Κατερίνα Φραγκάκη: Οι αλλαγές που επέφερε για τους γιατρούς και τους ασθενείς η εφαρμογή της οδηγίας GDPR

Γράφει η Κατερίνα Φραγκάκη, Δικηγόρος παρ’ Αρείω Πάγω Νέο ενιαίο σύνολο κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στην ΕΕ τέθηκαν από τις 25 Μάιου του 2018 με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ). Οι βασικές κατευθυντήριες γραμμές είναι η ενίσχυση της προστασίας των προσωπικών δεδομένων και επιβολή αυστηρών διοικητικών κυρώσεων. Το πεδίο εφαρμογής του ΓΚΠΔ καλύπτει […]

NEWSROOM

Γράφει η Κατερίνα Φραγκάκη, Δικηγόρος παρ’ Αρείω Πάγω

Νέο ενιαίο σύνολο κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στην ΕΕ τέθηκαν από τις 25 Μάιου του 2018 με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ). Οι βασικές κατευθυντήριες γραμμές είναι η ενίσχυση της προστασίας των προσωπικών δεδομένων και επιβολή αυστηρών διοικητικών κυρώσεων. Το πεδίο εφαρμογής του ΓΚΠΔ καλύπτει τόσο τον ιδιωτικό όσο και το δημόσιο τομέα.

Πιο συγκεκριμένα, στον τομέα της υγείας, σύμφωνα με τον νέο ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία συμπεριλαμβάνονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, δηλαδή στα λεγόμενα ευαίσθητα δεδομένα προσωπικού χαρακτήρα, τα οποία χαίρουν αυξημένης προστασίας σε σχέση με τα απλά δεδομένα προσωπικού χαρακτήρα. Για αυτά ισχύει η αρχή ότι απαγορεύεται καταρχήν η επεξεργασία τους και επιτρέπεται μόνο κατ’ εξαίρεση, για λόγους που περιοριστικά προβλέπει ο νόμος. 

Όπως είναι γνωστό σύμφωνα με το άρθρ. 7, παρ. δ ‘, ν. 2472/1997 για τα στοιχεία που αφορούν σε ζητήματα υγείας, τα οποία και καταχωρούνται στον ιατρικό φάκελο του ασθενούς, κατ’ εξαίρεση επιτρέπεται η συλλογή και επεξεργασία τους, εφόσον εκτελείται από πρόσωπο που ασχολείται κατ’ επάγγελμα με την παροχή υπηρεσιών υγείας και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας, υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή διαχείριση υπηρεσιών υγείας.

Έτι περαιτέρω ο Κώδικας Ιατρικής Δεοντολογίας (Ν.3418/2005) έχει δώσει τις βασικές κατευθύνσεις, προκειμένου να γνωρίζουν οι ιατροί τους κανόνες για την προστασία των προσωπικών δεδομένων των ασθενών και ειδικότερα: Ο ιατρός οφείλει να τηρεί αυστηρά απόλυτη εχεμύθεια για οποιοδήποτε στοιχείο υποπίπτει στην αντίληψή του ή του αποκαλύπτει ο ασθενής ή τρίτοι, στο πλαίσιο της άσκησης των καθηκόντων του, και το οποίο αφορά στον ασθενή ή τους οικείους του. Για την αυστηρή και αποτελεσματική τήρηση του ιατρικού απορρήτου, ο ιατρός οφείλει: α) να ασκεί την αναγκαία εποπτεία στους βοηθούς, στους συνεργάτες ή στα άλλα πρόσωπα που συμπράττουν ή συμμετέχουν ή τον στηρίζουν με οποιονδήποτε τρόπο κατά την άσκηση του λειτουργήματός του και β) να λαμβάνει κάθε μέτρο διαφύλαξης του απορρήτου και για το χρόνο μετά τη− με οποιονδήποτε τρόπο− παύση ή λήξη άσκησης του λειτουργήματός του.

Ο Κανονισμός επιτάσσει την ύπαρξη ξεκάθαρης συναίνεσης του υποκειμένου των δεδομένων για κάθε σκοπό επεξεργασίας. Το γεγονός αυτό δημιουργεί την ανάγκη άμεσου εκσυγχρονισμού των μεθόδων και συστημάτων που εφαρμόζονται για την επεξεργασία των προσωπικών δεδομένων ούτως ώστε να τηρούνται οι αυστηρές προϋποθέσεις συγκατάθεσης και επεξεργασίας.

Είναι υποχρεωτική η ρητή συγκατάθεση του υποκειμένου των δεδομένων (ασθενή) , εκτός αν η απαγόρευση δεν μπορεί να αρθεί από το υποκείμενο (π.χ. ανηλικότητα, θέση σε δικαστική συμπαράσταση) Δεν είναι υποχρεωτική η συναίνεση αν συντρέχει μια από τις κατωτέρω αναφερόμενες προϋποθέσεις :

  • Προστασία ζωτικών συμφερόντων υποκειμένου ή άλλου,
  • Θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων,
  • Σκοποί προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζόμενου,
  • Σκοποί ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ,
  • Σκοποί που άπτονται δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας,
  • Σκοποί διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών,
  • Εκτέλεση συμβάσεως με επαγγελματία του τομέα της υγείας.

Η αναγκαιότητα για την συναίνεση άρσης ιατρικού απορρήτου  τίθεται και στον Κώδικα Ιατρικής Δεοντολογίας όπου είναι υποχρεωτική η συναίνεση του ασθενούς για την άρση του ιατρικού απορρήτου (άρθρο 13). Ο ιατρός οφείλει να τηρεί αυστηρά απόλυτη εχεμύθεια για οποιοδήποτε στοιχείο υποπίπτει στην αντίληψή του ή του αποκαλύπτει ο ασθενής ή τρίτοι, στο πλαίσιο της άσκησης των καθηκόντων του, και το οποίο αφορά στον ασθενή ή τους οικείους του.

  1. Για την αυστηρή και αποτελεσματική τήρηση του ιατρικού απορρήτου, ο ιατρός οφείλει:

α) να ασκεί την αναγκαία εποπτεία στους βοηθούς, στους συνεργάτες ή στα άλλα πρόσωπα που συμπράττουν ή συμμετέχουν ή τον στηρίζουν με οποιονδήποτε τρόπο κατά την άσκηση του λειτουργήματός του και

β) να λαμβάνει κάθε μέτρο διαφύλαξης του απορρήτου και για το χρόνο μετά τη− με οποιονδήποτε τρόπο− παύση ή λήξη άσκησης του λειτουργήματός του.

  1. Η άρση του ιατρικού απορρήτου επιτρέπεται όταν:

α) Ο ιατρός αποβλέπει στην εκπλήρωση νομικού καθήκοντος. Νομικό καθήκον συντρέχει, όταν η αποκάλυψη επιβάλλεται από ειδικό νόμο, όπως στις περιπτώσεις γέννησης, θανάτου, μολυσματικών νόσων και άλλες, ή από γενικό νόμο, όπως στην υποχρέωση έγκαιρης αναγγελίας στην αρχή, όταν ο ιατρός μαθαίνει με τρόπο αξιόπιστο ότι μελετάται κακούργημα ή ότι άρχισε ήδη η εκτέλεσή του και, μάλιστα, σε χρόνο τέτοιο, ώστε να μπορεί ακόμα να προληφθεί η τέλεση ή το αποτέλεσμά του.

β) Ο ιατρός αποβλέπει στη διαφύλαξη έννομου ή άλλου δικαιολογημένου, ουσιώδους δημοσίου συμφέροντος ή συμφέροντος του ίδιου του ιατρού ή κάποιου άλλου, το οποίο δεν μπορεί να διαφυλαχθεί διαφορετικά.

γ) Όταν συντρέχει κατάσταση ανάγκης ή άμυνας.

  1. Η υποχρέωση τήρησης ιατρικού απορρήτου αίρεται, εάν συναινεί σε αυτό εκείνος στον οποίο αφορά, εκτός εάν η σχετική δήλωσή του δεν είναι έγκυρη, όπως στην περίπτωση, που αυτή είναι προϊόν πλάνης, απάτης, απειλής, σωματικής ή ψυχολογικής βίας, ή εάν η άρση του απορρήτου συνιστά προσβολή της ανθρώπινης αξιοπρέπειας.
  2. Οι ιατροί που ασκούν δημόσια υπηρεσία ελέγχου, επιθεώρησης ή πραγματογνωμοσύνης απαλλάσσονται από την υποχρέωση τήρησης του ιατρικού απορρήτου μόνο έναντι των εντολέων τους και μόνο ως προς το αντικείμενο της εντολής και τους λοιπούς όρους χορήγησής της.
  3. Η υποχρέωση τήρησης και διαφύλαξης του ιατρικού απορρήτου δεν παύει να ισχύει με το θάνατο του ασθενή.

Ο νέος Κανονισμός εισάγει την υποχρέωση για τους υπευθύνους επεξεργασίας να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας όλων των δεδομένων προσωπικού χαρακτήρα, για τις οποίες είναι υπεύθυνοι, καθώς και με την υποχρέωση για τους εκτελούντες την επεξεργασία να τηρούν αρχεία όλων των κατηγοριών δραστηριοτήτων επεξεργασίας, που διεξάγονται για λογαριασμό υπευθύνου επεξεργασίας (άρθρο 30 του ΓΚΠΔ).

Το άρθρο 14 του ν. 3418/2005 σχετικά με τον Κώδικα Ιατρικής Δεοντολογίας ορίζει μεταξύ άλλων, ότι: « 1  Ο ιατρός υποχρεούται να τηρεί ιατρικό αρχείο, σε ηλεκτρονική ή μη μορφή, το οποίο περιέχει δεδομένα που συνδέονται αρρήκτως ή αιτιωδώς με την ασθένεια ή την υγεία των ασθενών του. Για την τήρηση του αρχείου αυτού και την επεξεργασία των δεδομένων του  εφαρμόζονται οι διατάξεις του ν. 2472/1997 (ΦΕΚ 50 Α’). 2. Τα ιατρικά αρχεία πρέπει να  περιέχουν το ονοματεπώνυμο, το πατρώνυμο, το φύλο, την ηλικία, το επάγγελμα, τη διεύθυνση  του ασθενή, τις ημερομηνίες της επίσκεψης, καθώς και κάθε άλλο ουσιώδες στοιχείο που  συνδέεται με την παροχή φροντίδας στον ασθενή, όπως, ενδεικτικά και ανάλογα με την  ειδικότητα, τα ενοχλήματα της υγείας του και το λόγο της επίσκεψης, την πρωτογενή και  δευτερογενή διάγνωση ή την αγωγή που ακολουθήθηκε. Στα ιατρικά αρχεία δεν πρέπει να αναγράφονται κρίσεις ή σχολιασμοί για τους ασθενείς, παρά μόνον εάν αφορούν στην ασθένεια τους. Ο ασθενής έχει δικαίωμα πρόσβασης στα ιατρικά αρχεία, καθώς και λήψης αντιγράφων του φακέλου του.

Σύμφωνα με τον νέο Κανονισμό πρέπει να περιέχονται τα ως άνω αναφερόμενα στοιχεία αλλά και το ονοματεπώνυμο προσώπων που έλαβαν γνώση του αρχείου και ο σκοπός επεξεργασίας, προθεσμίες διαγραφής και μέτρα προστασίας. Γίνεται λοιπόν σαφές ότι οι ιατροί οφείλουν να επικαιροποιήσουν τα ιατρικά αρχεία τους, στα οποία θα προσθέσουν τα στοιχεία που αναφέρει ο Κανονισμός.

Ταυτόχρονα η διαφύλαξη του ιατρικού αρχείου είναι ένα ζήτημα που θα απασχολήσει τους ιατρούς. Η διατήρηση εγγράφου αρχείου αν και είναι η επικρατούσα στα ιδιωτικά ιατρεία και η ευκολότερη δεν μπορεί να εγγυηθεί τη διαδικασία που προβλέπεται στον νέο Κανονισμό, καθότι το αρχείο φυλάσσεται σε ένα μόνο μέρος και το χαρτί μπορεί εύκολα να καταστραφεί αλλά και το αρχείο μπορεί να κλαπεί.  Σύμφωνα με τον νέο Κανονισμό θα πρέπει το αρχείο να φυλάσσεται ασφαλώς ώστε να μην μπορεί να καταστραφεί, να κλαπεί και ανά πάσα στιγμή να μπορεί να έχει πρόσβαση σε αυτό ο ασθενής. Ο Ιατρός οφείλει να λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως: ψευδωνυμοποίηση, και κρυπτογράφηση των ιατρικών αρχείων του για την εφαρμογή των αρχών προστασίας των δεδομένων.

Η προστασία των δεδομένων που περιέχονται σε ένα ιατρικό αρχείο επιτρέπει στον ασθενή να διατηρεί την ιδιωτικότητα του. Ο ασθενής έχει απεριόριστο δικαίωμα πρόσβασης στον ιατρικό φάκελο το οποίο πλέον θα ασκείται σύμφωνα με την αρχή της φορητότητας. Βασική στόχευση των σχετικών ρυθμίσεων του Κανονισμού είναι η διευκόλυνση του υποκειμένου (ασθενή) στην πρόσβαση σε διοικητικές και δικαστικές διαδικασίες προκειμένου είτε να προσβάλλει μη νόμιμες επεξεργασίες είτε να διεκδικήσει την επανόρθωση της βλάβης που έχουν υποστεί, ως εκ τούτου στο ηλεκτρονικό αρχείο θα μπορεί εύκολα να έχει πρόσβαση ο ασθενής ανά πάσα στιγμή ενώ σε ένα έγγραφο αρχείο μπορούν να τεθούν εμπόδια πρόσβασης του ασθενούς.

Στους φορείς ΠΦΥ η διάρκεια υποχρεωτικής διαφύλαξης του ιατρικού αρχείου ορίζεται στα 10 χρόνια και δεν μπορεί ο ασθενής για αυτή τη δεκαετία να αιτηθεί τη διαγραφή του αρχείου από τον ιατρό ,αν και ρητά ορίζεται στο νέο Κανονισμό ότι έχει δικαίωμα στην λήθη το υποκείμενο προσωπικών δεδομένων.

Η μέθοδος διαγραφής του αρχείου και καταστροφής του πρέπει να εγγυάται την προστασία των προσωπικών του δεδομένων, ήτοι να καταστρέφονται με ασφαλή τρόπο με ευθύνη του ιατρού μετά το πέρας της προβλεπόμενης περιόδου. Ασφαλής τρόπος θεωρείται κάθε σύνολο διαδικασιών που μετά την  ολοκλήρωση της εφαρμογής τους δεν είναι δυνατή η ανάκτηση των δεδομένων με τεχνικά ή μη μέτρα.

Γίνεται λοιπόν σαφές ότι το ηλεκτρονικό αρχείο σύμφωνα με το Νέο Κανονισμό αποτελεί τον πλέον ασφαλή τρόπο, στο οποίο μπορεί ανά πάσα στιγμή να έχει ασφαλή πρόσβαση ο ασθενής για το οποίο θα πρέπει να τηρούνται οι αρχές ασφαλείας, ώστε να μην μπορεί να υποκλαπεί . Οι πάροχοι οφείλουν να διατηρούν και να παρέχουν στους ασθενείς τους τον Ηλεκτρονικό Φάκελο Υγείας τους, τον οποίο υποχρεούνται να τους παραδίδουν σε  μορφότυπο διαλειτουργικό, σύμφωνα και με και τα Διεθνή Πρότυπα.

Τέλος λόγω των αυστηρών προστίμων που επιβάλλει ο νέος κανονισμός ήδη, αρκετές Μονάδες Υγείας, στον ιδιωτικό και δημόσιο τομέα, σταμάτησαν να αποστέλλουν ηλεκτρονικά τα αποτελέσματα εξετάσεων, ενώ για την παραλαβή τους από τρίτο πρόσωπο, ζητούν εξουσιοδότηση. Η ορθή πρακτική για να αποφεύγονται διαρροές είναι να αποστέλλονται κρυπτογραφημένα τα σχετικά ιατρικά αποτελέσματα και το «κλειδί» να το έχει μόνο ο ασθενής. Μέχρι σήμερα η κρυπτογράφηση των προσωπικών δεδομένων για την αποστολή τους μέσω mails δεν ήταν ευρέως διαδεδομένη παρόλο που ήταν απαραίτητη προϋπόθεση για την ασφάλεια των δεδομένων, σύμφωνα και με τις συστάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Εν κατακλείδι καθίσταται κατανοητό ότι ο νέος Γενικός Κανονισμός δεν παρεκκλίνει ουσιωδώς από τις γενικές αρχές του υφιστάμενου πλαισίου προστασίας των προσωπικών δεδομένων, αλλά επιχειρεί να δημιουργήσει ένα αυστηρότερο θεσμικό πλαίσιο επεξεργασίας των προσωπικών δεδομένων και κατ’ επέκταση προστασίας τους.

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr