Αγαπητοί συνάδελφοι,
Από σήμερα 25-05-2018 τίθεται σε εφαρμογή ο Γενικός Κανονισμός Προστασίας Δεδομένων – ΓΚΠΔ (GDPR – EE 679/2016/ της 27ης Απριλίου 2016). Ο κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος. Το Ελληνικό Κράτος προτίθεται να ενσωματώσει στην Νομοθεσία, τον εν λόγω κανονισμό, ολοκληρώθηκε δε στις 5 Μαρτίου 2018 η σχετική δημόσια διαβούλευση του προταθέντος νομοσχεδίου (http://www.opengov.gr/ministryofjustice/?p=9331).
Του επόμενους μήνες, αναμένεται να ολοκληρωθεί η διαδικασία και να αποτελέσει Νόμο του Ελληνικού Κράτους.
Θα πρέπει βέβαια να γίνει πλήρως κατανοητό, ότι η ημερομηνία 25 Μαΐου 2018, αποτελεί την έναρξη της εφαρμογής και σε καμία περίπτωση δεν αποτελεί ημέρα ολοκλήρωσης όλων των διαδικασιών. Η συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ, είναι μια συνεχής διαδικασία η οποία δεν σταματά ποτέ.
Στα πλαίσια λοιπόν αυτής της εφαρμογής, ο Πανελλήνιος Σύλλογος Φυσικοθεραπευτών συμμορφώνεται με τις απαιτήσεις του ΓΚΠΔ, συμμόρφωση η οποία επικεντρώνεται σε τρεις τομείς:
- Συμμόρφωση ΠΣΦ (έλεγχος και συμμόρφωση διαδικασιών, συμμόρφωση & ασφάλεια πληροφοριακών συστημάτων, εκπαίδευση προσωπικού & ανάπτυξη σχετικής κουλτούρας)
- Υποχρεωτικός ορισμός Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ-DPO), καθότι ως ΝΠΔΔ οφείλει να συμμορφωθεί σύμφωνα με το άρθρο 37 παρ.1 (α) & άρθρο 38 του ΓΚΠΔ
- Ενημέρωση των μελών του ΠΣΦ για τις ενέργειες που πρέπει να ακολουθήσουν και τις υποχρεώσεις τους, έτσι ώστε να πετύχουν τη βέλτιστη συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ
Σύμφωνα λοιπόν με τα παραπάνω , σας παραθέτουμε τις ενέργειες τις οποίες θα πρέπει να ακολουθήσει ένας φυσικοθεραπευτής κατά την άσκηση του επαγγέλματός του, έτσι ώστε να συμμορφώνεται με τις απαιτήσεις του ΓΚΠΔ. Συγκεκριμένα,
Ο φυσικοθεραπευτής οφείλει να προβεί κατά ελάχιστο στις παρακάτω ενέργειες:
- Κατανόηση νομικής βάσης επεξεργασίας προσωπικών δεδομένων
- Ο φυσικοθεραπευτής κατά την άσκηση των καθηκόντων του, επεξεργάζεται δεδομένα προσωπικού χαρακτήρα και μάλιστα πρόκειται για «επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα» (Αρ. 9 ΓΚΠΔ) (ευαίσθητα προσωπικά δεδομένα κατά προγενέστερο ορισμό). Επειδή λοιπόν η επεξεργασία είναι απαραίτητη για λόγους «.. προληπτικής ιατρικής …. » και «…παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών….», σύμφωνα με το άρθρο9 παρ.2 , είναι σαφές ότι ΔΕΝ απαιτείται συγκατάθεση από το «υποκείμενο» επεξεργασίας (ασθενή). Φυσικά, εφόσον τα δεδομένα αυτά χρησιμοποιηθούν ΜΟΝΟ για το σκοπό για τον οποίο προορίζονται και όχι πέραν αυτού.
- Σε περιπτώσεις κατά τις οποίες τα προσωπικά δεδομένα χρησιμοποιηθούν για άλλο σκοπό είτε πρόκειται να διαβιβαστούν σε τρίτους , θα πρέπει να υπάρχει συγκατάθεση του «υποκείμενου» (π.χ. του ασθενούς)
- Να τηρεί (υποχρεωτικά) τα παρακάτω αρχεία (ηλεκτρονικά και σε φυσικό αρχείο)
- Να συνάπτει (υποχρεωτικά) «δήλωσης εμπιστευτικότητας», μεταξύ επιχείρησης και εργαζομένου, εφόσον ο εργαζόμενος έχει πρόσβαση σε προσωπικά δεδομένα ασθενούς (φυσικό ή ηλεκτρονικό αρχείο) και άρα καθίσταται «εκτελών την επεξεργασία» (π.χ. γραμματέας η οποία έχει πρόσβαση σε καρτέλες ή βιβλία ασθενούς) [αρ. 28 ΓΚΠΔ (ΕΕ) 679/2016]
- Να συνάπτει (υποχρεωτικά) «δήλωσης εμπιστευτικότητας», μεταξύ επιχείρησης και οποιουδήποτε εξωτερικού συνεργάτη διαβιβάζονται δεδομένα προσωπικού χαρακτήρα ασθενούς (π.χ. Ιατρός, διαγνωστικό εργαστήριο) [αρ. 28 ΓΚΠΔ (ΕΕ) 679/2016]
- Να έχει κατανοήσει πλήρως, να σέβεται και να διευκολύνει την άσκηση των δικαιωμάτων ενημέρωσης, πρόσβασης, διόρθωσης και διαγραφής του «υποκείμενου επεξεργασίας» [Αρ. 12-20 ΓΚΠΔ]. Συγκεκριμένα :
- Σε περίπτωση κατά την οποία το «υποκείμενο» (π.χ. ασθενής), αιτηθεί ενημέρωση για το ποια στοιχεία επεξεργάζεται ο «υπεύθυνος επεξεργασίας» (φυσικοθεραπευτής), θα πρέπει :
- Εντός χρονικού διαστήματος ενός (1) μηνός, ο «υπεύθυνος επεξεργασίας» να απαντήσει γραπτώς. Σε περίπτωση που έχει ζητηθεί, θα πρέπει να αναφέρονται λεπτομερώς και με διαφάνεια οι λόγοι επεξεργασίας, η νομική βάση, οι αποδέκτες, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (ΑΠΔΠΧ)
- Να εφαρμόσει κατάλληλα οργανωτικά και τεχνικά μέτρα με σκοπό την ασφάλεια δεδομένων και την ασφάλεια της επεξεργασίας [Αρ. 24 ΓΚΠΔ].
- Η ενέργεια αυτή, διαφοροποιείται ανάλογα με τις διαδικασίες που εφαρμόζει η κάθε επιχείρηση (π.χ. εργαστήριο φυσικοθεραπείας) κα τα συστήματα πληροφορικής (λογισμικό & υλικό) που χρησιμοποίει. Συνεπώς, λόγω του ότι είναι σχεδόν αδύνατον να καλύψουμε εντός του παρόντος κειμένου όλες τις πιθανές περιπτώσεις, παρόλα αυτά σας παραθέτουμε κάποια «κοινά παραδείγματα» καλής πρακτικής εφαρμογής μέτρων ασφαλείας και προστασίας των δεδομένων.
- Το φυσικό αρχείο (π.χ. παραπεμπτικά, καρτέλες- φάκελοι ασθενούς), θα πρέπει να φυλάσσεται σε χώρο (π.χ. ερμάριο) ο οποίος να μην είναι προσβάσιμος από μη εξουσιοδοτημένα άτομα
- Δεν θα πρέπει να υπάρχει οποιασδήποτε μορφής αρχείο (π.χ. μια αίτηση), έστω και προσωρινά προσβάσιμο και ορατό από τρίτους
- Ο υπολογιστής που χρησιμοποιούμε, θα πρέπει υποχρεωτικά να επιτρέπει είσοδο μόνο με κωδικό πρόσβασης. Επιθυμητή ενέργεια επίσης, είμαι η διαβαθμισμένη πρόσβαση σε υπολογιστή με διαφορετικά δικαιώματα για κάθε χρήστη.
- Εάν πιθανώς χρησιμοποιούμε αρχεία, Excel, Word, Αρχεία κειμένου, με δεδομένα προσωπικού χαρακτήρα,προτείνουμε τα αρχεία αυτά να προστατεύονται με κωδικό πρόσβασης.
- Όταν ανταλλάσσονται μηνύματα ηλεκτρονικού ταχυδρομείου (email) (π.χ. αποστολή ή λήψη κάποιων δεδομένων από/προς συνεργαζόμενο Ιατρό), συστήνουμε τα αρχεία αυτά να προστατεύονται με κωδικό πρόσβασης.
- Πλήρης καταγραφή συστήματος πληροφορικής (εάν υπάρχει). Θα πρέπει να έχουμε σαφή εικόνα για το πληροφοριακό σύστημα που χρησιμοποιούμε και συγκεκριμένα να απαντήσουμε άμεσα στα εξής κρίσιμα ερωτήματα :
- Που αποθηκεύονται τα δεδομένα
- Υπάρχει βάση δεδομένων; Είναι κρυπτογραφημένη ; Αν ναι, ποια δεδομένα είναι και ποια όχι;
- Ποιοί έχουν πρόσβαση σε αυτό το σύστημα και με ποιά δικαιώματα; Τι ενέργειες πραγματοποιούν οι χρήστες ; Υπάρχει διαβάθμιση;
- Υπάρχουν αντίγραφα ασφαλείας ; Αν ναι που βρίσκονται; Κάθε πότε δημιουργούνται ; ποιος και με ποιόν τρόπο έχει πρόσβαση σε αυτά; Υπάρχει σχέδιο ανάκαμψης ;
- Έλεγχος συμμόρφωσης (π.χ. εταιρικό εργαστηρίου φυσικοθεραπείας)
- Θα πρέπει να γίνουν οι ως άνω έλεγχοι (δλδ. Ως πληροφοριακό σύστημα) και επιπλέον:
- Να ελεγχθούν και να αναθεωρηθούν εάν κριθεί απαραίτητο οι όροι χρήσης του και να δοθεί ιδιαίτερο βάρος στην πολιτική που λαμβάνει ο επισκέπτης (σημ: για να λάβει ο επισκέπτης Cookie analytics μέσω ιστοσελίδας, θα πρέπει υποχρεωτικά να έχει αποδεχθεί αυτό τον όρο)
- Σε οποιαδήποτε φόρμα επικοινωνίας εντός WebSite, θα πρέπει υποχρεωτικά να υπάρχει η δυνατότητα «συναίνεσης» του επισκέπτη, χωρίς την οποία δεν θα πρέπει να αποστέλλονται τα στοιχεία μέσω φόρμας
- Να γνωρίζει τις ενέργειες που πρέπει να πράξει, σε περίπτωση παραβίασης και πως ενεργούμε κατά την «Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή» [Αρ.33 ΓΚΠΔ]
- Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή (ΑΠΔΠΧ)
- Η γνωστοποίηση πραγματοποιείται με την αποστολή συγκεκριμένου εγγράφου και αποστέλλετε σε προκαθορισμένη ηλεκτρονική διεύθυνση
- Να κατανοήσει πλήρως την «αρχή της λογοδοσίας» [Αρ. 5 παρ 2]
- Σύμφωνα με την «αρχή της λογοδοσίας», ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση («λογοδοσία»).
