Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
ΔημοσίευσεἜρεβος Οικονόμου Τροποποιήθηκε πριν 6 χρόνια
1
ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟΝ GDPR Ερση μιχαηλιδου, δικηγοροσ, LLM,Yπ.δρ
Dpo συλλογων ελπιδα, οραμα ελπιδασ, mvv foundation
2
I. OI BAΣΙΚΕΣ ΤΟΜΕΣ ΤΟΥ GDPR
Επέκταση του εδαφικού πεδίου εφαρμογής: Εφαρμογή σε υπευθύνους/εκτελούντες την επεξεργασία μη εγκατεστημένους στην ΕΕ όταν υπάρχει: Προσφορά αγαθών/υπηρεσιών Παρακολούθηση συμπεριφοράς σε πρόσωπα εντός ΕΕ προσώπων εντός ΕΕ Εφαρμογή σε υπευθύνους/εκτελούντες με εγκατάσταση* στην ΕΕ ανεξαρτήτως του τόπου επεξεργασίας των δεδομένων *Εγκατάσταση: Υπεύθυνοι επεξεργασίας: Τόπος κεντρικής διοίκησης& λήψης αποφάσεων ως προς τους σκοπούς και τα μέσα επεξεργασίας - Εκτελούντες την επεξεργασία: Τόπος κεντρικής διοίκησης & κυρίων δραστηριοτήτων επεξεργασίας
3
OI BAΣΙΚΕΣ ΤΟΜΕΣ ΤΟΥ GDPR/2
Διεύρυνση ορισμού «προσωπικών δεδομένων»- σύνδεσμοι με τις νέες τεχνολογίες/ «Εισαγωγή» νέων εννοιών (π.χ. «κατάρτιση προφίλ», «ψευδωνυμοποίηση») Διεύρυνση των αρχών της σύννομης επεξεργασίας και των υποχρεώσεων υπευθύνων/εκτελούντων- συσχέτιση με τον κίνδυνο της επεξεργασίας Ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων Πρόβλεψη ειδικής προστασίας των δεδομένων ανηλίκων
4
OI BAΣΙΚΕΣ ΤΟΜΕΣ ΤΟΥ GDPR/3
Αυστηροποίηση έγκυρης συγκατάθεσης Απλοποίηση διαδικασιών και υποχρεώσεων (π.χ. κατάργηση της υποχρέωσης γνωστοποίησης/λήψης άδειας από την ΑΠΔΠΧ) Ενίσχυση «τεχνολογικής /οργανωτικής διάστασης της προστασίας»: Προστασία δεδομένων «από το σχεδιασμό και εξ ορισμού» (“privacy by design and by default”)
5
OI BAΣΙΚΕΣ ΤΟΜΕΣ ΤΟΥ GDPR/4
Αναδιοργάνωση των μηχανισμών συμμόρφωσης: - Λογοδοσία (accountability): Eυθύνη και απόδειξη της συμμόρφωσης «Αυτοέλεγχος»: Εκτίμηση αντικτύπου/ Διορισμός DPO Διαφάνεια: Υποχρέωση κοινοποίησης παραβίασης δεδομένων εντός 72 ωρών στην Αρχή/το συντομότερο δυνατόν στα υποκείμενα. Αυστηροποίηση προστίμων για μη συμμόρφωση
6
Ιι. ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ Προσωπικό δεδομένο: Κάθε πληροφορία που αναφέρεται στο “υποκείμενο των δεδομένων”, δηλαδή σε Φυσικό Πρόσωπο, η ταυτότητα του οποίου είναι προσδιορισμένη ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα βάσει ενδεικτικά απαριθμούμενων χαρακτηριστικών –στοιχείων , όπως: το όνομα, ο αριθμός ταυτότητας, δεδομένα θέσης, επιγραμμικά αναγνωριστικά ταυτότητας (ip addresses, cookies) Παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα ενός προσώπου Δεν λογίζονται ως προσωπικά δεδομένα τα δεδομένα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιοριστούν τα υποκείμενα. Ο GDPR δεν «προστατεύει» δεδομένα νομικών προσώπων (π.χ. εμπορική επωνυμία) και προσωπικά δεδομένα θανόντων (αιτιολογική σκέψη 27-δυνατότητα εθνικών ρυθμίσεων).
