Άρθρο του Νικόλα Κανελλόπουλου στο Lawandorder.gr με τίτλο «GDPR και υποχρεώσεις των Δομών Υγείας» . (Ιούλιος 2019)

Παρατηρείται τόσο στην ελληνική όσο και στην ευρωπαϊκή πραγματικότητα μία τάση αναδιοργάνωσης των πολιτικών και διαδικασιών των φορέων του δημοσίου και ιδιωτικού τομέα, και στον αντίποδα αύξηση των ελέγχων των αρμοδίων εποπτικών αρχών με ενίοτε επιβολή συστάσεων και προστίμων στο πλαίσιο διορθωτικών εξουσιών που τους απονέμονται βάσει του Κανονισμού.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ 679/2016) («Κανονισμός»), ο οποίος κατήργησε την Οδηγία 95/46/ΕΚ, δεν παραμένει απλά στο επίπεδο εξαγγελίας νομοθετικών ρυθμίσεων για την προστασία προσωπικών δεδομένων, αλλά προκαλεί τις επιχειρήσεις να αναθεωρήσουν και να αναδιαμορφώσουν τον τρόπο λειτουργίας τους. Πράγματι, με αφορμή τον Kανονισμό, παρατηρείται τόσο στην ελληνική όσο και στην ευρωπαϊκή πραγματικότητα μία τάση αναδιοργάνωσης των πολιτικών και διαδικασιών των φορέων του δημοσίου και ιδιωτικού τομέα, και στον αντίποδα αύξηση των ελέγχων των αρμοδίων εποπτικών αρχών με ενίοτε επιβολή συστάσεων και προστίμων στο πλαίσιο διορθωτικών εξουσιών που τους απονέμονται βάσει του Κανονισμού.

Το παράδειγμα της Ολλανδίας

Ειδικότερα, την 16/7/2019, η Αρμόδια Εποπτική Αρχή της Ολλανδίας («Autoriteit Persoonsgegevens»), επέβαλλε στο ολλανδικό νοσοκομείο «Haga», το πρώτο πρόστιμο ύψους 460.000 ευρώ σύμφωνα με τον Κανονισμό, λόγω λήψης ανεπαρκών μέτρων ως προς την τήρηση των ιατρικών αρχείων των ασθενών. Εφαλτήριο της σχετικής έρευνας της ολλανδικής Αρχής αποτέλεσε η προηγούμενη ενημέρωσή της, ότι ένας μεγάλος αριθμός του νοσοκομειακού προσωπικού είχε πρόσβαση στον ιατρικό φάκελο ενός επιφανούς Ολλανδού (197 εργαζόμενοι).

Κατά τη διάρκεια της έρευνάς της, η ολλανδική Αρχή κατόπιν ελέγχου των συστημάτων ασφάλειας πληροφοριών του νοσοκομείου, λαμβάνοντας υπόψη τα ειδικά πρότυπα ασφαλείας του τομέα της υγειονομικής περίθαλψης, κατέληξε στο συμπέρασμα ότι τα μέτρα ασφάλειας του νοσοκομείου σχετικά με την ταυτοποίηση εισόδου των χρηστών και τη δυνατότητα καταγραφής της εισόδου αυτών (ιχνηλασιμότητα – logging) ήταν ανεπαρκή, γεγονός που συνιστά παραβίαση του άρθρου 32 του Κανονισμού. Ειδικότερα ως προς το ζήτημα ελέγχου εισόδου, το νοσοκομείο δεν διέθετε έλεγχο ταυτότητας δύο παραγόντων (two – factor authentication), ο οποίος κατά την ολλανδική Αρχή πρέπει να ισχύει ως προς την τήρηση των ιατρικών αρχείων ασθενών. Μάλιστα, ως προς την δυνατότητα καταγραφής εισόδου (logging), η ολλανδική Αρχή αναφέρει στην απόφασή της ότι το νοσοκομείο είχε πραγματοποιήσει μεν ετήσιο δειγματοληπτικό έλεγχο σε έξι αρχεία ασθενών, αλλά κατέληξε στο συμπέρασμα ότι αυτό δεν ήταν αρκετό για να ικανοποιηθεί η απαίτηση του Κανονισμού για «συστηματικό, προσανατολισμένο ή ευφυή έλεγχο», λαμβάνοντας ιδιαιτέρως υπόψη την (μεγάλη) κλίμακα επεξεργασίας των σχετικών δεδομένων από το νοσοκομείο, καταλήγοντας ότι ο έλεγχος όφειλε να είναι συστηματικός και συνεπής, υπογραμμίζοντας ότι «όταν ένας δειγματοληπτικός έλεγχος ή / και έλεγχος βασίζεται σε καταγγελίες, δεν είναι επαρκής».

Η ολλανδική Αρχή, εκτός από το ως άνω πρόστιμο, επέβαλε επιπλέον και τη διακοπή της σχετικής επεξεργασίας από το νοσοκομείο, ενώ μάλιστα σε περίπτωση μη βελτίωσης της ασφάλειας τήρησης των ιατρικών φακέλων έως τις 2 Οκτωβρίου 2019, υποχρεώνει αυτό στην καταβολή επιπλέον 100.000 ευρώ κάθε δύο εβδομάδες, μέχρι του ανωτάτου ποσού των 300.000 ευρώ.

Η Ελλάδα

Στην ελληνική επικαιρότητα και με δεδομένο πρόσφατο δημοσίευμα στον τύπο, το οποίο αναφέρονταν στον τρόπο τήρησης των ιατρικών φακέλων ασθενών σε δημόσιο νοσηλευτικό ίδρυμα της Αττικής, η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε την 15/7/2019 δελτίου τύπου (Αριθ. Πρωτ.: Γ/ΕΞ/4964), καλώντας τα νοσηλευτικά ιδρύματα της χώρας να προβούν άμεσα στην εκπλήρωση της υποχρέωσης ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO) σύμφωνα με τις προβλέψεις του Κανονισμού, δεδομένου ότι από το τηρούμενο στην Αρχή αρχείο ορισμού DPOs, δυνάμει του άρθρου 37 παρ. 7 του Κανονισμού, προκύπτει ότι μέχρι σήμερα μόνο δεκατρία (13) δημόσια νοσηλευτικά ιδρύματα της χώρας έχουν εκπληρώσει την ανωτέρω υποχρέωση ορισμού DPO και το έχουν ανακοινώσει στην Αρχή, εκ των οποίων μόνο δύο (2) της Αττικής.

Καθίσταται σαφές λοιπόν, ότι οι Μονάδες Πρωτοβάθμιας και Δευτεροβάθμιας Φροντίδας Υγείας, οφείλουν να λάβουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας των προσωπικών δεδομένων και να συμμορφώνονται με τις υποχρεώσεις τους ως Υπεύθυνοι Προστασίας που τίθενται στον Κανονισμό. Ευελπιστούμε ότι υπό τη δαμόκλειο σπάθη του Κανονισμού, τα φυσικά και νομικά πρόσωπα που συλλέγουν και επεξεργάζονται σε μεγάλη κλίμακα δεδομένα ειδικής κατηγορίας και δη ιατρικά δεδομένα, θα λάβουν την όποια επιμέλεια για την προστασία αυτών, ώστε να ελαχιστοποιηθούν εάν όχι απαλειφθούν τυχόν παραβιάσεις της ασφάλειας και της εμπιστευτικότητας.

Νικόλας Κανελλόπουλος.

Δικηγόρος, Εκτελεστικός Διευθυντής του “Ινστιτούτου για την Προστασία της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία” του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO)