Επεξεργασία των δεδομένων υγείας

Όσα είπαμε έως εδώ για την προστασία των δεδομένων προσωπικού χαρακτήρα από κακόβουλη επεξεργασία, ταιριάζουν και στην περίπτωση των προσωπικών δεδομένων υγείας. Πάντως, για κάθε κατηγορία ευαίσθητων προσωπικών δεδομένων, δεν απαγορεύεται απολύτως η επεξεργασία τους, αλλά υπάρχουν και κάποιες περιπτώσεις, στις οποίες επιτρέπεται. Ακόμη και η συγκατάθεση του υποκειμένου για επεξεργασία των δεδομένων που το αφορούν, παραμερίζεται νομίμως, όταν συντρέχουν πρόσφορες και δίκαιες προθέσεις της επεξεργασίας τους[24].

Οι περιπτώσεις στις οποίες επιτρέπεται η συλλογή και η επεξεργασία των ευαίσθητων δεδομένων εμπεριέχονται στον ν. 2472/1997, παρ. 2. Αν συντρέχει έστω και μια από τις περιπτώσεις αυτές, τότε η αρμόδια Αρχή μπορεί να εκδόσει την άδεια επεξεργασίας των δεδομένων υγείας[25]. Οι περιπτώσεις που ορίζει ο νόμος είναι οι εξής:

α) Προκειμένου να δοθεί άδεια για επεξεργασία, απαιτείται έγγραφη συγκατάθεση του υποκειμένου. Η συγκατάθεση όμως δεν πρέπει να είναι προϊόν πίεσης ούτε εξαπάτησης του υποκειμένου, γιατί κάτι τέτοιο δεν συμβαδίζει με τα χρηστά ήθη και φυσικά απαγορεύεται από το νόμο (άρθρο 7 § 2 στοιχείο α’ ν. 2472/1997). Εναλλακτικά, αντί για γραπτή συγκατάθεση, μπορεί να σταλεί και ηλεκτρονικό μήνυμα, το οποίο ο νόμος αναγνωρίζει εξίσου[26]. Επιπλέον, στο υποκείμενο αναγνωρίζεται η δυνατότητα να ανακαλέσει ανά πάσα στιγμή τη συγκατάθεση που έδωσε (άρθρο 2 στοιχείο ια’). Αν όμως μέχρι τη στιγμή της ανάκλησης η επεξεργασία έχει ήδη συντελεστεί, αναγνωρίζεται από το νόμο[27].

β) Η επεξεργασία επιτρέπεται και στην περίπτωση που σκοπός της είναι η προστασία κάποιου ζωτικού συμφέροντος του υποκειμένου από ενδεχόμενο κίνδυνο. Μπορεί ακόμη να γίνεται για την προστασία κάποιου τρίτου προσώπου (π.χ. αν το υποκείμενο είναι γυναίκα και κυοφορεί). Στις παραπάνω περιπτώσεις, αν το υποκείμενο αδυνατεί να δώσει τη συγκατάθεσή του εξαιτίας κάπου κωλύματος υγείας ή νομικό (δικαιοπρακτική ανικανότητα και απουσία νόμιμου εκπροσώπου), σύμφωνα με το άρθρο 7 § 2 στοιχ. β’ του ν. 2472/1997, μπορεί να δοθεί εντολή για επεξεργασία των προσωπικών του δεδομένων υγείας. Ως ζωτικό συμφέρον του υποκειμένου εκλαμβάνεται οτιδήποτε αφορά αποκλειστικά και μόνο την υγεία του. Για παράδειγμα, αν ένα άτομο δεν μπορεί να δώσει τη συγκατάθεσή του, επειδή είναι τραυματισμένο ή νοσηλεύεται στο νοσοκομείο, τότε μπορεί να γίνει νόμιμη επεξεργασία των δεδομένων της υγείας του με τη δημιουργία ενός ηλεκτρονικού φακέλου με τις ιατρικές εξετάσεις στις οποίες έχει υποβληθεί, λίγο πριν εγχειριστεί[28].