7
BAΣΙΚΕΣ ΕΝΝΟΙΕΣ/2 «Ευαίσθητα» προσωπικά δεδομένα : Όσα αφορούν
φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, υγεία σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό. Ποινικές καταδίκες και αδικήματα
8
Βασικεσ εννοιεσ/3 «επεξεργασία δεδομένων»: Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοματοποιημένων μέσων σε δεδομένα ή σε σύνολα προσωπικών δεδομένων, όπως: Συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση, κάθε άλλης μορφής διάθεση, συσχετισμός ή συνδυασμός, περιορισμός, διαγραφή, καταστροφή. «υπεύθυνος επεξεργασίας» : Το φυσικό ή νομικό πρόσωπο ή δημόσια αρχή ή άλλος φορέας που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων. O ιδιώτης Ιατρός θεωρείται Υπεύθυνος Επεξεργασίας και υπέχει υποχρέωση συμμόρφωσης
9
Βασικεσ εννοιεσ/4 «Εκτελών την επεξεργασία»: Το φυσικό ή νομικό πρόσωπο ή δημόσια αρχή ή άλλος φορεάς που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας(πχ.διαγνωστικό εργαστήριο) «Αποδέκτης» : Το φυσικό ή νομικό πρόσωπο ή δημόσια αρχή ή άλλος φορεάς στον οποίο κοινοποιούνται τα προσωπικά δεδομένα. «Περιορισμός της επεξεργασίας» : Η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον. «Κατάρτιση προφίλ»: Οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση/πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις ενός φυσικού προσώπου.
10
Δεδομενα υγειασ & γενετικα δεδομενΑ ΚΑΤΑ ΤΟΝ GDPR/3
Γενετικά δεδομένα είναι τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου …. ιδίως από χρωμοσωμική ανάλυση (DNA) ή (RNA) ή από την ανάλυση άλλου στοιχείου που επιτρέπει την απόκτηση ισοδύναμων πληροφοριών.
11
Δεδομενα υγειασ & γενετικα δεδομενΑ ΚΑΤΑ ΤΟΝ GDPR
Δεδομένα υγείας (Άρθρο 4.15): Δεδομένα που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του. ΠΕΡΙΕΧΟΜΕΝΟ Κάθε πληροφορία που αναφέρεται στη βιολογική υπόσταση και στην ψυχική υγεία ενός προσώπου, είτε αφορά παρελθούσα, παρούσα ή μέλλουσα κατάσταση της υγείας. Ως δεδομένα υγείας (ιατρικά δεδομένα) νοούνται όλα όσα έχουν μία σαφή και στενή σχέση με την υγεία και όσα δίνουν μία ιδέα για την κατάσταση της υγείας ενός προσώπου (όπως π.χ. η κατανάλωση αλκοόλ, νικοτίνης, ναρκωτικών). ΠΟΥ – υγεία είναι η κατάσταση της σωματικής, ψυχικής και κοινωνικής ευεξίας και όχι μόνο η απουσία ασθένειας ή αναπηρίας
12
Ιιι. αρχεσ συννομησ επεξεργασιασ δεδομενων
Νομιμότητα- αντικειμενικότητα- διαφάνεια Περιορισμός του σκοπού – ελαχιστοποίηση- ακρίβεια των δεδομένων Ακεραιότητα- Εμπιστευτικότητα των δεδομένων Περιορισμός της περιόδου αποθήκευσης Λογοδοσία (“accountability”): Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει είναι σε θέση να αποδείξει τη συμμόρφωση με τις υποχρεώσεις του για την προστασία των δεδομένων.
13
iv. Νομιμεσ βασεισ για την επεξεργασια δεδομενων κατα τον gdpr
Συγκατάθεση (κανόνας) Εκτέλεση σύμβασης στην οποία το υποκείμενο είναι συμβαλλόμενο μέρος Εκπλήρωση νόμιμης υποχρέωσης του υπευθύνου επεξεργασίας Διαφύλαξη ζωτικού συμφέροντος του υποκειμένου εφόσον συντρέχει νομική ή φυσική αδυναμία για έγκυρη συγκατάθεση Εκτέλεση έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας Ικανοποίηση εννόμου συμφέροντος υπεύθυνου επεξεργασίας ή τρίτου εφόσον: Αυτό υπερέχει προφανώς των δικαιωμάτων του υποκειμένου Η επεξεργασία είναι απολύτως αναγκαία για την εκπλήρωσή του
14
Η αρχη του σκοπου κατα τον gdpr (αρθρο 5)
