Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων

Με κριτήριο τη βασική διάκριση των προσωπικών δεδομένων σε απλά και ευαίσθητα, οι πληροφορίες που συνδέονται με την υγεία ενός ατόμου συνιστούν ευαίσθητα προσωπικά δεδομένα. Ως υγεία νοείται κάθε πληροφορία που ανάγεται τόσο στη βιολογική όσο και στην ψυχική κατάσταση υγείας του ανθρώπου (π.χ. ανικανότητα, αναπηρία). Στα δεδομένα υγείας εμπίπτουν ακόμα τα γενετικά δεδομένα, στο μέτρο που αποκαλύπτουν πληροφορίες σχετικά με την υγεία ή την προδιάθεση για ασθένεια. Τα βιομετρικά δεδομένα, όταν αποκαλύπτουν την ύπαρξη ή την προδιάθεση κάποιας ασθένειας ή αποκαλύπτουν τη γενετική ταυτότητα ενός προσώπου, εμπίπτουν και αυτά στα ευαίσθητα προσωπικά δεδομένα υγείας. Τέλος, τα δεδομένα που τηρούνται στα αρχεία των δωρητών και των ληπτών των ανθρωπίνων ιστών και οργάνων εμπίπτουν και αυτά στα ευαίσθητα προσωπικά δεδομένα.

Το πρόσωπο στο οποίο αφορούν τα δεδομένα υγείας (υποκείμενο των δεδομένων) έχει δικαίωμα πρόσβασης στα δεδομένα που συλλέγονται και υπόκεινται σε επεξεργασία (άρθρο 12 του ν.2472/1997). Το δικαίωμα αυτό προβλέπεται και στο άρθρο 14 παρ. 8 του ν.3418/2005, το οποίο ορίζει ότι ο ασθενής έχει δικαίωμα πρόσβασης στα ιατρικά αρχεία, καθώς και λήψης αντιγράφων του φακέλου του. Συνεπώς δεν μπορεί να αντιταχθεί κατά του υποκειμένου των δεδομένων το ιατρικό απόρρητο. Το δικαίωμα πρόσβασης απευθύνεται στον υπεύθυνο επεξεργασίας (ιατρό, νοσηλευτικό ίδρυμα) και μπορεί να ασκείται είτε από τον ίδιο τον ασθενή, ως υποκείμενο των δεδομένων, είτε από το νόμιμο αντιπρόσωπό του (αρ. 128επ ΑΚ, δηλ. το γονέα ή το δικαστικό συμπαραστάτη ή τον προσωρινό δικαστικό συμπαραστάτη), είτε , τέλος, από νομίμως εξουσιοδοτημένο πρόσωπο (π.χ. πληρεξούσιο δικηγόρο του υποκειμένου).

Πηγή: http://www.dpa.gr/

Βασικές Έννοιες-Ορισμοί


Τι είναι τα δεδομένα προσωπικού χαρακτήρα (ή αλλιώς προσωπικά δεδομένα);
Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο, όπως:

  • στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.),
  • φυσικά χαρακτηριστικά, εκπαίδευση,
  • εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ),
  • οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά), ενδιαφέροντα, δραστηριότητες, συνήθειες. 
Το άτομο (φυσικό πρόσωπο) στο οποίο αναφέρονται τα δεδομένα ονομάζεται υποκείμενο των δεδομένων.


Ποια είναι τα ευαίσθητα προσωπικά δεδομένα;
Ορισμένες κατηγορίες προσωπικών δεδομένων, που αναφέρονται στον πυρήνα της ιδιωτικής μας ζωής, χαρακτηρίζονται από το Νόμο ως ευαίσθητα και απολαύουν μεγαλύτερης προστασίας. Τα ευαίσθητα δεδομένα αναφέρονται αποκλειστικά σε:

  • στη φυλετική ή εθνική του προέλευση,
  • στα πολιτικά του φρονήματα,
  • στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις,
  • στη συμμετοχή του σε συνδικαλιστική οργάνωση,
  • στην υγεία του, στην κοινωνική του πρόνοια,
  • στην ερωτική του ζωή,
  • τις ποινικές διώξεις και καταδίκες του, καθώς και
  • στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων.

Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.



Τι σημαίνει “επεξεργασία προσωπικών δεδομένων”;
Είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.
Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που τηρεί και επεξεργάζεται προσωπικά δεδομένα ονομάζεται υπεύθυνος επεξεργασίας.
Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που επεξεργάζεται δεδομένα για λογαριασμό κάποιου υπεύθυνου επεξεργασίας ονομάζεται εκτελών την επεξεργασία.



Γιατί χρήζουν προστασίας τα προσωπικά δεδομένα;
Η ανάπτυξη της τεχνολογίας έχει αυξήσει τους κινδύνους για την ιδιωτική μας ζωή. Μέσα σε λίγα δευτερόλεπτα είναι δυνατό να αντληθούν διάφορα στοιχεία για την προσωπική, οικονομική ή και κοινωνική κατάσταση κάποιου προσώπου και το σημαντικότερο να συνδυασθούν με άλλες πηγές πληροφοριών, έτσι ώστε να οδηγήσουν σε μία συνολική καταγραφή της προσωπικότητάς του, στη σύνθεση δηλαδή του ατομικού του «προφίλ». Κάτω από τις συνθήκες αυτές δημιουργήθηκε η ανάγκη προστασίας του ατόμου από την ανεξέλεγκτη επεξεργασία πληροφοριών που το αφορούν.



Ποια είναι η νομοθεσία για τα προσωπικά δεδομένα στην Ελλάδα;
Ο Νόμος 2472/1997 ενσωματώνει στην ελληνική έννομη τάξη την ευρωπαϊκή οδηγία 95/46/ΕΚ που ορίζει ένα πλαίσιο κανόνων για την επεξεργασία των προσωπικών μας δεδομένων, κοινό σε όλες τις χώρες της Ευρωπαϊκής Ένωσης. Για το κρίσιμο θέμα της προστασίας των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες υπάρχει ο ειδικότερος νόμος 3471/2006 που ενσωματώνει στην ελληνική έννομη τάξη την ευρωπαϊκή οδηγία 2002/58/ΕΚ. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων Κανονισμός (GDPR) της Ευρωπαϊκής Ένωσης 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.
Μάθετε περισσότερα για την Αρχή Προστασίας Δεδομένων



Ποιους αφορά ο Νόμος για τα προσωπικά δεδομένα;
Ο Ν. 2472/1997 αφορά κάθε φυσικό πρόσωπο που βρίσκεται εν ζωή. Τα νομικά πρόσωπα δεν έχουν προσωπικά δεδομένα.



Πότε επιτρέπεται η επεξεργασία των προσωπικών δεδομένων;
Η επεξεργασία προσωπικών δεδομένων επιτρέπεται όταν:

  • έχει δοθεί η συναίνεση του υποκειμένου,
  • για την εκτέλεση σύμβασης,
  • η επεξεργασία προβλέπεται σε ειδικό νόμο,
  • για τη διαφύλαξη της ζωής ατόμων που δεν είναι σε θέση να παρέχουν τη συγκατάθεσή τους, στ) για έργα δημοσίου συμφέροντος ή για άσκηση δημόσιας εξουσίας, και
  • για την ικανοποίηση έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας και το οποίο υπερτερεί των δικαιωμάτων και συμφερόντων των υποκειμένων των δεδομένων


Πότε επιτρέπεται η επεξεργασία των ευαίσθητων προσωπικών δεδομένων;
Όταν η επεξεργασία αφορά ευαίσθητα προσωπικά δεδομένα, επιτρέπεται:

  • όταν έχει δοθεί η συναίνεση του υποκειμένου,
  • στον τομέα του εργατικού δικαίου, δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας,
  • για ζωτικό συμφέρον και
  • μετά από άδεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.