γ) Δεν επιτρέπεται η καθολική επεξεργασία των δεδομένων υγείας, αλλά μόνο αυτών που δημοσιοποιεί ή πρέπει να δημοσιοποιήσει το υποκείμενο για την αναγνώριση, άσκηση, ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου ή πειθαρχικού οργάνου (άρθρο 7 § 2 στοιχ. γ’). Σύμφωνα με όσα ορίζει ο νόμος, στην πρώτη περίπτωση η επεξεργασία είναι νόμιμη, αν κάποιος ανακοινώσει δημόσια ότι πάσχει από κάποια ανίατη ασθένεια και στη συνέχεια το διαδώσουν και τα ΜΜΕ. Πριν όμως η είδηση διαδοθεί, απαιτείται η εξακρίβωση αν το υποκείμενο δημοσιοποίησε την ασθένειά του με πλήρη συνείδηση ή αν την ανακοίνωσε μόνο σε έναν περιορισμένο κύκλο δικών του ατόμων ή για έναν συγκεκριμένο σκοπό. Κάτι τέτοιο δεν καθιστά δημοσιοποίηση των δεδομένων π.χ. μια ιατρική γνωμάτευση που θα προσκομιστεί στο δικαστήριο για να αναβληθεί η ημερομηνία της δίκης[29]. Όσον αφορά τη δεύτερη περίπτωση, επειδή ακριβώς πολλοί πολίτες καταφεύγουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προβάλλοντας αιτήματα σχετικά με τη νομιμότητα συλλογής και χρήσης ευαίσθητων προσωπικών δεδομένων ενώπιον δικαστηρίου, η Αρχή εξέδωσε την υπ’ αριθ. 147/2001 απόφαση, η οποία αναγνωρίζει τον υπεύθυνο επεξεργασίας σαν τον μόνο αρμόδιο να αιτηθεί τη σχετική άδεια. Αν για κάποιο λόγο ο υπεύθυνος δεν προσέλθει αυτοπροσώπως, αλλά πάει κάποιος άλλος στη θέση του, προηγουμένως αυτός θα πρέπει να λάβει την άδεια του υπεύθυνου για να ζητήσει την άδεια. Αν όμως η άδεια του υπεύθυνου δεν εξασφαλιστεί, τότε αυτό που θα εκδώσει η Αρχή δεν θα είναι η άδεια επεξεργασίας, αλλά μια γνωμοδότηση για το άν η διαβίβαση των δεδομένων συμβαδίζει με τη νομιμότητά ή όχι[30].

δ) Η επεξεργασία των δεδομένων υγείας είναι νόμιμη και στην περίπτωση που την αναλαμβάνει κάποιο άτομο που εργάζεται στο χώρο της υγείας, επειδή η εργασία του του επιβάλλει να τηρεί τη σχετική εχεμύθεια. Το άρθρο 7 § 2 στοιχ. δ’ επιβάλλει επιπλέον ότι η επεξεργασία είναι νόμιμη αν σκοπός της είναι η ιατρική πρόληψη, η διάγνωση, η περίθαλψη ή η διαχείριση υπηρεσιών υγείας. Τα μέλη του προσωπικού υγείας, λοιπόν, είναι εξουσιοδοτημένα να προβαίνουν σε επεξεργασία των δεδομένων υγείας, υπό τον όρο βέβαια ότι θα τηρούν πλήρη εχεμύθεια σχετικά με αυτά[31]. Σαν μέλη του προσωπικού υγείας εκλαμβάνονται οι ιδιώτες γιατροί, οι νοσοκόμοι/ες, οι μαίες, οι φαρμακοποιοί, οι διοικητικοί υπάλληλοι του συστήματος υγείας, οι ψυχολόγοι, οι φυσιοθεραπευτές κλπ[32]. Όπως καταλαβαίνουμε όμως, οι υπηρεσίες υγείας δεν περιλαμβάνουν μόνο την παροχή ιατρικών υπηρεσιών, αλλά και οι διοκητικές λειτουργίες του τομέα υγείας, όπως είναι η τήρηση αρχείου ασθενών, στατιστικής κλπ. Επομένως οι εργαζόμενοι και σ’ αυτές τις λειτουργίες είναι υπεύθυνοι για τη νόμιμη επεξεργασία των δεδομένων υγείας. Εξαιρούνται διάφοροι φορείς, όπως τα ασφαλιστικά ταμεία, καθώς αυτοί παρέχουν έμμεσα μόνο υπηρεσίες υγείας[33].

