Συχνές ερωτήσεις για την προστασία προσωπικών δεδομένων στα ιδιωτικά ιατρεία (GDPR)
Δημοσθένης K. Κωστούλας, ΜΒΑ, MSc
Υπεύθυνος Προστασίας Δεδομένων (DPO) του Ιατρικού Συλλόγου Θεσσαλονίκης dpo@isth.gr
- Τι είδους προσωπικά δεδομένα τίθενται σε επεξεργασία σε ένα ιδιωτικό ιατρείο;
Στα ιδιωτικά ιατρεία τηρούνται τόσο απλά, όσο και δεδομένα προσωπικού χαρακτήρα ειδικών κατηγοριών (ευαίσθητα), μεταξύ των οποίων, ιδίως δεδομένα που αφορούν την υγεία, καθώς και τυχόν γενετικά δεδομένα.
Απλά δεδομένα: Ενδεικτικά, το ονοματεπώνυμο του ασθενή, το πατρώνυμο, το φύλο, την ηλικία, το επάγγελμα, την διεύθυνση, τις ημερομηνίες της επίσκεψης, ΑΜΚΑ, ΑΦΜ, στοιχεία επικοινωνίας, email κλπ.
Δεδομένα ειδικών κατηγοριών (ευαίσθητα): Για την παροχή υπηρεσιών υγείας εκ μέρους του ιατρού, είναι απαραίτητη η επεξεργασία των δεδομένων υγείας του ασθενή, τα οποία ανήκουν στον σκληρό πυρήνα της προσωπικότητάς του ασθενή, αφορώντας τις πιο ιδιωτικές πτυχές της ζωής του, πολλές φορές ακόμη και την ίδια τη ζωή του, για αυτό και η εμπιστοσύνη που καλλιεργείται ανάμεσα στον ιατρό και τον ασθενή είναι κεντρικής σημασίας. Ενδεικτικά: την παροχή φροντίδας στον ασθενή, τα ενοχλήματα της υγείας του και το λόγο της επίσκεψης, τo ιατρικό ιστορικό, τυχών παλαιότερες εξετάσεις υγείας, τη πρωτογενή και δευτερογενή διάγνωση ή την αγωγή που ακολουθήθηκε κλπ.
Επιπλέον, σε ένα ιατρείο δύναται να επεξεργάζονται και προσωπικά δεδομένα εργαζομένων, δεδομένα και πληροφορίες εξωτερικών συνεργατών και προμηθευτών, λήψεις εικόνων από κλειστό κύκλωμα τηλεόρασης (CCTV), ψηφιακά δεδομένα των επισκεπτών / χρηστών της ιστοσελίδας του ιατρείου κλπ.
Γενικότερα, τα δεδομένα προσωπικά χαρακτήρα αφορούν κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας ή σε παράγοντες που προσδιορίζουν την σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή/και κοινωνική ταυτότητα ενός φυσικού προσώπου.
- Συνεπώς ποιους αφορούν τα προσωπικά δεδομένα που τίθενται σε επεξεργασία σε ένα ιδιωτικό ιατρείο;
Στo πλαίσιο λειτουργίας ενός ιδιωτικού ιατρείου, μπορεί να πραγματοποιείται επεξεργασία προσωπικών δεδομένων ασθενών (και συνοδών τους), εργαζομένων, εξωτερικών συνεργατών, προμηθευτών και χρηστών της ηλεκτρονικής σελίδας που μπορεί να λειτουργεί το ιατρείο.
- Γνωρίζω ότι πρέπει να προστατεύω τα προσωπικά δεδομένα που επεξεργάζομαι στο ιατρείο μου, αλλά από που προκύπτει αυτή η απαίτηση;
Σύμφωνα με το Άρθρο 13 του Κώδικα Ιατρικής Δεοντολογίας, ο ιατρός οφείλει να τηρεί αυστηρά απόλυτη εχεμύθεια για οποιοδήποτε στοιχείο υποπίπτει στην αντίληψή του ή του αποκαλύπτει ο ασθενής ή τρίτοι στο πλαίσιο της άσκησης των καθηκόντων του και το οποίο αφορά τον ασθενή ή τους οικείους του.
Για την αυστηρή και αποτελεσματική τήρηση του ιατρικού απορρήτου, ο ιατρός οφείλει α) να ασκεί την αναγκαία εποπτεία στους βοηθούς, συνεργάτες ή άλλα πρόσωπα που συμπράττουν ή συμμετέχουν ή τον στηρίζουν με οποιοδήποτε τρόπο κατά την άσκηση του λειτουργήματός του και β) να λαμβάνει κάθε μέτρο διαφύλαξης του απορρήτου και για το χρόνο μετά τη με οποιοδήποτε τρόπο παύση ή λήξη άσκησης του λειτουργήματός του.
Σύμφωνα με τα παραπάνω, η επεξεργασία δεδομένων υγείας στην περίπτωση ενός ιατρείου εθεωρείτο δεδομένη πολύ πριν την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα (GDPR), η συμμόρφωση με τον οποίον είναι και αυτή υποχρεωτική (αναφορά στο ερώτημα 9).
- Για πόσο καιρό πρέπει να τηρώ τα δεδομένα των ασθενών μου;
Ειδικά για τα δεδομένα υγείας, που περιλαμβάνονται σε ιατρικό αρχείο τηρούμενο σε ιδιωτικό ιατρείο, στον ισχύοντα Κώδικα Ιατρικής Δεοντολογίας προβλέπεται ελάχιστος χρόνος διατήρησης δέκα (10) ετών από την τελευταία επίσκεψη του ασθενούς. Εάν ο ασθενής ζητήσει διαγραφή των δεδομένων του κατά την περίοδο που ο ιατρός έχει νόμιμη υποχρέωση να τηρεί αρχείο, ο ιατρός οφείλει να απαντήσει ότι δεν μπορεί να τα διαγράψει (λόγω της νόμιμης υποχρέωσης διατήρησής τους στο αρχείο.
