή εκτιμάται βασίμως ότι η πληροφόρηση μπορεί να θέσει σε κίνδυνο την ζωή ή την υγεία του ασθενούς, επιτρέπεται ο περιορισμός ή και ο αποκλεισμός του δικαιώματος πρόσβασης του υποκειμένου στα δεδομένα που το αφορούν (Καρδασιάδου, 2006, σ. 105). Επίσης, υποστηρίζεται (Βιδάλης, 2006, 150-151) πως το υποκείμενο επιτρέπεται να αποκλεισθεί από την πρόσβαση στα υπό επεξεργασία δεδομένα του, εφόσον η πληροφόρηση θα μπορούσε να θίξει την αξιοπιστία διεξαγόμενης ιατρικής έρευνας (π.χ. λόγω χορήγησης εικονικού φαρμάκου) στην οποία το άτομο δέχθηκε να συμμετάσχει κατόπιν σχετικής ενημέρωσής του για τους σκοπούς της. Από την άλλη πλευρά, σύμφωνα με το άρθρο 10 του ν. 2619/1998, με τον οποίο κυρώθηκε στη χώρα μας η «Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία των ανθρωπίνων δικαιωμάτων και της αξιοπρέπειας του ατόμου σε σχέση με τις εφαρμογές της βιολογίας και της ιατρικής», ευρύτερα γνωστή και ως «Σύμβαση του Οβιέδο», παράλληλα με το δικαίωμα του ατόμου στην πληροφόρηση για την κατάσταση της υγείας του, κατοχυρώνεται και το δικαίωμά του να μην ενημερώνεται σχετικά, να αρνηθεί δηλαδή την πληροφόρηση. Ωστόσο, γίνεται δεκτό πως ο ιατρός οφείλει να ενημερώσει τον ασθενή για την κατάσταση της υγείας του, παρακάμπτοντας το δικαίωμά του στη μη γνώση, μόνον όταν η πληροφόρησή του είναι απολύτως αναγκαία για την προστασία της υγείας του μέσω της λήψης προληπτικών ή θερμαπευτικών μέτρων (Μάλλιος, 2006, 215-218).

Ηθικά Διλήμματα και Νέες Τεχνολογίες στην Άνοια 95 ΒΙΒΛΙΟΓΡΑΦΊΑ Αλεξανδροπούλου-Αιγυπτιάδου, Ε. (2007). Προσωπικά δεδομένα Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους. Αθήνα-Κομοτηνή: Εκδόσεις Αντ. Σάκκουλα Βιδάλης, Τ. (2006). «Τι λέμε και σε ποιον;...»: βαθμίδες εμπιστευτικότητας των ιατρικών δεδομένων στην κλινική έρευνα. Στο: Συνήγορος του Πολίτη (επιμ.), Ιατρικό Απόρρητο Πληροφορίες που αφορούν προσωπικά δεδομένα, ηλεκτρονικός ιατρικός φάκελος και αρχεία νοσοκομείων (σελ. 145-151). Αθήνα-Θεσσαλονίκη: Εκδόσεις Σάκκουλα. Ιγγλεζάκης, Ι. (2003). Ευαίσθητα προσωπικά δεδομένα Η επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων και οι συνέπειές της. Αθήνα-Θεσσαλονίκη: Εκδόσεις Σάκκουλα Καρδασιάδου, Ζ. (2006). Η προστασία των προσωπικών δεδομένων υγείας. Στο: Συνήγορος του Πολίτη (επιμ.), Ιατρικό Απόρρητο Πληροφορίες που αφορούν προσωπικά δεδομένα, ηλεκτρονικός ιατρικός φάκελος και αρχεία νοσοκομείων (σελ. 71-106). Αθήνα-Θεσσαλονίκη: Εκδόσεις Σάκκουλα. Κοσμάτος, Κ. (2006). Ψυχική ασθένεια και προσωπικά δεδομένα. Ζητήματα που προκύπτουν από την ικανότητα για συναίνεση. Στο: Συνήγορος του Πολίτη (επιμ.), Ιατρικό Απόρρητο Πληροφορίες που αφορούν προσωπικά δεδομένα, ηλεκτρονικός ιατρικός φάκελος και αρχεία νοσοκομείων (σελ. 153-166). Αθήνα- Θεσσαλονίκη: Εκδόσεις Σάκκουλα. Μάλλιος, Ε. (2006). Γενετικές εξετάσεις: το δικαίωμα μη γνώσης του υποκειμένου και τα όρια της γνώσης των τρίτων μελών της οικογένειάς του. Στο: Συνήγορος του Πολίτη (επιμ.), Ιατρικό Απόρρητο Πληροφορίες που αφορούν προσωπικά δεδομένα, ηλεκτρονικός ιατρικός φάκελος και αρχεία νοσοκομείων (σελ. 213-220). Αθήνα-Θεσσαλονίκη: Εκδόσεις Σάκκουλα. Bahr, J. & Quistorp, S. & Hoger, C. (1984). Datenschutz und Forschung: Konflikte und Lösungen. Praxis der Kinderpsychologie und Kinderpsychiatrie, 33(8), 296-301. Buchner, Β. (2013). Outsourcing in der Arztpraxis zwischen Datenschutz und Schweigepflicht. Medizinrecht, 31(6), 337 342. Heinemann, M. & Heinemann, D. (2013). Postmortaler Datenschutz. Datenschutz und Datensicherheit, 37(4), 242-245. Luttenberger, Ν. & Reischl, J. & Schröder, M. & Stürzebecher, C. (2004). Datenschutz in der pharmakogenetischen Forschung eine Fallstudie. Datenschutz und Datensicherheit, 28 (6), 356-363. Mand, E. (2005). Biobanken für die Forschung und informationelle Selbstbestimmung. Medizinrecht, 23(10), 565-575. Pöttgen, N. (2009), Medizinische Forschung und Datenschutz, Frankfurt am Main: Lang Verlag Wellbrock, R. (2003). Datenschutzrechtliche Aspekte des Aufbaus von Biobanken für Forschungszwecke. Medizinrecht, 21(2), 77-82.

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια