PROCESSORS – Εκτελούντες την επεξεργασία προσωπικών δεδομένων υγείας: Aντιμέτωποι με τον GDPR

/ / Legal x-rays

Πάροχοι υπηρεσιών Διαδικτύου, πάροχοι υπηρεσιών cloud, πάροχοι υπηρεσιών φαρμακοεπαγρύπνησης, κατ’ ανάθεση οργανισμοί έρευνας (contract research organizations) τηλεφωνικά κέντρα εξυπηρέτησης ασθενών θεωρούνται εκτελούντες την επεξεργασία προσωπικών δεδομένων και ως εκ τούτου θα έρθουν αντιμέτωποι με τις  αλλαγές που θα επιφέρει ο νέος Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR).

1) Ποιος θεωρείται υπεύθυνος της επεξεργασίας και ποιος θεωρείται εκτελών;

Ο υπεύθυνος την επεξεργασίας καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων. Αποφασίζει δηλαδή ενδεικτικά για πόσο διάστηµα θα αποθηκευθούν τα δεδοµένα ή ποιος θα έχει πρόσβαση στα δεδομένα. Στο χώρο της υγείας υπεύθυνοι της επεξεργασίας θεωρούνται οι πάροχοι υπηρεσιών υγείας, οι φαρμακευτικές εταιρείες, οι εταιρείες ιατρικού αναλωσίμου που διαχειρίζονται προσωπικά δεδομένα υγείας (υπεύθυνοι της επεξεργασίας).

Σύμφωνα με τον Κανονισμό, από την άλλη «εκτελών την επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας (προς εξυπηρέτηση των συμφερόντων του τελευταίου) και ενδέχεται να καθορίζει κάποια ειδικότερα τεχνικά και οργανωτικά ζητήματα.

2) Τι ίσχυε μέχρι σήμερα για τους εκτελούντες και τι θα ισχύει μετά τις 25 Μαΐου 2018;

Σύμφωνα με το προϊσχύσαν καθεστώς , την ευθύνη για την επεξεργασία και υποχρέωση για λογοδοσία έναντι της αρμόδιας αρχής είχε μόνο ο υπεύθυνος επεξεργασίας ενώ τώρα αναλαμβάνει αρκετές υποχρεώσεις ο ίδιος ο εκτελών, η μη τήρηση των οποίων μπορεί να οδηγήσει σε επιβολή σε αυτόν δυσθεώρητων προστίμων.

3) Ποιες είναι οι βασικές υποχρεώσεις του εκτελούντος την επεξεργασία με βάση το νέο νομικό πλαίσιο του GDPR;

α) Ο εκτελών την επεξεργασία οφείλει να παρέχει επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, που αποδεικνύουν ότι συμμορφώνεται προς τις απαιτήσεις του κανονισμού (π.χ. υιοθέτηση συγκεκριμένου Κώδικα Δεοντολογίας ή κατάλληλη πιστοποίηση) και να διασφαλίζει την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

β) Ο εκτελών την επεξεργασία πρέπει να καταρτίσει γραπτή σύμβαση με τον υπεύθυνο επεξεργασίας στην οποία θα καθορίζονται σαφώς οι υποχρεώσεις καθενός και ο τρόπος επεξεργασίας των δεδομένων. Ο εκτελών οφείλει να επεξεργάζεται τα δεδομένα βάσει των καταγεγραμμένων εντολών της σύμβασης αυτής. Να ληφθεί υπόψη ότι σε ενδεχόμενο έλεγχο της Εποπτικής Αρχής η σύμβαση αυτή θα αποτελεί οδηγό για την απόδοση τυχόν ευθυνών.

γ) Ο εκτελών κατ’ επιλογή του υπευθύνου επεξεργασίας οφείλει να διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και να διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν υπάρχει νομοθετική πρόβλεψη για την τήρηση του αρχείου για ορισμένο χρονικό διάστημα (π.χ για τις κλινικές δοκιμές απαιτείται τήρηση του αρχείου για 25 έτη).

δ) Κάθε εκτελών την επεξεργασία ή οι υπεκτελούντες οφείλουν να τηρούν αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας. Η υποχρέωση αφορά ιδίως επιχείρηση ή οργανισμό που απασχολεί πάνω από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Εν γένει, επειδή η επεξεργασία δεδομένων υγείας θεωρείται ότι θέτει σε υψηλό κίνδυνο τα δικαιώματα του υποκειμένου, κρίνουμε ότι οι εκτελούντες την επεξεργασία δεδομένων υγείας επιβαρύνονται με την ως άνω υποχρέωση.

4) Ποιες υποχρεώσεις βαρύνουν τον εκτελούντα όταν συμβάλλεται με άλλους εκτελούντες (υπεκτελούντες);

α) Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα την επεξεργασία πρέπει προηγουμένως να λαμβάνει προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας.

β) Ο εκτελών οφείλει να διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα (υπεκτελούντες) έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας.

γ) Να σημειωθεί ότι ο αρχικός εκτελών την επεξεργασία παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του υπεκτελούντος την επεξεργασία.

5) Ποιες ευθύνες βαρύνουν τον εκτελούντα σε περίπτωση παραβίασης των δεδομένων;

α) Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα. Το χρονικό διάστημα μπορεί να καθοριστεί ελεύθερα στη σύμβαση μεταξύ του υπευθύνου και του εκτελούντος.

β) Ο εκτελών οφείλει να διορίσει υπεύθυνο προστασίας δεδομένων (DPO), ιδίως όταν η επεξεργασία αφορά δεδομένα υγείας.

γ) Έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εναντίον του υπευθύνου επεξεργασίας και του εκτελούντος εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον GDPR παραβιάστηκαν.

δ) Επίσης, στους εκτελούντες την επεξεργασία μπορεί να υποβληθούν πρόστιμα από την Εποπτική Αρχή όπως και στον Υπεύθυνο Επεξεργασίας ύψους 20 εκατομμυρίων ευρώ η μέχρι το 4% του ετήσιου τζίρου.

Σχόλιο του γραφείου μας:

Αναμφισβήτητα, με την εφαρμογή του νέου Κανονισμού για την Προστασία των Προσωπικών Δεδομένων οι ευθύνες των εκτελούντων επεξεργασία προσωπικών δεδομένων αυξάνονται επηρεάζοντας την καθημερινή λειτουργία τόσο των επιχειρήσεων που έχουν το ρόλο του υπευθύνου όσο και το ρόλο του εκτελούντος. Σε κάθε περίπτωση και οι δύο πλευρές πρέπει να ρυθμίσουν γραπτώς τη σχέση συνεργασίας τους. Θεωρούμε ότι οι εκτελούντες την επεξεργασία προσωπικών δεδομένων που θα είναι σε θέση να αποδείξουν τη συμμόρφωσή τους με το GDPR το ταχύτερο δυνατό, θα εδραιωθούν πιο εύκολα στον ευαίσθητο χώρο της υγείας, όπου οι απαιτήσεις είναι υψηλότερες. Να σημειωθεί δε ότι αναμένεται και έκδοση εθνικής νομοθεσίας αναφορικά με τα δεδομένα υγείας οπότε μπορεί να προβλεφθούν επιπρόσθετες υποχρεώσεις στους εκτελούντες επεξεργασία.