H Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καλεί τα νοσηλευτικά ιδρύματα της χώρας να προβούν άμεσα στην εκπλήρωση της υποχρέωσης ορισμού υπευθύνου προστασίας δεδομένων (DPO)

Με αφορμή πρόσφατα δημοσιεύματα στον Τύπο (από 2/7/2019), τα οποία αναφέρονταν στον τρόπο τήρησης των ιατρικών φακέλων ασθενών σε δημόσιο νοσηλευτικό ίδρυμα της Αττικής, η Αρχή επισημαίνει τα ακόλουθα:

Στις 25/5/2018 τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (ΓΚΠΔ) και καταργήθηκε η Οδηγία 95/46/ΕΚ. Ο ΓΚΠΔ παρέχει ένα εκσυγχρονισμένο και συνεκτικό πλαίσιο συμμόρφωσης για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα με βάση την αρχή της λογοδοσίας. Σύμφωνα με την αρχή αυτή κάθε υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τον ΓΚΠΔ (άρθρο 5 παρ. 2 του ΓΚΠΔ).

Στο επίκεντρο αυτού του νέου νομικού πλαισίου βρίσκεται για πολλούς οργανισμούς ο υπεύθυνος προστασίας δεδομένων (DPO). Ο ρόλος του DPO είναι να παρακολουθεί την εσωτερική συμμόρφωση του υπευθύνου επεξεργασίας με τον ΓΚΠΔ, να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας για τις υποχρεώσεις που απορρέουν από αυτόν. Για την εκπλήρωση των καθηκόντων αυτών ο DPO συνεργάζεται με την εποπτική αρχή. Ενώ την ευθύνη για τη συμμόρφωση με τους κανόνες του ΓΚΠΔ φέρει ο υπεύθυνος επεξεργασίας.

Σύμφωνα με το άρθρο 37 παρ. 1 του ΓΚΠΔ, ο ορισμός DPO είναι υποχρεωτικός σε τρεις συγκεκριμένες περιπτώσεις, όταν «α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10». Ακόμα, προβλέπεται ότι ο υπεύθυνος επεξεργασίας δημοσιεύει τα στοιχεία επικοινωνίας του DPO και τα ανακοινώνει στην εποπτική αρχή (άρθρο 37 παρ. 7 του ΓΚΠΔ). Επισημαίνεται, τέλος, ότι η μη εκπλήρωση της υποχρέωσης ορισμού DPO επισύρει την επιβολή των διοικητικών προστίμων του άρθρου 83 παρ. 4 στοιχ. α’ του ΓΚΠΔ.

Από το τηρούμενο στην Αρχή αρχείο ορισμού DPOs, δυνάμει του άρθρου 37 παρ. 7 του ΓΚΠΔ, προκύπτει ότι μέχρι σήμερα μόνο δεκατρία (13) δημόσια νοσηλευτικά ιδρύματα της χώρας έχουν εκπληρώσει την ανωτέρω υποχρέωση ορισμού DPO και το έχουν ανακοινώσει στην Αρχή, εκ των οποίων μόνο δύο (2) της Αττικής (1η Υγειονομική Περιφέρεια).

Κατόπιν τούτων η Αρχή κάλεσε, μέσω των Υγειονομικών Περιφερειών, τα νοσηλευτικά ιδρύματα της χώρας όπως προβούν αμελλητί στην εκπλήρωση της υποχρέωσης ορισμού υπευθύνου προστασίας δεδομένων (DPO).

Πηγή : www.dpa.gr