Στην παραπάνω διάταξη υπόκεινται κυρίως νομικά πρόσωπα που έχουν εξουσιοδοτηθεί να προβούν στην επεξεργασία των δεδομένων υγείας προκειμένου να παράσχουν υπηρεσίες υγείας. Αντίθετα, τα φυσικά πρόσωπα (ιατροί, νοσοκόμοι κλπ) η Αρχή με το άρθρο 7Α § 1 στοιχείο δ’ τα έχει εξαιρέσει από την υποχρέωση να λάβουν άδεια επεξεργασίας των ευαίσθητων προσωπικών δεδομένων υγείας. Τονίζουμε όμως ότι η εξαίρεσή τους δεν αφορά γενικά στα δεδομένα υγείας, αλλά μόνο στα ιατρικά για το λόγο ότι τα δεδομένα υγείας περιλαμβάνουν και τα γενετικά, τα οποία διαφοροποιούνται από τα ιατρικά[34].

ε) Η επεξεργασία των δεδομένων υγείας μπορεί να γίνει μόνο αν την αναλάβει μια Δημόσια Αρχή και να το κάνει για συγκεκριμένα θέματα, όπως αυτό της προστασίας της δημόσιας υγείας και της εθνικής ασφάλειας. Άλλοι λόγοι που επιτρέπουν την επεξεργασία είναι η εξυπηρέτηση αναγκών εγκληματολογικής ή σωφρονιστικής πολιτικής, η εξιχνίαση εγκληματικών πράξεων, διάφορες ποινικές καταδίκες, επιβολή μέτρων ασφαλείας, η άσκηση δημόσιου φορολογικού ελέγχου ή δημόσιου ελέγχου για την προώθηση κοινωνικών παροχών (άρθρο 7 § 2 στοιχ. ε’). Η επεξεργασία ενδέχεται ακόμη να επιτραπεί για πρόληψη και διαχείριση μεταδοτικών ασθενειών ή για παροχή ιατροφαρμακευτικής περίθαλψης και άλλων παροχών από τους ασφαλιστικούς φορείς[35].

στ) Άλλες περιπτώσεις που μπορούν να επιτρέψουν τη διαδικασία των προσωπικών δεδομένων υγείας, είναι η προώθηση ερευνητικών και επιστημονικών σκοπών. Απαραίτητη προϋπόθεση είναι, βέβαια, η διαφύλαξη της ανωνυμίας του ασθενούς και η παροχή προστασίας στα άτομα, στα οποία τα δεδομένα αναφέρονται (άρθρο 7 § 2 στοιχ. στ’). Εφόσον συντρέχουν οι παραπάνω λόγοι και εξασφαλιστούν οι παραπάνω προϋποθέσεις, τότε η επεξεργασία των δεδομένων καθίσταται υποχρέωση του Κράτους και όχι απλό δικαίωμά του, όπως εξάλλου ορίζεται από το άρθρο 16 § 1 του Συντάγματος. Για το λόγο αυτό η αρμόδια Αρχή δίνει την άδεια σε νοσηλευτικά ιδρύματα να επιτρέψουν την επεξεργασία των δεδομένων υγείας που φυλάσσσονται στα αρχεία τους υπό τους παρακάτω όρους:

1) Η επεξεργασία των δεδομένων υγείας σε καμιά περίπτωση δεν θα μεταφερθεί εκτός του χώρου του νοσοκομείου.

2) Ο Υπεύθυνος Επεξεργασίας θα αντλήσει από τα δεδομένα υγείας μόνο αυτά που του είναι απαραίτητα για την έρευνά του. Η πρόσβαση σε επιπλέον δεδομένα απαγορεύεται.

3) Η τήρηση της ανωνυμίας του ασθενούς – υποκειμένου των δεδομένων υγείας έγκειται στην ευθύνη του ίδιου του επεξεργαστή, γιατί απαγορεύεται να καταγραφούν και να συνδεθούν τα στοιχεία που ταυτοποιούν τα υπό έρευνα άτομα (π.χ. το ονοματεπώνυμο) με τα συλλεχθέντα δεδομένα που τα αφορούν.

Αν ο Υπεύθυνος Επεξεργασίας επιθυμεί να διεξαγάγει κάποια έρευνα μέσω της διανομής ειδικού ερωτηματολογίου στο προσωπικό υγείας του νοσοκομείου, τότε μπορεί να πάρει από την αρμόδια Αρχή τη σχετική άδεια, εφόσον τηρήσει τους παρακάτω όρους:

1) Όσοι συμπληρώσουν το ερωτηματολόγιο, πρέπει να το κάνουν μέσα στο χώρο του νοσηλευτικού ιδρύματος χωρίς καμιά εξαίρεση.

2) Πριν το κάνουν αυτό, πρέπει προηγουμένως να καταθέσουν έγγραφη συγκατάθεση ότι αποδέχονται τη συμμετοχή τους στην έρευνα.

3) Οι συμμετέχοντες συμπληρώνουν το ερωτηματολόγιο χωρίς να δώσουν τα προσωπικά τους στοιχεία.

Όλα τα παραπάνω μας οδηγούν στο συμπέρασμα, προκειμένου να επιτραπεί η επεξεργασία των ευαίσθητων προσωπικών δεδομένων, πρέπει να συντρέχει μια τουλάχιστον από τις προϋποθέσεις που αναγράφονται ρητά στο άρθρο 7 § 2 και υπό τον όρο ότι ο σκοπός της επεξεργασίας είναι σαφής και συμβαδίζει με τη νομιμότητα. Πρέπει, ακόμη, να ληφθούν τα απαραίτητα μέτρα για την ασφάλεια των προσωπικών δεδομένων[36].

Διαβάστε ολόκληρη τη μελέτη εδώ

[24] Σ. Βλαχόπουλος, (2007). Διαφάνεια της κρατικής δράσης και προστασία προσωπικών δεδομένων. Αθήνα, εκδόσεις Σάκκουλα, σελ. 56.
[25] Ι. Ιγγλεζάκη., (2003), ό.π., σελ. 100.
[26] Ε. Αλεξανδροπούλου – Αιγυπτιάδου, (2007). Προσωπικά Δεδομένα – Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους. Εκδόσεις Σάκκουλα, Αθήνα – Κομοτινή, σελ. 60.
[27] Ε. Αλεξανδροπούλου – Αιγυπτιάδου, ό.π., σελ. 62.
[28] Ε. Αλεξανδροπούλου – Αιγυπτιάδου, ό.π., σελ. 66.
[29] Ζ. Καρδασιάδου, ό.π., σελ. 81.
[30] Στ. Ταπουρίδου, ό.π., σελ. 21-22.
[31] Ι. Ιγγλεζάκης, (2003), ό.π., σελ. 230.
[32] Ε. Αλεξανδροπούλου – Αιγυπτιάδου, ό.π., σελ. 66.
[33] Ι. Ιγγλεζάκης, (2003), ό.π., σελ. 231-232.
[34] Ζ. Καρδασιάδου, ό.π., σελ. 96.
[35] Ζ. Καρδασιάδου, ό.π., σελ. 82.
[36] Στ. Ταπουρίδου, ό.π., σελ. 24-25.