GDPR: Συχνές ερωτήσεις και απαντήσεις

Ο Κανονισμός (ΕΕ) 2016/679 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών» (GDPR) περιλαμβάνει το νέο, πιο αυστηρό πλαίσιο ως προς την προστασία και την δυνατότητα επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο Κανονισμός, που έχει ισχύ Νόμου για όλα τα Κράτη Μέλη της Ευρωπαϊκής Ένωσης, δημοσιεύθηκε στις 27 Απριλίου 2016 και σε κάθε περίπτωση ισχύει από την 25η Μάϊου 2018, χωρίς να χρειάζεται να ενσωματώσουν τα Κράτη Μέλη τις διατάξεις του στην εθνική τους νομοθεσία.
Παρέμβαση του Έλληνα Νομοθέτη μπορεί να υπάρξει. Η Ευρωπαϊκή Ένωση αφήνει το περιθώριο στα κράτη μέλη να χειριστούν ειδικές καταστάσεις και να  ρυθμίσουν λεπτομέρειες σε σχέση με το δικό τους δίκαιο, οι οποίες όμως  δεν  ανατρέπουν και δεν μπορούν να αλλάξουν ή αλλάζουν την κεντρική φιλοσοφία του κανονισμού και τις υποχρεωτικές διαδικασίες που τον διέπουν.
Είναι κάθε πληροφορία που αφορά ένα φυσικό πρόσωπο, το οποίο ταυτοποιείται ή μπορεί να ταυτοποιηθεί μέσω των στοιχείων αυτών. Τέτοια στοιχεία πχ μπορεί να είναι το πλήρες ονοματεπώνυμο, ο αριθμός τηλεφώνου, ταυτότητας, τραπεζικού λογαριασμού ή πιστωτικής κάρτας, ο ΑΜΚΑ, το ΑΦΜ. Δεδομένα που αφορούν την υγεία είναι δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με την σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανόμενης της παροχής υπηρεσιών υγειονομικής φροντίδας και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.
Πρόκειται για τα προσωπικά δεδομένα που πρέπει να προστατεύονται με αυξημένα μέτρα ασφάλειας διότι έχουν σημαντικό αντίκτυπο στα δικαιώματα των ατόμων στην ιδιωτικότητα. Τέτοια είναι τα δεδομένα που μπορούν να αποκαλύψουν την φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, τα γενετικά ή βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία ή την σεξουαλική ζωή του υποκειμένου.
Πρόκειται για κάθε πράξη που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα με ή χωρίς την χρήση αυτοματοποιημένων μέσων και αφορά ενδεικτικά την συλλογή, καταχώριση, οργάνωση, αποθήκευση, χρήση ή διαβίβαση αυτών. Η τήρηση αρχείου εμπίπτει στην έννοια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Υποκείμενο των δεδομένων είναι το κάθε φυσικό πρόσωπο, το ταυτοποιήσιμο δηλαδή πρόσωπο, η ταυτότητα του οποίου μπορεί να εξακριβωθεί άμεσα ή έμμεσα μέσω αναφοράς σε προσωπικά δεδομένα του. Υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο κάθε μορφής το οποίο καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Μπορεί να πρόκειται για εργαζόμενο ή και συνεργάτη. Και για αυτό το πρόσωπο ισχύουν οι υποχρεώσεις τήρησης διαδικασιών ασφάλειας και εμπιστευτικότητας που ισχύουν και για τον υπεύθυνο επεξεργασίας.
Η επεξεργασία προσωπικών δεδομένων διέπεται από συγκεκριμένες αρχές: υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο. συλλέγονται για καθορισμένους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία, περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία μέτρο, είναι ακριβή, και πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση των ανακριβών στοιχείων, διατηρούνται υπό μορφή που επιτρέπει ταυτοποίηση των υποκειμένων μόνον για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας.
Πρόκειται για την πλέον καινοτόμο αρχή του Κανονισμού, σύμφωνα με την οποία ο κάθε υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις υποχρεώσεις που προβλέπει ο Κανονισμός. Ο καθένας δηλαδή οφείλει να οργανωθεί εσωτερικά και προληπτικά, εφαρμόζοντας κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να λειτουργεί σύμφωνα με τον Κανονισμό.
Ο Κανονισμός δεν ορίζει ρητά τα μέτρα αυτά. Σε σχέση πάντως με ένα ιδιωτικό ιατρείο, τα τεχνικά μέτρα αφορούν πρωτίστως την ψευδωνυμοποίηση και κρυπτογράφηση, όπως και την αποθήκευση των στοιχείων. Γενικά, πρέπει να υφίστανται μέτρα και διαδικασίες ασφαλείας που να διασφαλίζουν το απόρρητο, την ακεραιότητα και την διαθεσιμότητα των δεδομένων σε διαρκή βάση.
Πρόκειται για την σαφή και με πλήρη επίγνωση δήλωση του υποκειμένου ότι δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα προσωπικά δεδομένα του. Το σχετικό αίτημα, άρα και η δήλωση συγκατάθεσης, πρέπει να είναι διατυπωμένα σε κατανοητή και εύκολα προσβάσιμη μορφή, το δε περιεχόμενο της δήλωσης – φόρμας συγκατάθεσης πρέπει να περιλαμβάνει βασική ενημέρωση του υποκειμένου επί του συνόλου των δικαιωμάτων του.
Ο ιατρός υποχρεούται στην τήρηση αρχείου, σε ηλεκτρονική ή μη ηλεκτρονική μορφή, το οποίο περιλαμβάνει δεδομένα που συνδέονται με την κατάσταση υγείας του ασθενούς. Το αρχείο περιλαμβάνει τα στοιχεία του ασθενούς καθώς και στοιχεία που σχετίζονται με την παροχή φροντίδας υγείας σε αυτόν, όπως το πρόβλημα υγείας, την διάγνωση, την αγωγή που ακολουθήθηκε. Ο ασθενής, ως υποκείμενο προσωπικών δεδομένων, έχει δικαίωμα να ζητήσει την χορήγηση αντιγράφου από το αρχείο του ιατρού καθώς και διόρθωση των δεδομένων του. Μπορεί επίσης να ζητήσει την διαγραφή των δεδομένων του από το αρχείο, εκτός εάν υφίσταται εκ του Νόμου υποχρέωση διατήρησής τους στο αρχείο του ιατρού.
Κατ’αρχήν η υποχρέωση αυτή αφορά επιχειρήσεις που απασχολούν προσωπικό 250 εργαζομένων και πάνω. Ωστόσο, επειδή ο ιατρός επεξεργάζεται εξ ορισμού δεδομένα που αφορούν την υγεία, είναι ορθότερο να δεχθούμε ότι ισχύει η υποχρέωση αυτή.
Ο ίδιος ο ασθενής μπορεί να λαμβάνει πληροφορίες που τον αφορούν. Δεδομένα υγείας του ασθενούς μπορούν να σταλούν και στο mail του, εφόσον έχει συγκατατεθεί σε αυτό και το έχει γνωστοποιήσει εγγράφως. Εάν συγγενής ή τρίτος ζητεί πληροφορίες, απαιτείται εξουσιοδότηση του ασθενούς. Ομοίως, συγκατάθεση του ασθενούς απαιτείται όταν ο ιατρός επιθυμεί να διαβιβάσει στοιχεία του προς τρίτον.
Πρόκειται για τις περιπτώσεις παραβίασης ασφάλειας, που οδηγούν σε τυχαία ή ηθελημένη γνωστοποίηση ή πρόσβαση εκ μέρους τρίτου σε δεδομένα προσωπικού χαρακτήρα, αλλά και σε καταστροφή, αλλοίωση ή απώλεια των δεδομένων αυτών. Ο σκοπός του Κανονισμού είναι η λήψη μέτρων, ώστε ακριβώς να προλαμβάνονται και να μην δημιουργούνται παρόμοιες καταστάσεις.
Σε περίπτωση διαρροής ή απώλειας δεδομένων, ο ιατρός υποχρεούται να γνωστοποιήσει το γεγονός προς την Εποπτική Αρχή (την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) εντός 72 ωρών από την γνώση του γεγονότος παραβίασης. Στην γνωστοποίηση πρέπει να περιλαμβάνεται η φύση της παραβίασης, ο προσδιορισμός των προσώπων, οι ενδεχόμενες συνέπειες της παραβίασης και μέτρα για την αντιμετώπισή τους. Παράλειψη της γνωστοποίησης αποτελεί επιβαρυντική περίσταση για την επιμέτρηση του προστίμου. Εάν η παραβίαση ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων, πρέπει να ανακοινωθεί και σε αυτούς.
Στο ιδιωτικό ιατρείο η επεξεργασία προσωπικών δεδομένων δεν είναι μεγάλης κλίμακας. Κατά συνέπεια, η συνεργασία με DPO είναι απολύτως προαιρετική.
Ο κάθε ιδιώτης ιατρός οφείλει να μπορεί να αποδείξει ότι έλαβε τεχνικά και οργανωτικά μέτρα για να συμμορφωθεί με τις διατάξεις του Κανονισμού. Περαιτέρω, τα διοικητικά πρόστιμα της τάξεως των 20.000.000€ ή στο 4% του συνολικού παγκόσμιου κύκλου εργασιών επιχείρησης αποτελούν κατά τον Κανονισμό το ανώτατο όριο προστίμου. Σε κάθε περίπτωση, για την επιβολή του προστίμου λαμβάνεται υπόψη η φύση, βαρύτητα, διάρκεια της παράβασης, ο δόλος ή αμέλεια που επέδειξε ο υπεύθυνος, οι ενέργειες στις οποίες αυτός προέβη για να μετριάσει την ζημία, το αν είχε λάβει μέτρα, εάν συνεργάστηκε με την Αρχή, αν είναι υπότροπος κλπ.