Η επιλογή του ασθενούς για το εάν θα υποβληθεί σε κάποια θεραπεία καθώς και αν θα συμμετάσχει σε κάποια κλινική δοκιμή αποτελεί εκδήλωση της αυτονομίας ή αλλιώς αυτοδιάθεσης του ατόμου και της ανθρώπινης αξιοπρέπειας. Στο χώρο της υγείας η συγκατάθεση του υποκειμένου είναι αναγκαία για κάθε παρέμβαση στο ανθρώπινο σώμα ενώ για την περαιτέρω χρήση των δεδομένων του στην κλινική έρευνα απαιτείται επίσης χωριστή συγκατάθεση. H ηθική αξία μάλιστα, της συγκατάθεσης αναγνωρίζεται διεθνώς και γι’ αυτό μάλιστα κατοχυρώνεται σε όλα τα σημαντικά διεθνή κείμενα ως βασική προϋπόθεση για κάθε βιοϊατρική παρέμβαση.
Διαπιστώνοντας τη σημασία της προστασίας των προσωπικών δεδομένων των συμμετεχόντων στην επιστημονική έρευνα και την κρισιμότητα των νομικών ζητημάτων που ανακύπτουν στο πλαίσιο διεξαγωγής τους, τα θέματα που μας απασχόλησαν στο παρόν άρθρο είναι:
- Ποιες είναι οι προϋποθέσεις για μια έγκυρη συγκατάθεση με βάση το Νέο Κανονισμό 679/2016 για την προστασία των προσωπικών δεδομένων;
- Καθώς επίσης, ποιους καλύπτει το νέο νομικό πλαίσιο; Ποιους προστατεύει και ποιοι πρέπει να συμμορφωθούν με τις διατάξεις του;
Εν γένει, παρατηρούμε ότι ο νέος Κανονισμός δίνει μεγαλύτερη έμφαση και περιέχει πιο λεπτομερείς διατάξεις για τις προϋποθέσεις επεξεργασίας των δεδομένων υγείας σε σχέση με την προγενέστερη Οδηγία 95/46. Περιλαμβάνει για πρώτη φορά ορισμό των «δεδομένων υγείας» αλλά και των «γενετικών δεδομένων».
Κατά τη θέσπιση του νέου Κανονισμού, ο Ευρωπαίος Νομοθέτης έλαβε υπόψη του τις παρατηρήσεις και τις προτάσεις της ερευνητικής κοινότητας για μια ευρεία συναίνεση με δυνατότητα ανάκλησης καθώς και για παρέκκλιση από την υποχρέωση συναίνεσης στις περιπτώσεις των επιδημιολογικών κυρίως ερευνών που βασίζονται σε προϋπάρχοντα δεδομένα μητρώων (π.χ μητρώων ασθενών για τον Καρκίνο ή μητρώων άλλων φορέων). Όπως προκύπτει και από την αιτιολογική έκθεση, στο σημείο αυτό ο νομοθέτης έκρινε ότι «συνδυάζοντας πληροφορίες από μητρώα, οι ερευνητές μπορούν να αποκτούν νέες γνώσεις μεγάλης σημασίας όσον αφορά διαδεδομένες παθολογικές καταστάσεις όπως καρδιαγγειακά νοσήματα, καρκίνος και κατάθλιψη. Βάσει των μητρώων, τα αποτελέσματα των ερευνών μπορούν να ενισχύονται, δεδομένου ότι στηρίζονται σε ευρύτερη πληθυσμιακή βάση».
Βάσει των ανωτέρω, ο Νομοθέτης προέβη στις ακόλουθες κρίσιμες ρυθμίσεις:
- Η συγκατάθεση μπορεί να παραλειφθεί όταν τα δεδομένα χρησιμοποιούνται για σκοπούς επιστημονικής έρευνας, ανωνυμοποιημένα ή με χρήση ψευδωνύμων, και μόνο για το σκοπό για τον οποίο είναι αναγκαία στο πλαίσιο της έρευνας.
- Αντίστοιχη είναι και η πρόβλεψη του Κανονισμού ως προς την ενημέρωση, η οποία μπορεί να παραλειφθεί όταν παροχή πληροφοριών στο υποκείμενο αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια. Υπάρχει μάλιστα ρητή αναφορά στην περίπτωση που τα δεδομένα χρησιμοποιούνται για σκοπούς επιστημονικής έρευνας ή στατιστικούς σκοπούς οπότε δικαιολογείται εξαίρεση από την υποχρέωση ενημέρωσης εφόσον η τήρησή της είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας, υπό τον όρο όμως εφαρμογής τεχνικών ελαχιστοποίησης και της ανωνυμοποίησης των δεδομένων.
- Ωστόσο, όταν βάσει των περιστάσεων η συναίνεση είναι απαραίτητη προϋπόθεση για τη νόμιμη επεξεργασία πρέπει αυτή να δίνεται σύμφωνα με τα ακόλουθα σημεία:
- Εννοιολογικά στοιχεία της «συγκατάθεσης» του υποκειμένου των δεδομένων και άρα αν δεν υφίστανται δεν μιλάμε για έγκυρη συγκατάθεση είναι η ελευθερία βουλήσεως, η συγκεκριμένη, ρητή και εν πλήρει επιγνώσει διατύπωση της βούλησης, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν (άρθρο 4 περ.11). Για να θεωρηθεί η συγκατάθεση «εν επιγνώσει», το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα καθώς και σειρά άλλων στοιχείων που αναλυτικά περιγράφονται στα άρθρα 13 και 14 του Κανονισμού.
