Ενημέρωση από τον Ιατρικό Σύλλογο Αθηνών ενόψει εφαρμογής GDPR
Ο Ιατρικός Σύλλογος Αθηνών κοινοποίησε μια συλλογή από συχνές ερωτήσεις και απαντήσεις σχετικές με τον νέο κανονισμό προσωπικών δεδομένων (GDPR).
Συχνές ερωτήσεις και απαντήσεις για τον νέο κανονισμό προσωπικών δεδομένων
1. Τι θα πρέπει να προσέξω εάν χρησιμοποιώ υπηρεσία τηλεφωνικής γραμματείας;
Σχετικά με την υπηρεσία τηλεφωνικής γραμματείας, θα πρέπει να έχετε σύμβαση με την εταιρεία που σας παρέχει την τηλεφωνική γραμματεία και να προβλεφθεί στη σύμβαση ότι η εταιρεία που συλλέγει για λογαριασμό σας τα στοιχεία των ασθενών που κλείνουν ραντεβού αναλαμβάνει τις υποχρεώσεις της ως εκτελούσα την επεξεργασία. (Δείτε στην ιστοσελίδα του ΙΣΑ το ερώτημα“Τι πρέπει να γνωρίζω όταν συνεργάζομαι με έναν Εκτελούντα την Επεξεργασία;”: http://www.isathens.gr/syndikal/7789-enimerwsi-nea-nomothesia-proswpikwn-dedomenwn.html#q14 .)
Επίσης, εάν οι κλήσεις ηχογραφούνται θα πρέπει να ορίσετε για πόσο χρόνο είναι αναγκαίο να διατηρείται η ηχογράφηση και όταν δεν είναι πλέον αναγκαία και δεν εξυπηρετεί κάποιο σκοπό, να διαγράφεται.
2. Θα πρέπει να τηρώ το Αρχείο Επεξεργασίας του άρθρου 30 GDPR;
Η παράγραφος 5 του άρθρου 30 του Κανονισμού εξαιρεί μεν μικρούς οργανισμούς, όπως αυτοί που έχουν λιγότερους από 250 εργαζομένους, όμως, η εξαίρεση αυτή δεν ισχύει για περιπτώσεις επεξεργασίας δεδομένων υγείας. Συνεπώς, ένας ιδιώτης ιατρός πρέπει να τηρεί αρχείο επεξεργασίας, μόνο για τις επεξεργασίες που αφορούν δεδομένα υγείας. Ενδεικτικά, δεν χρειάζεται να καταγραφούν σε αυτό άλλες επεξεργασίες που δεν είναι συστηματικές ή δεν αφορούν δεδομένα υγείας (π.χ. δεν χρειάζεται να καταγραφεί ως διαδικασία η τήρηση ενός αρχείου με ονοματεπώνυμο, ειδικότητα, τηλέφωνο, e-mail συναδέλφων ιατρών για επαγγελματική χρήση).
Διαβάστε επίσης: Αρχεία δραστηριοτήτων επεξεργασίας: Υποδείγματα και οδηγίες από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
3. Ποιά είναι η σχέση ανάμεσα στο Αρχείο Επεξεργασίας του GDPR και στο Ιατρικό Αρχείο;
Στο Αρχείο Επεξεργασίας του GDPR καταγράφουμε διαδικασίες. Δεν καταγράφουμε στοιχεία συγκεκριμένων ασθενών. Δεν χρειάζεται να παρέχεται στους ασθενείς. Ο ιατρός το τηρεί για δική του χρήση στο ιατρείο για την καλύτερη οργάνωσή του ή/και για τυχόν έλεγχο από Αρχές.
Τα στοιχεία ασθενών εξακολουθούν να καταγράφονται στο Ιατρικό Αρχείο, όπως αυτό προβλέπεται από το Άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας. Η δομή και το περιεχόμενο του Ιατρικού Αρχείου με τα στοιχεία των ασθενών δεν τροποποιείται από τις διατάξεις του GDPR ούτε αντικαθίσταται από κάποιο άλλο αρχείο.
4. Εάν το ζητήσουν οι ασθενείς, μπορώ να δίνω αποτελέσματα ιατρικών εξετάσεων σε τρίτους;
Τα αποτελέσματα εξετάσεων αποτελούν προσωπικά δεδομένα, επομένως πρέπει να διασφαλίσετε ότι δεν τα παρέχετε σε τρίτους που δεν είναι εξουσιοδοτημένοι. Ένας αποτελεσματικός τρόπος που προστατεύει τους ασθενείς, ενώ ταυτόχρονα διασφαλίζει ότι και εσείς δεν εκτίθεστε σε νομικούς κινδύνους, είναι να έχετε ένα έντυπο, το οποίο θα συμπληρώνει κάθε ασθενής πριν εξεταστεί και στο οποίο, εκτός από τα στοιχεία του ασθενούς που ούτως ή άλλως πρέπει να καταγραφούν, θα περιλαμβάνεται και ένα πεδίο που θα συμπληρώνεται υποχρεωτικά και όπου ο ασθενής θα δηλώνει με ποιον τρόπο θα παραλάβει τα αποτελέσματα των εξετάσεών του. Σε περίπτωση που ο ασθενής δηλώσει ότι επιθυμεί να παραλάβει τα αποτελέσματα τρίτος, θα πρέπει (ο ασθενής) να συμπληρώσει το πλήρες ονοματεπώνυμο του τρίτου (συνιστάται να αναφέρεται και ο αριθμός ταυτότητας) και να υπογράψει το έντυπο. Κατά την παράδοση των αποτελεσμάτων των εξετάσεων στον τρίτο, πρέπει να ελέγχετε την ταυτότητα του τρίτου, ώστε να βεβαιωθείτε ότι είναι το εξουσιοδοτημένο από τον ασθενή πρόσωπο.
5. Διενέργεια εξετάσεων από συνεργάτη του ιατρού & ενημέρωση του ασθενούς
Ο ασθενής θα πρέπει να ενημερώνεται σχετικά με το εάν τα δεδομένα του θα διαβιβαστούν σε τρίτους αποδέκτες. Δεν χρειάζεται αρχικά να προσδιοριστούν ακριβώς οι τρίτοι (π.χ. στο Χ εργαστήριο) αλλά οι κατηγορίες τους (π.χ. “σε ορισμένες περιπτώσεις τα στοιχεία σας και το βιολογικό υλικό αποστέλλονται σε συνεργαζόμενα εργαστήρια για την ολοκλήρωση των εξετάσεων”). Εάν ο ασθενής ασκήσει το δικαίωμα πρόσβασης, δικαιούται να ενημερωθεί με μεγαλύτερη λεπτομέρεια σχετικά με τους αποδέκτες των δεδομένων του. Στην περίπτωση αυτή θα πρέπει εντός 1 μηνός να του παράσχετε όλα τα αναγκαία στοιχεία, συμπεριλαμβανομένων των στοιχείων των αποδεκτών – συνεργατών σας. Αν και προβλέπεται η δυνατότητα εξαίρεσης περιπτώσεων που ο αποδέκτης δεσμεύεται από το επαγγελματικό απόρρητο, δεν θεωρούμε ότι έχει εφαρμογή αυτή η εξαίρεση σε τέτοιες περιπτώσεις, καθώς στοχεύει κυρίως στο να αντιμετωπίσει περιπτώσεις που το επαγγελματικό απόρρητο έρχεται σε σύγκρουση με την υποχρέωση ενημέρωσης (π.χ. εάν ο ασθενής ενημερώσει τον ιατρό για παθήσεις συγγενών στο πλαίσιο λήψης του ιστορικού του, ο ιατρός δεν υποχρεούται να ενημερώσει τους συγγενείς ότι κατέγραψε και θα διατηρήσει τα δεδομένα τους, καθώς αυτό θα παραβίαζε την υποχρέωσή του για τήρηση του απορρήτου του ασθενή του).
6. Αν δεν κρατάω τα στοιχεία των ασθενών απαλλάσσομαι από τις υποχρεώσεις του Κανονισμού;
Η τήρηση ιατρικού αρχείου με τα στοιχεία του ασθενή που ορίζει το άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας είναι υποχρέωση κάθε ιατρού και πρέπει να τηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενούς στα ιδιωτικά ιατρεία και για 20 έτη στις υπόλοιπες περιπτώσεις. Επομένως, δεν αποτελεί επιλογή για τους ιατρούς η μη τήρηση προσωπικών δεδομένων ασθενών.
7. Ιατρικό Απόρρητο βάσει Κώδικα Ιατρικής Δεντολογίας και Ασφάλεια Προσωπικών Δεδομένων βάσει GDPR.
Ο Κανονισμός GDPR επιβάλλει υποχρεώσεις σχετικά με την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων. Οι έννοιες αυτές δεν είναι κάτι τελείως νέο για τους ιατρούς. Βάσει του Κώδικα Ιατρικής Δεοντολογίας, οι ιατροί σε κάθε περίπτωση δεσμεύονται από την υποχρέωση τήρησης του ιατρικού απορρήτου (εμπιστευτικότητας). Παράλληλα οφείλουν να τηρούν Ιατρικό Αρχείο, που συνδέεται στενά με τη διασφάλιση της ακεραιότητας, (καθώς τα στοιχεία των ασθενών πρέπει να προστατεύονται από τυχόν αλλοίωσή τους) καθώς και με τη διασφάλιση της διαθεσιμότητας (καθώς το Ιατρικό Αρχείο πρέπει βάσει του Κώδικα να διατηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενή από τους ιδιώτες ιατρούς και για 20 έτη στις υπόλοιπες περιπτώσεις).
Ο τρόπος με τον οποίο διασφαλίζεται το απόρρητο των στοιχείων των ασθενών, διαφέρει ανάλογα με τον τρόπο λειτουργίας του ιατρείου και τήρησης του αρχείου. Ενδεικτικά, εάν τηρείτε το αρχείο σε έντυπη μορφή, θα πρέπει να φροντίσετε αυτό να μην είναι προσβάσιμο σε οποιονδήποτε μη εξουσιοδοτημένο τρίτο (σε ασφαλή χώρο, π.χ. κλειδωμένο φοριαμό), αν και εγγενώς το φυσικό (έντυπο) αρχείο δεν μπορεί εύκολα να πληροί τις λοιπές προδιαγραφές του Κανονισμού, π.χ. ως προς τη διαθεσιμότητα (καθώς δεν υπάρχει συνήθως η δυνατότητα ανάκτησης σε περίπτωση που κλαπεί, αλλοιωθεί ή καταστραφεί, εκτός εάν τηρείται και αντίγραφο ή εάν τα ίδια δεδομένα υπάρχουν και σε ψηφιακή μορφή).
Για το ηλεκτρονικό αρχείο προτείνουμε να δείτε τη σχετική ενημέρωση του ΙΣΑ με τις συνοπτικές οδηγίες συμμόρφωσης ιδιωτικού ιατρείου, όπου αναφέρονται ορισμένα μέτρα που μπορούν να ληφθούν για την προστασία των ηλεκτρονικών αρχείων (http://www.isathens.gr/syndikal/7825-synoptikes-odigies-symmorfosis-id-iatreiou-gdpr.html).
Για το σύνολο των ανακοινώσεων/δράσεων του Ι.Σ.Α. σχετικά με τον νέο κανονισμό προσωπικών δεδομένων (GDPR) πατήστε εδώ.