Η εφαρμογή του Γενικού Συστήματος Υγείας (ΓΕΣΥ) αποτελεί αδιαμφισβήτητα μεγάλη και καλοδεχούμενη μεταρρύθμιση στον τομέα της υγείας. Κάθε μεταρρύθμιση όμως δημιουργεί προκλήσεις όσον αφορά την ομαλή εφαρμογή της στον τομέα που αφορά. Στην περίπτωση του ΓΕΣΥ, εκτός από τα προβλήματα που έχουν δημιουργηθεί όσον αφορά την εσωτερική του δομή, το εύρος υπηρεσιών και την αποτελεσματικότητα του, έχουν δημιουργηθεί και πολύ σοβαρά νομικά προβλήματα λόγω των πολύ ευαίσθητων πληροφοριών που κατέχονται από τους γιατρούς του ΓΕΣΥ και αφορούν τους ασθενείς.
Πρόσφατα υποβλήθηκαν στο Γραφείο της Επιτρόπου Προσωπικών Δεδομένων δύο καταγγελίες εναντίον ιατρού του ΓΕΣΥ, για εγγραφή στη λίστα πελατών του, προσώπων χωρίς τη συγκατάθεσή τους.
Σύμφωνα με την πρώτη καταγγελία, ο ιατρός πήρε από φύλλο αγώνος τα στοιχεία ανήλικου ποδοσφαιριστή που ήταν εγγεγραμμένος σε άλλο προσωπικό ιατρό, και τον ενέγραψε στη δική του λίστα, χωρίς τη συγκατάθεση των γονέων του. Σύμφωνα με την δεύτερη καταγγελία, όταν οι γονείς ανήλικου προσπάθησαν να τον εγγράψουν σε ιατρό της επιλογής τους, πληροφορήθηκαν ότι είναι ήδη γραμμένος στην λίστα του άλλου ιατρού, χωρίς να έχουν δώσει τη συγκατάθεσή τους.
Η Επίτροπος κατέληξε ότι οι πιο πάνω πράξεις του ιατρού έγιναν κατά παράβαση του Άρθρου 9(2)(α) του ΓΚΠΔ και επέβαλε στον Καθ’ ου την καταγγελία την διοικητική κύρωση της επίπληξης. Ο ιατρός ενημερώθηκε ότι, αν στο μέλλον προβεί σε παρόμοιας φύσεως παράβαση, η παρούσα επίπληξη θα ληφθεί υπόψιν ως επιβαρυντικός παράγοντας.
Η επίτροπος προσωπικών δεδομένων ενώ είχε την επιλογή να επιβάλει εξαντλητικές ποινές για την παράβαση αυτή επέβαλε την ποινή της επίπληξης στον γιατρό που κατείχε παράνομα τα προσωπικά δεδομένα των ασθενών. Το αποτέλεσμα αυτού το μεμονωμένου περιστατικού δεν εγγυάται ότι πάντα η ποινή που θα απονέμεται σε τέτοια περιστατικά θα είναι αυτή τις επίπληξης. Αντιθέτως το περιστατικό αυτό πρέπει να κρούσει τον κώδωνα του κινδύνου στους επαγγελματίες ιατρούς του ΓΕΣΥ από τη μια, για να ελέγχουν ότι κατέχουν νόμιμα τα προσωπικά δεδομένα των ασθενών τους και να αφυπνίσει τους ίδιους τους ασθενείς που είναι καταγεγραμμένοι το ΓΕΣΥ για τα δικαιώματα τους όσον αφορά τη προστασία και τη χρήση των προσωπικών τους δεδομένων.
Ποιες είναι όμως οι υποχρεώσεις των ιατρών του ΓΕΣΥ? Ποια τα δικαιώματα των ασθενών? Όλα αυτά παρατίθενται συνοπτικά πιο κάτω. Στο σημείο αυτό είναι πάρα πολύ σημαντικό να τονισθεί ότι προσωπικά δεδομένα που αφορούν την υγεία του ασθενή κατηγοριοποιούνται από την ευρωπαϊκή οδηγία ως δεδομένα ευαίσθητης ομάδας και τυγχάνουν της ύψιστης προστασίας από αυτή.
Υποχρεώσεις Ιατρών ΓΕΣΥ και Οργανισμών (GDPR REGULATION 2016/679)
Διαφάνεια – Υποχρέωση ενημέρωσης
Οι ιατροί ως κάτοχοι των προσωπικών δεδομένων των ασθενών πρέπει να ενημερώνουν άμεσα τους ασθενείς, είτε συλλέγουν τα προσωπικά δεδομένα απευθείας από τους ασθενείς, (άρθρο 13) είτε τα συλλέγουν από άλλες πηγές (άρθρο 14).
