Με το άρθρο 37 του Γενικού Κανονισμού Προσωπικών Δεδομένων (ΕΕ) 2016/679, εισάγεται ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer – DPO), ενός προσώπου με γνώσεις περί του δικαίου και των πρακτικών προστασίας των δεδομένων, το οποίο αναλαμβάνει εν γένει την παρακολούθηση και την διασφάλιση της συμμόρφωσης με τον ανωτέρω Κανονισμό και συνεργάζεται με τις Εποπτικές Αρχές, ενεργώντας ως σύνδεσμος επικοινωνίας.
Ο ορισμός του Υπευθύνου Προστασίας Δεδομένων καθίσταται υποχρεωτικός σε κάθε περίπτωση όπου:
α. Η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα. Εξαιρούνται τα δικαστήρια όταν ασκούν δικαιοδοτικό έργο.
β. Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα.
γ. Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
Ειδική κατηγορία δεδομένων συνιστούν τα δεδομένα υγείας και επομένως, οι ιατροί και οι λοιποί επαγγελματίες του κλάδου υγείας ενδέχεται να εμπίπτουν στην περίπτωση γ’ κατά την οποία λαμβάνει χώρα επεξεργασία δεδομένων υγείας σε μεγάλη κλίμακα. Επομένως, κρίσιμο είναι να αποσαφηνιστεί η έννοια της επεξεργασίας δεδομένων σε «μεγάλη κλίμακα».
Τι ΔΕΝ συνιστά επεξεργασία ειδικών κατηγοριών δεδομένων σε «μεγάλη κλίμακα»:
Σύμφωνα με το Προοίμιο του Κανονισμού, αλλά και με τις κατευθυντήριες γραμμές που έχουν εκδοθεί σε ευρωπαϊκό επίπεδο σχετικά με το ρόλο του DPO, η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θεωρείται ότι είναι μεγάλης κλίμακας, εάν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού ή άλλου επαγγελματία του τομέα της υγείας. Επομένως όταν ένας ιδιώτης ιατρός λειτουργεί το ιατρείο του, με τη συνήθη μορφή και οργάνωση που έχει ένα ιδιωτικό ιατρείο, δεν υποχρεούται να ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO).
Τι συνιστά επεξεργασία ειδικών κατηγοριών δεδομένων σε «μεγάλη κλίμακα»:
Η επεξεργασία δεδομένων υγείας από μεγάλες κλινικές ή νοσοκομεία αναφέρεται ρητώς στις κατευθυντήριες γραμμές εφαρμογής του Κανονισμού ως χαρακτηριστικό παράδειγμα επεξεργασίας ειδικών κατηγοριών δεδομένων σε «μεγάλη κλίμακα» και επισημαίνεται ότι στις περιπτώσεις αυτές ο ορισμός DPO καθίσταται υποχρεωτικός.
Ωστόσο, εκτός από τα ανωτέρω δύο σαφή παραδείγματα υπάρχουν και αρκετές ενδιάμεσες μορφές οργάνωσης για την παροχή υπηρεσιών υγείας, δηλαδή περιπτώσεις οι οποίες δεν εμπίπτουν σε καμία από τις δύο ανωτέρω κατηγορίες, όπου η επεξεργασία δεν διενεργείται ούτε από έναν ιδιώτη ιατρό αλλά ούτε και από μία μεγάλη επιχείρηση όπως μία κλινική ή ένα νοσοκομείο και ως εκ τούτου υπάρχει αμφισβήτηση σχετικά με την υποχρέωση διορισμού Υπευθύνου Προστασίας Δεδομένων.
Τέτοια περίπτωση είναι ενδεικτικά η επεξεργασία που διενεργείται από πολυϊατρείο το οποίο συνεργάζεται με περισσότερους του ενός ιατρούς. Για τις εν λόγω ενδιάμεσες κατηγορίες, το εάν ο ορισμός Υπεύθυνου Προστασίας δεδομένων είναι υποχρεωτικός ή όχι, θα πρέπει να κρίνεται κατά περίπτωση με τη συνδρομή εξειδικευμένων νομικών.
Επιγραμματικά και χωρίς τα κατωτέρω να συνιστούν νομική συμβουλή, αναφέρουμε ότι για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη:
α) ο αριθμός των εμπλεκομένων υποκειμένων,
β) ο όγκος και το εύρος των δεδομένων,
γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας και
δ) η γεωγραφική έκταση της επεξεργασίας.
Λαμβάνοντας υπ’ όψιν τα ερωτήματα που λαμβάνουμε από τα μέλη μας, θεωρούμε επίσης σκόπιμο να αναφέρουμε ότι ορισμένες απόψεις, όπως το ότι δεν είναι υποχρεωτικός ο διορισμός Υπευθύνου Προστασίας Δεδομένων όταν ένας φορέας παροχής υπηρεσιών υγείας απασχολεί λιγότερα από 250 άτομα ή ότι αντιθέτως καθίσταται υποχρεωτικός ο διορισμός για οποιονδήποτε επεξεργάζεται δεδομένα υγείας, συμπεριλαμβανομένων όλων των ιδιωτών ιατρών που διατηρούν ατομικά ιατρεία, είναι εσφαλμένες και δεν αντικατοπτρίζουν το πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων.
Τα ανωτέρω άπτονται της υποχρέωσης ορισμού DPO. Το ότι κάποιο πρόσωπο ή επιχείρηση, δεν υποχρεούται να ορίσει Υπεύθυνο Προστασίας Δεδομένων, δεν σημαίνει ότι δε δεσμεύεται από τις διατάξεις του Κανονισμού. Υπάρχουν υποχρεώσεις που αφορούν τη συμμόρφωση με τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων, την υιοθέτηση τεχνικών και οργανωτικών μέτρων που πρέπει καθένας να λαμβάνει ώστε να διασφαλίζει τη σύννομη επεξεργασία των προσωπικών δεδομένων που διαχειρίζεται, καθώς και υποχρέωση του προσώπου που επεξεργάζεται τα δεδομένα να ανταποκρίνεται όταν οι ασθενείς ασκούν τα δικαιώματα που τους παρέχει ο Κανονισμός. Οι εν λόγω υποχρεώσεις δεσμεύουν κάθε πρόσωπο που επεξεργάζεται προσωπικά δεδομένα, ανεξαρτήτως του εάν ο οφείλει ή όχι να ορίσει Υπεύθυνο Προστασίας Δεδομένων καθίσταται υποχρεωτικός ή μη.
Στο αμέσως επόμενο χρονικό διάστημα αναμένεται η έκδοση από τον Ιατρικό Σύλλογο Αθηνών, γενικών κατευθυντήριων γραμμών σχετικά με τις υποχρεώσεις των ιδιωτών ιατρών, όπως αυτές απορρέουν από τον Κανονισμό.
ΣΥΜΠΕΡΑΣΜΑΤΙΚΑ:
1. Ένα μέσο ιδιωτικό ιατρείο δεν χρειάζεται D.P.O.
2. Μια μεγάλη κλινική ή νοσοκομείο χρειάζεται D.P.O
3. Για τις περιπτώσεις που δεν εμπίπτουν στις άνω 2 κατηγορίες (π.χ. πολυϊατρεία ή διαγνωστικά εργαστήρια με περισσότερους ιατρούς) συνιστάται να λάβουν νομική συμβουλή καθώς κάθε περίπτωση αξιολογείται ξεχωριστά με βάση τα χαρακτηριστικά της.
4. Ο κανονισμός ισχύει για όλους. Το ότι δεν χρειάζεται κάποιος D.P.O. δεν σημαίνει ότι δεν οφείλει να εφαρμόζει τον κανονισμό.
5. Κατευθύνσεις σχετικές με τις περιπτώσεις 3 και 4 θα εκδοθούν σύντομα και για τις οποίες ο ΙΣΑ θα συνδράμει τα μέλη του και με την διοργάνωση σεμιναρίων εκπαίδευσης όπου χρειάζεται.
ΓΙΑ ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΟΥ ΙΑΤΡΙΚΟΥ ΣΥΛΛΟΓΟΥ ΑΘΗΝΩΝ
Ο ΠΡΟΕΔΡΟΣ Ο ΓΕΝ. ΓΡΑΜΜΑΤΕΑΣ
Γ. ΠΑΤΟΥΛΗΣ ΑΛΕΞ. ΒΑΣΙΛΕΙΟΥ