General Data Protection Regulation: Ποιες σημαντικές αλλαγές αναμένεται να φέρει στον τομέα της Υγείας;

general-data-protection-regulation

Ο νέος Γενικός Κανονισμός της Ευρωπαϊκής Ένωσης για την Προστασία Δεδομένων (General Data Protection Regulation- GDPR) αποτελεί τη μεγαλύτερη αλλαγή στη νομοθεσία περί προστασίας των δεδομένων τις τελευταίες 2 δεκαετίες, σχεδόν. Επιβάλλει ένα ενιαίο νομοθετικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ», που είχε ενσωματωθεί στην Ελληνική με το Ν. 2472/1997.

Συνέντευξη: Ρούλα Σκουρογιάννη

Η εφαρμογή του νέου GDPR έχει στοχεύει στη διεύρυνση της προστασίας των δεδομένων στην εποχή των big data και του cloud computing, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα τηρείται με συνέπεια σε όλη την Ευρώπη. Στοχεύει, επίσης, στην ομαλότερη ροή δεδομένων προσωπικού χαρακτήρα σε όλα τα 28 κράτη μέλη της ΕΕ, ενώ κάθε εταιρεία που εξυπηρετεί Eυρωπαίους πολίτες και συλλέγει τα δεδομένα τους, θα πρέπει να συμμορφώνεται με αυτή την οδηγία, ακόμη και αν η ίδια εδρεύει σε χώρα εκτός Ευρώπης.

Η συνέντευξη που ακολουθεί αναδημοσιεύεται από το dailypharmanews.gr, το οποίο θέλοντας να δώσει πιο στοχευμένες πληροφορίες για την εφαρμογή του νέου GDPR στις επιχειρήσεις που δραστηριοποιούνται στο χώρο της υγείας, καθώς εισάγονται νέα δικαιώματα, όπως αυτό της πρόσβασης στα δεδομένα, της διαγραφής, της φορητότητας των δεδομένων, μίλησε με την κυρία Ιωάννα Μιχαλοπούλου, Δικηγόρο LL.M, με εξειδίκευση στο Δίκαιο Υγείας και νομικά ζητήματα Health Data, η οποία μας έδωσε πολύ ενδιαφέροντα στοιχεία στη συνέντευξη που ακολουθεί.

DPhN: Με αφορμή το νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR -General Data Protection Regulation General Data Protection Regulation) που θα ισχύει στις 25 Μαΐου 2018, θα θέλαμε να αναφέρουμε αρχικά τι είναι ο GDPR;

Ο Νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) αναμένεται να τεθεί και να έχει άμεση εφαρμογή σε όλα τα κράτη-μέλη στις 25 Μαΐου 2018 μεταρρυθμίζοντας  το υπάρχον νομικό πλαίσιο προστασίας αναφορικά με τα προσωπικά δεδομένα των υποκειμένων, δηλαδή πολιτών, καταναλωτών, ασθενών, κλπ. Έχει ως αντικείμενο τη θέσπιση κανόνων που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ενώ στόχος του είναι η ομοιόμορφη και αποτελεσματικότερη προστασία των πολιτών της ΕΕ. Η εφαρμογή του είναι υποχρεωτική και άμεση, για όσους τηρούν και επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για ιδιώτες και επιχειρήσεις, είτε για φορείς του Δημοσίου. Αφορά μικρές και μεγάλες επιχειρήσεις ανεξαρτήτως δραστηριότητας και κλάδου, ενώ καταλαμβάνει την επεξεργασία δεδομένων και την τήρηση αρχείου, είτε αυτή είναι μερικά ή ολικά αυτοματοποιημένη, είτε όχι.

