Επεξεργασία δεδομένων υγείας

Όπως και κατά την καταργηθείσα Οδηγία 95/46/ΕΚ και τον καταργηθέντα νόμο 2472/1997, τα δεδομένα που αφορούν την υγεία συγκαταλέγονται, σύμφωνα με το άρθρο 9 παρ. 1 του ΓΚΠΔ, στην ειδική κατηγορία δεδομένων προσωπικού χαρακτήρα, η επεξεργασία των οποίων καταρχήν απαγορεύεται. Κατ’ εξαίρεση η επεξεργασία των πληροφοριών αυτών επιτρέπεται σε συγκεκριμένες περιπτώσεις που καθορίζονται στην παράγραφο 2 του άρθρου 9.

Αξίζει να υπογραμμισθεί ότι μετά τη θέση σε ισχύ του ΓΚΠΔ την 25η.05.2018 και τον νόμο 4624/2019, η λήψη της προηγούμενης άδειας από την Αρχή ως προϋπόθεση για τη νομιμότητα της επεξεργασίας, κατά το άρθρο 7 παρ. 2 του νόμου 2472/1997, δεν έχει πλέον εφαρμογή και η Αρχή δεν έχει πια αρμοδιότητα χορήγησης των αδειών της διάταξης αυτής (βλ. σχετικά απόφαση 46/2018).

Τέλος, ο ΓΚΠΔ παρέχει την εξουσία στον εθνικό νομοθέτη να διατηρήσει ή και να θεσπίσει περαιτέρω όρους και περιορισμούς, ειδικά για την επεξεργασία δεδομένων που αφορούν την υγεία, όπως και των βιομετρικών και των γενετικών δεδομένων (άρθρο 9 παρ. 4 και αιτιολ. σκέψη 53 του ΓΚΠΔ).

 

Κατ’ εξαίρεση επεξεργασία δεδομένων υγείας σύμφωνα με τον ΓΚΠΔ 2016/679

Σύμφωνα με την παράγραφο 2 του άρθρου 9 του ΓΚΠΔ η επεξεργασία των δεδομένων υγείας επιτρέπεται κατ’ εξαίρεση όταν:

  1. το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,
  2. η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,
  3. η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,
  4. η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα προσωπικού χαρακτήρα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων,
  5. η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,
  6. η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,
  7. η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,
  8. η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3,
  9. η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή
  10. η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

 

Κατ’ εξαίρεση επεξεργασία δεδομένων υγείας κατά τον νόμο 4624/2019

Αντίστοιχα, ο νόμος 4624/2019, εξειδικεύοντας τις διατάξεις του άρθρου 9 παρ. 2 στοιχ. β΄, ζ΄, η΄ και θ΄ του ΓΚΠΔ 2016/679, προβλέπει στο άρθρο 22 παρ. 1 ότι η επεξεργασία των δεδομένων υγείας επιτρέπεται από δημόσιους και ιδιωτικούς φορείς, εφόσον είναι απαραίτητη:

  1. «για την άσκηση δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής προστασίας και για την εκπλήρωση των συναφών υποχρεώσεων
  2. για λόγους προληπτικής ιατρικής, για την εκτίμηση της ικανότητας προς εργασία του εργαζομένου, για ιατρική διάγνωση, για την παροχή υγείας ή κοινωνικής περίθαλψης ή για τη διαχείριση των συστημάτων και υπηρεσιών υγείας ή κοινωνικής περίθαλψης ή δυνάμει σύμβασης με επαγγελματία του τομέα υγείας ή άλλου προσώπου που δεσμεύεται από το επαγγελματικό απόρρητο ή είναι υπό την εποπτεία του· ή
  3. για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως σοβαρών διασυνοριακών απειλών κατά της υγείας ή για την εξασφάλιση υψηλών προδιαγραφών ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, επιπλέον των μέτρων που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 3, πρέπει να τηρούνται ιδίως οι διατάξεις που εξασφαλίζουν το επαγγελματικό απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας.

Στην παράγραφο 2 του άρθρου 22 του νόμου 4624/2019 προβλέπεται ότι η επεξεργασία δεδομένων υγείας επιτρέπεται κατ’ εξαίρεση από δημόσιους φορείς, εφόσον είναι απαραίτητη:

  1. απολύτως απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος,
  2. απαραίτητη για την αποτροπή σημαντικής απειλής για την εθνική ασφάλεια ή τη δημόσια ασφάλεια· ή
  3. είναι απαραίτητη για τη λήψη ανθρωπιστικών μέτρων, και στις περιπτώσεις αυτές το συμφέρον για την επεξεργασία είναι υπέρτερο του συμφέροντος του υποκειμένου των δεδομένων.»

Επιπλέον, κατά την κατ΄ εξαίρεση θεμιτή επεξεργασία δεδομένων υγείας τόσο από τους δημόσιους όσο και από ιδιωτικούς φορείς θα πρέπει να λαμβάνονται όλα τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα.

Συγκεκριμένα, η παράγραφος 3 του άρθρου 22 του νόμου 4624/2019 προβλέπει ότι:

«3. Στις περιπτώσεις των προηγούμενων παραγράφων, λαμβάνονται όλα τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που θέτει, ανάλογα με τη σοβαρότητά τους στα δικαιώματα και στις ελευθερίες των φυσικών προσώπων η επεξεργασία αυτή, στα μέτρα αυτά μπορούν να περιλαμβάνονται ιδίως:

  1. τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι η επεξεργασία είναι σύμφωνη με τον ΓΚΠΔ·
  2. μέτρα για να διασφαλιστεί ότι είναι δυνατή η εκ των υστέρων επαλήθευση και ο προσδιορισμός του εάν και από ποιον έχουν εισαχθεί, τροποποιηθεί ή αφαιρεθεί τα προσωπικά δεδομένα·
  3. μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που ασχολείται με την επεξεργασία·
  4. περιορισμοί πρόσβασης από τους υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία·
  5. η ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα·
  6. η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·
  7. μέτρα για τη διασφάλιση της ικανότητας, της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της δυνατότητας ταχείας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε περίπτωση φυσικού ή τεχνικού συμβάντος·
  8. διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας·
  9. ειδικοί κανόνες διασφάλισης της συμμόρφωσης με τον παρόντα νόμο και τον ΓΚΠΔ σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς·
  10. ο ορισμός ΥΠΔ.»