Skip to main content

Ο νόμος περί Προσωπικών Δεδομένων και οι επιχειρήσεις του κλάδου της Υγείας

Από την έντυπη έκδοση

Της Ιωάννα Μιχαλοπούλου, LL.M. με εξειδίκευση σε θέματα Health Data.

Στις 29.8.2019 εκδόθηκε ο εφαρμοστικός νόμος (Ν. 4624/2019) του Ευρωπαϊκού Κανονισμού Προσωπικών Δεδομένων γνωστός ως GDPR, ο οποίος αναμενόταν εδώ και τρία χρόνια περίπου, ήτοι από την έκδοση του τελευταίου το 2016. Συγκεκριμένα, ο νέος νόμος θέτει ως παρέκκλιση την απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σύμφωνα με το GDPR από δημόσιους φορείς, στους οποίους επιφυλάσσει εν γένει προνομιακή μεταχείριση σε σχέση με τους ιδιωτικούς.

Περαιτέρω, θεσμοθετεί απαγορεύοντας πλήρως τη χρήση γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής, χωρίς όμως να κάνει καμία άμεση αναφορά στη χρήση της νέας γενιάς δεδομένων, ήτοι των βιομετρικών, τα οποία ούτως ή άλλως ρυθμίζονται ευθέως  από το GDPR. 

Επιπροσθέτως, ορίζεται ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα ακόμα και ειδικών κατηγοριών από δημόσιο σε δημόσιο ή ιδιωτικό φορέα επιτρέπεται εφόσον κάτι τέτοιο κρίνεται απαραίτητο για τον διαβιβάζοντα ή τον τρίτο για την εκτέλεση των καθηκόντων του ή ο τρίτος έχει έννομο συμφέρον να είναι σε γνώση της διαβίβασης και παράλληλα το υποκείμενο δεν έχει έννομο συμφέρον να μη διαβιβαστούν τα δεδομένα που το αφορούν.  

Εργασιακά- Απασχόληση
Σε ό,τι αφορά τον τομέα της απασχόλησης, δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία εφόσον αυτό είναι απολύτως απαραίτητο πριν ή μετά τη σύναψη εργασίας, ενώ όταν κατ’ εξαίρεση είναι απαραίτητη ως νόμιμη βάση η συγκατάθεση του υποκειμένου θα πρέπει να διαφαίνεται ότι αποτελεί αποτέλεσμα ελεύθερης επιλογής του λαμβάνοντας υπόψη την εξάρτηση στη σύμβαση εργασίας του εργαζομένου και τις περιστάσεις υπό τις οποίες χορηγήθηκε. Σημειωτέον πως η συγκατάθεση του εργαζομένου  θα πρέπει να διακρίνεται από τη σύμβαση εργασίας. 

* Δεδομένα από καταγραφή κλειστού κυκλώματος: Σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής, αυτή επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών, ενώ τα δεδομένα αυτά δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο αξιολόγησης αποδοτικότητας των εργαζομένων.  
* Επεξεργασία και Πρόσβαση σε δεδομένα: Επισημαίνεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται και στην περίπτωση υπεροχής του δικαιώματος ελευθερίας της έκφρασης και πληροφόρησης έναντι της προστασίας προσωπικών δεδομένων. Σε ειδική πρόβλεψη προέβη ο νομοθέτης ιδίως σε ό,τι αφορά το δικαίωμα πρόσβασης και διόρθωσης του υποκειμένου σε σχέση με την επεξεργασία των δεδομένων του για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον.
* Περιορισμός Δικαιωμάτων Υποκειμένων: Πρόβλεψη για επεξεργασία δεδομένων προσωπικού χαρακτήρα χωρίς συγκατάθεση του υποκειμένου, υπό την προϋπόθεση του υπέρτερου συμφέροντος του υποκειμένου με τήρηση ειδικών προϋποθέσεων για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων, υφίσταται στο νέο νόμο. 
Έντονα διαφαίνεται ο περιορισμός των δικαιωμάτων του υποκειμένου των προσωπικών δεδομένων, δυνατότητα η οποία παρέχεται στα κράτη-μέλη βάσει του GDPR. Ειδικότερα, υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων για πληροφορίες που παρέχονται εάν τα δεδομένα συλλέγονται από το ίδιο το υποκείμενο με σκοπό διαφορετικό από την αρχική συλλογή τους δεν υφίσταται όταν ο σκοπός είναι συμβατός με τον αρχικό σκοπό συλλογής τους και κυρίως αν κρίνεται ότι το ενδιαφέρον του υποκειμένου των δεδομένων δεν θεωρείται ιδιαίτερα υψηλό.

