Ε.Ε.: Ο Κανονισμός «Προστασίας των δεδομένων προσωπικού χαρακτήρα» (GDPR) που ισχύει από το 2018

Παράδοξα

Ο κανονισμός της ΕΕ και τι ισχύει από το 2018 για την προστασία των προσωπικών δεδομένων

Σαν σήμερα στις 25/05/2018 τέθηκαν σε ισχύ οι νέοι κανόνες προστασίας δεδομένων με τους πολίτες μπορούν να ελέγχουν καλύτερα τα προσωπικά τους δεδομένα, ενώ βελτιώθηκε η ασφάλεια τους τόσο εντός όσο και εκτός του διαδικτύου.

Τι προβλέπει ο κανονισμος

Επιτρέπει στους πολίτες της Ευρωπαϊκής Ένωσης (ΕΕ), να ελέγχουν καλύτερα τα προσωπικά τους δεδομένα. Εκσυγχρονίζει επίσης και ενοποιεί τους κανόνες που επιτρέπουν στις επιχειρήσεις να μειώσουν τη γραφειοκρατία και να επωφεληθούν από τη μεγαλύτερη εμπιστοσύνη των καταναλωτών.

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) αποτελεί μέρος της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας δεδομένων, μαζί με την οδηγία για την προστασία των δεδομένων για την αστυνομία και τις αρχές της ποινικής δικαιοσύνης.

Δικαιώματα των πολιτών

Ο ΓΚΠΔ ενισχύει τα υφιστάμενα δικαιώματα, προβλέπει νέα δικαιώματα και δίνει στους πολίτες μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων. Προβλέπεται, μεταξύ άλλων:

  • ευκολότερη πρόσβαση στα δεδομένα τους — συμπεριλαμβανομένης της παροχής περισσότερων πληροφοριών σχετικά με τον τρόπο επεξεργασίας των δεδομένων και τη διασφάλιση ότι οι πληροφορίες αυτές είναι διαθέσιμες κατά τρόπο σαφή και κατανοητό·
  • νέο δικαίωμα στη φορητότητα των δεδομένων — καθιστώντας ευκολότερη τη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ παρόχων υπηρεσιών·
  • σαφέστερο δικαίωμα διαγραφής («δικαίωμα στη λήθη») — όταν ένα άτομο δεν επιθυμεί πλέον την επεξεργασία των δεδομένων του και δεν υπάρχει νόμιμος λόγος για να τη διατήρησή τους, τα δεδομένα θα διαγράφονται·
  • δικαίωμα να γνωρίζουν πότε τα προσωπικά τους δεδομένα έχουν διαρρεύσει λόγω παραβίασης ασφαλείας ενός ιστοτόπου — επιχειρήσεις και οργανισμοί θα πρέπει να ενημερώνουν τα άτομα αμέσως για σοβαρές παραβιάσεις δεδομένων. Θα πρέπει επίσης να ενημερώνουν τη σχετική εποπτική αρχή προστασίας δεδομένων.

Κανόνες για τις επιχειρήσεις

Ο ΓΚΠΔ έχει σχεδιαστεί για τη δημιουργία επιχειρηματικών ευκαιριών και την τόνωση της καινοτομίας μέσα από μια σειρά βημάτων που περιλαμβάνουν τα εξής:

  • ένα ενιαίο σύνολο κανόνων σε επίπεδο ΕΕ — μια ενιαία πανευρωπαϊκή νομοθεσία για την προστασία των δεδομένων υπολογίζεται να επιφέρει εξοικονόμηση της τάξης των 2,3 δισεκατ. EUR ετησίως·
  • έναν υπεύθυνο προστασίας δεδομένων, αρμόδιο για την προστασία των δεδομένων, ο οποίος θα διορίζεται από τις δημόσιες αρχές και τις επιχειρήσεις που επεξεργάζονται δεδομένα σε μεγάλη κλίμακα·
  • (μηχανισμούς) μίας στάσης (one-stop-shop) — οι επιχειρήσεις πρέπει να συναλλάσσονται μόνο με μία ενιαία εποπτική αρχή (στη χώρα της ΕΕ στην οποία έχουν κατά κύριο λόγο την έδρα τους)·
  • κανόνες της ΕΕ για τις εταιρείες εκτός ΕΕ — εταιρείες με έδρα εκτός της ΕΕ πρέπει να εφαρμόζουν τους ίδιους κανόνες κατά την προσφορά υπηρεσιών ή αγαθών, ή την παρακολούθηση της συμπεριφοράς των ατόμων εντός της ΕΕ·
  • κανόνες φιλικούς προς την καινοτομία — μια εγγύηση ότι οι εγγυήσεις προστασίας των δεδομένων οικοδομούνται σε προϊόντα και υπηρεσίες από το αρχικό στάδιο της ανάπτυξης (την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού)·
  • τεχνικές φιλικές προς την προστασία της ιδιωτικής ζωής, όπως τη χρήση ψευδωνύμου (όταν τα αναγνωριστικά πεδία εντός ενός αρχείου δεδομένων αντικαθίστανται από ένα ή περισσότερα τεχνητά αναγνωριστικά στοιχεία ταυτότητας) και κρυπτογράφησης (όταν τα δεδομένα είναι κωδικοποιημένα με τέτοιον τρόπο ώστε να μπορούν να διαβαστούν μόνο από εξουσιοδοτημένα μέρη)·
  • αφαίρεση των γνωστοποιήσεων — οι νέοι κανόνες προστασίας των δεδομένων θα καταργήσουν τις περισσότερες υποχρεώσεις γνωστοποίησης και τα έξοδα που συνδέονται με αυτές. Ένας από τους στόχους του κανονισμού προστασίας δεδομένων είναι να αρθούν τα εμπόδια στην ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ. Αυτό θα διευκολύνει τις επιχειρήσεις να επεκταθούν·
  • εκτιμήσεις αντικτύπου — οι επιχειρήσεις θα πρέπει να διενεργούν εκτιμήσεις αντικτύπου όταν η επεξεργασία των δεδομένων μπορεί να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των ατόμων·
  • τήρηση αρχείων — οι ΜΜΕ δεν είναι υποχρεωμένες να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας, εκτός εάν η επεξεργασία είναι τακτική ή ενδέχεται να αποτελέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του ατόμου του οποίου τα δεδομένα υποβάλλονται σε επεξεργασία.

Τι άλλαξε στην υγεία

Νέα δεδομένα ισχύουν πλέον αναφορικά με τους κανόνες προστασίας προσωπικών δεδομένων.

Συγκεκριμένα, από τις 25 Μαΐου 2018 με σκοπό τον εκσυγχρονισμό του υφιστάμενου πλαισίου, τίθενται σε εφαρμογή οι βασικές κατευθυντήριες γραμμές, όπως τα νέα δικαιώματα για τους πολίτες, ενίσχυση της προστασίας των προσωπικών δεδομένων, επιβολή αυστηρών διοικητικών κυρώσεων κλπ.

Να σημειωθεί ότι από ττην παραπάνω ημερομηνία, οι προβλέψεις του Κανονισμού θα αρχίσουν να εφαρμόζονται άμεσα σε όλη την Ευρώπη. Δεν πρόκειται να δοθούν παρατάσεις και προθεσμίες, ενώ η μη συμμόρφωση των επιχειρήσεων θα μπορούσε να κοστίσει ακριβά, καθώς τα πρόστιμα φτάνουν έως και τα 20 εκατομμύρια ευρώ ή για τις επιχειρήσεις έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους.

Από τον νέο Κανονισμό επηρεάζονται κυρίως οι εταιρείες που δραστηριοποιούνται στον τομέα της Υγείας. Τα Δεδομένα Υγείας, τα Γενετικά & τα Βιομετρικά Δεδομένα αποτελούν Ευαίσθητα Δεδομένα που χρήζουν ειδικής αντιμετώπισης σύμφωνα με το ευρωπαϊκό δίκαιο. Για την επεξεργασία Ευαίσθητων Δεδομένων ο Κανονισμός απαιτεί την ικανοποίηση επιπρόσθετων υποχρεώσεων και θεσπίζει υψηλά πρόστιμα & διοικητικές κυρώσεις σε περίπτωση παραβίασής τους.

Όπως αναφέρει ειδικότερα στο ΑΠΕ-ΜΠΕ ο ειδικός επιστήμονας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Δημήτρης Ζωγραφόπουλος, ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων / General Data Protection Regulation – GDPR, στο εσωτερικό της ΕΕ τέθηκε σε ισχύ στις 24 Μαΐου 2016 με εφαρμογή από τις 25 Μαΐου 2018, οπότε και αναμένεται η θέσπιση νέων εθνικών ρυθμίσεων, οι οποίες θα εξειδικεύσουν την εφαρμογή διατάξεων του ΓΚΠΔ στην ελληνική έννομη τάξη. Το πεδίο εφαρμογής του ΓΚΠΔ καλύπτει τόσο τον ιδιωτικό όσο και το δημόσιο τομέα.

Οι  αλλαγές στην υγεία

Ο Δημήτρης Ζωγραφόπουλος, εξηγεί στο ΑΠΕ-ΜΠΕ ότι ο ΓΚΠΔ περιέχει περισσότερες ειδικές αναφορές στις επεξεργασίες δεδομένων προσωπικού χαρακτήρα για το σκοπό της παροχής υπηρεσιών υγείας και υπογραμμίζει ότι το σύνολο των διατάξεων του ΓΚΠΔ εφαρμόζεται στις επεξεργασίες δεδομένων προσωπικού χαρακτήρα για το σκοπό της παροχής υπηρεσιών υγείας.

Προσθέτει ότι και στο ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία συμπεριλαμβάνονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, δηλαδή στα λεγόμενα ευαίσθητα δεδομένα προσωπικού, τα οποία χαίρουν αυξημένης προστασίας σε σχέση με τα απλά δεδομένα προσωπικού χαρακτήρα.

Επισημαίνει ότι για τα ευαίσθητα δεδομένα ισχύει η αρχή ότι απαγορεύεται καταρχήν η επεξεργασία τους και επιτρέπεται μόνο κατ’ εξαίρεση, για λόγους που περιοριστικά προβλέπει ο νόμος.

Αυστηρότερα πρόστιμα

Με την εφαρμογή του ΓΚΠΔ θα αντικατασταθεί αυτόματα το υπάρχον νομοθετικό καθεστώς για την προστασία δεδομένων προσωπικού χαρακτήρα. Οι υπεύθυνοι επεξεργασίας (νοσοκομεία, κλινικές, φαρμακευτικές εταιρείες, ασφαλιστικές εταιρείες, κλπ) θα απαλλάσσονται πλέον από τη γενική υποχρέωση γνωστοποίησης τήρησης αρχείου ή λήψης άδειας για την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα. Θα υπάρχουν πλέον εναλλακτικοί τρόποι προστασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία και αυστηρότερα πρόστιμα για την αθέμιτη επεξεργασία τους. «Εκτός, εάν ο Έλληνας νομοθέτης επιλέξει ταυτόχρονα και τη διατήρηση του συστήματος λήψης αδείας για την επεξεργασία τους», τονίζει ο κ. Ζωγραφόπουλος.

Ο ειδικός επιστήμονας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αναφέρεται σε πρόσφατη υπόθεση με «τράπεζα βλαστοκυττάρων», (σσ ασκήθηκε ποινική δίωξη για απάτη κατ’ εξακολούθηση), σημειώνοντας ότι «ανέδειξε τους κινδύνους για την αθέμιτη επεξεργασία ευαίσθητων δεδομένων».

Υπογραμμίζει ωστόσο, ότι «το μεγάλο στοίχημα είναι να διασφαλίσουμε ένα υψηλό επίπεδο ουσιαστικής προστασίας – και όχι μόνο θεωρητικές εγγυήσεις προστασίας – με το νέο νομοθετικό καθεστώς».

Η υγεία, ζήτημα υψηλής εμπορικής αξίας

Ο κ. Ζωγραφόπουλος υπογραμμίζει στο ΑΠΕ-ΜΠΕ ότι τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία θεωρείται ότι έχουν «υψηλή εμπορική αξία» για πολλούς υπευθύνους επεξεργασίας (ως εργοδότες, ως φαρμακευτικές εταιρείες, ως ασφαλιστικές εταιρείες, κλπ) γιατί μπορούν να επηρεάσουν την ικανότητα του προσώπου για εργασία, για ασφάλιση, κλπ. Μπορούν, ακόμα, σε μαζική μορφή (big data) να χρησιμεύσουν σε τομείς όπως οι κλινικές μελέτες και η παραγωγή φαρμάκων.

