1. Ορισμός Προσωπικών Δεδομένων και Ιατρικού Απορρήτου
Προσωπικά δεδομένα θεωρούνται όλες οι πληροφορίες που αφορούν έναν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο, το οποίο καλείται υποκείμενο των δεδομένων. Τα προσωπικά δεδομένα περιέχουν πληροφορίες όπως είναι το όνομα, η διεύθυνση, ο αριθμός δελτίου ταυτότητας/διαβατηρίου, το εισόδημα, το πολιτισμικό προφίλ, ο κωδικός πρωτοκόλλου διαδικτύου (IP) και τα διάφορα δεδομένα που διατηρούν νοσοκομεία ή γιατροί, με αποκλειστικό σκοπό την ταυτοποίηση προσώπου για ιατρικούς λόγους[1]. Στο παρόν άρθρο θα ασχοληθούμε με την τελευταία κατηγορία προσωπικών δεδομένων.
Κατά τον Ν.2472/1997 «ευαίσθητα δεδομένα προσωπικού χαρακτήρα» αποτελούν οι πολιτικές, θρησκευτικές και φιλοσοφικές πεποιθήσεις, η φυλετική ή εθνική προέλευση, το ποινικό μητρώο, η συμμετοχή σε συνδικαλιστική οργάνωση και τα δεδομένα που αφορούν στην υγεία, την κοινωνική πρόνοια και την ερωτική ζωή του ατόμου. Η διασφάλιση της μη κοινοποίησης ευαίσθητων δεδομένων υγείας ενός ανθρώπου ορίζεται ως ιατρικό απόρρητο[2].
Στο σημείο αυτό αξίζει να γίνει μία σύντομη αναφορά στο ιατρικό απόρρητο, το οποίο ρυθμίζεται από συγκεκριμένους νόμους (Ν.2472/1997 «περί προστασίας των ευαίσθητων προσωπικών δεδομένων», Ν.3418/2005 «Κώδικας Ιατρικής Δεοντολογίας») και διατάξεις του Ποινικού Δικαίου και της Ποινικής Δικονομίας. Η παραβίασή του επιφέρει πειθαρχική, αστική και ποινική ευθύνη[3].
Ο νέος κανονισμός προσωπικών δεδομένων (GDPR) επιβάλλει υποχρεώσεις σχετικά με την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, με σκοπό να διασφαλίζεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων. Βάσει του Κώδικα Ιατρικής Δεοντολογίας, οι ιατροί δεσμεύονται από την υποχρέωση τήρησης του ιατρικού απορρήτου (εμπιστευτικότητας). Παράλληλα, οφείλουν να τηρούν Ιατρικό Αρχείο, που συνδέεται στενά με τη διασφάλιση της ακεραιότητας, (καθώς τα στοιχεία των ασθενών πρέπει να προστατεύονται από τυχόν αλλοίωσή τους), καθώς και με τη διασφάλιση της διαθεσιμότητας (το Ιατρικό Αρχείο πρέπει βάσει του Κώδικα να διατηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενή από τους ιδιώτες ιατρούς και για 20 έτη στις υπόλοιπες περιπτώσεις)[4].
Σύμφωνα με το άρθρο 13 του Ν.3418/2005 καθιερώνεται τόσο η υποχρέωση του γιατρού για άσκηση εποπτείας σε βοηθούς ή συνεργάτες του με σκοπό την προστασία πληροφοριών , όσο και η λήψη κάθε μέτρου διαφύλαξης του απορρήτου[5].
Εάν η αποκάλυψη λάβει χώρα στο πλαίσιο επιστημονικής ανακοίνωσης, παράβαση υπάρχει όταν με βάση την περιγραφή ενός περιστατικού, κάποιος μπορεί να καταλάβει το πρόσωπο για το οποίο γίνεται αναφορά[6].
Η παράβαση του ιατρικού απορρήτου επιφέρει ποινική ευθύνη. Σύμφωνα με το άρθρο 371 του Ποινικού Κώδικα η εν λόγω παράβαση αντιμετωπίζεται ως πλημμέλημα με προβλεπόμενη χρηματική ποινή ή φυλάκιση έως ένα έτος. Η ποινική δίωξη γίνεται μετά από έγκλιση του προσώπου που θίγεται[7].
Στο άρθρο 57 του Αστικού Κώδικα αναφέρεται η αστική ευθύνη του γιατρού. Η παραβίαση του απορρήτου θεωρείται προσβολή της προσωπικότητας και δημιουργεί υποχρέωση αποζημίωσης του θιγόμενου[8], ενώ αποτελεί και πειθαρχικό αδίκημα.
2.Νομοθεσία της ΕΕ για τα Προσωπικά Δεδομένα
Σε ευρωπαϊκό επίπεδο αναγνωρίζεται το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής από τα άρθρα 8 παρ. 1 της ΕΣΔΑ και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ. Το εν λόγω δικαίωμα προστατεύεται από το ΕΔΔΑ. Το δικαίωμα αυτό αναφέρεται και σε άλλες νομοθεσίες, όπως στη Διακήρυξη της Γενεύης του 1948, στη Διακήρυξη της Λισσαβόνας του 1981 για τα Δικαιώματα του ασθενούς, καθώς και στην παράγραφο 1 του άρθρου 10 της Σύμβασης του Οβιέδο, η οποία ενσωματώθηκε στο Ελληνικό Δίκαιο με τον Ν 3418/2005[9].
Επιπλέον, η Σύμβαση του Συμβουλίου της Ευρώπης για την Προστασία των Ανθρωπίνων Δικαιωμάτων και την Βιοϊατρική του Οβιέδο (1997) και η Οικουμενική Διακήρυξη για την Βιοηθική και τα Ανθρώπινα Δικαιώματα της UNESCO (2005), αναγνωρίζουν το «προβάδισμα του ανθρώπινου όντος» έναντι του κοινωνικού συμφέροντος και της επιστήμης. Η αρχή αυτή αποτυπώνεται στο άρθρο 2 της σύμβασης του Οβιέδο και στο άρθρο 3 της διακήρυξης της UNESCO[10].
O Κανονισμός (ΕΕ) 2016/670 αποτελεί τον γενικό κανονισμό για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων αυτών. Το κείμενο αυτό περιλαμβάνει το διορθωτικό που δημοσιεύτηκε στην Επίσημη Εφημερίδα της ΕΕ της 23ης Μαΐου 2018. Ο εν λόγω κανονισμός αποτελεί ένα ουσιαστικό βήμα για την ενίσχυση των θεμελιωδών δικαιωμάτων των προσώπων στην ψηφιακή εποχή, αλλά και για τη διευκόλυνση της επιχειρηματικής δραστηριότητας με τη διευκρίνιση των κανόνων για τις επιχειρήσεις και τους δημόσιους φορείς στην ενιαία ψηφιακή αγορά. Ο κανονισμός τέθηκε σε ισχύ στις 24 Μαΐου 2016 και εφαρμόζεται από τις 25 Μαΐου 2018[11].
Επίσης, στο πλαίσιο της ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων εντάσσεται και η Οδηγία (ΕΕ) 2016/680 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.
Η εν λόγω οδηγία προστατεύει το θεμελιώδες δικαίωμα των πολιτών για την προστασία των δεδομένων, όταν αυτά χρησιμοποιούνται από αρχές επιβολής του ποινικού δικαίου για σκοπούς επιβολής του νόμου. Επιπρόσθετα, διασφαλίζει την κατάλληλη προστασία των προσωπικών δεδομένων θυμάτων, μαρτύρων και υπόπτων εγκληματικών πράξεων και διευκολύνει τη διασυνοριακή συνεργασία για την καταπολέμηση του εγκλήματος και της τρομοκρατίας. Η οδηγία τέθηκε σε ισχύ στις 5 Μαΐου 2016 και τα κράτη μέλη της ΕΕ όφειλαν να τη μεταφέρουν στο εθνικό τους δίκαιο έως τις 6 Μαΐου 2018[12].
3.Ο νόμος περί φορητότητας και λογοδοσίας της ασφάλισης υγείας (Health Insurance Portability and Accountability Act – HIPAA) και ο GDPR
Δεν τίθεται αμφιβολία πως ο νέος κανονισμός προσωπικών δεδομένων παρέχει στα άτομα πολλά σημαντικά πλεονεκτήματα, όπως είναι τα κάτωθι[13]:
- Δικαίωμα γνώσης της συλλογής δεδομένων
- Δικαίωμα πρόσβασης σε πληροφορίες
- Σωστή φορητότητα δεδομένων
- Δικαίωμα ένστασης στην αποθήκευση
- Δικαίωμα επίλυσης εσφαλμένων δεδομένων
Ο νόμος περί φορητότητας και λογοδοσίας της ασφάλισης υγείας (Health Insurance Portability and Accountability Act – HIPAA) αποτελεί έναν ομοσπονδιακό νόμο των ΗΠΑ που θεσπίστηκε από το 104ο Συνέδριο των Ηνωμένων Πολιτειών (1996). Ο εν λόγω νόμος θέτει τα πρότυπα για την ευαίσθητη προστασία δεδομένων ασθενών. Οι εταιρείες που ασχολούνται με προστατευμένες πληροφορίες για την υγεία οφείλουν να εφαρμόζουν φυσικά δίκτυα, να επεξεργάζονται μέτρα ασφαλείας και να τα ακολουθούν, ώστε να διασφαλίσουν τη συμμόρφωση με τον HIPAA. Οι καλυπτόμενες οντότητες (οποιοσδήποτε παρέχει θεραπεία, πληρωμή και λειτουργίες στον τομέα της υγειονομικής περίθαλψης) και οι επιχειρηματικοί συνεργάτες (όποιος έχει πρόσβαση σε πληροφορίες ασθενούς και παρέχει υποστήριξη σε θεραπεία, πληρωμή ή χειρουργική επέμβαση) πρέπει να πληρούν τη συμμόρφωση με τον HIPAA. Άλλες οντότητες, όπως υπεργολάβοι και σχετικοί επιχειρηματικοί συνεργάτες οφείλουν επίσης να συμμορφώνονται[14].
Η εφαρμογή μιας στρατηγικής προστασίας δεδομένων επιτρέπει στους οργανισμούς υγειονομικής περίθαλψης να εξασφαλίσουν την ασφάλεια και τη διαθεσιμότητα των προστατευμένων υγειονομικών πληροφοριών για να διατηρήσουν την εμπιστοσύνη των ιατρών και των ασθενών, να γνωρίσουν τους σχετικούς κανονισμούς για πρόσβαση, έλεγχο ακεραιότητας, μετάδοση δεδομένων και ασφάλεια συσκευών και να διατηρήσουν μεγαλύτερη ορατότητα και έλεγχο ευαίσθητων δεδομένων σε ολόκληρο τον οργανισμό[15].
Τόσο ο HIPAA όσο και ο GDPR απαιτούν αποτελεσματικά τεχνικά μέτρα, δηλαδή ψευδωνυμοποίηση και κρυπτογράφηση για την ασφάλεια δεδομένων υγείας. Η ανάπτυξη των εν λόγω κανονισμών αποτελεί ένα δύσκολο εγχείρημα, καθώς απαιτούνται σημαντικοί αναπτυξιακοί πόροι. Επιπλέον, οι απαιτήσεις συμμόρφωσης απέναντι στην υγειονομική περίθαλψη είναι μεγάλες[16].
Υπό το πρίσμα των απαιτήσεων συμμόρφωσης και αναφορικά με τις διαφορές των προαναφερθέντων κανονισμών, επισημαίνουμε πως το Συμβούλιο Θεσμικής Αναθεώρησης δεν εγγυάται την τήρηση των διατάξεων συναίνεσης του GDPR. Σπάνια εξετάζεται εάν η επεξεργασία δεδομένων υγείας λαμβάνει χώρα βάσει συναίνεσης εντός ενός ευρωπαϊκού οργανισμού, ενώ υπάρχει εγγύηση ότι τα αρχεία συγκατάθεσης των ΗΠΑ βασίζονται στο πρότυπο.
Επιπρόσθετα, τα δικαιώματα των ευρωπαϊκών οργανισμών που βασίζονται στο GDPR υπερβαίνουν κατά πολύ το πρότυπο μιας ενημερωμένης συμφωνίας συναίνεσης των ΗΠΑ – πχ πρόσβαση στο GDPR, διορθώσεις και δικαιώματα διαγραφής. Η συλλογή δεδομένων σε οργανισμούς της ΕΕ απαιτεί χρόνο και εξοικείωση, καθώς η έγκριση και η συμμόρφωση των αμερικανικών ιδρυμάτων μπορεί να είναι ανεπαρκής.
Ο νόμος για τις αγορές μίας στάσης GDPR απλοποιήθηκε σχεδόν σε όλους τους οργανισμούς και επιβάλλει όρους που δεν μπορούν να αγνοηθούν, συμπεριλαμβανομένης της ονομασίας εκπροσώπου στην επιλεγμένη ευρωπαϊκή χώρα.
Τέλος, η μεταφορά δεδομένων από τις ευρωπαϊκές χώρες στις ΗΠΑ αποτελεί το πιο πολύπλοκο κομμάτι, καθώς οι οδηγίες είναι ακριβείς και ασυμβίβαστες. Παρόλα αυτά, η συναίνεση αντιμετωπίζεται σε κάθε διεθνή οργανισμό με συγκεκριμένη διαδικασία, σχεδιασμό και επεξεργασία, προς όφελος της υγείας[17].
4.Συμπέρασμα
Κατ’ ακολουθία των ανωτέρω, γίνεται κατανοητό πως η προστασία προσωπικών δεδομένων αποτελεί σημαντική παράμετρο ανάπτυξης, ασφάλειας και ευημερίας και η εφαρμογή της στον χώρο της υγείας επιφέρει αξιόλογα πλεονεκτήματα τόσο σε ευρωπαϊκό όσο και σε διεθνές επίπεδο. Παρόλα αυτά, το εν λόγω θέμα εγείρει προβληματισμούς αναφορικά με την παραβίαση των προσωπικών δεδομένων, καθώς τα όρια δεν είναι πάντα διακριτά. Ιδιαίτερα οι οργανισμοί υγείας οφείλουν να εφαρμόζουν τα κατάλληλα μέτρα προστασίας (πχ πρωτόκολλα και κρυπτογράφηση δεδομένων στα νοσοκομεία) για να αποφευχθούν δυσάρεστα περιστατικά που πλήττουν την υγεία και την ασφάλεια των πολιτών.
Μία περίπτωση εφαρμογής στην πράξη του ανωτέρω κανονιστικού πλαισίου προσφέρει η Απόφαση 45/2018 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία «παρέχει την άδεια στο Νοσοκομείο 251, ως υπεύθυνο επεξεργασίας, να χορηγήσει στον Α βεβαίωση περί του αν εκδόθηκε ή όχι ιατρικό πιστοποιητικό για την Β και αν εκδόθηκαν ένα ή περισσότερα να προκύπτει εξ αυτών από ποια τυχόν ασθένεια πάσχει ή έπασχε η Β, από πότε και αν συνεπεία αυτής νοσηλεύτηκε στο εν λόγω νοσοκομείο και για ποιο χρονικό διάστημα. Το ή τα πιστοποιητικά αυτά ο αιτών θα χρησιμοποιήσει στο πλαίσιο της ως άνω περιγραφόμενης ένδικης διαφοράς που προκύπτει από την με αρ. καταθ. … αγωγή. Το Νοσοκομείο 251 θα ενημερώσει σχετικώς προηγουμένως την Β».
[1]https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_el.htm
[2] Τοπάλη, Β. (2018) «Τα προσωπικά
δεδομένα – στην υγεία – και η εφαρμογή του υπολογιστικού νέφους στον τομέα της
υγειονομικής περίθαλψης», διπλ. εργασία ΠΜΣ «Δίκαιο και Πληροφορική»
[3] Τσούνης, Α., Σαράφης, Π. (2012)
«Ηθική και δεοντολογία στην κλινική πράξη: το ιατρικό απόρρητο και η προστασία
των προσωπικών δεδομένων στη σύγχρονη πραγματικότητα», Διεπιστημονική Φροντίδα
Υγείας, Τόμος 4, Τεύχος 2, 63-70
[4] https://www.isathens.gr
[5] Τσούνης, Α., Σαράφης, Π, ό.π.
[6] Κορσάνου Α.,ΔουζένηςΑ.,Λύκουρας
Λ. (2010) «Το ιατρικό απόρρητο στην άσκηση της Ιατρικής με έμφαση στην άσκηση της
Ψυχιατρικής, Νομικό πλαίσιο», Αρχεία
Ελληνικής Ιατρικής, 27(4):686-690
[7] Κορσάνου
και συν., ό.π.
[8] Γεωργίου Π. (2007)
«Το Ιατρικό Απόρρητο», Εκδ.
Σάκουλα,Αθήνα.
[9] Τοπάλη, Β, ό.π.
[10] Τσούνης, Α., Σαράφης, Π., ό.π.
[11] https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_el
[12]
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_el
[13] Shuaib , Μ. ,Alam, S, Shabbir
Alam, M, Shahnawaz Nasir, M(2021) «Compliance with HIPAA and GDPR in
blockchain-based electronic health Record, Article in press, Proceedings, https://doi.org/10.1016/j.matpr.2021.03
[14]
https://digitalguardian.com
[15] https://digitalguardian.com
[16] Shuaib , Μ. ,Alam, S, Shabbir
Alam, M, Shahnawaz Nasir, M(2021), ό.π.
[17] Shuaib , Μ. ,Alam, S, Shabbir Alam, M, Shahnawaz
Nasir, M(2021),ό.π.
Σχόλια