- Ως εκ τούτου δεν είναι αρκετό το απλά να αναγνώσει κανείς τον ΓΚΠΔ είτε να διαδίδει τη συμμόρφωσή του, αλλά θα πρέπει να είναι σε θέση ανά πάσα στιγμή και όποτε χρειαστεί, να «αποδεικνύει» την συμμόρφωση του
- Ως καλή πρακτική συμμόρφωσης με την αρχή της λογοδοσίας, θα πρέπει, όλα τα έγγραφα (υποχρεωτικά και μη) τα οποία χρησιμοποιείται και αναλύθηκαν στις ανωτέρω παραγράφους, να φυλάσσονται σε φυσικό φάκελο. (π.χ. φάκελος αρχείου ΓΚΠΔ-, ή φάκελος Ενεργειών ΓΚΠΔ)
Ακολουθεί πίνακας, ο οποίος περιέχει συνοπτικά τα «βήματα» που θα πρέπει να ακολουθήσει ο φυσικοθεραπευτής, προκειμένου να συμμορφωθεί με τις απαιτήσεις του ΓΚΠΔ
Συνοπτικά Βήματα που θα πρέπει να ακολουθήσει ο φυσικοθεραπευτής προκειμένου να συμμορφωθεί με τις απαιτήσεις του ΓΚΠΔ
|
|
Υποχρεωτικό
|
Ενέργεια που απαιτείται
|
άρθρο ΓΚΠΔ
|
Κατανόηση νομικής βάσης επεξεργασίας προσωπικών δεδομένων
|
ΝΑΙ
|
Ενημέρωση
|
αρ. 9 ΓΚΠΔ
|
Να τηρεί (υποχρεωτικά) τα παρακάτω αρχεία δραστηριοτήτων (ηλεκτρονικά και σε φυσικό αρχείο)
|
ΝΑΙ
|
Συμπλήρωση και φύλαξη αντίστοιχων εγγράφων (ηλεκτρονικών και φυσικών)
|
αρ. 30 ΓΚΠΔ
|
Να συνάπτει (υποχρεωτικά) «δήλωση εμπιστευτικότητας», μεταξύ επιχείρησης και εργαζομένου
|
ΝΑΙ
|
Συμπλήρωση και φύλαξη αντίστοιχων εγγράφων (ηλεκτρονικών και φυσικών)
|
αρ. 28 ΓΚΠΔ
|
Να συνάπτει (υποχρεωτικά) «δήλωση εμπιστευτικότητας», μεταξύ επιχείρησης και οποιουδήποτε εξωτερικού συνεργάτη (εφόσον αυτός έχει πρόσβαση σε δεδομενα προσωπικού χαρακτήρα της επιχείρισης)
|
ΝΑΙ
|
Συμπλήρωση και φύλαξη αντίστοιχων εγγράφων (ηλεκτρονικών και φυσικών)
|
αρ. 28 ΓΚΠΔ
|
Να έχει κατανοήσει πλήρως,να σέβεται και να διευκολύνει την άσκηση των δικαιωμάτων ενημέρωσης, πρόσβασης, διόρθωσης και διαγραφής του «υποκείμενου επεξεργασίας»
|
ΝΑΙ
|
Ενημέρωση – ενημέρωση «υποκειμένου» όποτε το αιτηθεί το αργότερο εντός 1 μηνός
|
Αρ. 12-20 ΓΚΠΔ
|
Να εφαρμόσει κατάλληλα οργανωτικά και τεχνικά μέτρα με σκοπό την ασφάλεια δεδομένων και την ασφάλεια της επεξεργασίας
|
ΝΑΙ
|
Να εφαρμόσει τα κατάλληλα μέτρα κατά περίπτωση
|
Αρ. 24 ΓΚΠΔ
|
Να γνωρίζει τις ενέργειες που πρέπει να κάνει, σε περίπτωση παραβίασης και πως ενεργούμε κατά την «Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή»
|
ΝΑΙ
|
Ενημέρωση – ετοιμότητα
|
Αρ.33 ΓΚΠΔ
|
Να κατανοήσει πλήρως την «αρχή της λογοδοσίας»
|
ΝΑΙ
|
Ενημέρωση – ετοιμότητα
Δεν αρκεί να υποστηρίζουμε κάτι, θα πρέπει να είμαστε σε θέση να το αποδεικνύουμε
|
Αρ. 5 π. 2 ΓΚΠΔ
|
* Οι παραπάνω συμβουλές συμμόρφωσης, αφορούν στις κατά ελάχιστον υποχρεώσεις ενός φυσικοθεραπευτή (ελεύθερου επαγγελματία ή εργαστηρίου). Πιθανώς οι ενέργειες αυτές να διαφοροποιούνταιανάλογα με το προσωπικό που απασχολείται (π.χ. σε κάποιο εργαστήριο), είτε ειδικών διαδικασιών που πιθανώς κάποιος επαγγελματίας να εφαρμόζει κατά περίπτωση και να μην έχει προβλεφθεί μέσω του παρόντος κειμένου.