Το δικαίωμα πρόσβασης του υποκειμένου δεν ισχύει όταν η παροχή πληροφοριών σε αυτό θα απαιτούσε δυσανάλογη προσπάθεια και τα απαραίτητα οργανωτικά και τεχνικά μέτρα καθιστούν αδύνατη την επεξεργασία για άλλους σκοπούς. Ενώ το δικαίωμα διαγραφής δεν υφίσταται εάν δεν είναι δυνατή η διαγραφή ή είναι δυνατή με δυσανάλογα μεγάλη προσπάθεια εκ μέρους του υπευθύνου και το συμφέρον του υποκειμένου δεν θεωρείται σημαντικό εκ μέρους του ή επίσης η διαγραφή θα ήταν επιζήμια για τα έννομα συμφέροντα του υποκειμένου των δεδομένων.  

Τέλος, σε ό,τι αφορά τις ποινικές κυρώσεις που προβλέπονται στον νέο νόμο, ο Έλληνας νομοθέτης δεν φαίνεται να επιφύλαξε διαφορετική νομική μεταχείριση για τον υπεύθυνο Προσωπικών Δεδομένων μιας επιχείρησης ή Οργανισμού, όπως προέβλεπε το πρώτο σχέδιο του νόμου που είχε τεθεί πέρυσι σε διαβούλευση.

Άμεσες υποχρεώσεις  των επιχειρήσεων
Εν όψει των ανωτέρω, οι επιχειρήσεις του χώρου της Υγείας, εν όψει και της δημοσίευσης του νέου νόμου, θα πρέπει πρωταρχικά:
α) να σχεδιάσουν εξατομικευμένα προγράμματα συμμόρφωσης GDPR ανάλογα με τη δραστηριότητα και τις ανάγκες τους αν και εφόσον δεν το έχουν ακόμη πράξει και να διασφαλίσουν την εφαρμογή κατάλληλων και επαρκών μηχανισμών μέσω των οποίων θα δύνανται να εξετάζονται τα αιτήματα των υποκειμένων αναφορικά με την άσκηση των δικαιωμάτων τους και να προστατεύονται τα προσωπικά δεδομένα των τελευταίων,
β) να διαμορφώσουν ή και να επανεξετάσουν τις υφιστάμενες διαδικασίες της επιχείρησής τους, υπό το πρίσμα του νέου νόμου, εξετάζοντας ενδελεχώς τις νέες απαιτήσεις του, λ.χ. ύπαρξη νόμιμης  βάσης επεξεργασίας ανάλογα με τον σκοπό και τις συνθήκες επεξεργασίας των προσωπικών δεδομένων που η κάθε επιχείρηση επεξεργάζεται σε σχέση με τους εργαζομένους της, προμηθευτές της, επαγγελματίες Υγείας, ασθενείς της και σταθμίζοντας πάντα τις αρχές του άρθρου 5 του GDPR, ήτοι νομιμότητας, αντικειμενικότητας, διαφάνειας, περιορισμού του σκοπού, ελαχιστοποίησης των δεδομένων, ακρίβειας, περιορισμού της περιόδου αποθήκευσης, ακεραιότητας, εμπιστευτικότητας και λογοδοσίας,
γ) να ενσκήψουν στο ζήτημα της λήψης Συναίνεσης, έχοντας υπόψη τις Κατευθυντήριες Γραμμές του Working Party του άρθρου 29 καθόσον η προηγούμενη λήψη αυτής δεν αποτελεί «πανάκεια» επεξεργασίας προσωπικών δεδομένων,
δ) να εξετάσουν και να καταγράψουν ενδελεχώς τις κατηγορίες δεδομένων, απλά και ειδικά δεδομένα ήτοι υγείας, που επεξεργάζονται,
δ) να επανεξετάσουν τις συνθήκες, αν και εφόσον υφίσταται, διαβίβασης προσωπικών δεδομένων εκτός Ε.Ε. εντός ή εκτός ομίλου εταιρειών τους. 

Επισημαίνεται ότι ο νέος νόμος δεν καταργεί τις διατάξεις του Ευρωπαϊκού Κανονισμού, απλά τις συμπληρώνει και κατά τρόπο τις εξειδικεύει υπό την έννοια ότι η μη αναφορά σε διατάξεις GDPR όπως η DPIA κ.λπ. εξακολουθούν άνευ άλλου να ισχύουν.
Εν κατακλείδι, αναμένεται σωρεία διευκρινίσεων και αποφάσεων εκ μέρους της Αρχής Προσωπικών Δεδομένων για ζητήματα ερμηνείας που θα ανακύψουν από τις ρυθμίσεις του νέου νόμου εντός του αμέσως επόμενου χρονικού διαστήματος και τα οποία θα απασχολήσουν με βεβαιότητα τα ελληνικά δικαστήρια, οι αποφάσεις των οποίων αναμένονται με ιδιαίτερο ενδιαφέρον.