«Υπάρχουν κατηγορίες επιχειρήσεων που ενδιαφέρονται ιδιαίτερα για τη γνώση ιατρικών δεδομένων πολιτών. Για παράδειγμα ασφαλιστικές εταιρείες, τράπεζες (γι’ αυτό έχουν αυξηθεί οι ασφαλίσεις δανειοληπτών), αλλά και πολλοί εργοδότες. Χρειάζεται να διασφαλιστεί η προστασία των προσωπικών δεδομένων, η αποκάλυψη να γίνεται μόνο όταν υπάρχει έννομο συμφέρον, ώστε να μην καταλήγουμε σε ιατρικό φακέλωμα του πληθυσμού και παράλληλα, να αποφευχθούν ευγονικού τύπου πρακτικές (πχ να ασφαλίζονται, να δανείζονται ή να εργάζονται οι απολύτως υγιείς)».

Όπως αναφέρει ο κ. Ζωγραφόπουλος, μέχρι τώρα οι παρανομούντες έμπαιναν σε μια λογική στάθμισης κόστους ζημίας. «Εφόσον πίστευαν ότι τα πρόστιμα που θα τους επιβληθούν θα είναι χαμηλά, η κύρωση δεν λειτουργούσε αποτρεπτικά. Τώρα με την αύξηση των προστίμων θα επιδιωχθεί να παταχθούν τα φαινόμενα παρανομίας».

Πώς  θα λαμβάνονται τα αποτελέσματα των ιατρικών πράξεων

Μεταξύ των αλλαγών που θα επιφέρει η εφαρμογή του νέου κανονισμού, είναι και η διαδικασία λήψης αποτελεσμάτων ιατρικών εξετάσεων. Ήδη, αρκετές Μονάδες Υγείας, στον ιδιωτικό και δημόσιο τομέα, σταμάτησαν να αποστέλλουν ηλεκτρονικά τα αποτελέσματα εξετάσεων, ενώ για την παραλαβή τους από τρίτο πρόσωπο, ζητούν εξουσιοδότηση.

Όπως εξηγεί ο κ. Ζωγραφόπουλος, τα αποτελέσματα ιατρικών εξετάσεων καταρχήν, πρέπει να παραλαμβάνονται αυτοπροσώπως από τον ασθενή και εάν το ζητήσει ο ίδιος είναι δυνατή και η αποστολή με ηλεκτρονικό ταχυδρομείο. Η ορθή πρακτική για να αποφεύγονται διαρροές είναι να αποστέλλονται κρυπτογραφημένα (κλειδώνεις με τη χρήση λογισμικού, το «κλειδί» να το έχει ο ασθενής). Μέχρι σήμερα η κρυπτογράφηση των προσωπικών δεδομένων για την αποστολή τους μέσω mails δεν ήταν ευρέως διαδεδομένη παρόλο που ήταν απαραίτητη προϋπόθεση για την ασφάλεια των δεδομένων, σύμφωνα και με τις συστάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

«Από τις 25 Μαΐου του 2018 που θα εφαρμοστεί ο κανονισμός, αν ένα ιδιωτικό κέντρο υγείας ή ένας γιατρός ή ένα νοσοκομείο χάσει ιατρικά δεδομένα ή περιέλθουν σε μη δικαιούμενα πρόσωπα, γίνονται βαρύτερες οι διοικητικές κυρώσεις (ιδίως πρόστιμα). Αυτό μπορεί να έχει ως συνέπεια να αυξηθούν και τα ποσά που επιδικάζουν τα δικαστήρια στους θιγόμενους (είτε ως χρηματική αποζημίωση για τη ζημία που υπέστησαν ή και χρηματική ικανοποίηση για την ηθική βλάβη που υπέστησαν)».

Ο κ. Ζωγραφόπουλος τέλος, θέτει και άλλη μια παράμετρο, αυτή της φήμης. «Υπάρχουν και οι παρεπόμενες συνέπειες όπως είναι συνέπειες για τη φήμη, ιδίως ενός ιδιωτικού οργανισμού παροχής υπηρεσιών υγείας. Σε μια εποχή που καταβάλλονται σημαντικές προσπάθειες να αναπτυχθεί ο ιατρικός τουρισμός αυτό μπορεί να αποτελέσει τροχοπέδη από μόνο του. Οποιοσδήποτε ασθενής δεν ενδιαφέρεται μόνο για υψηλού επιπέδου παροχές υπηρεσιών υγείας αλλά και για την ασφαλή τήρηση των δεδομένων υγείας του».

Πηγή: ΑΠΕ ΜΠΕ, iefimerida.gr

Tagged