- Ο νομοθέτης έδωσε έμφαση στη σαφήνεια της διατύπωσης και προέβλεψε στο άρθρο 7 §2 ότι «εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση». Διαφορετικά η δήλωση αυτή δεν θα είναι δεσμευτική για το υποκείμενο.
- Επίσης, το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Όμως, η ανάκληση αυτή θα ισχύει μόνο για το μέλλον και δεν θα ασκεί καμία επίδραση στη νομιμότητα της επεξεργασίας που διενεργήθηκε πριν την ανάκληση. Αντίστοιχη διάταξη υπάρχει και στον Νέο Κανονισμό 536/2014 για τις κλινικές δοκιμές που εστιάζει στην προστασία των δεδομένων που συλλέγονται στις κλινικές δοκιμές (άρθρο 28§2,3).
- Αποδέκτης της υποχρέωσης λήψης συγκατάθεσης, ο οποίος φέρει και το βάρος απόδειξης, είναι με βάση το νέο Κανονισμό ο υπεύθυνος επεξεργασίας των δεδομένων, αυτός δηλαδή που καθορίζει τους σκοπούς της επεξεργασίας.
Τι γίνεται όμως αν η επεξεργασία των δεδομένων λαμβάνει χώρα εκτός της Ένωσης;
- Καταρχήν, με βάση τις διατάξεις του Κανονισμού (άρθρο 3) η ως άνω υποχρέωση δεσμεύει τον υπεύθυνο επεξεργασίας ο οποίος έχει την εγκατάστασή του εντός της Ε.Ε ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης.
- Περαιτέρω, η υποχρέωση βαρύνει και τον υπεύθυνο επεξεργασίας που δεν είναι εγκατεστημένος στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων που βρίσκονται στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από αυτά. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας που έχει την εγκατάστασή του εκτός της Ε.Ε. ορίζει γραπτώς εκπρόσωπο στην Ένωση.
- Όταν διαβιβάζονται δεδομένα σε τρίτες χώρες, ο Ευρωπαίος Νομοθέτης έχει αναθέσει στην Επιτροπή την αρμοδιότητα να διαπιστώνει την ύπαρξη επαρκούς επιπέδου προστασίας με δημοσίευση σχετικής της απόφασης, όπως η μέχρι πρότινος ισχύουσα Safe Harbour Decision για ανταλλαγή δεδομένων με την Αμερική. Ωστόσο, σε περίπτωση έλλειψης τέτοιας απόφασης εκ μέρους της Επιτροπής η διαβίβαση μπορεί να γίνεται νόμιμα υπό την τήρηση άλλων εγγυήσεων, ενδεικτικώς αναφερομένων της υιοθέτησης δεσμευτικών εταιρικών κανόνων ή τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή ή από εποπτική αρχή Κράτους μέλους, καθώς και της ύπαρξης εγκεκριμένου μηχανισμού πιστοποίησης.
- Επιπρόσθετα, αν δεν υπάρχει σχετική απόφαση της Επιτροπής ούτε τηρούνται οι προβλεπόμενες από τον Κανονισμό εγγυήσεις, η διαβίβαση κατ’ εξαίρεση επιτρέπεται όταν το υποκείμενο των δεδομένων έχει συγκαταθέσει ρητά στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους που εγκυμονούν τέτοιες διαβιβάσεις ιδίως λόγω απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων.
- Περαιτέρω, επιτρέπεται η διαβίβαση όταν είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης η οποία συνήφθη προς όφελος του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου, όταν είναι αναγκαία για σημαντικούς λόγους δημόσιου συμφέροντος π.χ διασυνοριακοί κίνδυνοι δημόσιας υγείας καθώς και όταν η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του.
Σχόλιο του γραφείου μας
Παρακολουθώντας από κοντά τις εξελίξεις της επιστημονικής κοινότητας καθίσταται σαφές ότι η ανταλλαγή δεδομένων υγείας μεταξύ χωρών της Ε.Ε. και τρίτων χωρών διευκολύνει, προωθεί και αποτελεί άμεση και πρωταρχική ανάγκη για την εξέλιξη της επιστήμης.
Περαιτέρω, μέριμνα του Ευρωπαίου Νομοθέτη όπως διαπιστώνουμε μέσω των προϋποθέσεων που τίθενται στον Κανονισμό αποτελεί ο σεβασμός των θεμελιωδών ατομικών δικαιωμάτων και της αυτονομίας της βούλησης των υποκειμένων στο πλαίσιο κάθε δραστηριότητας επεξεργασίας των δεδομένων τους είτε αυτή λαμβάνει χώρα εντός είτε εκτός Ε.Ε, καθώς και στις περιπτώσεις που τα ευαίσθητα προσωπικά δεδομένα διαβιβάζονται σε τρίτες χώρες.