Τι σημαίνει "δίνω την συγκατάθεση μου για την επεξεργασία προσωπικών Δεδομένων";
Σημαίνει ότι δηλώνετε πως επιθυμείτε να επεξεργαστούν τα προσωπικά σας δεδομένα. Για να είναι έγκυρη η συγκατάθεση πρέπει:

  • να είναι ελεύθερη, δηλαδή να παρέχεται χωρίς καμία πίεση ή εξάρτηση,
  • να είναι ειδική, δηλαδή να αφορά συγκεκριμένα προσωπικά δεδομένα, να παρέχεται για συγκεκριμένο σκοπό και να αφορά συγκεκριμένο υπεύθυνο επεξεργασίας,
  • να εκφράζεται σαφώς και όχι να προκύπτει με έμμεσους τρόπους,
  • να πραγματοποιείται κατόπιν ειδικής ενημέρωσης από τον υπεύθυνο επεξεργασίας, ε) να είναι έγγραφη ειδικά για την επεξεργασία ευαίσθητων δεδομένων.
Η συγκατάθεσή σας μπορεί να ανακληθεί οποτεδήποτε, αλλά χωρίς αναδρομικό αποτέλεσμα.


Τι σημαίνει γνωστοποίηση και άδεια τήρησης αρχείου;
Κάθε υπεύθυνος επεξεργασίας οφείλει να γνωστοποιεί στην Αρχή την επεξεργασία προσωπικών δεδομένων που πραγματοποιεί, εκτός αν εμπίπτει σε μία από τις περιπτώσεις του αρ. 7Α του Ν. 2472/1997. Η Αρχή καταχωρεί τη γνωστοποίηση σε ειδικό μητρώο.
Όταν η επεξεργασία αφορά ευαίσθητα δεδομένα, ο υπεύθυνος επεξεργασίας μπορεί να την πραγματοποιήσει μόνο μετά από άδεια της Αρχής, η οποία χορηγείται με ειδικούς όρους και προϋποθέσεις. Άδεια επίσης μπορεί να απαιτείται για τη διαβίβαση δεδομένων σε χώρα εκτός Ε.Ε., καθώς και για τη διασύνδεση αρχείων.
Δείτε το μητρώο γνωστοποιήσεων που τηρεί η Αρχή Προστασίας Δεδομένων



Πώς μπορώ να γνωρίζω αν κάποιοι έχουν τα προσωπικά μου δεδομένα και τα χρησιμοποιούν παράνομα;
Η καλύτερη μέθοδος είναι η πρόληψη. Ο καθένας μας πρέπει να είναι ευαισθητοποιημένος, να μη δίνει τα στοιχεία του ανεξέλεγκτα, να περιορίζεται στα απολύτως απαραίτητα και, αν αντιμετωπίσει πρόβλημα, να ακολουθήσει τη διαδικασία που προβλέπει ο Ν. 2472/97.



Έχει η Αρχή στην κατοχή της αρχεία με προσωπικά μου δεδομένα;
ΟΧΙ. Στην Αρχή γνωστοποιείται μόνο η επεξεργασία αρχείων με προσωπικά δεδομένα. Η Αρχή δεν γνωρίζει το περιεχόμενο των αρχείων αλλά μόνο τα κύρια χαρακτηριστικά τους καθώς και τον υπεύθυνο επεξεργασίας των αρχείων.

Πηγή: http://www.dpa.gr

Δικαιώματα Πολιτών


Το δικαίωμα ενημέρωσης (άρ.12, 13 και 14 GDPR)
Όταν κάποιος επεξεργάζεται προσωπικά σας δεδομένα, οφείλει να σας ενημερώσει για τα εξής:

  • την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου,
  • το σκοπό της επεξεργασίας των δεδομένων που συλλέγει,
  • τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων και
  • τον τρόπο με τον οποίο μπορείτε να ασκήσετε το δικαίωμα πρόσβασης.


Το δικαίωμα πρόσβασης (άρ. 14 GDPR)
Έχετε δικαίωμα να γνωρίζετε εάν προσωπικά δεδομένα που σας αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Συγκεκριμένα έχετε δικαίωμα να ζητείτε και να λαμβάνετε από τον υπεύθυνο επεξεργασίας, χωρίς καθυστέρηση και κατά τρόπο εύληπτο και σαφή, πληροφορίες για τα δεδομένα που σας αφορούν, όπως την φύση τους, την προέλευση τους, τους σκοπούς της επεξεργασίας και τους αποδέκτες τους.
Για να ασκήσετε το δικαίωμα πρόσβασης σας ξεκινήστε στέλνοντας μια συστημένη επιστολή στον υπεύθυνο επεξεργασίας. Κρατήστε αντίγραφο της επιστολής, την ταχυδρομική απόδειξη, και απάντηση/εις που τυχόν θα σας στείλουν. Η επιστολή είναι απλή:
Κύριε/κυρία … Παρακαλώ, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Προσωπικών δεδομένων  679/2016 άρθρο 14, ενημερώστε με γραπτώς και με σαφήνεια ποια προσωπικά μου δεδομένα τηρείτε στα αρχεία σας …
Ο υπεύθυνος επεξεργασίας οφείλει να σας απαντήσει εγγράφως εντός δεκαπέντε (15) ημερών.
Σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντηση του δεν είναι ικανοποιητική, τότε μπορείτε να υποβάλετε αναφορά/καταγγελία στην Αρχή και να ζητήσετε να εξετάσει το αίτημα σας.


 
Το δικαίωμα αντίρρησης (άρ. 15, 16, 18 GDPR)
Έχετε δικαίωμα να προβάλετε αντιρρήσεις με αίτημά σας προς τον υπεύθυνο επεξεργασίας και να απαιτήσετε:

  • τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που σας αφορούν είτε τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα.
  • τον περιορισμό της επεξεργασίας όταν ισχύει ένας από τους περιοριστικά αναφερόμενους στον κανονισμό λόγους
  • τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν για τους αναφερόμενους στον κανονισμό λόγους (Περιορισμός Δικαιώματος στη λήθη: ύπαρξη νομικής υποχρέωσης προς εξυπηρέτηση δημοσίου συμφέροντος, δικαιώματα άλλων προσώπων, σκοποί επιστημονικής ή ιστορικής έρευνας που επιβάλλουν τη διατήρηση των δεδομένων).

Για να ασκήσετε το δικαίωμα αντίρρησης σας ξεκινήστε στέλνοντας μια συστημένη επιστολή στον υπεύθυνο επεξεργασίας. Κρατήστε αντίγραφο της επιστολής, την ταχυδρομική απόδειξη, και απάντηση/εις που τυχόν θα σας στείλουν. Η επιστολή είναι απλή:
Κύριε/κυρία … Παρακαλώ, σύμφωνα με το Γενικό Κανονισμό Προστασίας Προσωπικών δεδομένων  679/2016, άρθρα 15,16,18 διορθώστε ως εξής (…) ή διαγράψτε τα προσωπικά μου δεδομένα που τηρείτε στα αρχεία σας.
Ο υπεύθυνος επεξεργασίας οφείλει να σας απαντήσει εγγράφως εντός δεκαπέντε (15) ημερών.
Σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντηση του δεν είναι ικανοποιητική, τότε μπορείτε να υποβάλετε αναφορά/καταγγελία στην Αρχή και να ζητήσετε να εξετάσει το αίτημα σας.



Το δικαίωμα φορητότητας (άρ.20 GDPR)
Έχετε δικαίωμα να αιτηθείτε από τον υπεύθυνο επεξεργασίας την λήψη όλων των προσωπικών και των ευαίσθητων προσωπικών δεδομένων που σας αφορούν και να τα διαβιβάζετε σε άλλον υπεύθυνο επεξεργασίας.
 

Συχνές Ερωτήσεις - Απαντήσεις

 

Απαιτείται το Νοσοκομείο όπως κάθε φορέας παροχής υπηρεσιών υγείας να έχει οπωσδήποτε λάβει την προηγούμενη συγκατάθεση κάθε ασθενούς για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα, προκειμένου να του παράσχει υπηρεσίες υγείας;

Όχι, δεν απαιτείται.



Απαιτείται το Νοσοκομείο όπως κάθε φορέας παροχής υπηρεσιών υγείας να έχει οπωσδήποτε λάβει την προηγούμενη συγκατάθεση κάθε εργαζομένου του για την επεξεργασία των ευαίσθητων δεδομένων του προσωπικού χαρακτήρα, στο πλαίσιο της εργασιακής του σχέσης;

Όχι, δεν απαιτείται.