Πότε εφαρμόζεται η υποχρέωση ενημέρωσης προς διασφάλιση της διαφάνειας;
(α) Πριν ή κατά την έναρξη της επεξεργασίας δηλ. κατά τη συλλογή των δεδομένων είτε από τα ίδια τα υποκείμενα είτε από άλλη πηγή.
(β) Καθ’όλη τη διάρκεια της περιόδου της επεξεργασίας των δεδομένων, π.χ για σκοπούς επικοινωνίας αναφορικά με τα δικαιώματα των ασθενών.
(γ) Σε συγκεκριμένα σημεία της επεξεργασίας π.χ αν υπάρξει ουσιώδης αλλαγή στην επεξεργασία σε σχέση με την αρχική ενημέρωση.
Η ενημέρωση περιλαμβάνει, τουλάχιστον, την ταυτότητα και τα στοιχεία επικοινωνίας του ιατρού ως κατόχου των προσωπικών δεδομένων, τα στοιχεία επικοινωνίας του DPO, τους σκοπούς της επεξεργασίας, τους αποδέκτες των δεδομένων (όπου εφαρμόζεται), το χρόνο αποθήκευσης, τα δικαιώματα και την άσκηση των δικαιωμάτων των ασθενών.
Ποια είναι η προθεσμία για την ενημέρωση;
Αν τα δεδομένα συλλέγονται από τους ίδιους τους ιατρούς γίνεται κατά τη λήψη τους αν όμως τα δεδομένα συλλέγονται από άλλες πηγές τότε το μέγιστο χρονικό διάστημα για την ενημέρωση είναι ένας μήνας από τη συλλογή των δεδομένων
Η ενημέρωση θα πρέπει να είναι:
– συνοπτική, διαφανής, κατανοητή και εύκολα προσβάσιμη,
– απλή και σαφής διατύπωση,
– γραπτή ή όπου ενδείκνυται με άλλα μέσα π.χ ηλεκτρονική
– εφόσον ζητηθεί μπορεί να είναι προφορική
– γενικά η παροχή είναι δωρεάν
Ασφάλεια Δεδομένων
Οι ιατροί πρέπει να μεριμνούν ότι τα δεδομένα των ασθενών τους φυλάγονται και επεξεργάζονται με ασφάλεια μεριμνώντας τουλάχιστο για τα πιο κάτω:
α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα
β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση;
γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας
Δικαιώματα Ασθενών
Δικαίωμα Πρόσβασης
Ο ασθενής έχει το δικαίωμα να λαμβάνει από τον Ιατρό επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
α) Τους σκοπούς της επεξεργασίας
β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα
γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα
δ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα
στ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν καταβάλλονται στον ιατρό από τον ασθενή, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους
Δικαιώματα Διόρθωσης, Διαγραφής και Φορητότητας
Ο ασθενής έχει το δικαίωμα να απαιτήσει από τον ιατρό χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που τον αφορούν, να ζητήσει από τον ιατρό τη διαγραφή δεδομένων προσωπικού χαρακτήρα που τον αφορούν , να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν, και τα οποία έχει παράσχει σε Ιατρό, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο και να τα μεταφέρει σε άλλο γιατρό.
Πως Μπορούμε να Βοηθήσουμε
• Ετοιμασία ειδοποιήσεων στους ασθενείς για ενημέρωση κατοχής προσωπικών δεδομένων με βάσει τις πρόνοιες του Ευρωπαϊκού Κανονισμού (Για Ιατρούς και Οργανισμούς)
• Έλεγχος υφιστάμενων πολιτικών και εφαρμογή μέτρων βελτιστοποίησης (GAP analysis)
• Ετοιμασία Πολιτικών απορρήτου (Για Ιατρούς Και Οργανισμούς)
• Ετοιμασία Ειδοποιήσεων συναίνεσης για αποστολή στους ασθενείς (Για Ιατρούς Και Οργανισμούς)
• Ετοιμασία Εσωτερικών πολιτικών για τήρηση από υπαλλήλους (Για Ιατρούς Και Οργανισμούς)
• Εκπαίδευση Υπαλλήλων και προσωπικού έτσι ώστε να τηρούνται πάντοτε οι κανονισμοί του GDPR
• Ετοιμασία συμφωνιών μεταξύ Controller και Processors των προσωπικών δεδομένων.
Για Ασθενείς:
• Ετοιμασία Επιστολών για εκτέλεση δικαιωμάτων ασθενών όπως αυτά απορρέουν από τον Ευρωπαϊκό Κανονισμό (Για Ασθενείς)
• Εκπροσώπηση Ασθενών σε δικαστικές διαδικασίες.
Σημείωση: Το παρόν άρθρο αποτελεί ενημέρωση και σε καμία περίπτωση δεν πρέπει να θεωρηθεί επαγγελματική συμβουλή. Κάθε περίπτωση χρίζει διαφορετικής διαχείρισης