Σουζάνα Κλημεντίδη: Ευαίσθητα προσωπικά δεδομένα και ιατρική επιστήμη – Ο ρόλος του GDPR

Το πεδίο των προσωπικών δεδομένων έχει εμπλουτιστεί σημαντικά τα τελευταία χρόνια και οι νομοθετικές ενέργειες που έχουν συντελεστεί τόσο σε εθνικό όσο και σε υπερεθνικό επίπεδο έχουν ευαισθητοποιήσει το κοινό σε ένα θέμα που άλλοτε ήταν εκτεθειμένο σε ποικίλες παραβιάσεις. Τα προσωπικά δεδομένα διαρθρώνονται σε δύο κατηγορίες: στα απλά προσωπικά δεδομένα από τη μία και στα ευαίσθητα προσωπικά δεδομένα από την άλλη. Τα ευαίσθητα προσωπικά δεδομένα χαρακτηρίζονται έτσι ακριβώς για να δηλωθεί η ανάγκη πρόσθετης προστασίας τους καθότι περιέχουν στοιχεία ταυτοτικά συνδεδεμένα με το πρόσωπο, τα οποία ως ενός βαθμού είναι καθοριστικά και για την εξέλιξη της προσωπικότητάς του. Στο πεδίο των εν λόγω δεδομένων εντάσσονται η εθνική και φυλετική προέλευση, κοσμοθεωρητικές αντιλήψεις, πληροφορίες που σχετίζονται με το ποινικό μητρώο, όπως επίσης και δεδομένα που συνδέονται με την υγεία του ατόμου. Στα δεδομένα υγείας, που εν προκειμένω μας αφορούν, αποτυπώνονται γενετικά και βιομετρικά δεδομένα, η διάσταση των οποίων είναι καθοριστική για την στοιχειοθέτηση του ιατρικού ιστορικού του ατόμου.

Τα ευαίσθητα ιατρικά δεδομένα συνιστούν αναφαίρετο στοιχείο της προσωπικότητας του ατόμου και σε καμία περίπτωση δεν μπορεί να θεωρηθεί ότι αποτελούν ιδιοκτησιακό καθεστώς των φορέων που τα χειρίζονται και τα επεξεργάζονται. Η θέση όμως αυτή δεν έχει διακηρυκτική αξία, ούτε φυσικά είναι άμοιρη νομικών συνεπειών, αλλά συνεπάγεται κάτι πολύ συγκεκριμένο, ότι δηλαδή η επεξεργασία των ευαίσθητων προσωπικών δεδομένων, και δη των ιατρικών δεδομένων, πρέπει να υπακούει στις διατάξεις για την προστασία των ευαίσθητων προσωπικών δεδομένων καθώς και στις διατάξεις του ιατρικού απορρήτου. Υπό την έννοια αυτή, η προστασία διέρχεται και μέσα από το άρθρο 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), επί τη βάσει του οποίου κατοχυρώνεται η προστασία της ιατρικής ζωής και κατ’ επέκταση των ευαίσθητων προσωπικών δεδομένων.

Ο νέος Κανονισμός 2016/679, εδραιωμένος πλέον τοις πάσι ως Γενικός Κανονισμός για την προστασία δεδομένων (GeneralDataProtectionRegulation), αντικατέστησε το προϊσχύσαν νομικό καθεστώς, ήτοι την Οδηγία 95/45/ΕΚ, διαμορφώνοντας ένα νέο σκηνικό γύρω από το αίτημα εναρμόνισης μεταξύ του εν γένει συγκρουσιακού χώρου που παρατηρείται στο πεδίο των ευαίσθητων προσωπικών δεδομένων στον χώρο της υγείας από τη μία και στην ανάγκη επεξεργασίας των προσωπικών δεδομένων των ιατρών από τους ασθενείς, υπό τις προϋποθέσεις του νόμου, από την άλλη. Όσον αφορά τα δεδομένα που σχετίζονται με την υγεία του προσώπου, ο Κανονισμός είναι εξαιρετικά σημαντικός για δύο λόγους: αφενός έχουμε ενίσχυση των δικαιωμάτων των φυσικών προσώπων αναφορικά με την ενημέρωση, την πρόσβαση, την τροποποίηση/διόρθωση των προσωπικών τους δεδομένων, τον περιορισμό ως προς την επεξεργασία τους, την εναντίωση στην επεξεργασία αυτών, την προστασία δεδομένων κατά τον σχεδιασμό («Data protection by design»), την απάλειψη («το δικαίωμα στην λήθη»), τη μεταφορά και την αποστολή των προσωπικών τους δεδομένων αφενός, καθώς και ανάληψη θεσμικών αρμοδιοτήτων και ευθυνών από τον «υπεύθυνο επεξεργασίας» αφετέρου. Ο «υπεύθυνος επεξεργασίας», όπου σε μια τέτοια σχέση είναι ο θεράπων ιατρός επιφορτίζεται τόσο με την συμμόρφωση όσο και με την ορθή τήρηση της διαδικασίας επεξεργασίας. Τούτο σημαίνει ότι, οι θεράποντες ιατροί είναι επιφορτισμένοι με την αρχή της λογοδοσίας (accountability) – το περιεχόμενο της οποίας λειτουργεί εγγυητικά ως προς την αποτελεσματική τήρηση των αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ενώ καθορίζει ακολούθως ότι ο υπεύθυνος επεξεργασίας φέρει την ευθύνη όπως και ότι καλείται να αποδείξει τη συμμόρφωσή του επί τη βάσει των αρχών της επεξεργασίας, όπως αυτές καθιερώνονται στην παράγραφο 1 του άρθρου 5 του Κανονισμού. Η συγκεκριμένη αρχή ισχύει φυσικά στο ακέραιο και για το πρόσωπο του εκτελούντος την επεξεργασία, ένα πρόσωπο που επιλέγεται από τον κάθε φορά υπεύθυνο επεξεργασίας.

Ακολούθως, πρέπει να σημειωθεί ότι αποτελεί απαρέγκλιτη υποχρέωση για το σύνολο των Νομικών Προσώπων Δημοσίου Δικαίου (ΝΠΔΔ) καθώς και για το σύνολο των μεγάλης κλίμακας Οργανισμών (λχ. κλινικές και νοσοκομεία), που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, η ύπαρξη Υπεύθυνου Προστασίας Δεδομένων (DPO). Το δε έργο αυτού συνίσταται στην διευκόλυνση της συμμόρφωσης του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του Κανονισμού, που είναι αμιγώς συμβουλευτικού χαρακτήρα – στοιχείο που συνεπάγεται την μη προσωπική του ευθύνη σε περίπτωση παραβίασης των διατάξεων.

Η προστασία των ευαίσθητων προσωπικών δεδομένων των ασθενών συνυφαίνεται με την ιδιωτική τους ζωή, η δε άσκηση του ιατρικού λειτουργήματος δεν μπορεί αποτελεσματικά να υλοποιηθεί χωρίς την χρήση και επεξεργασία των προσωπικών δεδομένων. Είναι εύλογο από την συγκεκριμένη σχέση να διαμορφώνεται μια εσωτερική ένταση και ρήξη, την οποία όμωςο Κανονισμός 2016/679 έχει εκτονώσει με έναν τρόπο που εξασφαλίζει τόσο την κατοχύρωση των δικαιωμάτων των ασθενών όσο και την διασφάλιση της ακώλυτης λειτουργίας των επαγγελματιών στον κλάδο της υγείας.

Σουζάνα Κλημεντίδη, Δικηγόρος – Γιώργος Γούλας, Α. Δικηγόρος

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr