Υπεύθυνος Επεξεργασίας -Σκοπός Επεξεργασίας
Ο Υπεύθυνος Επεξεργασίας επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα, και δεδομένα που αφορούν την υγεία στα πλαίσια εκτέλεσης καθήκοντος και δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας βάση των αρθ. 6 και 9 του ΓΚΠΔ 2016/679. Για την άσκηση των δικαιωμάτων σας μπορείτε να επικοινωνήσετε με το Γενικό Νοσοκομείο Ηλείας -Νοσηλευτική Μονάδα Αμαλιάδας που επεξεργάζεται τα δεδομένα σας, που εν προκειμένω καλείται επίσης «υπεύθυνος επεξεργασίας». Η προστασία της ιδιωτικής σας ζωής και η διαφύλαξη του απορρήτου των πληροφοριών και των δεδομένων υγείας σας, αποτελεί θεμελιώδη προτεραιότητά μας.
Με κριτήριο τη βασική διάκριση των προσωπικών δεδομένων σε απλά και ευαίσθητα, οι πληροφορίες που συνδέονται με την υγεία ενός ατόμου συνιστούν ευαίσθητα προσωπικά δεδομένα. Ως υγεία νοείται κάθε πληροφορία που ανάγεται τόσο στη βιολογική όσο και στην ψυχική κατάσταση υγείας του ανθρώπου (π.χ. ανικανότητα, αναπηρία). Στα δεδομένα υγείας εμπίπτουν ακόμα τα γενετικά δεδομένα, στο μέτρο που αποκαλύπτουν πληροφορίες σχετικά με την υγεία ή την προδιάθεση για ασθένεια. Τα βιομετρικά δεδομένα, όταν αποκαλύπτουν την ύπαρξη ή την προδιάθεση κάποιας ασθένειας ή αποκαλύπτουν τη γενετική ταυτότητα ενός προσώπου, εμπίπτουν και αυτά στα ευαίσθητα προσωπικά δεδομένα υγείας. Τέλος, τα δεδομένα που τηρούνται στα αρχεία των δωρητών και των ληπτών των ανθρωπίνων ιστών και οργάνων εμπίπτουν και αυτά στα ευαίσθητα προσωπικά δεδομένα.
Το πρόσωπο στο οποίο αφορούν τα δεδομένα υγείας (υποκείμενο των δεδομένων) έχει δικαίωμα πρόσβασης στα δεδομένα που συλλέγονται και υπόκεινται σε επεξεργασία (άρθρο 12 του ν.2472/1997). Το δικαίωμα αυτό προβλέπεται και στο άρθρο 14 παρ. 8 του ν.3418/2005, το οποίο ορίζει ότι ο ασθενής έχει δικαίωμα πρόσβασης στα ιατρικά αρχεία, καθώς και λήψης αντιγράφων του φακέλου του. Συνεπώς δεν μπορεί να αντιταχθεί κατά του υποκειμένου των δεδομένων το ιατρικό απόρρητο. Το δικαίωμα πρόσβασης απευθύνεται στον υπεύθυνο επεξεργασίας και μπορεί να ασκείται είτε από τον ίδιο τον ασθενή, ως υποκείμενο των δεδομένων, είτε από το νόμιμο αντιπρόσωπό του (αρ. 128επ ΑΚ, δηλ. το γονέα ή το δικαστικό συμπαραστάτη ή τον προσωρινό δικαστικό συμπαραστάτη), είτε τέλος, από νομίμως εξουσιοδοτημένο πρόσωπο (π.χ. πληρεξούσιο δικηγόρο του υποκειμένου).
Ο ΓΚΠΔ ενισχύει τα ήδη υφιστάμενα δικαιώματα των πολιτών (υποκειμένων των δεδομένων), ενώ παράλληλα κατοχυρώνει και νέα.
Επιγραμματικά τα δικαιώματα αυτά είναι τα εξής (αναλύονται περαιτέρω στις αντίστοιχες ενότητες):
- Δικαίωμα ενημέρωσης και διαφάνεια (άρθρα 12-14 ΓΚΠΔ): Είναι το δικαίωμα να γνωρίζετε ποιος επεξεργάζεται τα δεδομένα σας, ποια είναι αυτά και για ποιον λόγο. Οι οργανισμοί που επεξεργάζονται δεδομένα σας πρέπει να σας παρέχουν σαφείς πληροφορίες σε απλή γλώσσα.
- Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων (άρθρο 15 ΓΚΠΔ): Έχετε το δικαίωμα να ζητήσετε δωρεάν πρόσβαση στα προσωπικά σας δεδομένα που διαθέτει ένας οργανισμός.
- Δικαίωμα διόρθωσης (άρθρο 16 ΓΚΠΔ): Έχετε το δικαίωμα να ζητήσετε τη διόρθωση ανακριβών προσωπικών δεδομένων και συμπλήρωσης ελλιπών στοιχείων.
- Δικαίωμα διαγραφής («δικαίωμα στη λήθη») (άρθρο 17 ΓΚΠΔ): Έχετε το δικαίωμα να ζητήσετε τη διαγραφή προσωπικών σας δεδομένων, υπό ορισμένες προϋποθέσεις, όπως όταν τα δεδομένα δεν είναι πλέον απαραίτητα, έχετε ανακαλέσει τη συγκατάθεσή σας, τα δεδομένα έχουν υποβληθεί σε παράνομη επεξεργασία, κ.ο.κ. Στο πλαίσιο αυτού του δικαιώματος έχετε τη δυνατότητα, υπό προϋποθέσεις, να ζητήσετε να διαγραφούν προσωπικά σας δεδομένα από κατάλογο αποτελεσμάτων μηχανής αναζήτησης.
- Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18 ΓΚΠΔ): Έχετε το δικαίωμα να ζητήσετε τον περιορισμό της επεξεργασίας των προσωπικών σας δεδομένων όταν αμφισβητείται η ακρίβειά τους, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον υπεύθυνο επεξεργασίας, έχετε αντιρρήσεις ως προς την αυτοματοποιημένη επεξεργασία.
- Δικαίωμα στη φορητότητα των δεδομένων (άρθρο 20 ΓΚΠΔ): Έχετε το δικαίωμα να ζητήσετε τη μεταφορά των δεδομένων σας σε άλλον υπεύθυνο επεξεργασίας.
- Δικαίωμα εναντίωσης (άρθρο 21 ΓΚΠΔ): Έχετε το δικαίωμα να εναντιωθείτε στην επεξεργασία προσωπικών σας δεδομένων από έναν οργανισμό, υπό την προϋπόθεση ότι δεν θίγεται το δημόσιο συμφέρον.
- Δικαίωμα στη μη αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ (άρθρο 22 ΓΚΠΔ): Έχετε το δικαίωμα να προβάλλετε αντιρρήσεις όταν μια απόφαση που σας αφορά βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και η απόφαση αυτή παράγει έννομα αποτελέσματα ή σας επηρεάζει σημαντικά.
Πηγή: http://www.dpa.gr/
Συχνές ερωτήσεις απαντήσης από το Υπουργείο Υγείας: πατήστε εδώ.
Συχνές Ερωτήσεις
Συχνές Ερωτήσεις
1. Δικαιούται ένας ασθενής να λάβει αντίγραφα του ιατρικού του φακέλου από το νοσηλευτικό ίδρυμα στο όποιο έχει νοσηλευτεί;
Κάθε ασθενής έχει δικαίωμα να λαμβάνει γνώση του ιατρικού του φακέλου και να ζητεί τη χορήγηση αντιγράφων του. Το δικαίωμα αυτό συνιστά άσκηση του δικαιώματος πρόσβασης του υποκειμένου, σύμφωνα με το άρθρο 12 του ν.2472/1997. Επιπλέον το δικαίωμα αυτό προβλέπεται ρητά και στο ν.3418/2005 (άρθρο 14 παρ. 8). Για την άσκηση του δικαιώματος αυτού ο ασθενής καταθέτει αίτηση στο νοσηλευτικό ίδρυμα. Σε περίπτωση που δεν ικανοποιηθεί το δικαίωμα αυτό, ο ασθενής μπορεί να προσφύγει στην Αρχή και να ζητήσει την ικανοποίηση του δικαιώματος πρόσβασης.
2. Δικαιούται ένας ασθενής να ζητήσει από το νοσηλευτικό ίδρυμα να διαγράψει τον ιατρικό του φάκελο από τα αρχεία του;
Το νοσηλευτικό ίδρυμα υποχρεούται βάσει του ν.3418/2005 (άρθρο 14 παρ. 4) να τηρεί τα ιατρικά αρχεία για μια εικοσαετία από την τελευταία επίσκεψη του ασθενούς. Συνεπώς, ο ασθενής δεν δικαιούται να ζητήσει τη διαγραφή των προσωπικών του δεδομένων που τηρούνται στα ιατρικά αρχεία του νοσηλευτικού ιδρύματος.
3. Δικαιούται το νοσοκομείο να διαγράψει τους ιατρικούς φακέλους των ασθενών από τα αρχεία του;
Σύμφωνα με το ν.3418/2005 (άρθρο 14 παρ. 4) το νοσηλευτικό ίδρυμα υποχρεούται να διατηρεί τα ιατρικά αρχεία για μια εικοσαετία από την τελευταία επίσκεψη του ασθενούς. Συνεπώς, πριν από την πάροδο του χρονικού αυτού διαστήματος το νοσηλευτικό ίδρυμα δεν δικαιούται να διαγράψει τους ιατρικούς φακέλους των ασθενών από τα αρχεία του.
4. Δικαιούται το νοσηλευτικό ίδρυμα να χορηγήσει αντίγραφα του ιατρικού φακέλου ασθενούς που έχει αποβιώσει σε τρίτο;
Η Αρχή έχει κρίνει (βλ. σχετικές αποφάσεις 100/2001, 32/2006, 44/2009, 38/2010) ότι η επεξεργασία προσωπικών δεδομένων θανόντος δεν εμπίπτει στις διατάξεις του ν.2472/1997 για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Το σχετικό αίτημα χορήγησης αντιγράφων ιατρικού φακέλου ασθενούς που έχει αποβιώσει σε τρίτο κρίνεται, ιδίως, στη βάση των διατάξεων 13 παρ. 6 και 14 παρ. 8 του ν.3418/2005.
5. Μπορεί κάποιος τρίτος να λάβει αντίγραφα ιατρικού φακέλου ασθενούς;
Δικαίωμα πρόσβασης στον ιατρικό φάκελο έχει μόνο ο ίδιος ο ασθενής, στον οποίο αφορούν τα δεδομένα, ο νόμιμος αντιπρόσωπός του (γονέας, δικαστικός συμπαραστάτης ή προσωρινός δικαστικός συμπαραστάτης) ή νομίμως εξουσιοδοτούμενο από τον ασθενή πρόσωπο (πληρεξούσιος δικηγόρος). Πέραν των προσώπων αυτών μπορεί ένας τρίτος να ζητήσει από το νοσηλευτικό ίδρυμα να του χορηγηθούν στοιχεία του ιατρικού φακέλου του ασθενούς. Στη σχετική αίτησή του προς το νοσηλευτικό ίδρυμα ο αιτών-τρίτος θα πρέπει να επικαλείται, μεταξύ άλλων, το σκοπό για τον οποίο ζητεί τη χορήγηση των δεδομένων. Το νοσηλευτικό ίδρυμα πρέπει να διαβιβάσει τη σχετική αίτηση στην Αρχή και να ζητήσει την έκδοση σχετικής άδειας (άρθρο 7 του ν.2472/1997).
6. Μπορεί κάποιος τρίτος να ζητήσει με εισαγγελική παραγγελία από νοσηλευτικό ίδρυμα τη χορήγηση στοιχείων ιατρικού φακέλου ασθενούς;
Όταν ζητείται, με αίτηση που κατατίθεται στον εισαγγελέα, η χορήγηση στον αιτούντα τρίτο ευαίσθητων δεδομένων προσωπικού χαρακτήρα, ο αρμόδιος εισαγγελέας διαβιβάζει τη σχετική αίτηση προς τη Διοίκηση, με τη σημείωση ότι αυτή πρέπει να λάβει την άδεια της Αρχής (βλ. σχετικές γνωμοδοτήσεις 3/2003 και 3/2009 της Αρχής). Την έννοια αυτή έχει, έστω και αν δεν το αναφέρει ρητώς, το έγγραφο του εισαγγελέως προς το νοσηλευτικό ίδρυμα με το οποίο διαβιβάζεται αίτηση του τρίτου για χορήγηση ευαίσθητων προσωπικών δεδομένων και καλείται το ίδρυμα να προβεί «στην κατά νόμο εκτίμηση των διαλαμβανομένων σ’ αυτήν και τις εντεύθεν επιβαλλόμενες ενέργειες». Στην περίπτωση αυτή νομίμως το νοσηλευτικό ίδρυμα ζητεί την άδεια της Αρχής για να χορηγήσει τα εν λόγω δεδομένα.
7. Μπορεί το νοσηλευτικό ίδρυμα να χρησιμοποιήσει στοιχεία από τον ιατρικό φάκελο του ασθενούς για να υποστηρίξει μια υπόθεσή του στα δικαστήρια;
Κατ’ αρχήν, το νοσηλευτικό ίδρυμα δεν δικαιούται να χρησιμοποιήσει στοιχεία του ιατρικού φακέλου του ασθενούς για έναν διαφορετικό σκοπό από αυτόν που είχαν αρχικά συλλεχθεί και καταχωρισθεί στα αρχεία του. Κατ’ εξαίρεση, επιτρέπεται να χρησιμοποιήσει στοιχεία του ιατρικού φακέλου του ασθενούς που είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματός του σε υποθέσεις που αφορούν στην ιατρική ευθύνη και εν γένει την παροχή υπηρεσιών υγείας, εφόσον αυτό έχει προβλεφθεί στη σχετική άδεια που έχει λάβει από την Αρχή για τη σύσταση και λειτουργία αρχείου με ευαίσθητα προσωπικά δεδομένα (βλ. σχετική απόφαση 74/2010). Στην περίπτωση αυτή δεν απαιτείται η έκδοση ad hoc άδειας από την Αρχή. Το νοσηλευτικό ίδρυμα βαρύνεται, ωστόσο, με την υποχρέωση να ενημερώσει τους ενδιαφερόμενους ασθενείς, ως υποκείμενα των δεδομένων, το αργότερο πριν από τη χρήση των δεδομένων τους ενώπιον του δικαστηρίου, για την επεξεργασία αυτή.
8. Μπορεί ιατρός του νοσηλευτικού ιδρύματος να χρησιμοποιήσει στοιχεία από τον ιατρικό φάκελο του ασθενούς για να υποστηρίξει μια υπόθεσή του στα δικαστήρια;
Κατ’ αρχήν, οι ιατροί που απασχολούνται στο νοσηλευτικό ίδρυμα δεν δικαιούνται να χρησιμοποιήσουν στοιχεία του ιατρικού φακέλου του ασθενούς για σκοπό διαφορετικό απ’ αυτό της παροχής ιατρικής φροντίδας/υπηρεσιών υγείας. Κατ’ εξαίρεση, οι θεράποντες ιατροί του ασθενούς δικαιούνται να προβούν σε δικαστική χρήση στοιχείων του ιατρικού φακέλου του ασθενούς, εφόσον τα δεδομένα είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματός τους ενώπιον δικαστηρίου ή πειθαρχικού οργάνου σε υποθέσεις που αφορούν ιατρική ευθύνη και εν γένει την παροχή υπηρεσιών υγείας. Προϋπόθεση για την ενεργοποίηση της δυνατότητας αυτής είναι να έχει προβλεφθεί στη σχετική άδεια που έχει λάβει το νοσηλευτικό ίδρυμα από την Αρχή για τη σύσταση και λειτουργία αρχείου με ευαίσθητα προσωπικά δεδομένα (βλ. σχετική απόφαση 74/2010). Το νοσηλευτικό ίδρυμα βαρύνεται με την υποχρέωση να ενημερώσει τους ενδιαφερόμενους ασθενείς, το αργότερο πριν από τη χορήγηση των δεδομένων στους ιατρούς, για την επεξεργασία αυτή.
9. Μπορεί ένας ερευνητής να ζητήσει να έχει πρόσβαση στα αρχεία του νοσηλευτικού ιδρύματος για το σκοπό της διενέργειας επιστημονικής έρευνας;
Η Αρχή κρίνει παγίως (βλ. σχετικές αποφάσεις 46/2004, 47/2004, 16/2005, 32/2006) ότι η διενέργεια επιστημονικής έρευνας συνιστά νόμιμο σκοπό επεξεργασίας, μεταξύ άλλων, και λόγω του ότι σύμφωνα με το άρθρο 16 παρ. 1 του Συντάγματος η ανάπτυξη και η προαγωγή της έρευνας αποτελεί υποχρέωση του Κράτους. Η πρόσβαση στα αρχεία του νοσηλευτικού ιδρύματος συνιστά επεξεργασία ευαίσθητων προσωπικών δεδομένων. Προκειμένου η επεξεργασία να είναι νόμιμη θα πρέπει το νοσηλευτικό ίδρυμα να ζητήσει την άδεια της Αρχής για να επιτραπεί η πρόσβαση του ερευνητή στα αρχεία του. Η Αρχή με τη σχετική άδεια καθορίζει τους όρους και τις προϋποθέσεις για την προστασία των δικαιωμάτων των ασθενών (ανωνυμοποίηση δεδομένων, καταγραφή των δεδομένων εντός του χώρου του νοσηλευτικού ιδρύματος, κ.λπ.).
10. Μπορεί ένας ιδιώτης ιατρός να χρησιμοποιήσει στοιχεία από το ιατρικό αρχείο που τηρεί και να τα δημοσιεύσει σε ένα επιστημονικό άρθρο;
Η διεξαγωγή επιστημονικής έρευνας συνιστά νόμιμο σκοπό επεξεργασίας, μεταξύ άλλων, και λόγω του ότι, σύμφωνα με το άρθρο 16 παρ. 1 του Συντάγματος, η ανάπτυξη και η προαγωγή της έρευνας αποτελεί υποχρέωση του Κράτους. Η δημοσίευση στοιχείων του ιατρικού φακέλου του ασθενούς, από τα οποία προκύπτει η ταυτότητα του ασθενούς, συνιστά επεξεργασία ευαίσθητων προσωπικών δεδομένων. Προκειμένου η επεξεργασία αυτή να είναι νόμιμη θα πρέπει ο ιδιώτης ιατρός να ζητήσει άδεια από την Αρχή. Αντίθετα, η δημοσίευση στοιχείων του ιατρικού φακέλου του ασθενούς κατά τρόπο που να μην είναι αμέσως ή εμμέσως προσδιορίσιμη η ταυτότητα του ασθενούς, δεν συνιστά επεξεργασία προσωπικών δεδομένων που εμπίπτει στο ρυθμιστικό πεδίο του νόμου για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
11. Μπορούν οι φορολογικές αρχές να έχουν πρόσβαση στους ιατρικούς φακέλους των ασθενών;
Η πρόσβαση στους ιατρικούς φακέλους των ασθενών από τις φορολογικές αρχές για το σκοπό του δημόσιου φορολογικού ελέγχου (π.χ. ΣΔΟΕ) συνιστά νόμιμο σκοπό επεξεργασίας, εφόσον προβλέπεται σχετική αρμοδιότητα των αρχών στη σχετική νομοθεσία. Για την επεξεργασία αυτή δεν απαιτείται η έκδοση άδειας προς το νοσηλευτικό ίδρυμα (άρθρο 7Α παρ. 1 στοιχ. δ΄), ενώ παράλληλα απαλλάσσεται και το νοσηλευτικό ίδρυμα από την υποχρέωση να ενημερώσει προηγουμένως τους ασθενείς. Αυτό προβλέπεται και στο άρθρο 82 παρ. 2 του Κώδικα Φορολογίας Εισοδήματος, όπως τροποποιήθηκε με τη διάταξη του άρθρου 32 παρ.3 του ν.3986/2011.
12. Είναι νόμιμη η εγκατάσταση καμερών σε νοσηλευτικά ιδρύματα;
Η εγκατάσταση καμερών σε νοσηλευτικά ιδρύματα είναι νόμιμη για το σκοπό της ασφάλειας προσώπων και αγαθών, όπου κατ’ αρχήν δεν μπορεί να έχει πρόσβαση ένας επισκέπτης ή ασθενής (άρθρο 20 παρ. 1 της οδηγίας 1/2011). Η εγκατάσταση καμερών σε νοσηλευτικά ιδρύματα για το σκοπό της παροχής υπηρεσιών υγείας είναι νόμιμη υπό τις προϋποθέσεις που θέτει η παράγραφος 2 του άρθρου 20 της Οδηγίας 1/2011 της Αρχής.