Αρχή Προστασίας Δεδομένων προς νοσοκομεία: Ορίστε υπευθύνους προστασίας δεδομένων (DPO)
Μόνο 13 δημόσια νοσηλευτικά ιδρύματα ορίσει DPO και το έχουν ανακοινώσει στην Αρχή, εκ των οποίων μόνο 2 της Αττικής
ΠΑΡΑΣΚΕΥΗ ΦΥΤΡΟΥ
ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΒΙΟΗΘΙΚΗ - ΒΙΟΔΙΚΑΙΟ - ΙΑΤΡΙΚΟ ΔΙΚΑΙΟ ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΟΙΚΟΓΕΝΕΙΑΚΟ ΔΙΚΑΙΟ
Με σημερινό δελτίο τύπου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καλεί τα νοσηλευτικά ιδρύματα της χώρας να προβούν άμεσα στην εκπλήρωση της υποχρέωσης ορισμού υπευθύνου προστασίας δεδομένων (DPO).
Όπως αναφέρει η Αρχή, μέχρι σήμερα μόνο δεκατρία δημόσια νοσηλευτικά ιδρύματα της χώρας έχουν εκπληρώσει την ανωτέρω υποχρέωση ορισμού DPO και το έχουν ανακοινώσει στην Αρχή, εκ των οποίων μόνο δύο της Αττικής (1η Υγειονομική Περιφέρεια).
Διαβάστε σχετικά: Ο Υπεύθυνος Προστασίας Δεδομένων στον Γενικό Κανονισμό για την Προστασία Δεδομένων
Οι επισημάνσεις της Αρχής έρχονται με αφορμή πρόσφατα δημοσιεύματα στον Τύπο (από 2/7/2019), τα οποία αναφέρονταν στον τρόπο τήρησης των ιατρικών φακέλων ασθενών σε δημόσιο νοσηλευτικό ίδρυμα της Αττικής.
Αναλυτικά το δελτίο τύπου της ΑΠΔΠΧ:
Στις 25/5/2018 τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (ΓΚΠΔ) και καταργήθηκε η Οδηγία 95/46/ΕΚ.
Ο ΓΚΠΔ παρέχει ένα εκσυγχρονισμένο και συνεκτικό πλαίσιο συμμόρφωσης για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα με βάση την αρχή της λογοδοσίας. Σύμφωνα με την αρχή αυτή κάθε υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τον ΓΚΠΔ (άρθρο 5 παρ. 2 του ΓΚΠΔ).
Στο επίκεντρο αυτού του νέου νομικού πλαισίου βρίσκεται για πολλούς οργανισμούς ο υπεύθυνος προστασίας δεδομένων (DPO). Ο ρόλος του DPO είναι να παρακολουθεί την εσωτερική συμμόρφωση του υπευθύνου επεξεργασίας με τον ΓΚΠΔ, να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας για τις υποχρεώσεις που απορρέουν από αυτόν. Για την εκπλήρωση των καθηκόντων αυτών ο DPO συνεργάζεται με την εποπτική αρχή. Ενώ την ευθύνη για τη συμμόρφωση με τους κανόνες του ΓΚΠΔ φέρει ο υπεύθυνος επεξεργασίας.
Σύμφωνα με το άρθρο 37 παρ. 1 του ΓΚΠΔ, ο ορισμός DPO είναι υποχρεωτικός σε τρεις συγκεκριμένες περιπτώσεις, όταν
«α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10».
Ακόμα, προβλέπεται ότι ο υπεύθυνος επεξεργασίας δημοσιεύει τα στοιχεία επικοινωνίας του DPO και τα ανακοινώνει στην εποπτική αρχή (άρθρο 37 παρ. 7 του ΓΚΠΔ).*
Επισημαίνεται, τέλος, ότι η μη εκπλήρωση της υποχρέωσης ορισμού DPO επισύρει την επιβολή των διοικητικών προστίμων του άρθρου 83 παρ. 4 στοιχ. α’ του ΓΚΠΔ.
Από το τηρούμενο στην Αρχή αρχείο ορισμού DPOs, δυνάμει του άρθρου 37 παρ. 7 του ΓΚΠΔ, προκύπτει ότι μέχρι σήμερα (τελευταία ενημέρωση 10/7/2019) μόνο δεκατρία (13) δημόσια νοσηλευτικά ιδρύματα της χώρας έχουν εκπληρώσει την ανωτέρω υποχρέωση ορισμού DPO και το έχουν ανακοινώσει στην Αρχή, εκ των οποίων μόνο δύο (2) της Αττικής (1η Υγειονομική Περιφέρεια).
Κατόπιν τούτων η Αρχή κάλεσε, μέσω των Υγειονομικών Περιφερειών, τα νοσηλευτικά ιδρύματα της χώρας όπως προβούν αμελλητί στην εκπλήρωση της υποχρέωσης ορισμού υπευθύνου προστασίας δεδομένων (DPO).
*Επισημαίνεται ότι η Αρχή έχει εκδώσει ειδικό έντυπο ορισμού DPO, το οποίο είναι διαθέσιμο στo www.dpa.gr («Οδηγίες για υπεύθυνους επεξεργασίας» υποενότητα «Υπεύθυνος προστασίας δεδομένων»).
