GDPR

Η λέξη κλειδί στο GDPR είναι η λογοδοσία

Η λέξη κλειδί στο GDPR είναι η λογοδοσία

Η Λογοδοσία και τα πρόστιμα υπό το πρίσμα του GDPR και του e-Privacy ήταν τα θέματα που ανέλυσε η κα. Ιωάννα Μιχαλοπούλου Corporate & Commercial Lawyer, στο πλαίσιο του Συνεδρίου "Pharma Transformation - Compliance in a Digital Era" που διοργάνωσε το Iatronet.gr
Γράφει: Καραγιαννοπούλου Δέσποινα
 

Η λέξη κλειδί στο GDPR είναι η λογοδοσία
Όπως η ίδια ανέφερε, λέξη - κλειδί στο GDPR είναι η έννοια της λογοδοσίας. Σημαίνει ότι έχω την ευθύνη να συμμορφώνομαι, να επιδεικνύω και να αποδεικνύω τη συμμόρφωση με τον Κανονισμό ανά πάσα στιγμή. Ο GDPR ενισχύει τη διαφάνεια, καθώς η πληροφόρηση που πρέπει να παρέχουν οι εταιρείες στα φυσικά πρόσωπα για τα δεδομένα τους διευρύνεται, ενώ, παράλληλα, πλέον, υποχρεούνται να δημοσιοποιούν στα υποκείμενα οποιαδήποτε παραβίαση της ασφάλειας των δεδομένων τους εντός 72 ωρών αφού λάβουν γνώση του περιστατικού παραβίασης.

Εστιαζόμενη στην Αρχή της Λογοδοσίας τόνισε ότι καταρχήν ο υπεύθυνος επεξεργασίας φέρει την ευθύνη ενώ οφείλει να αποδεικνύει ανά πάσα στιγμή ότι συμμορφώνεται με τον GDPR με τις αρχές που διέπουν την επεξεργασία (Α5 παρ. 2). Ήτοι την:

Αρχή της νομιμότητας, αναλογικότητας, αντικειμενικότητας και διαφάνειας
Αρχή του περιορισμού του σκοπού
Αρχή της ακρίβειας
Αρχή του περιορισμού της περιόδου αποθήκευσης
Αρχή της ακεραιότητας και εμπιστευτικότητας (Α5 παρ. 1)
Σημείωσε δε ότι η Αρχή της Λογοδοσίας καταλαμβάνει και τον εκτελούντα την επεξεργασία (Α28 παρ.3)

Μέτρα προς επίτευξη της Αρχής της Λογοδοσίας
Σύμφωνα με την κα. Ι. Μιχαλοπούλου τα επιμέρους μέτρα οργάνωσης και επίδειξης της συμμόρφωσης που οφείλει να τηρεί η φαρμακευτική βιομηχανία στα πλαίσια της αρχής της λογοδοσίας είναι τα εξής:

Η διενέργεια εκτίμησης αντικτύπου (DPIA) που σύμφωνα με την Ομάδα Εργασίας του Άρθρου 29 συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον Υπεύθυνο Επεξεργασίας (Α35)
Η προηγούμενη διαβούλευση με την εποπτική αρχή όταν η επεξεργασία δύναται να προκαλέσει υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον Υπεύθυνο Επεξεργασίας (Α36)
Η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας τα οποία διασφαλίζουν το απόρρητο και εξασφαλίζουν τη διαθεσιμότητα καθώς και την δυνατότητα απόδειξης συμμόρφωσης με τις αρχές του GDPR από τον Υπεύθυνο Επεξεργασίας και τον Εκτελούντα την Επεξεργασία (Α32)
Η τήρηση Αρχείου Δραστηριοτήτων Επεξεργασίας εγγράφως ή ηλεκτρονικά προς την κατεύθυνση της διαφάνειας και της απόδειξης της συμμόρφωσης από τον Υπεύθυνο Επεξεργασίας και τον Εκτελούντα την Επεξεργασία (Α30)
Προς την κατεύθυνση της Λογοδοσίας οι επιχειρήσεις που δραστηριοποιούνται στον κλάδο της υγείας για να επιτύχουν την συμμόρφωση οφείλουν να λάβουν επιπρόσθετα μέτρα και συγκεκριμένα:

Τον διορισμό Υπευθύνου Προστασίας Δεδομένων (DPO), ο οποίος θα έχει την ευθύνη παρακολούθησης της συμμόρφωσης της εταιρείας (Α37-39)
Την πρόβλεψη διαδικασιών γνωστοποίησης παραβίασης δεδομένων. Εντός 72 ωρών πρέπει να γίνει γνωστοποίηση στην Αρχή και στο υποκείμενο των δεδομένων (Α33)
Την έγκαιρη χαρτογράφηση των δεδομένων και της επεξεργασίας που επιδέχονται (Α30)
Την θέσπιση διαδικασιών ανταπόκρισης στα αιτήματα των υποκειμένων (Α16-22)
Η επεξεργασία των δεδομένων πρέπει να διενεργείται με βάση γραπτή σύμβαση που θα καταρτιστεί μεταξύ του Εκτελούντα την Επεξεργασία και του Υπεύθυνου Επεξεργασίας και σύμφωνα με τις καταγεγραμμένες εντολές του τελευταίου. (Α28)
 Σύμφωνα με την ομιλία της οι κατηγορίες κυρώσεων διακρίνονται σε τρεις ανάλογα με το είδος της παράβασης. Στο πλαίσιο αυτό υπάρχει καταρχήν η δυνατότητα της Αρχής να απευθύνει προειδοποιήσεις ή να επιβάλλει περιορισμούς. Σε μικρής σημασίας παράβασης προς αποφυγή δυσανάλογης επιβάρυνσης του Υπευθύνου επεξεργασίας υπάρχει η δυνατότητα επιβολής επίπληξης αντί προστίμου. Σε παραβάσεις σημαντικές - όπως παραβίαση των δικαιωμάτων των υποκειμένων ή διαβίβαση δεδομένων σε αποδέκτη τρίτης χώρας ή διεθνή οργανισμό- οι εποπτικές αρχές μπορούν να επιβάλλουν διοικητικά πρόστιμα έως 20 εκατ. ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.

Oλοκληρώνοντας την παρουσίαση της, η κα. Ι. Μιχαλοπούλου αναφέρθηκε στα βήματα που πρέπει να γίνουν από την πλευρά της φαρμακοβιομηχανίας για την πλήρη συμμορφωσή της στον Κανονισμό. Βήματα οργάνωσης και λειτουργίας, όπως η καταγραφή των κενών συμμόρφωσης, η επικαιροποίηση των εντύπων συγκατάθεσης, η αναμόρφωση της επικοινωνικής πολιτικής, η επικαιροποίηση του τρόπου χρήσης των μέσων κοινωνικής δικτύωσης, η επικαιροποίηση των συμβάσεων με τους εκτελούντες την επεξεργασία, η τήρηση της νομοθεσίας σχετικά με την φαρμακοεπαγρύπνηση, η θωράκιση του τρόπου διαβίβασης των προσωπικών δεδομένων, η οργάνωση του εσωτερικού μηχανισμού χειρισμού καταγγελιών κ.λπ.

ΠΗΓΗ:http://www.iatronet.gr/

 

Έκτακτη σύσκεψη υπ.Υγείας για τα προσωπικά δεδομένα την Τρίτη με ιδιωτικές κλινικές και διαγνωστικά κέντρα! Τι θα συζητηθεί

Γράφει: Δήμητρα Ευθυμιάδου


Έκτακτη σύσκεψη έχει προγραμματισθεί για την ερχόμενη Τρίτη μεταξύ της ηγεσίας του υπουργείου Υγείας και εκπροσώπων των ιδιωτικών κλινικών και των διαγνωστικών κέντρων.

 

Βασικό θέμα να αναλυθεί ο νέος Ευρωπαϊκός Κανονισμός για την προστασία των προσωπικών δεδομένων των ασθενών, που προς ώρας παρουσιάζει δυσκολίες στην εφαρμογή του στον ιδιωτικό τομέα ενώ στο δημόσιο δεν έχει καν…συζητηθεί.

Σύμφωνα με πληροφορίες του HealthReport.gr, η ηγεσία του υπουργείου Υγείας έχει δώσει εντολή να πραγματοποιηθεί μια διευρυμένη σύσκεψη την Τρίτη με εκπροσώπους των ιδιωτικών κλινικών (ΣΕΚ), διαγνωστικών κέντρων και άλλων ιδιωτικών φορέων, προκειμένου να δοθούν συγκεκριμένες οδηγίες για την εφαρμογή του νέου ευρωπαϊκού κανονισμού.

 

Ένας κανονισμός που δεν έχει ψηφιστεί ακόμη σε νόμο στη χώρα μας, με αποτέλεσμα να δημιουργούνται διάφορες δυσλειτουργίες, εξαιτίας και των ασαφειών που υπάρχουν.

Ήδη άλλωστε έχει δημιουργηθεί σύγχυση ειδικά σε ιδιωτικά νοσοκομεία, καθώς λόγω της έλλειψης ενημέρωσης των πολιτών, πολλοί αρνούνται να υπογράψουν το έγγραφο συναίνεσης για τη διαχείριση των προσωπικών τους δεδομένων.

Μια διαδικασία όμως που προβλέπεται από τον νέο κανονισμό.
Δεν αποκλείεται μάλιστα όπως τονίζουν πηγές του HealthReport.gr να ξεκινήσει και καμπάνια ενημέρωσης των πολιτών για το θέμα.

Τι θα συζητηθεί
Κατά τη σύσκεψη αναμένεται να δοθούν τεχνικές οδηγίες στους εκπροσώπους των ιδιωτικών φορέων, προκειμένου να ενσωματωθεί με μεγαλύτερη ευκολία το νέο μέτρο για τα προσωπικά δεδομένα.

