ΓΕΝΙΚΑ:

Στον Ν. 4624/2019 (GDPR ή ΓΚΠΔ-Γενικός Κανονισμός της ΕΕ για την Προστασία Δεδομένων), υποχρεούνται να συμμορφώνονται και οι ιδιώτες ιατροί, ασχέτως της συμμόρφωσής τους με τους ορισμούς του Κώδικά τους, σχετικά με την απαρέγκλιτη τήρηση του ιατρικού απορρήτου.

Ανεξαρτήτως δηλαδή της τήρησης ιατρικού αρχείου (άρ. 14 Κώδικα Ιατρικής Δεοντολογίας), η δομή και περιεχόμενο του οποίου δεν επηρεάζονται από τις διατάξεις του ανωτέρω νόμου (εφεξής: ΓΚΠΔ), επιβάλλεται η τήρηση Αρχείου Επεξεργασίας GDPR (ίδ. κατωτέρω), στο οποίο καταγράφονται διαδικασίες, ως θα αναλυθούν παρακάτω. Στο αρχείο αυτό δεν καταγράφονται στοιχεία συγκεκριμένων ασθενών, παρά μόνο οι τρόποι συμμόρφωσης προς τον ΓΚΠΔ, προστασίας δεδομένων, διαβίβασης αυτών, αποθήκευσης αυτών κλπ. Το αρχείο αυτό δεν παρέχεται στους ασθενείς, παρά τηρείται για προσωπική και αποκλειστική χρήση του ιατρού, για την καλύτερη οργάνωσή του αλλά και για τυχόν έλεγχο από τις Αρχές.

Ακόμα και εάν ο ιατρός δεν τηρεί ιατρικό αρχείο με τα στοιχεία των ασθενών του, δεν απαλλάσσεται από τις υποχρεώσεις του ΓΚΠΔ.

Αντικείμενο της εν θέματι προστασίας δεν είναι η τήρηση του ιατρικού απορρήτου, το οποίο είναι ούτως ή άλλως υποχρέωση του ιατρού, αλλά να φροντίζει ο ιατρός, κατά την επεξεργασία των δεδομένων ασθενών, να μην διαρρέουν αυτά, να μην γίνονται αντικείμενο επεξεργασίας μη εξουσιοδοτημένων προς τούτο προσώπων, να μην γίνονται αντικείμενο εκμετάλλευσης των δικαιωμάτων και ελευθεριών των ασθενών κλπ. Επίσης, πρέπει να διασφαλίζονται τα δικαιώματα των υποκειμένων των δεδομένων αυτών στα πλαίσια του ΓΚΠΔ, δηλαδή: το δικαίωμα πρόσβασής τους στην πληροφορία για το εάν γίνεται επεξεργασία των δεδομένων τους, και σχετικής ενημέρωσης, το δικαίωμά τους στην διόρθωση ανακριβών στοιχείων, το δικαίωμά τους στην «λήθη» (διαγραφή δεδομένων που τους αφορούν, ανάκληση συγκατάθεσης επεξεργασίας), το δικαίωμά τους στον περιορισμό της επεξεργασίας τους, το δικαίωμα στην φορητότητα των δεδομένων τους (διαβίβαση δεδομένων τους σε άλλον Υπεύθυνο Επεξεργασίας με μηχανικά αναγνώσιμη μορφή, δηλ. σε άλλον ιατρό εν προκειμένω), το δικαίωμά τους στην ενημέρωση κατά την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Ο ΓΚΠΔ δίνει έμφαση στην τήρηση κατάλληλων τεχνικών/οργανωτικών μέτρων για την ασφάλεια και προστασία των προσωπικών δεδομένων, και συγκεκριμένα στην ψευδωνυμοποίηση και κρυπτογράφηση. Συγκεκριμένα όμως για τον ιδιώτη ιατρό, που χρησιμοποιεί τον υπολογιστή του για την εξυπηρέτηση των επαγγελματικών του αναγκών, τα μέτρα ασφαλείας θα πρέπει να είναι κατάλληλα για την διασφάλιση του απορρήτου, ενδεικτικά δηλαδή τα εξής: χρήση λογισμικού που αποτρέπει κακόβουλες επιθέσεις, περιορισμός πρόσβασης στα συστήματα μέσω κωδικών, τήρηση αντιγράφων ασφαλείας – backup, τήρηση ιατρικών φυσικών φακέλων σε κλειδωμένο φοριαμό και όχι σε κοινή θέα, τυχόν ειδικό πρόσθετο λογισμικό για καταγραφή στοιχείων ασθενών, υπηρεσίες cloud για αποθήκευση στοιχείων.