Δικαιούται ένας ασθενής να λάβει αντίγραφα του ιατρικού του φακέλου από το Νοσοκομείο, ως υπεύθυνο επεξεργασίας;

Ναι, κάθε ασθενής ως υποκείμενο δεδομένων προσωπικού χαρακτήρα, έχει δικαίωμα να λαμβάνει γνώση του ιατρικού του φακέλου και να λαμβάνει αντίγραφα αυτού.

Δικαιούται ασθενής, ως υποκείμενο δεδομένων, να ζητήσει από το Νοσοκομείο να διαγράψει τον ιατρικό του φάκελο από τα αρχεία του;

Όχι, το δικαίωμα του υποκειμένου των δεδομένων «να λησμονηθεί» και το δικαίωμα διαγραφής των δεδομένων του (Δικαίωμα διαγραφής, «δικαίωμα στη λήθη» / Right to be forgotten), όπως κατοχυρώνεται στις διατάξεις του άρθρου 17 του Γ.Κ.Π.Δ., δεν εφαρμόζεται στην επεξεργασία δεδομένων στον τομέα της παροχής υπηρεσιών υγείας, λαμβανομένων υπόψη των διατάξεων της παρ. 3 του άρθρου αυτού.

Δικαιούται το Νοσοκομείο, ως υπεύθυνος επεξεργασίας, να χορηγήσει αντίγραφα του ιατρικού φακέλου ασθενούς, που έχει αποβιώσει, σε τρίτο;

Ναι. Εξαιρούνται του προστατευτικού πεδίου εφαρμογής των ρυθμίσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα οι θανόντες.

Δικαιούται τρίτος να λάβει από το Νοσοκομείο, ως υπεύθυνο επεξεργασίας, αντίγραφα ιατρικού φακέλου ασθενούς;

Ναι, αλλά για τη νομιμότητά της διαβίβασης των αντιγράφων του ιατρικού φακέλου του ασθενούς σε τρίτο, απαιτούνται σωρευτικά (όπως για κάθε άλλη επεξεργασία δεδομένων προσωπικού χαρακτήρα) καταρχήν: (α) η ύπαρξη ενός νόμιμου, καθορισμένου και σαφή σκοπού επεξεργασίας, (β) η συνδρομή μίας τουλάχιστον από τις νομικές βάσεις, που αναφέρονται στο άρθρο 9 παρ. 2 του Γ.Κ.Π.Δ. για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (ευαίσθητα δεδομένα) και (γ) η διασφάλιση της τήρησης όλων των θεμελιωδών αρχών, που διέπουν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Ως προς την εισαγγελική παραγγελία, η Α.Π.Δ.Π.Χ. έχει κατ’ επανάληψη κρίνει ότι αυτή δεν δεσμεύει το φορέα παροχής υπηρεσιών υγείας, ως υπεύθυνο επεξεργασίας, ως προς τη διαβίβαση. Ο φορέας παροχής υπηρεσιών υγείας, ως υπεύθυνος επεξεργασίας, οφείλει σε κάθε περίπτωση να εξετάζει τη συνδρομή των προαναφερόμενων προϋποθέσεων για τη νομιμότητα της διαβίβασης στον αιτούντα τρίτο.

Δικαιούται συγγενής ασθενούς να λάβει από το Νοσοκομείο, ως υπεύθυνο επεξεργασίας, αποτελέσματα εξετάσεων του ασθενούς, εφόσον αυτός δεν είναι σε θέση να τα παραλάβει ο ίδιος;

Ναι, εφόσον ο ασθενής που δεν είναι σε θέση να παραλάβει ο ίδιος τα αποτελέσματα των εξετάσεών του (πχ. διότι αναρρώνει), έχει εξουσιοδοτήσει νομίμως συγκεκριμένο συγγενή του να τα παραλάβει στο όνομα και για λογαριασμό του, αυτός ο νομίμως εξουσιοδοτημένος συγγενής του ασθενούς ταυτίζεται με το υποκείμενο των δεδομένων και ασκεί το δικαίωμα πρόσβασης στο όνομα και για λογαριασμό του, σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 15 του Γ.Κ.Π.Δ.

Δικαιούται δικηγόρος να λάβει από το Νοσοκομείο, ως υπεύθυνο επεξεργασίας, δεδομένα προσωπικού χαρακτήρα εντολέα του;

Ναι, αρκεί ο δικηγόρος να είναι νόμιμα εξουσιοδοτημένος από το υποκείμενο, βάσει είτε πληρεξούσιου εγγράφου είτε έγγραφης εξουσιοδότησης θεωρημένης από δημόσια αρχή για το γνήσιο της υπογραφής του υποκειμένου των δεδομένων. Αντίθετα, δεν επιτρέπεται η χορήγηση σε δικηγόρο δεδομένων προσωπικού χαρακτήρα – και, μάλιστα, ευαίσθητων – του υποκειμένου των δεδομένων στη βάση της απλής διαβεβαίωσης του δικηγόρου ότι του έχει δοθεί σχετικά νόμιμη προφορική εντολή από το υποκείμενο σύμφωνα με τις σχετικές διατάξεις του Ν.4194/2013 (Κώδικας περί Δικηγόρων).

Δικαιούται φορέας παροχής υπηρεσιών υγείας να παράσχει τηλεφωνικά πληροφορίες για την κατάσταση της υγείας ασθενούς (και, μάλιστα αποτελέσματα εξετάσεών του);

Όχι, η δυνατότητα παροχής πληροφοριών από τηλεφώνου σχετικά με την κατάσταση της υγείας ασθενούς πρέπει να αποκλειστεί, λόγω των κινδύνων που εγκυμονεί πρωτίστως για τους ασθενείς, αλλά και τους φορείς παροχής υπηρεσιών υγείας, ως υπευθύνους επεξεργασίας.

Μπορεί ένα νοσηλευτικό ίδρυμα να αποστείλει ιατρικές εξετάσεις ασθενούς και αποτελέσματά τους σε άλλα νοσηλευτικά ιδρύματα, στη λογική λήψης «δεύτερης γνώμης» και με ποιο τρόπο;

Ναι, εφόσον απαιτείται είναι δυνατή η αποστολή από νοσηλευτικό ίδρυμα, ως υπεύθυνο επεξεργασίας, ιατρικών εξετάσεων ασθενούς και των αποτελεσμάτων τους σε άλλα νοσηλευτικά ιδρύματα. Σε κάθε περίπτωση όμως, το πρώτο νοσηλευτικό ίδρυμα, ως υπεύθυνος επεξεργασίας, οφείλει να ενημερώσει προηγουμένως τον ασθενή για τους αποδέκτες των δεδομένων του. Όσον αφορά ειδικότερα τον τρόπο της διαβίβασης, θα πρέπει να διασφαλίζεται η τήρηση της αρχής της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, με τη λήψη όλων των ενδεδειγμένων μέτρων για τη διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας.

Έχουν υποχρέωση τα νοσηλευτικά ιδρύματα ή άλλοι φορείς παροχής υπηρεσιών υγείας να διαθέτουν τα δεδομένα αγορών και αναλώσεων φαρμάκων σε εταιρείες στατιστικής ανάλυσης και μελετών;

Ναι, τα δεδομένα αγορών και αναλώσεων φαρμάκων, εφόσον είναι απολύτως ανωνυμοποιημένα, δύνανται ενδεχομένως να χορηγηθούν, πχ. στη βάση των διατάξεων για τη διάθεση ανοικτών δεδομένων, εφόσον υποστηρίζουν ήδη τη διαδικασία ανωνυμοποίησης και ανάρτησης στο διαδίκτυο των δεδομένων αυτών.

Μπορεί ένας ερευνητής να ζητήσει να έχει πρόσβαση στα αρχεία του νοσηλευτικού ιδρύματος για το σκοπό της διενέργειας επιστημονικής έρευνας;