Στο μεταξύ όμως αντίστοιχο και μάλιστα πιο σοβαρό πρόβλημα υπάρχει στα δημόσια νοσοκομεία όπου σχεδόν κανένας Διοικητής δεν έχει ενσωματώσει τις νέες οδηγίες στη λειτουργία του νοσηλευτικού ιδρύματος. Διαβάστε ΕΔΩ τις λεπτομέρειες για το ΕΣΥ: «Στον «αέρα» τα προσωπικά δεδομένα των ασθενών! Τι μέτρα λαμβάνουν νοσοκομεία, κλινικές, διαγνωστικά με αφορμή τους νέους κανόνες της Ε.Ε.»

 

Δεν είναι τυχαίο – σύμφωνα με υψηλόβαθμες κυβερνητικές πηγές του HealthReport.gr – ότι εστάλη έγγραφο από το υπουργείο Υγείας σε όλες τις Υγειονομικές Περιφέρειες (ΥΠΕ), προκειμένου κάθε νοσοκομείο ξεχωριστά να λάβει με δικούς του πόρους όλα τα μέτρα που χρειάζονται για την προστασία των δεδομένων.
Βέβαια τα νοσοκομεία θα πρέπει να αναζητήσουν μόνα τους πόρους σε μία περίοδο όπου τα κονδύλιά τους δεν επαρκούν ούτε για τα αναλώσιμα. 

ΠΗΓΗ:http://www.healthreport.gr/

 

GDPR στην Υγεία: Η υψηλή υπεραξία των δεδομένων και η προστασία τους

ΚΛΙΚ ΕΔΩ

ΠΗΓΗ:https://www.ygeianet.gr/

Συχνές ερωτήσεις και απαντήσεις για τον νέο κανονισμό προσωπικών δεδομένων

 

Αγαπητοί Συνάδελφοι,
Σας κοινοποιούμε μια συλλογή από συχνές ερωτήσεις και απαντήσεις σχετικές με τον νέο κανονισμό προσωπικών δεδομένων (GDPR), η οποία θα εμπλουτίζεται κατά καιρούς με νέο υλικό
 Για το σύνολο των ανακοινώσεων/δράσεων του Ι.Σ.Α. σχετικά με τον νέο κανονισμό προσωπικών δεδομένων (GDPR) πατήστε ΕΔΩ

 

1. Τι θα πρέπει να προσέξω εάν χρησιμοποιώ υπηρεσία τηλεφωνικής γραμματείας;
2. Θα πρέπει να τηρώ το Αρχείο Επεξεργασίας του άρθρου 30 GDPR;
3. Ποιά είναι η σχέση ανάμεσα στο Αρχείο Επεξεργασίας του GDPR και στο Ιατρικό Αρχείο;
4. Εάν το ζητήσουν οι ασθενείς, μπορώ να δίνω αποτελέσματα ιατρικών εξετάσεων σε τρίτους;
5. Διενέργεια εξετάσεων από συνεργάτη του ιατρού & ενημέρωση του ασθενούς
6. Αν δεν κρατάω τα στοιχεία των ασθενών απαλλάσσομαι από τις υποχρεώσεις του Κανονισμού;
7. Ιατρικό Απόρρητο βάσει Κώδικα Ιατρικής Δεντολογίας και Ασφάλεια Προσωπικών Δεδομένων βάσει GDPR
 

 

1. Τι θα πρέπει να προσέξω εάν χρησιμοποιώ υπηρεσία τηλεφωνικής γραμματείας;
Σχετικά με την υπηρεσία τηλεφωνικής γραμματείας, θα πρέπει να έχετε σύμβαση με την εταιρεία που σας παρέχει την τηλεφωνική γραμματεία και να προβλεφθεί στη σύμβαση ότι η εταιρεία που συλλέγει για λογαριασμό σας τα στοιχεία των ασθενών που κλείνουν ραντεβού αναλαμβάνει τις υποχρεώσεις της ως εκτελούσα την επεξεργασία. (Δείτε στην ιστοσελίδα του ΙΣΑ το ερώτημα"Τι πρέπει να γνωρίζω όταν συνεργάζομαι με έναν Εκτελούντα την Επεξεργασία;": http://www.isathens.gr/syndikal/7789-enimerwsi-nea-nomothesia-proswpikwn-dedomenwn.html#q14 .)

Επίσης, εάν οι κλήσεις ηχογραφούνται θα πρέπει να ορίσετε για πόσο χρόνο είναι αναγκαίο να διατηρείται η ηχογράφηση και όταν δεν είναι πλέον αναγκαία και δεν εξυπηρετεί κάποιο σκοπό, να διαγράφεται.

2. Θα πρέπει να τηρώ το Αρχείο Επεξεργασίας του άρθρου 30 GDPR;
Η παράγραφος 5 του άρθρου 30 του Κανονισμού εξαιρεί μεν μικρούς οργανισμούς, όπως αυτοί που έχουν λιγότερους από 250 εργαζομένους, όμως, η εξαίρεση αυτή δεν ισχύει για περιπτώσεις επεξεργασίας δεδομένων υγείας. Συνεπώς, ένας ιδιώτης ιατρός πρέπει να τηρεί αρχείο επεξεργασίας, μόνογια τις επεξεργασίες που αφορούν δεδομένα υγείας. Ενδεικτικά, δεν χρειάζεται να καταγραφούν σε αυτό άλλες επεξεργασίες που δεν είναι συστηματικές ή δεν αφορούν δεδομένα υγείας (π.χ. δεν χρειάζεται να καταγραφεί ως διαδικασία η τήρηση ενός αρχείου με ονοματεπώνυμο, ειδικότητα, τηλέφωνο, e-mail συναδέλφων ιατρών για επαγγελματική χρήση).

3. Ποιά είναι η σχέση ανάμεσα στο Αρχείο Επεξεργασίας του GDPR και στο Ιατρικό Αρχείο;

Στο Αρχείο Επεξεργασίας του GDPR καταγράφουμε διαδικασίες. Δεν καταγράφουμε στοιχεία συγκεκριμένων ασθενών. Δεν χρειάζεται να παρέχεται στους ασθενείς. Ο ιατρός το τηρεί για δική του χρήση στο ιατρείο για την καλύτερη οργάνωσή του ή/και για τυχόν έλεγχο από Αρχές.

Τα στοιχεία ασθενών εξακολουθούν να καταγράφονται στο Ιατρικό Αρχείο, όπως αυτό προβλέπεται από το Άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας. Η δομή και το περιεχόμενο του Ιατρικού Αρχείου με τα στοιχεία των ασθενών δεν τροποποιείται από τις διατάξεις του GDPR ούτε αντικαθίσταται από κάποιο άλλο αρχείο.

4. Εάν το ζητήσουν οι ασθενείς, μπορώ να δίνω αποτελέσματα ιατρικών εξετάσεων σε τρίτους;
Τα αποτελέσματα εξετάσεων αποτελούν προσωπικά δεδομένα, επομένως πρέπει να διασφαλίσετε ότι δεν τα παρέχετε σε τρίτους που δεν είναι εξουσιοδοτημένοι. Ένας αποτελεσματικός τρόπος που προστατεύει τους ασθενείς, ενώ ταυτόχρονα διασφαλίζει ότι και εσείς δεν εκτίθεστε σε νομικούς κινδύνους, είναι να έχετε ένα έντυπο, το οποίο θα συμπληρώνει κάθε ασθενής πριν εξεταστεί και στο οποίο, εκτός από τα στοιχεία του ασθενούς που ούτως ή άλλως πρέπει να καταγραφούν, θα περιλαμβάνεται και ένα πεδίο που θα συμπληρώνεται υποχρεωτικά και όπου ο ασθενής θα δηλώνει με ποιον τρόπο θα παραλάβει τα αποτελέσματα των εξετάσεών του. Σε περίπτωση που ο ασθενής δηλώσει ότι επιθυμεί να παραλάβει τα αποτελέσματα τρίτος, θα πρέπει (ο ασθενής) να συμπληρώσει το πλήρες ονοματεπώνυμο του τρίτου (συνιστάται να αναφέρεται και ο αριθμός ταυτότητας) και να υπογράψει το έντυπο. Κατά την παράδοση των αποτελεσμάτων των εξετάσεων στον τρίτο, πρέπει να ελέγχετε την ταυτότητα του τρίτου, ώστε να βεβαιωθείτε ότι είναι το εξουσιοδοτημένο από τον ασθενή πρόσωπο.

5. Διενέργεια εξετάσεων από συνεργάτη του ιατρού & ενημέρωση του ασθενούς
Ο ασθενής θα πρέπει να ενημερώνεται σχετικά με το εάν τα δεδομένα του θα διαβιβαστούν σε τρίτους αποδέκτες. Δεν χρειάζεται αρχικά να προσδιοριστούν ακριβώς οι τρίτοι (π.χ. στο Χ εργαστήριο) αλλά οι κατηγορίες τους (π.χ. “σε ορισμένες περιπτώσεις τα στοιχεία σας και το βιολογικό υλικό αποστέλλονται σε συνεργαζόμενα εργαστήρια για την ολοκλήρωση των εξετάσεων”). Εάν ο ασθενής ασκήσει το δικαίωμα πρόσβασης, δικαιούται να ενημερωθεί με μεγαλύτερη λεπτομέρεια σχετικά με τους αποδέκτες των δεδομένων του. Στην περίπτωση αυτή θα πρέπει εντός 1 μηνός να του παράσχετε όλα τα αναγκαία στοιχεία, συμπεριλαμβανομένων των στοιχείων των αποδεκτών – συνεργατών σας. Αν και προβλέπεται η δυνατότητα εξαίρεσης περιπτώσεων που ο αποδέκτης δεσμεύεται από το επαγγελματικό απόρρητο, δεν θεωρούμε ότι έχει εφαρμογή αυτή η εξαίρεση σε τέτοιες περιπτώσεις, καθώς στοχεύει κυρίως στο να αντιμετωπίσει περιπτώσεις που το επαγγελματικό απόρρητο έρχεται σε σύγκρουση με την υποχρέωση ενημέρωσης (π.χ. εάν ο ασθενής ενημερώσει τον ιατρό για παθήσεις συγγενών στο πλαίσιο λήψης του ιστορικού του, ο ιατρός δεν υποχρεούται να ενημερώσει τους συγγενείς ότι κατέγραψε και θα διατηρήσει τα δεδομένα τους, καθώς αυτό θα παραβίαζε την υποχρέωσή του για τήρηση του απορρήτου του ασθενή του).

6. Αν δεν κρατάω τα στοιχεία των ασθενών απαλλάσσομαι από τις υποχρεώσεις του Κανονισμού;
Η τήρηση ιατρικού αρχείου με τα στοιχεία του ασθενή που ορίζει το άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας είναι υποχρέωση κάθε ιατρού και πρέπει να τηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενούς στα ιδιωτικά ιατρεία και για 20 έτη στις υπόλοιπες περιπτώσεις. Επομένως, δεν αποτελεί επιλογή για τους ιατρούς η μη τήρηση προσωπικών δεδομένων ασθενών.

7. Ιατρικό Απόρρητο βάσει Κώδικα Ιατρικής Δεντολογίας και Ασφάλεια Προσωπικών Δεδομένων βάσει GDPR.

Ο Κανονισμός GDPR επιβάλλει υποχρεώσεις σχετικά με την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων. Οι έννοιες αυτές δεν είναι κάτι τελείως νέο για τους ιατρούς. Βάσει του Κώδικα Ιατρικής Δεοντολογίας, οι ιατροί σε κάθε περίπτωση δεσμεύονται από την υποχρέωση τήρησης του ιατρικού απορρήτου (εμπιστευτικότητας). Παράλληλα οφείλουν να τηρούν Ιατρικό Αρχείο, που συνδέεται στενά με τη διασφάλιση της ακεραιότητας, (καθώς τα στοιχεία των ασθενών πρέπει να προστατεύονται από τυχόν αλλοίωσή τους) καθώς και με τη διασφάλιση της διαθεσιμότητας (καθώς το Ιατρικό Αρχείο πρέπει βάσει του Κώδικα να διατηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενή από τους ιδιώτες ιατρούς και για 20 έτη στις υπόλοιπες περιπτώσεις).

Ο τρόπος με τον οποίο διασφαλίζεται το απόρρητο των στοιχείων των ασθενών, διαφέρει ανάλογα με τον τρόπο λειτουργίας του ιατρείου και τήρησης του αρχείου. Ενδεικτικά, εάν τηρείτε το αρχείο σε έντυπη μορφή, θα πρέπει να φροντίσετε αυτό να μην είναι προσβάσιμο σε οποιονδήποτε μη εξουσιοδοτημένο τρίτο (σε ασφαλή χώρο, π.χ. κλειδωμένο φοριαμό), αν και εγγενώς το φυσικό (έντυπο) αρχείο δεν μπορεί εύκολα να πληροί τις λοιπές προδιαγραφές του Κανονισμού, π.χ. ως προς τη διαθεσιμότητα (καθώς δεν υπάρχει συνήθως η δυνατότητα ανάκτησης σε περίπτωση που κλαπεί, αλλοιωθεί ή καταστραφεί, εκτός εάν τηρείται και αντίγραφο ή εάν τα ίδια δεδομένα υπάρχουν και σε ψηφιακή μορφή).

Για το ηλεκτρονικό αρχείο προτείνουμε να δείτε τη σχετική ενημέρωση του ΙΣΑ με τις συνοπτικές οδηγίες συμμόρφωσης ιδιωτικού ιατρείου, όπου αναφέρονται ορισμένα μέτρα που μπορούν να ληφθούν για την προστασία των ηλεκτρονικών αρχείων (http://www.isathens.gr/syndikal/7825-synoptikes-odigies-symmorfosis-id-iatreiou-gdpr.html).

ΠΗΓΗ:http://www.isathens.gr

Εξετάζεται εξάμηνη περίοδος προσαρμογής για τον κανονισμό GDPR

Του Στέλιου Κράλογλου

Το ενδεχόμενο να δοθεί 6μηνη περίοδος προσαρμογής για το νέο Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (GDPR) εξετάζουν τα κράτη μέλη της Ε.Ε. με την Κομισιόν καθώς, τυπικά, τα αρμόδια κοινοτικά όργανα δεν μπορούν να δώσουν "επισήμως" παράταση στην εφαρμογή του κανονισμού

Πληροφορίες του Capital.gr αναφέρουν ότι πρακτικά ο κανονισμός θα ισχύει από την 25η Μαΐου αλλά για μια περίοδο, πιθανώς έως το τέλος του χρόνου, δεν θα κόβονται τα τσουχτερά πρόστιμα.

Η ελληνική κυβέρνηση φλέγεται να πάρει περίοδο ανοχής καθώς ο άμεσα ενδιαφερόμενος της, το ελληνικό δημόσιο είναι ανέτοιμο να προσαρμοστεί στις επιταγές του κανονισμού

Όπως έχει ήδη αναφέρει το Capital.gr η ελληνική κυβέρνηση δεν έχει ακόμη ενσωματώσει τον κανονισμό GDPR στην εθνική νομοθεσία. Το ίδιο βέβαια, συμβαίνει σε άλλα επτά κράτη-μέλη (Βέλγιο, Βουλγαρία, Κύπρος, Τσεχία, Ουγγαρία, Λιθουανία και Σλοβενία), τη στιγμή που διέθεταν περίπου δύο χρόνια για να θεσπίσουν τα αναγκαία νομοθετήματα. Αυτό πρακτικά σημαίνει, ότι ωσότου ενσωματωθεί στην εθνική νομοθεσία ο κανονισμός, δεν θα είναι δυνατή η επιβολή ποινών για μη συμμόρφωση με τον ευρωπαϊκό κανονισμό από την Αρχή Προστασία Προσωπικών Δεδομένων.

Γι’ αυτό, όπως ανέφερε, πρόσφατα, η Ευρωπαία Επίτροπος Δικαιοσύνης Vera Jourova δεν αποκλείεται να υπάρξει προσφυγή της Κομισιόν στο Ευρωπαϊκό Δικαστήριο κατά των κρατών -μελών που δεν έχουν ενσωματώσει τον κανονισμό στην εθνική νομοθεσία.

Υπενθυμίζεται ότι τόσο το δημόσιο όσο και οι εταιρείες που δεν συμμορφώνονται με τον GDPR, θα υφίστανται πρόστιμο έως 4% του παγκόσμιου ετήσιου κύκλου εργασιών τους ή πρόστιμο που αγγίζει τα 20 εκατομμύρια ευρώ. Σημειώνεται ότι αυτά τα πρόστιμα θα ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους εκτελούντες την επεξεργασία.

Ως "υπεύθυνος επεξεργασίας" θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. "Εκτελών την επεξεργασία" θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων ("DPO”). Ο DPO μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. 

ΠΗΓΗ:ΙΑΤΡΟΙ ΕΟΠΥΥ ΛΑΡΙΣΑΣ 

Τριπλό σοκ εισφορών για τους ελεύθερους επαγγελματίες το 2019

Τριπλό σοκ εισφορών για τους ελεύθερους επαγγελματίες το 2019

Του Δημήτρη Κατσαγάνη

Αυξημένες εισφορές θα κληθούν -όπως όλα δείχνουν- να πληρώνουν οι ελεύθεροι επαγγελματίες σε λίγο παραπάνω από 6 μήνες από σήμερα.

Και αυτό για τρεις λόγους.

Πρώτον, καταργείται από 1η/1/2019 η έκπτωση 15% στη βάση υπολογισμού για τις δικές τους εισφορές. Δεύτερον, ενδεχόμενη αύξηση του κατώτατου μισθού θα οδηγήσει σε αύξηση των εισφορών που πρέπει να καταβάλλουν οι εργοδότες ως ποσοστό των μεικτών αποδοχών των εργαζομένων που απασχολούν στις επιχειρήσεις τους, εφόσον αυτοί αμείβονται με το βασικό μισθό.

Τρίτον, θα αυξηθούν -επίσης ανάλογα- και οι κατώτατες ή ελάχιστες εισφορές που καταβάλλουν για τον εαυτό τους οι ελεύθεροι επαγγελματίες.

Χθες για άλλη μια φορά, η υπουργός Εργασίας, κα. Έφη Αχτσιόγλου εξήγγειλε την αύξηση του κατώτατου μισθού από το 2019 στο πλαίσιο της κεντρικής εκδήλωσης της ΓΣΕΕ για τα 100 χρόνια από την ίδρυση της.

Ωστόσο, η κα. Αχτσιόγλου επίσης για άλλη μια φορά δεν έδωσε λεπτομέρειες, δηλαδή πόσο ακριβώς θα αυξήσει τον μισθό αυτό με τον οποίο αμείβονται κοντά στους 600.000 μισθωτούς του ιδιωτικού τομέα. Η ΓΣΕΕ υποστηρίζει, φυσικά, το μέτρο αυτό. Το ίδιο κάνει ανοιχτά και η ΕΣΕΕ, αν και τάσσεται υπέρ μίας σταδιακής εφαρμογής του.

Ωστόσο, δεν ισχύει το ίδιο για τον ΣΕΒ, ο οποίος υποστηρίζει την αποσύνδεση του μηχανισμού καθορισμού του κατώτατου μισθού των λιγότερο ειδικευμένων εργαζομένων, από τη διαδικασία μισθολογικών αναπροσαρμογών, σε επιχειρησιακό επίπεδο, μέσω συλλογικών διαπραγματεύσεων και συστημάτων διαμεσολάβησης και διαιτησίας, που να λαμβάνουν υπόψη κλαδικές και επιχειρησιακές ιδιαιτερότητες, συμπεριλαμβανομένων των τεχνολογικών εξελίξεων.

Σε κάθε περίπτωση, όπως επισημαίνουν αναλυτές στο Capital.gr, μία αύξηση του κατώτατου μισθού θα οδηγούσε προφανώς σε αύξηση του μισθολογικού αλλά και του μη μισθολογικού κόστους, δηλαδή των ασφαλιστικών κρατήσεων.

Και αυτό γιατί οι εισφορές της μισθωτής απασχόλησης επιβάλλονται επί των μικτών αποδοχών των εργαζομένων.

Συνεπώς μία αύξηση του μικτού βασικού μισθού άγαμου ανειδίκευτου εργάτη (ο οποίος σήμερα ανέρχεται σε 586 ευρώ για τους άνω των 25 ετών και στα 510 ευρώ για τους κάτω των 25 ετών) θα είχε ως συνέπεια μία ανάλογη αύξηση των εισφορών.

Ωστόσο, οι ελεύθεροι επαγγελματίες οι οποίοι είναι ιδιοκτήτες εταιρειών (πλην των ΑΕ), στην περίπτωση που αυξηθεί ο κατώτατος μισθός το 2019, θα έχουν άλλη μία επιβάρυνση, εκτός από εκείνη που θα προκύψει στις εισφορές επί της μισθωτής απασχόλησης.

Ο λόγος για τις εισφορές τις οποίες καταβάλλουν για τον εαυτό τους και οι οποίες υπολογίζονται επί του εισοδήματός τους από την επαγγελματική δραστηριότητά τους.

Οι κατώτατες εισφορές τις οποίες πρέπει να πληρώνουν οι επαγγελματίες υπολογίζονται επί του μικτού βασικού μισθού του άγαμου ανειδίκευτου εργάτη, δηλαδή επί των 586 ευρώ. Ανέρχονται, δηλαδή, σε 158 ευρώ/μήνα.

Μία αύξηση του βασικού μισθού θα οδηγούσε σε μία ανάλογη αύξηση των κατώτατων εισφορών των ελευθέρων επαγγελματιών.

Η αύξηση αυτή –εφόσον αυξανόταν ο κατώτατος μισθός – θα ερχόταν σε μία στιγμή που προβλέπεται να καταργηθεί η έκπτωση 15% στη βάση υπολογισμού των ίδιων εισφορών.

Συγκεκριμένα, από 1η/1/2019 –δηλαδή κατά το ίδιο χρονικό σημείο κατά το οποίο σχεδιάζει η κυβέρνηση να αυξήσει τον κατώτατο μισθό και εμμέσως τις κατώτατες εισφορές των επαγγελματιών – οι εισφορές των επαγγελματιών θα υπολογίζονται με βάση το 100% (και όχι του 85% όπως ισχύει φέτος) του αθροίσματος του καθαρού δηλωτέου εισοδήματος του προηγούμενου έτους και των καταβληθεισών εισφορών.

ΠΗΓΗ:ΙΑΤΡΟΙ ΕΟΠΥΥ ΛΑΡΙΣΑΣ 

Λίστα Ελέγχου Ετοιμότητας για τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR)

Σύμφωνα με τη σχετική δημοσίευση της ΠΟΦΕΕ:

Μία λίστα για τον έλεγχο των υποχρεώσεων που προκύπτουν βάσει του νέου Γενικού Κανονισμού για την Προστασία των Δεδομένων (GDPR), ο οποίος τίθεται σε ισχύ από τις 25 Μαΐου 2018, δημιούργησε η Π.Ο.Φ.Ε.Ε., στο πλαίσιο της συνεχούς ενημέρωσης των μελών της.
https://www.e-forologia.gr/

Αυτός ο οδηγός με την λίστα ελέγχου έχει σχεδιαστεί για να βοηθήσει ιδίως τον τομέα των μικρών και μεσαίων επιχειρήσεων, όπου ενδέχεται να μην έχουν πρόσβαση σε εκτενείς σχεδιασμούς και νομικούς πόρους στην χαρτογράφηση των δεδομένων προσωπικού χαρακτήρα που κατέχουν και επεξεργάζονται αυτή τη στιγμή, τη νόμιμη βάση στην οποία συγκεντρώθηκαν τα δεδομένα, και την περίοδο διατήρησης για κάθε κατηγορία δεδομένων. Στο πλαίσιο αυτό, θα βοηθήσει τις μικρομεσαίες επιχειρήσεις να προετοιμαστούν για ένα επιχειρηματικό μέλλον συμβατό με την προστασία των δεδομένων.

Μέσα από απλές διαδικασίες και βήμα προς βήμα μία επιχείρηση με την προσαρμογή της στις απαιτήσεις της συγκεκριμένης λίστας μπορεί όχι μόνο να βοηθηθεί στην εναρμόνιση με τον νέο Γενικό Κανονισμό, αλλά και να ελέγχει σε βάθος χρόνου την συνεχή και συνεπή συμμόρφωση της.

Δείτε αναλυτικά τον Οδηγό εδώ.

ΠΗΓΗ:http://medispin.blogspot.gr/

 

ΙΣΘ: Απαντήσει, σχετικά με τον Γενικό Κανονισμό για την προστασία προσωπικών δεδομένων

Απαντήσεις σε συχνές ερωτήσεις για την εφαρμογή του Γενικού Κανονισμού 2016/679 για την προστασία προσωπικών δεδομένων

Ø Ερώτηση: Εφαρμόζεται ο Γενικός Κανονισμός για την προστασία των προσωπικών δεδομένων στα ιδιωτικά ιατρεία;

Απάντηση: Ο Γενικός Κανονισμός για την προστασία των προσωπικών δεδομένων εφαρμόζεται και στα ιδιωτικά ιατρεία με κλιμακούμενες, όμως, υποχρεώσεις ανάλογα με τα κριτήρια που θέτει ο Κανονισμός, ανάλογα με το μέγεθος της κλίμακας της επεξεργασίας των δεδομένων υγείας, αλλά και την επικινδυνότητα των πράξεων επεξεργασίας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Ø Ερώτηση: Πρέπει στο ιδιωτικό μου ιατρείο να προσλάβω Υπεύθυνο Προστασίας (DPO);

Απάντηση: Η επεξεργασία δεδομένων προσωπικού χαρακτήρα ασθενών ιδιώτη ιατρού, όπου υφίσταται η απλή σχέση ιατρού – ασθενή, δεν θεωρείται ότι είναι μεγάλης κλίμακας, οπότε δεν απαιτείται η πρόσληψη DPO, ούτε όμως και απαγορεύεται.

Ø Ερώτηση: Υποχρεούμαι στην τήρηση του αρχείου δραστηριοτήτων που προβλέπεται στο άρθρο 30 του Γενικού Κανονισμού;

Απάντηση: Ο ιδιώτης ιατρός που λειτουργεί ένα ιδιωτικό ιατρείο μικρής κλίμακας οφείλει να διατηρεί αρχείο δραστηριοτήτων για την επεξεργασία δεδομένων υγείας. Το αρχείο αυτό είναι ένα πολύ χρήσιμο μέσο για την ανάλυση των συνεπειών των επεξεργασιών, την αναγνώριση και υλοποίηση των κατάλληλων μέτρων ασφαλείας στο πλαίσιο της υποχρέωσης για λογοδοσία του Υπεύθυνου Επεξεργασίας.

Ø Ερώτηση: Στην περίπτωση που το ιδιωτικό μου ιατρείο δεν είναι απολύτως προσαρμοσμένο στις απαιτήσεις του Γενικού Κανονισμού στις 25.5.2018, θα υπάρξει πρόστιμο 20 εκατ. Ευρώ εκ μέρους της Αρχής Προστασίας Προσωπικών Δεδομένων;

Απάντηση: Τα ποσά των προστίμων που ορίζει ο Γενικός Κανονισμός είναι τα ανώτατα. Κατά την επιβολή τους λαμβάνονται υπόψη η φύση, η βαρύτητα, η διάρκεια της παράβασης, η ύπαρξη δόλου ή αμέλειας, ο μετριασμός της ζημίας, ο αριθμός των θιγομένων από την παραβίαση των προσωπικών δεδομένων, ο βαθμός συνεργασίας με την Αρχή Προστασίας Προσωπικών Δεδομένων και άλλοι παράγοντες. Η συμμόρφωση στον Γενικό Κανονισμό δεν είναι υπόθεση μιας ημέρας, αλλά απαιτεί την ενημέρωση για τις διατάξεις του και την σταδιακή εξοικείωση με την εφαρμογή τους.

Ø Ερώτηση: Υπάρχει περίπτωση να δοθεί παράταση στην έναρξη εφαρμογής του Γενικού Κανονισμού;

Απάντηση: Ο Γενικός Κανονισμός εκδόθηκε στις 27 Απριλίου 2016 και δόθηκε προθεσμία συμμόρφωσης των υπευθύνων επεξεργασίας διάρκειας δυο ετών. Στις 25.5.2018 θα ξεκινήσει να εφαρμόζεται χωρίς παράταση στην έναρξη εφαρμογής του σε όλα τα κράτη του Ευρωπαϊκού Οικονομικού Χώρου. Οι περισσότερες διατάξεις του υπήρχαν και στο προηγούμενο νομοθετικό καθεστώς.

Ø Ερώτηση: Μπορώ να μην τηρώ ιατρικό αρχείο προκειμένου να μην εμπίπτω στο πεδίο εφαρμογής του Γενικού Κανονισμού;

Απάντηση: Σύμφωνα με τον Κώδικα Ιατρικής Δεοντολογίας, ο ιατρός υποχρεούται να τηρεί ιατρικό αρχείο, σε ηλεκτρονική ή μη μορφή, το οποίο περιέχει δεδομένα που συνδέονται αρρήκτως ή αιτιωδώς με την ασθένεια ή την υγεία των ασθενών. Τα ιατρικά αρχεία πρέπει να περιέχουν το ονοματεπώνυμο, το πατρώνυμο, το φύλο, την ηλικία, το επάγγελμα, τη διεύθυνση του ασθενή, τις ημερομηνίες της επίσκεψης, καθώς και κάθε άλλο ουσιώδες στοιχείο που συνδέεται με την παροχή φροντίδας στον ασθενή, όπως ενδεικτικά και ανάλογα με την ειδικότητα, τα ενοχλήματα της υγείας του και το λόγο της επίσκεψης, την πρωτογενή και δευτερογενή διάγνωση ή την αγωγή που ακολουθήθηκε. Η επεξεργασία δεδομένων υγείας θεωρείται δεδομένη στην περίπτωση των ιδιωτικών ιατρείων, όπως και η εφαρμογή του Γενικού Κανονισμού.

Ø Ερώτηση: Πρέπει να ψηφιοποιήσω το αρχείο μου στο ιδιωτικό μου ιατρείο;

Απάντηση: Ο Γενικός Κανονισμός δεν προβλέπει την ψηφιοποίηση του ιδιωτικού ιατρείου. Εφαρμόζεται τόσο στην περίπτωση αυτοματοποιημένης, όσο και στην περίπτωση μη αυτοματοποιημένης επεξεργασίας.

Ø Ερώτηση: Μπορώ ως ιατρός να δίνω πληροφορίες που αφορούν πελάτη μου σε συγγενή του ή άλλο τρίτο πρόσωπο;

Απάντηση: Αυτό επιτρέπεται μόνο εάν υπάρχει εξουσιοδότηση του ασθενή προς τον συγγενή του.

Ø Ερώτηση: Επιτρέπεται να ανταλλάσσω δεδομένα υγείας των ασθενών μου μέσω mail, facebookκαι άλλων μέσων κοινωνικής δικτύωσής με άλλους συναδέλφους μου;

Απάντηση: Αυτό επιτρέπεται μόνο εάν ο ασθενής δεν είναι με κανένα τρόπο ταυτοποιήσιμος από τις πληροφορίες αυτές, δηλαδή οι πληροφορίες είναι ανωνυμοποιημένες.

Ø Ερώτηση: Μπορώ να αποστέλλω δεδομένα υγείας μέσω mail στον ίδιο τον ασθενή μου;

Απάντηση: Αυτό επιτρέπεται μόνο εάν οι πληροφορίες είναι κρυπτογραφημένες, ο ασθενής έχει συγκατατεθεί να του αποσταλούν με τον τρόπο αυτό και έχει γνωστοποιήσει εγγράφως το mail του.

Ø Ερώτηση: Στην περίπτωση που ασθενής μου ζητήσει αντίγραφα από το αρχείο που τηρώ είμαι υποχρεωμένος να τα χορηγήσω;

Απάντηση: Ο ιατρός οφείλει να χορηγήσει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία χωρίς επιβάρυνση του ασθενή. Εάν ζητούνται επιπλέον αντίγραφα, μπορεί να υπάρξει χρέωση. Οι ασθενείς δικαιούνται να έχουν πρόσβαση στα δεδομένα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση. Ειδικότερα, έχουν το δικαίωμα να γνωρίζουν και να τους ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, το δικαίωμά τους για διόρθωση ή διαγραφή ή αντίταξη στην εν λόγω επεξεργασία, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και την προέλευσή τους, εφόσον δεν προήλθαν από το ίδιο τον ίδιο τον ασθενή.

Ø Ερώτηση: Μπορεί ο ασθενής να ζητήσει την διόρθωση των δεδομένων του που τηρώ;

Απάντηση: Ο ασθενής δικαιούται να ζητήσει τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που τον αφορούν ή/και τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα.

Ø Ερώτηση: Μπορεί ο ασθενής να ζητήσει την διαγραφή των δεδομένων του από το αρχείο μου;

Απάντηση: Ο ασθενής δικαιούται να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και ο ιατρός υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα, εκτός εάν υφίσταται νόμιμος λόγος διατήρησης αυτών (π.χ. υποχρέωση διατήρηση σύμφωνα με τον νόμο, προθεσμία παραγραφής).

Ø Ερώτηση: Για πόσο χρόνο υποχρεούμαι να διατηρώ το ιατρικό μου αρχείο;

Απάντηση: Ο ιατρός έχει υποχρέωση να διατηρεί το ιατρικό του αρχείο για μια δεκαετία από την τελευταία επίσκεψη του ασθενή.

Ø Ερώτηση: Έχω υποχρέωση λογοδοσίας σύμφωνα με τον Γενικό Κανονισμό;

Απάντηση: Ο ιατρός έχει υποχρέωση λογοδοσίας, δηλαδή πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις απαιτήσεις του Γενικού Κανονισμού. Οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό.

Ø Ερώτηση: Τι οφείλω να κάνω στην περίπτωση που διαρρεύσουν από το ιατρείο μου δεδομένα των ασθενών μου;

Απάντηση: Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο ιατρός οφείλει εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Προσωπικών Δεδομένων. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πρέπει να ανακοινωθεί η παραβίαση και στους ασθενείς, εκτός εάν τα δεδομένα δεν είναι κατανοητά σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως εάν έχει εφαρμοστεί η κρυπτογράφηση, ή ο ιατρός έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ή η ανακοίνωση προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ΄αυτής δημόσια ανακοίνωση ή άλλο παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

Σας αποστέλλουμε πληροφοριακό υλικό, σχετικά με τον Κανονισμό Προστασίας Προσωπικών Δεδομένων (G.D.P.R) , για την ενημέρωσή σας.

Σας προτρέπουμε να μην προβείτε σε άμεσες ενέργειες καθώς ο Ιατρικός Σύλλογος Θεσσαλονίκης εξετάζει την δημιουργία κοινής πλατφόρμας για τα μέλη του.

Σχετική ανακοίνωση θα εκδοθεί στο αμέσως επόμενο χρονικό διάστημα.

Ο Πρόεδρος Ο Γεν. Γραμματέας

Dr. Εξαδάκτυλος Αθανάσιος Νίτσας Νικόλαος

http://www.isth.gr/?page=13209

ΠΗΓΗ:http://docmed.gr/

 

Συνοπτικές οδηγίες συμμόρφωσης ιδιωτικού ιατρείου στον νέο κανονισμό προστασίας προσωπικών δεδομένων

Αγαπητοί συνάδελφοι,

Σας κοινοποιούμε συνοπτικές οδηγίες συμμόρφωσης στον νέο κανονισμό της Ευρωπαϊκής Ένωσης για τα προσωπικά δεδομένα (GDPR) για ένα απλό ιδιωτικό ιατρείο.

Για οποιεσδήποτε ερωτήσεις και διευκρινήσεις παρακαλούμε επικοινωνήστε στην παρακάτω φόρμα για να λάβετε απάντηση από την εξειδικευμένη υπηρεσία του Ι.Σ.Α.: πατήστε ΕΔΩ

ΚΥΡΙΑ* ΒΗΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ ΑΠΛΟΥ ΙΔΙΩΤΙΚΟΥ ΙΑΤΡΕΙΟΥ

ΠΟΥ ΤΗΡΕΙ ΗΛΕΚΤΡΟΝΙΚΟ ΑΡΧΕΙΟ ΑΣΘΕΝΩΝ

ΜΕ ΤΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR)

Ο ιατρός οφείλει:

Να τηρεί Αρχείο Επεξεργασίας για τα ευαίσθητα δεδομένα υγείας των ασθενών του (βλ. Υπόδειγμα Αρχείου Επεξεργασίας - πατήστε ΕΔΩ).

Να διαθέτει έντυπο ενημέρωσης και να λαμβάνει συναίνεση των ασθενών του εάν πρόκειται να κάνει χρήση δεδομένων και για άλλους σκοπούς πέραν της τήρησης ιατρικού αρχείου: Εάν τα προσωπικά δεδομένα των ασθενών πρόκειται να χρησιμοποιηθούν και για άλλους σκοπούς (π.χ. αποστολή μηνύματος για υπενθύμιση επανελέγχου, τηλεφωνική κλήση για ραντεβού, χρήση στοιχείων για κλινική έρευνα, παροχή στοιχείων ασθενών σε τρίτους για άλλους σκοπούς), τότε ο ιατρός οφείλει:

α) να ενημερώσει με σαφήνεια τον ασθενή για την περαιτέρω χρήση των δεδομένων του και για το σκοπό αυτής και

β) να μην προχωρήσει στην περαιτέρω χρήση τους αν δεν λάβει τη συναίνεση του ασθενούς για κάθε σκοπό ξεχωριστά.

Να αναγνωρίζει και να σέβεται δικαιώματα των Ασθενών:

3.1. Ο ασθενής, αναφορικά με τα προσωπικά του δεδομένα, έχει τα εξής δικαιώματα

 α) Δικαίωμα πρόσβασης στα δεδομένα του: Το δικαίωμα να γνωρίζει αν τα δεδομένα του υφίστανται επεξεργασία, πώς και για ποιο σκοπό.

β) Δικαίωμα διόρθωσης των δεδομένων του: Το δικαίωμα να ζητήσει διόρθωση των προσωπικών του δεδομένων αν αυτά είναι ανακριβή ή ελλιπή.

γ) Δικαίωμα διαγραφής των δεδομένων του: Το δικαίωμα να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων υπό ορισμένες προϋποθέσεις. Προσοχή: Εάν ο ασθενής ζητήσει διαγραφή των δεδομένων του κατά την περίοδο που ο ιατρός έχει νόμιμη υποχρέωση να τηρεί αρχείο (10ετία από την τελευταία επίσκεψη), ο ιατρός οφείλει να απαντήσει ότι δεν μπορεί να τα διαγράψει λόγω της νόμιμης υποχρέωσης διατήρησής τους στο αρχείο.

δ) Δικαίωμα περιορισμού της επεξεργασίας των δεδομένων του: Το δικαίωμα να ζητάει τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων όταν συντρέχουν ορισμένες προϋποθέσεις.

ε) Δικαίωμα στη φορητότητα των δεδομένων του: Το δικαίωμα του ασθενή να ζητήσει να αποσταλούν τα στοιχεία του σε τρίτο (π.χ. άλλο γιατρό).
3.2 Όταν ένας ασθενής υποβάλλει ένα αίτημα ασκώντας κάποιο από τα παραπάνω δικαιώματα, ο ιατρός οφείλει να απαντήσει εντός 1 μηνός είτε ικανοποιώντας το δικαίωμα (π.χ. δίνοντας στον ασθενή αντίγραφο του ιατρικού φακέλου) είτε απορρίπτοντας αιτιολογημένα το αίτημα (π.χ. αρνούμενος αίτημα διαγραφής, λόγω του ότι ο νόμος υποχρεώνει τον ιατρό να το διατηρήσει για 10 χρόνια) είτε εξηγώντας τους λόγους καθυστέρησης. Σε περίπτωση καθυστέρησης οφείλει πάντως να απαντήσει θετικά ή αρνητικά εντός 3 μηνών από το αίτημα.
Να εφαρμόζει τεχνικά μέτρα ασφαλείας:
Να χρησιμοποιεί ισχυρό - δύσκολο password (π.χ. όχι «1234») για την είσοδο στα συστήματα και στις εφαρμογές και ανά τακτά χρονικά διαστήματα αλλαγή τους.
Απενεργοποίηση λειτουργίας μέσων αποθήκευσης (π.χ. USB) όπου αυτή δεν χρειάζεται (π.χ. PC γραμματείας).
Χρήση μοντέρνων λειτουργικών συστημάτων υπολογιστή και συνεχόμενη ενημέρωσή τους.
Χρήση λογισμικού προστασίας από κακόβουλο λογισμικό (antivirus).
Ενεργοποίηση Τείχους Προστασίας (Firewall) στον υπολογιστή.
Αποφυγή χρήσης λογισμικού ελεύθερης χρήσης (free download).
Αποφυγή χρήσης και παραχώρησης προνομιακών δικαιωμάτων πρόσβασης στον απλό χρήστη (δικαιώματα Local Administrator).
Λήψη αντιγράφων ασφάλειας σε τακτά χρονικά διαστήματα.
Αποφυγή χρήσης ελευθέρων e-mail, π.χ. Yahoo, για αποστολή και λήψη ευαίσθητων δεδομένων, π.χ. ιατρικών εξετάσεων.
Κρυπτογράφηση τοπικού δίσκου υπολογιστή μέσω του λειτουργικού συστήματος.
Κρυπτογράφηση εξωτερικών μονάδων αποθήκευσης (π.χ. εξωτερικός σκληρός δίσκος, USB κ.ο.κ.).

* ΠΡΟΣΟΧΗ: Τα παραπάνω είναι οι ελάχιστες υποχρεώσεις κάθε απλού ιατρείου. Σας συμβουλεύουμε να εξετάσετε τα ανωτέρω ως ενδεικτικά μέτρα, καθώς και να λάβετε υπ’ όψιν ότι έχει μεγάλη σημασία και η σωστή εφαρμογή τους. Ενδεικτικά, η χρήση ισχυρού password αποτελεί ενδεδειγμένο μέτρο, αλλά εάν το password δεν φυλάσσεται σωστά και βρίσκεται σημειωμένο δίπλα στον υπολογιστή ή σε σημείο εύκολα προσβάσιμο, δεν προσφέρει κάποια πρόσθετη εξασφάλιση.

Σε κάθε περίπτωση, επισημαίνεται ότι τα παραπάνω αφορούν αλλαγές που φέρνει ο νέος Κανονισμός στους ιατρούς που ούτως ή άλλως δεσμεύονται από τον Κώδικα Ιατρικής Δεοντολογίας να διασφαλίζουν το ιατρικό απόρρητο και να προστατεύουν τα στοιχεία των ασθενών τους.

ΓΡΑΦΕΙΟ ΤΥΠΟΥ Ι.Σ.Α.  

ΠΗΓΗ:http://www.isathens.gr/

 

Φάκελοι ασθενών σε διαδρόμους νοσοκομείων - Κενό γράμμα ο Κανονισμός Προστασίας Δεδομένων;

Φάκελοι ασθενών σε διαδρόμους νοσοκομείων - Κενό γράμμα ο Κανονισμός Προστασίας Δεδομένων;

Φάκελοι ασθενών βρίσκονται στο πάτωμα, σε αποθήκες και σε υπόγεια, χωρίς ασφάλεια και προστασία.
Γράφει: Καραγιώργος Δημήτρης
 

Φάκελοι ασθενών σε διαδρόμους νοσοκομείων - Κενό γράμμα ο Κανονισμός Προστασίας Δεδομένων;
Ερωτήματα προκαλεί στους ανθρώπους που γνωρίζουν τα νοσοκομεία η μετάβαση στο νέο – αυστηρό – καθεστώς προστασίας των προσωπικών δεδομένων.

Από τις 25 Μαΐου, τίθεται σε εφαρμογή ο νέος Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων της Ευρωπαϊκής Ένωσης, με τον χώρο της Υγείας να εμφανίζει μεγάλο ενδιαφέρον, λόγω της ραγδαίας ψηφιοποίησης των δεδομένων.

Η ελληνική πραγματικότητα, ωστόσο, απομυθοποιεί σε έναν βαθμό το εγχείρημα. Αποκαλυπτικές είναι οι φωτογραφίες του Χρήστου Καζάση, εμπειρογνώμονα ιατρικής τεχνολογίας και αντιπροέδρου της Ελληνικής Εταιρείας Management Υπηρεσιών Υγείας (ΕΕΜΥ).

Στην προσωπική του σελίδα στο facebook, ο κ. Καζάσης παραθέτει μία σειρά από εικόνες σε δημόσιο νοσοκομείο, όπου φάκελοι ασθενών βρίσκονται στο πάτωμα, σε αποθήκες και σε υπόγεια. Χωρίς ασφάλεια και προστασία, όπως χαρακτηριστικά αναφέρει.

Σύμφωνα με τον κ. Καζάση, “άμα πλημμυρίσουν τα υπόγεια θα ψαρεύουν φακέλους”...

Με δηκτικό τρόπο σχολιάζει πως το συγκεκριμένο νοσοκομείο είναι έτοιμο να συμμορφωθεί στον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR - General Data Protection Regulation), ο οποίος επιβάλλει αυστηρούς κανόνες στην επεξεργασία προσωπικών δεδομένων!

 

Ενδιαφέρον έχουν και τα σχόλια που συνοδεύουν την ανάρτηση:

“Στα περισσότερα νοσοκομεία αυτός είναι ο κανόνας. Εγώ, τους φακέλλους από τις νοσηλείες μας τους έπαιρνα στο σπίτι για να τους έχω σε πρώτη ζήτηση. Και μη με ρωτήσετε αν μου τους έδιναν. Χάρη τους έκανα”...

“Κάποτε ζητήσαμε μέσω δικηγόρου φάκελο ασθενή που κατέληξε από το νοσοκομείο Κοζάνης. Η απάντηση ήταν ότι καταστράφηκε έπειτα από νεροποντή με αποτέλεσμα να πλημμυρίσει το υπόγειο. Φυσικά πρωτόκολλο καταστροφής δεν υπήρχε. Ο φάκελος αφορούσε ασθενή που κατέληξε έπειτα από δηλητηρίαση”.

 

ΠΗΓΗ:http://www.iatronet.gr/

 

 

Τι πρέπει να γνωρίζουν οι γιατροί για την προστασία των προσωπικών δεδομένων των ασθενών! Όλες οι οδηγίες

Όλες τις διευκρινίσεις σχετικά με το πως μπορούν να προστατευθούν τα προσωπικά δεδομένα των ασθενών δίνει με αναλυτικές οδηγίες του ο Ιατρικός Σύλλογος της Αθήνας (ΙΣΑ).


Ο ΙΣΑ λίγες ημέρες πριν εφαρμοστεί ο νέος κανονισμός της Ε.Ε. για την προστασία των προσωπικών δεδομένων των ασθενών (στις 25 Μαΐου) περιγράφει λεπτομερώς όλες τις υποχρεώσεις του ιατρικού κόσμου. Διαβάστε ΕΔΩ για τους κινδύνους αλλά και για τα πρόστιμα που μπορεί να φθάσουν ακόμη και τα 20 εκατ. ευρώ: «Στον «αέρα» τα προσωπικά δεδομένα των ασθενών! Τι μέτρα λαμβάνουν νοσοκομεία, κλινικές, διαγνωστικά με αφορμή τους νέους κανόνες της Ε.Ε.»

Ο ΙΣΑ δίνει πάντως αναλυτικές οδηγίες προκειμένου οι γιατροί να γνωρίζουν και να προετοιμασθούν κατάλληλα. Διαβάστε παρακάτω αναλυτικά τις βασικές κατευθύνσεις:

1. Τι είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ/GDPR)
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation / GDPR, https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679) («Κανονισμός») περιλαμβάνει το νέο νομικό πλαίσιο για την προστασία δεδομένων.

Δημοσιεύθηκε στις 27 Απριλίου 2016 και τίθεται σε εφαρμογή από τις 25 Μαΐου 2018. Ο Κανονισμός έχει άμεση εφαρμογή σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης και δεν χρειάζεται τα τελευταία να ενσωματώσουν τις διατάξεις του στην εθνική νομοθεσία τους.

 

Στην Ελλάδα αναμένεται η ψήφιση νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα, το δε νομοσχέδιο είναι δημοσιευμένο στην διεύθυνση http://www.opengov.gr/ministryofjustice/wp-content/uploads/downloads/2018/02/sxedio_nomou_prostasia_pd.pdf. Με το νέο νόμο θα καταργηθεί ο ισχύον Νόμος 2472/1997 και θα τεθούν σε ισχύ διατάξεις που συμπληρώνουν τον Κανονισμό και εξειδικεύουν ορισμένες από τις υποχρεώσεις που θεσπίζει ο Κανονισμός.

2. Τι αλλαγές φέρνει ο Κανονισμός στο προηγούμενο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων;
Ο Κανονισμός εισάγει αρκετές αλλαγές στο προηγούμενο νομικό καθεστώς για την προστασία των φυσικών προσώπων αναφορικά με την επεξεργασία των προσωπικών δεδομένων τους και θεσπίζει αυξημένες υποχρεώσεις για οποιονδήποτε οργανισμό επεξεργάζεται προσωπικά δεδομένα.

Κατάργηση γνωστοποιήσεων / αδειών: Πλέον δεν απαιτείται προηγούμενη γνωστοποίηση της επεξεργασίας δεδομένων στην αρχή προστασίας δεδομένων ούτε είναι απαραίτητο να ληφθεί προηγούμενη άδεια της αρχής σε περιπτώσεις επεξεργασίας ευαίσθητων δεδομένων (ή «ειδικών κατηγοριών δεδομένων» σύμφωνα με τους όρο που χρησιμοποιείται στον Κανονισμό), όπως τα δεδομένα που αφορούν την υγεία.

 

Είναι όμως αναγκαίο να λαμβάνονται τα απαραίτητα μέτρα για την προστασία των δικαιωμάτων των ατόμων. Όσοι επεξεργάζονται προσωπικά δεδομένων θα πρέπει να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με το νέο νομικό πλαίσιο και να ενημερώνουν αντίστοιχα την αρμόδια αρχή και τα ενδιαφερόμενα πρόσωπα.

Αρχή της Λογοδοσίας: Ο Κανονισμός εισάγει την αρχή της «λογοδοσίας», που σημαίνει ότι όσοι επεξεργάζονται προσωπικά δεδομένα δεν αρκεί να συμμορφώνονται με τις υποχρεώσεις τους, αλλά πρέπει και να είναι σε θέση να αποδείξουν τη συμμόρφωσή τους.

Συγκεκριμένα, πρέπει να τηρούν επικαιροποιημένα αρχεία των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων καθώς και να εφαρμόζουν διαδικασίες που αντανακλούν όλες τις αρχές τις επεξεργασίας και αντιμετωπίζουν ορθά οποιαδήποτε αιτήματα προβάλλουν τα υποκείμενα των δεδομένων.

Όποιος επεξεργάζεται προσωπικά δεδομένα πρέπει να ορίζει και να καταγράφει τη νομική βάση και τον σκοπό της επεξεργασίας και να προάγει την διαφάνεια κάθε επεξεργασίας. Σε ορισμένες περιπτώσεις, όπως αναφέρεται κατωτέρω, εκείνοι που επεξεργάζονται προσωπικά δεδομένα χρειάζεται να διενεργούν Εκτιμήσεις Αντικτύπου σχετικά με την Προστασία Δεδομένων, όταν η επεξεργασία δεδομένων είναι υψηλού ρίσκου, και να διορίζουν, εφόσον απαιτείται, Υπεύθυνο Προστασίας Δεδομένων.

Αρχές Επεξεργασίας & Ενισχυμένα δικαιώματα των υποκειμένων:
Ο Κανονισμός ορίζει πλέον με σαφή τρόπο τις βασικές αρχές που πρέπει να τηρούνται σε κάθε επεξεργασία προσωπικών δεδομένων και ενισχύει τα δικαιώματα των επηρεαζόμενων προσώπων.
Επεξεργασία προσωπικών δεδομένων χωρεί μόνο όταν πληρούνται τα κριτήρια που θέτει η νομοθεσία για την προστασία των δεδομένων. Όποιος επεξεργάζεται προσωπικά δεδομένα οφείλει να τηρεί τις αρχές του Κανονισμού, όπως η ελαχιστοποίηση των δεδομένων, η ακρίβεια, η ακεραιότητα και η εμπιστευτικότητα των δεδομένων, κτλ.

 

Αυστηρότερες προϋποθέσεις για να είναι έγκυρη η συναίνεση: Όταν η επεξεργασία των δεδομένων βασίζεται στην συγκατάθεση του ατόμου, θα πρέπει να διασφαλίζεται, επιπλέον των κριτηρίων που είχαν τεθεί από το προηγούμενο νομικό πλαίσιο, ότι η συγκατάθεση είναι σαφής και λεπτομερής. Πριν συναινέσει πρέπει να έχει ενημερωθεί επαρκώς σχετικά με το ποιος θα επεξεργαστεί τα δεδομένα του και για ποιο σκοπό. Ειδικά για τα δεδομένα υγείας, όταν η επεξεργασία τους βασίζεται σε συγκατάθεση, πρέπει αυτή να είναι ρητή.

Νέα δικαιώματα: Στα υποκείμενα των δεδομένων παρέχονται περισσότερα δικαιώματα σε σχέση με το προηγούμενο καθεστώς (δικαίωμα διαγραφής – «δικαίωμα στη λήθη», δικαίωμα στη φορητότητα δεδομένων, κτλ.).

Προστασία Δεδομένων εκ του σχεδιασμού: Τα μέτρα για την προστασία των προσωπικών δεδομένων πρέπει να λαμβάνονται ήδη από τον σχεδιασμό των διαδικασιών και εξ ορισμού.
Συνεργασία με τρίτους για επεξεργασία δεδομένων: Όποιος επεξεργάζεται προσωπικά δεδομένα θα πρέπει να εφαρμόζει νέες προδιαγραφές στις συνεργασίες του με τρίτα μέρη, οι οποίοι ενδέχεται να ενεργούν ως υπεύθυνοι ή συνυπεύθυνοι της επεξεργασίας ή εκτελούντες την επεξεργασία.

Γνωστοποίηση παραβιάσεων: Σε περίπτωση διαπιστωμένης παραβίασης προσωπικών δεδομένων θα πρέπει να γίνεται γνωστοποίηση στην αρμόδια εποπτική αρχή με τον τρόπο και εντός της προθεσμίας που προβλέπεται από το νομικό πλαίσιο. Περισσότερες λεπτομέρειες για τις παραπάνω έννοιες (αρχές, δικαιώματα, τεχνικά και οργανωτικά μέτρα, υποχρεώσεις γνωστοποίησης παραβίασης προσωπικών δεδομένων) θα βρείτε στις επόμενες ενότητες.

Κίνδυνος μη συμμόρφωσης: Ο Κανονισμός αυξάνει σημαντικά τους κινδύνους εκ της μη συμμόρφωσης για τα φυσικά ή νομικά πρόσωπα που επεξεργάζονται δεδομένα. Τα πρόστιμα που προβλέπονται σε περίπτωση παραβίασης της νομοθεσίας για την προστασία των προσωπικών δεδομένων μπορούν να αγγίξουν τα 20 εκατομμύρια Ευρώ ή το 4% του ετήσιου παγκόσμιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο. Επιπρόσθετα, αυξάνονται οι ελεγκτικές αρμοδιότητες των αρχών για την προστασία των προσωπικών δεδομένων, οι οποίες μπορούν να διενεργούν ελέγχους και επιτόπιες εφόδους, πρόσβαση στα προσωπικά δεδομένα που αποτελούν αντικείμενο επεξεργασίας, κτλ.


3. Ποιά δεδομένα αποτελούν «ειδικές κατηγορίες δεδομένων»;
Η επεξεργασία ορισμένων κατηγοριών προσωπικών δεδομένων μπορεί να έχει σημαντικό αντίκτυπο στα δικαιώματα των ατόμων στην ιδιωτικότητα και, άρα, πρέπει να προστατεύονται με αυξημένα μέτρα ασφάλειας σε σχέση με άλλες κατηγορίες προσωπικών δεδομένων.

Ο Κανονισμός περιγράφει τα δεδομένα αυτά ως οποιαδήποτε δεδομένα που είναι σε θέση να αποκαλύψουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, τα γενετικά ή βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

Η επεξεργασία των εν λόγω δεδομένων κατά κανόνα απαγορεύεται, εκτός εάν συντρέχουν οι προϋποθέσεις που ορίζει ο κανονισμός (δείτε κατωτέρω, «Πότε επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων;»).

Δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή υπό την προϋπόθεση ότι η νομοθεσία προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Επομένως, δεν μπορούν να ζητούνται αδιακρίτως ποινικά μητρώα συνεργατών ή εργαζομένων, παρά μόνο ότι υπό προϋποθέσεις και συγκεκριμένους σκοπούς.

Θα πρέπει να δοθεί ιδιαίτερη προσοχή στο γεγονός ότι η νομική βάση της επεξεργασίας των ειδικών κατηγοριών δεδομένων διαφέρει από τη νομική βάση των μη ειδικών κατηγοριών.

4. Πότε επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων;
Η επεξεργασία ειδικών κατηγοριών δεδομένων επιτρέπεται υπό προϋποθέσεις. Περιπτώσεις στις οποίες επιτρέπεται η επεξεργασία των ειδικών κατηγοριών δεδομένων, οι οποίες τυγχάνουν εφαρμογής όταν διενεργείται επεξεργασία από επαγγελματίες υγείας, αποτελούν ενδεικτικά

 

(α) η επεξεργασία που γίνεται με ρητή συγκατάθεση του υποκειμένου,

(β) η επεξεργασία που γίνεται για την προστασία των ζωτικών συμφερόντων του υποκειμένου ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,

(γ) η επεξεργασία που είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει της εφαρμοστέας νομοθεσίας ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας,

(δ) η επεξεργασία που είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων.

Ο Κανονισμός προβλέπει και άλλες περιπτώσεις στις οποίες επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων, ωστόσο οι ανωτέρω είναι οι πιο συνήθεις νόμιμες βάσεις για την επεξεργασία δεδομένων ασθενών που διενεργείται από γιατρούς. Διευκρινίζεται ότι δε χρειάζεται να συντρέχουν όλες οι ανωτέρω προϋποθέσεις, αρκεί μία από αυτές για να θεμελιωθεί η νόμιμη βάση της επεξεργασίας.

5. Πώς εξασφαλίζεται έγκυρη συγκατάθεση για την επεξεργασία ειδικών κατηγοριών δεδομένων;
Ως συγκατάθεση του υποκειμένου των δεδομένων ορίζεται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

 

Όταν ο ασθενής επισκέπτεται ένα ιατρείο για να λάβει ιατρικές υπηρεσίες (διάγνωση, θεραπεία κ.ο.κ.), η νόμιμη βάση της επεξεργασίας έγκειται στο ότι η επεξεργασία είναι αναγκαία για σκοπούς ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας.

Επομένως, δεν χρειάζεται να ζητείται κάθε φορά ειδική έγγραφη συναίνεση από κάθε ασθενή που αναζητά ιατρική συμβουλή ή ιατρικές υπηρεσίες από έναν ιδιώτη ιατρό. Εάν ο γιατρός θέλει να επεξεργαστεί τα δεδομένα και για άλλους σκοπούς, τότε πρέπει να ζητήσει τη ρητή συγκατάθεση του ασθενή του.

Η συμμετοχή ενός ασθενή σε μια κλινική μελέτη προϋποθέτει τη ρητή συγκατάθεσή του, αφού προηγουμένως λάβει σαφή και πλήρη ενημέρωση σχετικά με την επεξεργασία των προσωπικών του δεδομένων.

Σε περιπτώσεις όπου η επεξεργασία δεδομένων ειδικών κατηγοριών από επαγγελματίες υγείας βασίζεται στην συγκατάθεση και όχι σε άλλη νομική βάση που προβλέπει η νομοθεσία προστασίας προσωπικών δεδομένων (π.χ. διάγνωση, περίθαλψη, θεραπεία, προστασία ζωτικών συμφερόντων του υποκειμένου, διαφύλαξη δημοσίου συμφέροντος, κτλ.), θα πρέπει να εξασφαλίζεται η γραπτή συγκατάθεση των υποκειμένων των δεδομένων. Άλλωστε, η έγγραφη συγκατάθεση διαθέτει σαφή πλεονεκτήματα, καθώς είναι σαφής, ρητή και μπορεί να αποδειχθεί.

6. Πρέπει να τηρώ Αρχείο Δραστηριοτήτων Επεξεργασίας;
Το άρθρο 30 προβλέπει την υποχρέωση του Υπεύθυνου Επεξεργασίας να τηρεί ένα αρχείο όπου καταγράφονται οι δραστηριότητες επεξεργασίας για τις οποίες είναι υπεύθυνος. Το αρχείο πρέπει να περιλαμβάνει:
1. Όνομα και στοιχεία επικοινωνίας υπεύθυνου επεξεργασίας, εκπροσώπου και DPO (εάν έχει οριστεί)
2. Σκοπούς επεξεργασίας
3. Κατηγορίες υποκειμένων δεδομένων (π.χ. ασθενείς, εργαζόμενοι)
4. Κατηγορίες αποδεκτών στους οποίους γνωστοποιούνται τα δεδομένα
5. Διαβιβάσεις σε τρίτες χώρες ή διεθνείς οργανισμούς
6. Προβλεπόμενες προθεσμίες διαγραφής
7. Τεχνικά και οργανωτικά μέτρα ασφάλειας

 

Στην παράγραφο 5 προβλέπεται παρέκκλιση από αυτήν την υποχρέωση για επιχειρήσεις ή οργανισμούς που απασχολούν λιγότερο από 250 άτομα. Ωστόσο, η παρέκκλιση που προβλέπεται στο άρθρο 30 παράγραφος 5 δεν είναι απόλυτη.

Υπάρχουν τρεις τύποι επεξεργασίας στην οποία δεν εφαρμόζεται:
» Επεξεργασία που ενδέχεται να έχει ως αποτέλεσμα κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
» Επεξεργασία που δεν είναι περιστασιακή.
» Επεξεργασία που περιλαμβάνει ειδικές κατηγορίες δεδομένων ή προσωπικά δεδομένα που αφορούν σε ποινικές καταδίκες και αδικήματα.
Συνεπώς, όταν γίνεται επεξεργασία δεδομένων υγείας, που εμπίπτουν στην κατηγορία των ειδικών κατηγοριών δεδομένων, δεν ισχύει η παρέκκλιση. Επιβάλλεται η τήρηση αρχείου επεξεργασίας, ακόμη και εάν ο υπεύθυνος επεξεργασίας απασχολεί λιγότερα από 250 άτομα. Ωστόσο, οι οργανισμοί αυτοί πρέπει να τηρούν αρχεία επεξεργασίας μόνο για τις μορφές επεξεργασίας που αναφέρονται στο άρθρο 30 παράγραφος 5, όχι για κάθε επεξεργασία.

7. Τι σημαίνει παραβίαση δεδομένων προσωπικού χαρακτήρα;
Παραβίαση δεδομένων προσωπικού χαρακτήρα συντελείται όταν υπάρχει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, χωρίς άδεια γνωστοποίηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που αποτέλεσαν αντικείμενο επεξεργασίας. Η ασφάλεια των ειδικών κατηγοριών δεδομένων, στα οποία περιλαμβάνονται τα δεδομένα υγείας, είναι μέγιστης σημασίας για τα συμφέροντα των υποκειμένων.

 

Επομένως, είναι σημαντικό να λαμβάνεται υπ’ όψιν ότι η προστασία των δεδομένων δεν αφορά μόνο την προστασία της εμπιστευτικότητάς τους (αποτροπή διαρροής), αλλά και της ακεραιότητάς τους (αποτροπή της αλλοίωσής τους) και της διαθεσιμότητάς τους (αποτροπή απώλειας).
Ο τύπος παραβίασης που έχει συμβεί πρέπει να λαμβάνεται υπ’ όψιν για να προσδιοριστεί ο κίνδυνος που προκαλείται από αυτήν.

Παραβίαση Εμπιστευτικότητας: Μια παραβίαση εμπιστευτικότητας, με την οποία οι ιατρικές πληροφορίες έχουν αποκαλυφθεί σε μη εξουσιοδοτημένα μέρη, μπορεί να δημιουργεί κίνδυνο διακρίσεων σε βάρος των ασθενών στο κοινωνικό ή επαγγελματικό τους χώρο.

Παραβίαση Ακεραιότητας: Μια παραβίαση ακεραιότητας, όπου στοιχεία του ιστορικού ή των εξετάσεων ενός ασθενή έχουν αλλοιωθεί μπορεί να οδηγήσει σε εσφαλμένη διάγνωση ή θεραπεία με σοβαρούς κινδύνους για τη ζωή του.

Παραβίαση Διαθεσιμότητας: Στο πλαίσιο λειτουργίας ενός νοσοκομείου, εάν τα ιατρικά δεδομένα των ασθενών καταστούν μη διαθέσιμα, ακόμη και προσωρινά, αυτό θα μπορούσε να θέσει σε σοβαρό κίνδυνο την υγεία ασθενών.

Οι παραβιάσεις δεδομένων υγείας, εγγράφων ταυτότητας ή οικονομικών στοιχείων, όπως τα στοιχεία της πιστωτικής κάρτας, μπορούν να προκαλέσουν βλάβη μόνα τους, αλλά εάν χρησιμοποιηθούν μαζί θα μπορούσαν να χρησιμοποιηθούν για κλοπή ταυτότητας. Ο συνδυασμός προσωπικών δεδομένων είναι συνήθως πιο ευαίσθητος από μεμονωμένες πληροφορίες που συνιστούν προσωπικά δεδομένα.

ΠΗΓΗ:http://www.healthreport.gr/

 

ΕΠΙΚΟΙΝΩΝΙΑ

Ιατρικός Σύλλογος Λάρισας
28ης Οκτωβρίου 43 Λάρισα 41223
Τηλ.2410287777 - 2410236036
Φαξ:2410287777

Website: http://www.isli.gr

 

 Email:Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από κακόβουλη χρήση. Χρειάζεται να ενεργοποιήσετε την Javascript για να το δείτε.
 ------------
 Σας ενημερώνουμε οτι τα γραφεία του ΙΣΛ θα είναι ανοικτά προς εξυπηρέτηση ως εξής:
Δευτέρα εως Παρασκευή πρωί 09:00-14:00
Δευτέρα-Τετάρτη απόγευμα 18:00-20:00

 

"ΒΙΟΠΟΛΙΣ ΥΠΟΔΟΧΕΥΣ"

viopolis ypodoheus

Ημερολόγιο δημοσιεύσεων

Νοέμβριος 2018
Δε Τρ Τε Πε Πα Σα Κυ
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 1 2
Βρίσκεστε εδώ: Αρχική GDPR