Ο ιδιώτης ιατρός είναι ο ίδιος Υπεύθυνος Επεξεργασίας των δεδομένων των ασθενών. Δύναται ο ιατρός να συνεργάζεται με τον Εκτελούντα την Επεξεργασία (φυσικό ή νομικό πρόσωπο που επεξεργάζεται τα δεδομένα για λογαριασμό του ιατρού), πχ. εξωτερικός συνεργάτης που παρέχει υπηρεσίες/συστήματα πληροφορικής που χρησιμοποιούνται για διαβίβαση/αποθήκευση δεδομένων (πχ υπηρεσία τηλεφωνικής γραμματείας, που την παρέχει εταιρεία, με σύμβαση). Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ ή DPO), είναι αυτός που επιβλέπει την στρατηγική προστασίας των δεδομένων και για τα μικρής κλίμακας ιδιωτικά ιατρεία δεν είναι απαραίτητος (είναι όμως πχ για τα νοσοκομεία), διότι δεν επεξεργάζονται τεράστιο όγκο δεδομένων υγείας.

ΕΙΔΙΚΩΤΕΡΑ ΓΙΑ ΤΟ ΣΥΓΚΕΚΡΙΜΕΝΟ ΙΔΙΩΤΙΚΟ ΙΑΤΡΕΙΟ:

Α) Ιδιωτικό ιατρείο Ορθοπεδικού – Χειρουργού, με μικρής κλίμακας τήρηση/επεξεργασία προσωπικών δεδομένων, ήτοι την συνήθη για την ιατρική διάγνωση, συνταγογράφηση κλπ. Δεν απαιτείται η λήψη έγγραφης συναίνεσης των ασθενών για την διενέργεια των συνήθων ιατρικών πράξεων της συγκεκριμένης ειδικότητας (συμπεριλαμβανομένης της πρόσβασής σας στην πλατφόρμα συνταγογράφησης). Μόνο σε περίπτωση που δεδομένα των ασθενών σας χρησιμοποιηθούν για άλλους σκοπούς (πχ κλινικές μελέτες, παρουσιάσεις περιστατικών ευρύτερα ως στατιστικά δεδομένα κλπ, για συνεισφορά στα επιστημονικά τεκταινόμενα κλπ.), θα πρέπει να γίνεται έγγραφη ενημέρωση και να λαμβάνεται ρητή συναίνεση εγγράφως από τον ασθενή για την περαιτέρω χρήση των δεδομένων του, για άλλους σκοπούς πέραν της ιατρικής διάγνωσης κλπ.

Β) Εάν διαβιβαστούν τα δεδομένα του ασθενούς σε τρίτους αποδέκτες (πχ συνεργαζόμενο εργαστήριο), ή σε συνεργάτη ιατρό, θα πρέπει να ενημερωθεί ο ασθενής, ώστε να ασκήσει το δικαίωμα πρόσβασης (να ενημερωθεί ποιοι είναι οι «τρίτοι» κλπ.). Ο ιδιώτης ιατρός θα πρέπει να παράσχει όλες τις απαραίτητες πληροφορίες προς τούτο (στοιχεία αποδεκτών δεδομένων – συνεργατών) εγγράφως.

Γ) Το συγκεκριμένο ιδιωτικό ιατρείο, ακόμα και εάν δεν τηρεί το αρχείο του άρ. 14 του Κώδικα Ιατρικής Δεοντολογίας, δεσμεύεται από τον ΓΚΠΔ και τα όσα εκτίθενται στο παρόν.

Δ) Εάν τηρείτε φυσικό αρχείο ασθενών θα πρέπει να είναι μη προσβάσιμο από οποιονδήποτε άλλο εκτός από εσάς, φυλαγμένο σε κλειδωμένο φοριαμό ή σε ασφαλή χώρο. Εάν τηρείτε ψηφιακό αρχείο οποιασδήποτε πληροφορίας, θα πρέπει να διασφαλίζεται το απόρρητο (πρόσβαση μόνο από εσάς), το backup αλλά και η δυνατότητα ανάκτησης σε περίπτωση που αλλοιωθεί, κλαπεί κλπ.

Ε) Σε περίπτωση που ο ασθενής επιθυμεί να λάβει τρίτο πρόσωπο εξετάσεις του, τον φάκελό του κλπ, θα πρέπει να εξουσιοδοτήσει το τρίτο πρόσωπο, συμπληρώνοντας έντυπη εξουσιοδότηση, με τα πλήρη στοιχεία του τρίτου (και τον αριθμό ταυτότητάς του), και να υπογράψει το έντυπο. Ελέγχετε την ταυτότητα του τρίτου προσώπου κατά την παραλαβή.

Στ) Συνδυάζετε το επαγγελματικό/ιατρικό απόρρητο με το απόρρητο επεξεργασίας δεδομένων του άρ. 22 παρ. 1 του Ν. 4624/2019 (επιτρεπόμενη επεξεργασία δεδομένων για προληπτική ιατρική και ιατρική διάγνωση). Στα πλαίσια διασφάλισης του απορρήτου αυτού του ΓΚΠΔ, κατά την παρ. 3 του ίδιου ως άνω άρθρου έχετε τις υποχρεώσεις: λήψης κατάλληλων οργανωτικών/τεχνικών μέτρων του ΓΚΠΔ για να μην διαρρεύσουν τα δεδομένα αυτά, διασφάλισης ότι είναι δυνατός ο προσδιορισμός από ποιόν έχουν εισαχθεί/αφαιρεθεί, τροποποιηθεί προσωπικά δεδομένα, περιορισμού πρόσβασης οποιουδήποτε τρίτου στα δεδομένα αυτά, πλην υμών, εμπιστευτικότητας/διαθεσιμότητας/πρόσβασης σε περίπτωση φυσικού ή τεχνικού συμβάντος, εκτίμηση αποτελεσματικότητας των όποιων μέτρων ληφθούν, για την διασφάλιση ασφάλειας της επεξεργασίας.

Ζ) Τηρείστε Αρχείο Δραστηριοτήτων Επεξεργασίας (επισυνάπτεται υπόδειγμα Ιατρικού Συλλόγου στο ηλεκτρονικό μήνυμα), το οποίο μπορείτε να διαμορφώσετε και διαφορετικά (δεν υπάρχει υποχρεωτική προδιατυπωμένη μορφή). Πρόκειται για Αρχείο excel στο οποίο καταγράφονται διαδικασίες (όχι στοιχεία ασθενών), δηλαδή πχ: εάν υπάρχουν έγγραφες συμφωνίες μεταξύ υμών και των ασθενών για την επεξεργασία περαιτέρω, των δεδομένων υγείας τους. Ποια δικαιώματα τους παρέχονται από το ιατρείο, σχετικά με τα δεδομένα τους (δικαίωμα στην «λήθη», πρόσβασης, ανάκτησης κλπ), ποιες οι γενικές εγγυήσεις του ιατρείου σας για την προστασία των δεδομένων και ποια τα μέτρα ασφάλειας. Πού λαμβάνει χώρα η επεξεργασία (μη ηλεκτρονικά; Σε φυσικό φάκελο; Αυτοματοποιημένα;) κλπ. Το Αρχείο αυτό τηρείται για προσωπική χρήση και επιδεικνύεται στις αρμόδιες Αρχές, σε περίπτωση ελέγχου.

Η) Εάν δεν υπάρχει συνεργασία με πχ εταιρεία παροχής τηλεφωνικού κέντρου για ραντεβού ή άλλη παρόμοια που να εμπλέκεται στην συλλογή και επεξεργασία δεδομένων ασθενών, δεν υφίσταται εκτελών την επεξεργασία. Δεν υπάρχει υποχρέωση για ύπαρξη εκτελούντος επεξεργασία, ούτε για Υπεύθυνο Προστασίας Δεδομένων (DPO).

Θ) Ειδικώτερα, όσον αφορά την ιστοσελίδα του ιδιωτικού ιατρείου: η ιστοσελίδα περιλαμβάνει το βιογραφικό του ιατρού, τις ιατρικές πράξεις που αναλαμβάνει, τις επαγγελματικές συνεργασίες του, δημοσιεύσεις άρθρων, φόρμα επικοινωνίας κλπ. Συνιστάται η εξέταση της σύμβασης μεταξύ υμών και της εταιρείας κατασκευής της ιστοσελίδας, ώστε να επισημανθεί ότι η εταιρεία αυτή (θεωρώντας ότι υπάρχει περίπτωση να εμπίπτει στον ρόλο εκτελούντος επεξεργασία, εάν έχει πρόσβαση σε στοιχεία υποψηφίων ασθενών πχ μέσω της φόρμας επικοινωνίας, όποτε αυτή συμπληρώνεται) θα τηρήσει τις υποχρεώσεις που πηγάζουν από τον ΓΚΠΔ. Συνιστάται η προσκόμιση τέτοιας τυχόν σύμβασης προς παροχή συγκεκριμένης νομικής συμβουλής, αλλά και η επισήμανση σε ποιες ακριβώς πληροφορίες/δεδομένα θα μπορούσε να έχει πρόσβαση η εταιρεία/το φυσικό πρόσωπο που κατασκεύασε/διαχειρίζεται την ιστοσελίδα, ώστε να κατατοπίσουμε αναλόγως για την έννομη σχέση μεταξύ υμών του ιατρού και του κατασκευαστή της σελίδας.

Ως προς την χρήση των “cookies”, θα πρέπει να προστεθεί στην ιστοσελίδα το pop-up ή banner της ερώτησης αποδοχής ή απόρριψης των cookies που χρησιμοποιούνται (εάν χρησιμοποιούνται και εάν εμπίπτουν ή όχι στις εξαιρέσεις συγκατάθεσης του χρήστη, ήτοι τα τεχνικά απαραίτητα για την σύνδεση στην ιστοσελίδα). Συνιστάται η συνδρομή του κατασκευαστή της ιστοσελίδας προς διασαφήνιση. Θα πρέπει λοιπόν στην περίπτωση που απαιτηθεί συγκατάθεση του χρήστη, να παρέχεται η ρητή δυνατότητα απόρριψης ή αποδοχής, όχι μόνο αποδοχής και σε διαφορετική περίπτωση, απαγόρευση να προχωρήσει ο χρήστης στην ιστοσελίδα. Συνιστάται να ληφθεί υπόψιν ως υπόδειγμα το αναδυόμενο παράθυρο της ιστοσελίδας του Ιατρικού Συλλόγου Αθηνών, στο οποίο: εκτίθεται ο λόγος χρήσης «ιχνηλατών», παρέχεται σύνδεσμος τόσο για την πολιτική cookies, όσο και για την πολιτική απορρήτου, εκτίθενται οι κατηγορίες cookies της ιστοσελίδας, υπάρχει επιλογή άρνησης ή αποδοχής χρήσης αυτών, ακόμα και με την επιλογή «αρνούμαι», ο χρήστης έχει ακώλυτη πρόσβαση στην ιστοσελίδα. Συνιστάται όμοιος τρόπος κατασκευής του παραθύρου διαχείρισης “cookies” για την ιστοσελίδα του ιατρείου, με την επισήμανση όμως ότι η επιλογή «άρνησης» ή «αποδοχής» θα πρέπει να παρουσιάζονται με όμοια «κουμπιά», χωρίς να προδιαθέτει το ένα ή το άλλο, τον χρήστη ώστε να το επιλέξει. Κατά τα λοιπά, θα πρέπει να μελετηθεί διεξοδικότερα η πολιτική διαχείρισης των ιχνηλατών της ιστοσελίδας, ζήτημα για το οποίο είμαστε στην διάθεσή σας, κατόπιν παροχής διευκρινίσεων από τον κατασκευαστή της ιστοσελίδας.