Για άλλους τύπους προσωπικών δεδομένων (πχ τα προσωπικά δεδομένα των εργαζομένων), θα πρέπει να λαμβάνονται υπόψη οι κείμενες διατάξεις, οι οποίες επιβάλλουν συγκεκριμένο χρόνο τήρησης των προσωπικών δεδομένων για συγκεκριμένο σκοπό επεξεργασίας.
- Τι πρέπει να ενημερώνω τους ασθενείς κατά την πρώτη τους επίσκεψη στο ιατρείο;
Στο πλαίσιο της υποχρέωσης του ιδιωτικού ιατρείου να ενημερώνει τους ασθενείς για την επεξεργασία των προσωπικών τους δεδομένων, απαιτείται η χορήγηση στους ασθενείς ενημερωτικού εντύπου, εξηγώντας με σαφή και απλή διατύπωση τη διενεργούμενη από μέρους του ιατρού επεξεργασία.
Το έντυπο που χορηγείται στους ασθενείς πρέπει να περιέχει συνοπτική, διαφανή, κατανοητή και σε εύκολα προσβάσιμη μορφή ενημέρωση που περιλαμβάνει βασικές πληροφορίες για την επεξεργασία των προσωπικών δεδομένων (αναφορά σε υπόδειγμα που έχει σταλεί από τον ΙΣΘ).
Σε περίπτωση αποστολής ηλεκτρονικών newsletters ή ενημερωτικών sms, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιου είδους επικοινωνίες.
- Τι πρέπει να κάνω στην περίπτωση πρόσληψης εργαζομένων;
Το ιδιωτικό ιατρείο οφείλει να μεριμνά για την προστασία των προσωπικών δεδομένων των ασθενών, δεσμεύοντας με συμβάσεις εχεμύθειας / ρήτρες εμπιστευτικότητας το κάθε είδους προσωπικό (πχ διοικητικό, παραϊατρικό, νοσηλευτικό) που απασχολείται στο ιδιωτικό ιατρείο, καθώς και τυχόν απασχολούμενους εθελοντές ή διενεργούντες πρακτική άσκηση.
Επιπλέον, όπως και στην περίπτωση των ασθενών, το ιδιωτικό ιατρείο οφείλει να ενημερώνει το προσωπικό μέσω σχετικού εντύπου ενημέρωσης για την χρήση των δεδομένων τους, με αναφορά στους σκοπούς για τους οποίους θα χρησιμοποιηθούν τα δεδομένα, την νομική βάση για την επεξεργασία τους, για πόσο χρονικό διάστημα θα αποθηκεύονται, σε ποιους θα κοινοποιούνται, αναφορά στα βασικά δικαιώματά του προσωπικού όσον αφορά την προστασία των δεδομένων, το δικαίωμά τους να υποβάλουν καταγγελία κλπ.
- Τι πρέπει να υπογράφω με τους εξωτερικούς συνεργάτες και τις τρίτες εταιρίες με τους οποίους συνεργάζομαι;
Όταν η επεξεργασία προσωπικών δεδομένων ασθενών ή προσωπικού πρόκειται να διενεργηθεί από τρίτους για λογαριασμό του ιδιωτικού ιατρείου, ο ιατρός πρέπει να χρησιμοποιεί μόνον «εκτελούντες την επεξεργασία» που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε να διασφαλίζεται η προστασία των δικαιωμάτων των ασθενών ή εργαζομένων σχετικά με την προστασία δεδομένων.
Η επεξεργασία από τους εκτελούντες την επεξεργασία διέπεται υποχρεωτικά από έγγραφη σύμβαση, που δεσμεύει τους εκτελούντες την επεξεργασία σε σχέση με το ιδιωτικό ιατρείο (ως υπεύθυνο επεξεργασίας) και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του ιδιωτικού ιατρείου.
- Τι πρέπει να κάνω αν υπάρξει παραβίαση / διαρροή προσωπικών δεδομένων;
Το ιδιωτικό ιατρείο, σε περίπτωση που συμβεί περιστατικό παραβίασης προσωπικών δεδομένων από το οποίο ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των ασθενών του ή των εργαζομένων , οφείλουν να γνωστοποιήσει το εν λόγω περιστατικό στην εποπτική αρχή άμεσα και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που ενημερωθεί για το περιστατικό.
Όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες, τότε το ιδιωτικό ιατρείο οφείλει να ανακοινώνει άμεσα την παραβίαση και στους «θιγόμενους».
- Τελικά τι ακριβώς αφορά ο Γενικός Κανονισμός Προστασίας Δεδομένων ή GDPR (General Data Protection Regulation);
Ο Κανονισμός, ο οποίος εφαρμόστηκε τον Μάιο του 2018 ως νομοθέτημα άμεσης εφαρμογής σε όλες τις χώρες μέλη της Ε.Ε., θέσπισε κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων. Ο Κανονισμός προστατεύει τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.
Ο σχετικά νέος Κανονισμός εφαρμόζεται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων και στην μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται σε ένα σύστημα αρχειοθέτησης, όπως για παράδειγμα τα δεδομένα στο ιατρικό αρχείο που τηρείται σε ένα ιατρείο.