Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

Ο GDPR (General Data & Protection Rule) είναι νομοθεσία της Ευρωπαϊκής Ένωσης (Ε.Ε.) που θα εφαρμοστεί άμεσα στα κράτη μέλη στις 25 Μαΐου 2018. Πρόκειται για κανονισμό με τον οποίο το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ε.Ε. και η Ευρωπαϊκή Επιτροπή προτίθενται να ενισχύσουν και ενοποιήσουν την προστασία των δεδομένων για όλα τα άτομα εντός της Ε.Ε.

Η αποστολή του GDPR είναι η προστασία των προσωπικών δεδομένων, της ιδιωτικής ζωής, καθώς και η ασφάλεια. Τα προσωπικά δεδομένα αναφέρονται αλλά δεν περιορίζονται σε λεπτομέρειες όπως το όνομα και το επώνυμο, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου κλπ. Ταυτοχρόνως, τα ψευδώνυμα ή άλλα δεδομένα που μπορούν να συνδυαστούν άμεσα ή έμμεσα με ένα άτομο ή εταιρεία θεωρούνται επίσης δεδομένα προσωπικού χαρακτήρα.

Τα πρόστιμα βάσει του GDPR ανέρχονται σε μέγιστο ποσό 20 εκατ. Ευρώ ή 4% του κύκλου εργασιών. Όσον αφορά τους οργανισμούς παροχής υπηρεσιών υγείας και κοινωνικής πρόνοιας, κάθε πρόστιμο ενδέχεται να προκαλέσει απώλεια δημόσιας εμπιστοσύνης, να προσελκύσει την προσοχή των μέσων ενημέρωσης και συνεπώς να προκαλέσει σημαντική ζημιά στη φήμη. Ως εκ τούτου, είναι σημαντικό οι πάροχοι υγείας να διασφαλίσουν τη συμμόρφωσή τους.

Η σύντομη απάντηση είναι, ναι. Ως άτομο, το GDPR ορίζει πότε και πώς οι οργανισμοί και οι εταιρείες μπορούν να επεξεργάζονται ή να ελέγχουν τυχόν προσωπικά αναγνωρίσιμα δεδομένα που σχετίζονται με εσάς. Και αν είστε μέλος οργανισμού ή επιχείρησης που επεξεργάζεται ή ελέγχει προσωπικά δεδομένα οποιουδήποτε ατόμου της Ε.Ε., το GDPR ορίζει πότε μπορείτε να το κάνετε αυτό και πώς πρέπει να το κάνετε αυτό. Αυτό σημαίνει ότι το GDPR δεν ισχύει μόνο για επιχειρήσεις και οργανισμούς με φυσική παρουσία σε οποιοδήποτε κράτος μέλος της Ε.Ε., αλλά και εκείνους που προσφέρουν αγαθά ή υπηρεσίες σε πολίτες οποιουδήποτε κράτους μέλους της Ε.Ε., ακόμη και αν δεν έχουν φυσική παρουσία στην Ε.Ε.

Το GDPR ενισχύει τους ελέγχους που πρέπει να έχουν οι οργανισμοί υγείας για την επεξεργασία των προσωπικών δεδομένων, συμπεριλαμβανομένων των προσωπικών δεδομένων με ψευδώνυμα.

Οι κύριες επιπτώσεις και ενέργειες για τους Παρόχους Υγείας είναι οι ακόλουθες:

• Είναι απαραίτητη η τήρηση Ιατρικού Φακέλου Ασθενών σχετικό με την ειδικότητα του ιατρού ή των γενικότερων εργασιών του εργαστηρίου ή της κλινικής.
• Ο Ασθενής έχει δικαίωμα να ζητήσει και να λάβει αντίγραφο του ηλεκτρονικού ιατρικού του φακέλου σε μορφότυπο διαλειτουργικό (portability) & σύμφωνο με τα διεθνή standards.
• O Ασθενής έχει δικαίωμα να ζητήσει από τον πάροχο υγείας να αποστείλει όλο τον ηλεκτρονικό του ιατρικό φάκελο απευθείας σε άλλον πάροχο υγείας σε μορφότυπο διαλειτουργικό & σύμφωνο με τα διεθνή standards.
• Ορισμός υπεύθυνου προστασίας δεδομένων (DPO) για όλες τις δημόσιες αρχές & τους περισσότερους ιδιωτικούς παρόχους υγείας
• Οι πάροχοι είναι υποχρεωμένοι να αποδείξουν ότι συμμορφώνονται με τον νέο νόμο (η έννοια της «λογοδοσίας»).
• Είναι δυνατόν να αυξηθούν σημαντικά οι κυρώσεις για τυχόν παραβίαση του κανονισμού στους παρόχους υγείας. Σε περίπτωση παραβίασης ασφαλείας πρέπει προβαίνουν σε κοινοποίηση.
• Πρέπει να έχουν μελέτη εκτίμησης επιπτώσεων στην προστασία των προσωπικών & ευαίσθητων δεδομένων (Data Protection Impact Assessment)
• Τα ζητήματα προστασίας δεδομένων πρέπει να αντιμετωπίζονται σε όλες τις διαδικασίες πληροφόρησης των Ασθενών τόσο από το ιατρικό, παραϊατρικό προσωπικό όσο και από το διοικητικό προσωπικό
• Ειδικές απαιτήσεις για διαφάνεια και δίκαιη επεξεργασία.
• Αυστηρότεροι κανόνες, για την εφαρμογή, τήρηση και παρακολούθηση της συναίνεσης του Ασθενή που είναι η βάση για την επεξεργασία των ιατρικών δεδομένων.

• Η εφαρμογή του GDPR θα ενισχύσει την εμπιστοσύνη των ασθενών-πολιτών απέναντι στους παρόχους υγείας
• Οι πάροχοι υγείας πιστοποιούνται πλέον ότι προστατεύουν τα δικαιώματα των ασθενών που τους δίνουν τα δεδομένα τους

Το DPIA είναι ένας μηχανισμός για τον εντοπισμό, την ποσοτικοποίηση και τον μετριασμό των κινδύνων προστασίας προσωπικών δεδομένων. Αναλαμβάνεται η υποχρέωση να διασφαλίζεται ότι εφαρμόζονται κατάλληλοι έλεγχοι όταν εισάγεται οποιαδήποτε νέα διαδικασία, σύστημα ή τρόποι εργασίας που συνεπάγονται τη χρήση επεξεργασίας υψηλού κινδύνου (όπως η επεξεργασία δεδομένων για την υγεία).

Το GDPR απαιτεί από όλες τις δημόσιες αρχές να διαθέτουν έναν DPO. Ο ρόλος τους είναι να ενημερώνουν και να συμβουλεύουν τις οργανώσεις τους σχετικά με όλα τα ζητήματα σχετικά με τη συμμόρφωση με το GDPR.

Ο DPO θα είναι επίσης υπεύθυνος για την παρακολούθηση της συμμόρφωσης του οργανισμού με το GDPR.

Είναι σημαντικό να σημειωθεί ότι οι επεξεργαστές δεδομένων (δηλ. οι ιδιώτες Πάροχοι Υγείας) που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό οργανισμών υγείας ή κοινωνικής πρόνοιας πρέπει να ορίσουν έναν DPO εάν:

• είτε επεξεργάζονται ειδική κατηγοριών δεδομένων σε μεγάλη κλίμακα
• είτε εκτελούν τακτική ή συστηματική παρακολούθηση των δεδομένων των υποκειμένων

Ο υπεύθυνος προστασίας δεδομένων αναφέρετε απευθείας στο υψηλότερο επίπεδο διοίκησης ενός οργανισμού και μπορεί να μην πειθαρχήσει ή να απολύεται για την εκτέλεση των καθηκόντων του ως DPO.

Οι οργανισμοί πρέπει να διασφαλίζουν ότι ο ρόλος του DPO είναι ανεξάρτητος, χωρίς σύγκρουση συμφερόντων. Οι DPO μπορούν να μοιράζονται από πολλούς οργανισμούς που είναι «δημόσιες αρχές», λαμβανομένης υπόψη της οργανωτικής διάρθρωσης και του μεγέθους τους, και μπορούν να είναι είτε μέλη του προσωπικού είτε να εκπληρώνουν τα καθήκοντα βάσει σύμβασης παροχής υπηρεσιών, υπό την προϋπόθεση ότι δεν υπάρχει σύγκρουση συμφερόντων. Μια ομάδα DPO με μια ορισμένη επαφή για κάθε οργανισμό είναι μια αποδεκτή προσέγγιση.

Υπάρχουν συγκεκριμένοι ρόλοι που ο DPO δεν μπορεί να εκτελέσει σε συνδυασμό με αυτόν τον νέο ρόλο. Ως εκ τούτου, είναι σημαντικό να εξεταστούν οι κατευθυντήριες γραμμές της Ε.Ε. που αναφέρουν:

«Ο DPO δεν μπορεί να κατέχει θέση εντός του οργανισμού που τον οδηγεί να προσδιορίσει τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Λόγω της συγκεκριμένης οργανωτικής δομής σε κάθε οργανισμό, αυτό πρέπει να λαμβάνεται υπόψη κατά περίπτωση"

και επιπλέον:

«Κατά γενικό κανόνα, οι αντικρουόμενες θέσεις μπορεί να περιλαμβάνουν θέσεις ανώτερων διευθυντικών στελεχών (όπως διευθύνων σύμβουλος, επικεφαλής λειτουργός, επικεφαλής οικονομικός, επικεφαλής ιατρός, επικεφαλής τμήματος μάρκετινγκ, επικεφαλής ανθρώπινων πόρων ή επικεφαλής τμημάτων πληροφορικής) αλλά και άλλοι ρόλοι χαμηλότεροι στην οργανωτική δομή, εάν οι θέσεις ή οι ρόλοι αυτοί οδηγούν στον προσδιορισμό των σκοπών και των μέσων επεξεργασίας."

Ανατρέξτε στην ανωτέρω απάντηση 7 και 8.

Θα πρέπει να επιλέξετε μια συμβουλευτική ομάδα η οποία θα σας βοηθήσει να λάβετε όλα τα απαραίτητα μέτρα για την ορθή εφαρμογή του GDPR. Στην συνέχεια θα χρειασθεί να υπάρξει ένα έλεγχος συμμόρφωσης για να διαπιστωθεί η ορθή εφαρμογή του GDPR από ανεξάρτητο πιστοποιημένο φορέα. Οι ενέργειες οι οποίες θα πρέπει να γίνουν σε συνεργασία με τον σύμβουλο σας ακολουθούν:

1. Καταγραφή των πληροφοριών που κρατάτε (προσωπικά δεδομένα και ευαίσθητα προσωπικά δεδομένα)
2. Λογοδοσία & Διακυβέρνηση
   1. Λογοδοσία ( Η επιχείρησή σας πρέπει να διαθέτει κατάλληλη πολιτική προστασίας δεδομένων)
   2. Υπεύθυνος προστασίας δεδομένων (DPO). Η επιχείρησή σας πρέπει να διορίσει έναν επικεφαλής προστασίας δεδομένων ή υπεύθυνο προστασίας δεδομένων (DPO).
   3. Management για την Ευθύνη & Προστασία των δεδομένων. Οι υπεύθυνοι για τη λήψη αποφάσεων και τα βασικά άτομα στην επιχείρησή σας επιδεικνύουν υποστήριξη στη νομοθεσία για την προστασία των δεδομένων και προωθούν μια θετική κουλτούρα συμμόρφωσης όσον αφορά την προστασία των δεδομένων σε ολόκληρη την επιχείρηση.
   4. Information risks and data protection impact assessments. Η επιχείρησή σας πρέπει να διαχειρίζεται τους κινδύνους πληροφόρησης με δομημένο τρόπο, έτσι ώστε η διοίκηση να κατανοεί τον επιχειρηματικό αντίκτυπο των κινδύνων που σχετίζονται με τα προσωπικά δεδομένα και να τις διαχειρίζεται αποτελεσματικά.
   5. Data Protection by Design. Η επιχείρησή σας πρέπει να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να δείξει ότι έχετε εξετάσει και ενσωματώσει την προστασία των δεδομένων στις δραστηριότητές επεξεργασίας της.
   6. Κατάρτιση και ευαισθητοποίηση. Η επιχείρησή σας πρέπει να παρέχει εκπαίδευση & ευαισθητοποίηση σχετικά με την προστασία των δεδομένων για όλο το προσωπικό.
   7. Χρήση των υπό-επεξεργαστών (sub-processors). Η επιχείρησή σας πρέπει να ζητήσει προηγούμενη έγγραφη εξουσιοδότηση από τον υπεύθυνο επεξεργασίας δεδομένων (controller) πριν από την ανάληψη των υπηρεσιών ενός υπό-επεξεργαστή (ήτοι μιας εταιρίας ανάπτυξης λογισμικού).
   8. Επιχειρησιακή βάση. Εάν η επιχείρησή σας λειτουργεί εκτός της Ε.Ε, πρέπει να ορίσετε εγγράφως έναν εκπρόσωπο εντός της Ε.Ε.
   9. Κοινοποίηση παραβίασης. Η επιχείρησή πρέπει να διαθέτει αποτελεσματικές διαδικασίες για τον εντοπισμό, την αναφορά, τη διαχείριση και την επίλυση τυχόν παραβιάσεων προσωπικών δεδομένων.
3. Ατομικά Δικαιώματα
   1. Δικαίωμα πρόσβασης. Η επιχείρησή σας πρέπει να έχει μια διαδικασία για να ανταποκριθεί σε αίτημα των ελεγκτών δεδομένων για πληροφορίες (κατόπιν αίτησης ατόμων για πρόσβαση στα προσωπικά τους δεδομένα).
   2. Δικαίωμα διόρθωσης και ποιότητα δεδομένων. Η επιχείρησή σας πρέπει να έχει διαδικασίες για να διασφαλίσει ότι τα προσωπικά δεδομένα που διατηρείτε παραμένουν ακριβή και ενημερωμένα.
   3. Δικαίωμα διαγραφής, περιλαμβανομένης της διατήρησης και της διάθεσης των δεδομένων. Η επιχείρησή σας πρέπει να έχει μια διαδικασία για τη συστηματική και ασφαλή διάθεση των προσωπικών δεδομένων που δεν απαιτούνται πλέον σύμφωνα με τα συμφωνημένα χρονοδιαγράμματα, όπως αναφέρεται στη σύμβαση σας με τον υπεύθυνο επεξεργασίας δεδομένων (data controller).
   4. Δικαίωμα περιορισμού της επεξεργασίας. Η επιχείρησή σας πρέπει να διαθέτει διαδικασίες για την ανταπόκριση σε αίτημα των ελεγκτών δεδομένων για την καταστολή της επεξεργασίας συγκεκριμένων προσωπικών δεδομένων.
   5. Δικαίωμα φορητότητας δεδομένων. Η επιχείρησή σας πρέπει να ανταποκριθεί σε αίτημα του υπεύθυνου επεξεργασίας δεδομένων για την παροχή των προσωπικών δεδομένων που επεξεργάζεστε σε ηλεκτρονική μορφή και σε μορφότυπο διαλειτουργικό.
4. Ασφάλεια δεδομένων
   1. Πολιτική ασφάλειας. Η επιχείρησή σας πρέπει να διαθέτει πολιτική ασφάλειας πληροφοριών που υποστηρίζεται από κατάλληλα μέτρα ασφαλείας.