DPhN: Ο νέος Γενικός Κανονισμός δεν είναι κάτι εντελώς νέο, καθώς αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ». Ποιες είναι οι αλλαγές που φέρνει;

Όπως ήδη αναφέραμε με την έναρξη ισχύος του GDPR πρόκειται να λάβει χώρα μία σειρά αλλαγών σε σχέση με το μέχρι και σήμερα ισχύον καθεστώς προστασίας των προσωπικών δεδομένων της Οδηγίας 95/46/ΕΚ. Ο GDPR είναι Κανονισμός και όχι Οδηγία, επομένως γενικά, δεν εναπόκειται στα κράτη μέλη, ο τρόπος και ο χρόνος εφαρμογής πλην ελάχιστων εξαιρέσεων.  Συνοπτικά, οι σημαντικότερες αλλαγές που εισαγάγει ο Νέος Κανονισμός σε σχέση με το προϊσχύον πλαίσιο προστασίας των προσωπικών δεδομένων της Οδηγίας 95/46/ΕΚ:

  • Εξω-εδαφική Εφαρμογή-καταλαμβάνοντας πλέον και τους υπεύθυνους & εκτελούντες την επεξεργασία που είναι εγκατεστημένοι εκτός Ένωσης, αλλά επεξεργάζονται δεδομένα Ευρωπαίων Πολιτών
  • Νέα δικαιώματα υποκειμένων, όπως το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη λήθη και το δικαίωμα στη φορητότητα των δεδομένων
  • Νέες και αυστηρότερες υποχρεώσεις υπευθύνων αλλά και εκτελούντων την επεξεργασία, όπως η τήρηση αρχείου των δραστηριοτήτων και διενέργεια εκτίμησης αντικτύπου (DPIA)
  • Νέες κατηγορίες ευαίσθητων δεδομένων, όπως τα βιομετρικά και τα γενετικά δεδομένα ενώ ειδικά για τις εταιρείες του Χώρου της Υγείας υπάρχει περαιτέρω εξειδίκευση των χαρακτηριζόμενων ως δεδομένων υγείας
  • Αρχή της λογοδοσίας-υπό την έννοια δεν απαιτείται πλέον άδεια από την αρμόδια Αρχή και μετακυλίεται η ευθύνη στον υπεύθυνο ή/και στον εκτελούντα την επεξεργασία
  • Καθορισμός ενός νέου ρόλου μέσα στην επιχείρηση αυτού του του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (DPO)
  • Υψηλότερα πρόστιμα, έως και 20.000.000 ευρώ ή 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.

DPhN: Να αναφέρουμε συνοπτικά ποια θεωρούνται «δεδομένα προσωπικού χαρακτήρα» και τι θεωρείται επεξεργασία των δεδομένων αυτών;

Ως δεδομένα προσωπικού χαρακτήρα ορίζονται: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)? το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα. Τέτοια προσωπικά δεδομένα είναι από την πολύ απλή περίπτωση του ονοματεπώνυμου ή του e-mail μέχρι και τις ειδικότερες κατηγορίες προσωπικών δεδομένων που αναφέρονται στον πυρήνα της ιδιωτικής μας ζωής, όπως η φυλετική ή εθνική καταγωγή, τα δεδομένα  υγείας κλπ.

Στην έννοια της επεξεργασίας προσωπικών δεδομένων περιλαμβάνεται οποιαδήποτε από τις παρακάτω μεμονωμένες ενέργειες ή και συνδυασμός τους από τον υπεύθυνο ή τον εκτελούντα την επεξεργασία: Η συλλογή τους, η εξαγωγή/καταχώριση/ οργάνωση τους, η διατήρηση/ αποθήκευση τους, η τροποποίηση/ χρήση/ διαβίβαση τους, η κάθε μορφής διάθεση/ συσχέτιση τους ή η διαγραφή/ καταστροφή τους.

DPhN: Ειδικότερα, στις εταιρείες και οργανισμούς του τομέα της υγείας ποιες αλλαγές φέρνει;

Ο νέος Κανονισμός φέρνει στην κυριολεξία τα πάνω-κάτω στις επιχειρήσεις που δραστηριοποιούνται στο χώρο της υγείας πχ. φαρμακευτικές εταιρείες αλλά και τους παρόχους τους, καθώς εισάγει νέα δικαιώματα για τα υποκείμενα όπως αυτό της πρόσβασης στα δεδομένα, της διαγραφής (δικαίωμα στη λήθη), της φορητότητας των δεδομένων τους, όπως αναφέραμε και παραπάνω, της εναντίωσης συμπεριλαμβανομένου και του profiling.

Ειδικά, το τελευταίο είναι ιδιαίτερα σημαντικό για τις δυνατότητες direct marketing των επιχειρήσεων της υγείας. Επίσης, καθοριστικό ρόλο θα έχει η ρητή συγκατάθεση των υποκειμένων, η οποία πρέπει να λαμβάνεται απαραίτητα πριν από κάθε επεξεργασία των δεδομένων τους. Επιπλέον καθορίζονται νέες και αυστηρότερες προϋποθέσεις για την σύννομη επεξεργασία των ευαίσθητων δεδομένων των ασθενών, όπως ακριβώς των δεδομένων υγείας, εξαναγκάζοντας ουσιαστικά τις εταιρείες του χώρου της Υγείας (φαρμακευτικές εταιρείες, ιατρικές εταιρείες, φαρμακεία κλπ) στη λήψη μιας σειράς απαραίτητων τεχνικών και οργανωτικών μέτρων (DPIA, ψευδωνυμοποίηση, ανωνυμοποίηση κλπ). Αναγκαίο μέτρο, επίσης, θα πρέπει να θεωρείται για τις εταιρείες που δραστηριοποιούνται στο χώρο, ο διορισμός του λεγόμενου Υπεύθυνου Προστασίας Δεδομένων (DPO) που θα αποτελεί το συνδετικό κρίκο μεταξύ της εταιρείας και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Τυχόν γνωστοποιήσεις παραβιάσεων των δεδομένων εκ μέρους των υπευθύνων επεξεργασίας πρέπει να κοινοποιούνται στην Αρχή Προστασίας Προσωπικών Δεδομένων εντός 72 ωρών. Εισάγεται, επομένως, ένα πλέγμα δικαιωμάτων και υποχρεώσεων, το οποίο θα επηρεάσει όλες σχεδόν τις δραστηριότητες των εταιρειών που δραστηριοποιούνται στο χώρο της Υγείας, για τις οποίες θα πρέπει να προετοιμαστούν οι τελευταίες ανάλογα.

DPhN: Ποιες προσαρμογές γίνονται όλο αυτό το διάστημα σε εταιρείες ή ακόμα και σε συσκευές πληροφορικής για να συνεχιστεί απρόσκοπτα η λειτουργία όλων μετά τις 25 Μαΐου 2018;

Ο Χώρος της Υγείας, που θεωρείται από πολλούς ως ένας από τους πιο επικίνδυνους αναφορικά με τις παραβιάσεις και διαρροές προσωπικών δεδομένων, είναι αυτός που θα πρέπει να θέσει ως σημαντική προτεραιότητά του την άμεση προσαρμογή στις απαιτήσεις του Νέου Κανονισμού. Με τον τρόπο αυτό, οι επιχειρήσεις όχι μόνο θα εξασφαλίσουν τη συμμόρφωσή τους με τις επιταγές του Κανονισμού, αποφεύγοντας έτσι την επιβολή τσουχτερών διοικητικών προστίμων από τις εποπτικές αρχές αλλά θα αποκτήσουν και μια πιο εύρυθμη και αποτελεσματικότερη λειτουργία των δραστηριοτήτων τους, έχοντας πλήρη γνώση των προσωπικών δεδομένων που επεξεργάζονται. Καταρχήν, η προσαρμογή των εταιρειών θα πρέπει να γίνει συνολικά σε όλα τα τμήματά τους και δεν είναι ζήτημα που αφορά κάποια από αυτά πχ, HR, λογιστήριο, νομικό κλπ. Περαιτέρω, κάποια από τα σημαντικότερα βήματα προς τη συμμόρφωση των εταιρειών του Χώρου της Υγείας, είναι η ενημέρωση και ευαισθητοποίηση των στελεχών τους, η χαρτογράφηση των προσωπικών δεδομένων που διατηρούν στα συστήματα τους, η θέσπιση συστημάτων διαχείρισης των αιτημάτων πρόσβασης στα δεδομένα αλλά και των πιθανών Data Breaches (παραβίαση δεδομένων), η λήψη και επικαιροποίηση της ρητής συγκατάθεσης των υποκειμένων, η τήρηση αρχείου καταγραφής των δραστηριοτήτων επεξεργασιών και ο ταυτόχρονος περιορισμός της διάρκειας διατήρησης των δεδομένων  και τέλος, η εφαρμογή της Προστασίας Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού όπως και η εξοικείωση με την Διενέργεια Εκτίμησης Αντικτύπου (DPIA).

 

Ιωάννα Μιχαλοπούλου, Δικηγόρος LL.M

Facebook Comments

POST A COMMENT.