Ναι. Η Α.Π.Δ.Π.Χ κρίνει παγίως (βλ. σχετικές αποφάσεις 46/200447/200416/200532/2006) ότι η διενέργεια επιστημονικής έρευνας συνιστά νόμιμο σκοπό επεξεργασίας, μεταξύ άλλων, και λόγω του ότι σύμφωνα με το άρθρο 16 παρ. 1 του Συντάγματος η ανάπτυξη και η προαγωγή της έρευνας αποτελεί υποχρέωση του Κράτους. Η πρόσβαση στα αρχεία του νοσηλευτικού ιδρύματος συνιστά επεξεργασία ευαίσθητων προσωπικών δεδομένων. Προκειμένου η επεξεργασία να είναι νόμιμη θα πρέπει το νοσηλευτικό ίδρυμα να ζητήσει την άδεια της Α.Π.Δ.Π.Χ για να επιτραπεί η πρόσβαση του ερευνητή στα αρχεία του. Η Α.Π.Δ.Π.Χ με τη σχετική άδεια καθορίζει τους όρους και τις προϋποθέσεις για την προστασία των δικαιωμάτων των ασθενών (ανωνυμοποίηση δεδομένων, καταγραφή των δεδομένων εντός του χώρου του νοσηλευτικού ιδρύματος, κ.λπ.).

Μπορεί ένας Ιδιώτης Ιατρός να χρησιμοποιήσει στοιχεία από το ιατρικό αρχείο που τηρεί και να τα δημοσιεύσει σε ένα επιστημονικό άρθρο;

Ναι. Η διεξαγωγή επιστημονικής έρευνας συνιστά νόμιμο σκοπό επεξεργασίας, μεταξύ άλλων, και λόγω του ότι, σύμφωνα με το άρθρο 16 παρ. 1 του Συντάγματος, η ανάπτυξη και η προαγωγή της έρευνας αποτελεί υποχρέωση του Κράτους. Η δημοσίευση στοιχείων του ιατρικού φακέλου του ασθενούς, από τα οποία προκύπτει η ταυτότητα του ασθενούς, συνιστά επεξεργασία ευαίσθητων προσωπικών δεδομένων. Προκειμένου η επεξεργασία αυτή να είναι νόμιμη θα πρέπει ο ιδιώτης ιατρός να ζητήσει άδεια από την Α.Π.Δ.Π.Χ.. Αντίθετα, η δημοσίευση στοιχείων του ιατρικού φακέλου του ασθενούς κατά τρόπο που να μην είναι αμέσως ή εμμέσως προσδιορίσιμη η ταυτότητα του ασθενούς, δεν συνιστά επεξεργασία προσωπικών δεδομένων που εμπίπτει στο ρυθμιστικό πεδίο του νόμου για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Μπορούν οι φορολογικές αρχές να έχουν πρόσβαση στους ιατρικούς φακέλους των ασθενών;

Ναι. Η πρόσβαση στους ιατρικούς φακέλους των ασθενών από τις φορολογικές αρχές για το σκοπό του δημόσιου φορολογικού ελέγχου (π.χ. Σ.Δ.Ο.Ε.) συνιστά νόμιμο σκοπό επεξεργασίας, εφόσον προβλέπεται σχετική αρμοδιότητα των αρχών στη σχετική νομοθεσία. Για την επεξεργασία αυτή δεν απαιτείται η έκδοση άδειας προς το νοσηλευτικό ίδρυμα (άρθρο 7Α παρ. 1 στοιχ. δ΄), ενώ παράλληλα απαλλάσσεται και το νοσηλευτικό ίδρυμα από την υποχρέωση να ενημερώσει προηγουμένως τους ασθενείς. Αυτό προβλέπεται και στο άρθρο 82 παρ. 2 του Κώδικα Φορολογίας Εισοδήματος, όπως τροποποιήθηκε με τη διάταξη του άρθρου 32 παρ.3 του ν.3986/2011.

Είναι νόμιμη η εγκατάσταση καμερών σε νοσηλευτικά ιδρύματα;

Ναι. Η εγκατάσταση καμερών σε νοσηλευτικά ιδρύματα είναι νόμιμη για το σκοπό της ασφάλειας προσώπων και αγαθών, όπου κατ’ αρχήν δεν μπορεί να έχει πρόσβαση ένας επισκέπτης ή ασθενής (άρθρο 20 παρ. 1 της οδηγίας 1/2011). Η εγκατάσταση καμερών σε νοσηλευτικά ιδρύματα για το σκοπό της παροχής υπηρεσιών υγείας είναι νόμιμη υπό τις προϋποθέσεις που θέτει η παράγραφος 2 του άρθρου 20 της Οδηγίας 1/2011 της Α.Π.Δ.Π.Χ..

Περισσότερες Πληροφορίες
Οι παραπάνω πληροφορίες αντλήθηκαν από τις επίσημες ιστοσελίδες του Υπουργείου Υγείας και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.). Για περισσότερες πληροφορίες σχετικά με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (Γ.Κ.Π.Δ.) μπορείτε να ανατρέξετε σε σχετικές ανακοινώσεις στις ιστοσελίδες του Υπουργείου Υγείας και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
 

Προσφυγή στην Αρχή Προστασίας


Στην περίπτωση που θεωρείτε ότι θίγεται κατά οποιονδήποτε τρόπο η προστασία των προσωπικών σας δεδομένων, μπορείτε να προσφύγετε στην Αρχή Προστασίας Δεδομένων. Σε περίπτωση άσκησης του δικαιώματος πρόσβασης ή αντίρρησης θα πρέπει πρώτα να απευθυνθείτε στον υπεύθυνο επεξεργασίας και μόνο εφόσον αυτός δεν ικανοποιήσει το αίτημα σας να προσφύγετε στην Αρχή. Μάθετε περισσότερα για την άσκηση των δικαιωμάτων σας. Μπορείτε επίσης να υποβάλλετε στην Αρχή ερώτημα σχετικά με ζητήματα προστασίας προσωπικών δεδομένων που σας απασχολούν. Η Αρχή μπορεί να θέτει στο αρχείο καταγγελίες ή ερωτήματα που κρίνονται ως αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικά ή ανώνυμα.


Πώς υποβάλλεται μια προσφυγή/καταγγελία ή ένα ερώτημα;
Μπορείτε να κατεβάσετε το ειδικό έντυπο προσφυγής/ καταγγελίας εδώ ή το ειδικό έντυπο ερωτήματος εδώ, να το συμπληρώσετε και να το αποστείλετε στην Αρχή ταχυδρομικώς, με φαξ ή ηλεκτρονικό ταχυδρομείο ή αυτοπροσώπως στα γραφεία της (ώρες υποδοχής κοινού 09:00 – 13:00 - δείτε Στοιχεία Επικοινωνίας).


Ποια είναι η διαδικασία εξέτασης μιας προσφυγής/ καταγγελίας ή ενός ερωτήματος από την Αρχή;
Κάθε προσφυγή/καταγγελία ή ερώτημα δημιουργούν νέα υπόθεση που χρεώνεται σε συγκεκριμένο εισηγητή της Αρχής.
Η Αρχή σας ενημερώνει με έγγραφο της για τον μοναδικό κωδικό της υπόθεσης σας (στον οποίο πρέπει να αναφέρεστε κάθε φορά που έρχεστε σε επικοινωνία μαζί μας),  το μοναδικό σας PIN για χρήση του τηλεφωνικού κέντρου της Αρχής, καθώς και τον εισηγητή της υπόθεσης σας.
Η υπόθεση εξετάζεται από τον εισηγητή και αν κριθεί απαραίτητο συζητείται στο Συμβούλιο της Αρχής, οπότε και εκδίδεται σχετική Απόφαση. Η απάντηση ή Απόφαση της Αρχής αποστέλλεται σε κάθε περίπτωση στον καταγγέλοντα.
Καθόλη τη διάρκεια εξέτασης της υπόθεσης, μπορείτε να ενημερώνεστε για την εξέλιξη της υπόθεσης σας μέσω του τηλεφωνικού κέντρου της Αρχής με χρήση του PIN και του κωδικού υπόθεσης σας.
Η Αρχή μπορεί να επιβάλλει μόνο διοικητικές κυρώσεις στον καταγγελλόμενο, εφόσον κρίνει ότι αυτό απαιτείται. Μπορεί επίσης να παραπέμψει την υπόθεση στον αρμόδιο Εισαγγελέα.
Οι αποφάσεις της Αρχής προσβάλλονται στο Συμβούλιο της Επικρατείας. 
Για επιδίκαση αποζημιώσεων, ο καταγγέλλων θα πρέπει να προσφύγει στα αρμόδια δικαστήρια.

Πηγή: http://www.dpa.gr