Η νομιμότητα του σκοπού επεξεργασίας αποτελεί το γνώμονα αξιολόγησης και των άλλων αρχών επεξεργασίας. Ο GDPR επιβάλλει την επεξεργασία δεδομένων για σκοπό: Καθορισμένο Ρητό Νόμιμο Απαγορεύεται η περαιτέρω επεξεργασία δεδομένων κατά τρόπο ασύμβατο με το σκοπό
15
Συμβατη «περαιτερω» επεξεργασια κατa τον gdpr
Αρχειοθέτηση Δημόσιο συμφέρον Επιστημονική έρευνα Ιστορική έρευνα Στατιστικοί σκοποί
16
Η “ελαχιστοποιηση” κατα τον gdpr
Περιορισμός συλλεγόμενων δεδομένων Περιορισμός περιόδου τήρησης Μέτρα διαγραφής/διόρθωσης
17
Η ΑΡΧΗ ΤΗΣ ΑΝΑΛΟΓΙΚΟΤΗΤΑΣ ΚΑΤΑ ΤΟΝ GDPR
Ta δεδομένα θα πρέπει να είναι: Κατάλληλα Συναφή Να περιορίζονται στο αναγκαίο για τους σκοπούς Προσοχή: Η «ελαχιστοποίηση» των δεδομένων αποτελεί βασικό γνώμονα της επεξεργασίας και της αξιολόγησης της συμμόρφωσης
18
Ακριβεια/ακεραιοτητα/εμπιστευτικοτητα δεδομενων κατα τον gdpr
Υποχρέωση λήψης των «κατάλληλων τεχνικών και οργανωτικών μέτρων» για τη διασφάλιση: Της ακρίβειας/επικαιροποίησης/ «εκκαθάρισης» του τηρούμενου φυσικού & ηλεκτρονικού αρχείου των δεδομένων Της προστασίας του φυσικού/ηλεκτρονικού αρχείου από παραβιάσεις, απώλεια, αθέμιτη ή τυχαία καταστροφή Της μη προσβολής του απορρήτου/εμπιστευτικότητας των τηρούμενων δεδομένων
19
Η αρχη τησ λογοδοσιασ του υπευθυνου επεξεργασιασ
Ευθύνη συμμόρφωσης Υποχρέωση απόδειξης συμμόρφωσης ΛΟΓΟΔΟΣΙΑ (“Accountability’)
20
Η αρχη τησ λογοδοσιασ του υπευθυνου επεξεργασιασ/1
Η λογοδοσία απαιτεί: Την απόδειξη της συγκατάθεσης (α. 7 παρ. 1). Τη λήψη των απαραίτητων τεχνικών και οργανωτικών μέτρων που να αποδεικνύουν τη διενέργεια της επεξεργασίας σύμφωνα με τον GDPR (α. 24 παρ.1). Την Τήρηση Κωδίκων Δεοντολογίας Την «Πιστοποίηση» κατά τον GDPR Tην τεκμηρίωση μέτρων σε περίπτωση παραβίασης ώστε να μπορεί η Εποπτική Αρχή να επαληθεύει τη συμμόρφωση
21
Η αρχη τησ λογοδοσιασ του υπευθυνου επεξεργασιασ/2
Τη διενέργεια εκτίμησης αντικτύπου (“Data protection impact assessment- DPIA) Tο διορισμό Data Protection Officer Tην τήρηση αρχείου δραστηριοτήτων επεξεργασίας Την ύπαρξη διαφανών εσωτερικών Πολιτικών Ασφαλείας & Προστασίας Δεδομένων & τη διασφάλιση εφαρμογής αυτών Την ύπαρξη εσωτερικών διαδικασιών αντιμετώπισης ελλιπούς συμμόρφωσης & παραβίασης
22
Ειδικοτερα: η «λογοδοσια» enoσ νοσοκομειου/μιασ κλινικησ
Υποχρεωτικά για «μεγάλης κλίμακας» επεξεργασία ευαίσθητων δεδομένων 2. Διορισμός DPO 3. Tήρηση αρχείου επεξεργασιών 1. DPIA
23
«απαλλαγεσ» ιδιωτικου ιατρειου
Όχι DPO Όχι αρχείο επεξεργασιών Όχι DPIA
24
1. Η ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ (aρθρο 35)
Συστηματικό profiling/αποφάσεις επί τη βάσει αυτού για φυσικά πρόσωπα Μεγάλης κλίμακας επεξεργασία «ευαίσθητων» δεδομένων (απαλλαγή ιδιώτη ιατρού από υποχρέωση) Συστηματική και μεγάλης κλίμακας παρακολούθηση δημοσίως προσβάσιμου χώρου Υποχρεωτική για τον Υπεύθυνο Επεξεργασίας όταν υπάρχει Πριν από την επεξεργασία Λόγω υψηλού κινδύνου για τα δικαιώματα/ελευθερίες των προσώπων Εξαιτίας του είδους της επεξεργασίας ιδίως μέσω νέων τεχνολογικών, Εκτιμώντας φύση/πεδίο εφαρμογής/πλαίσιο/σκοπούς επεξεργασίας Πότε διενεργείται Περιγραφή πράξεων/σκοπών επεξεργασίας Εκτίμηση αναγκαιότητας/αναλογικότητας πράξεων ως προς τους σκοπούς Εκτίμηση κινδύνων για τα δικαιώματα των φυσικών προσώπων Προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων: Εγγυήσεις, μέτρα, μηχανισμοί ασφαλείας Περιεχόμενο
25
2. Ο data protection officer (“dpo”)
Πρόσωπο που κατέχει τις απαιτούμενες γνώσεις/εμπειρία Εσωτερικός εργαζόμενος ή και εξωτερικός σύμβουλος Ομάδα 29: Όχι ο Chief Security Officer της εταιρείας Ποιος διορίζεται Ουσιαστική συμμετοχή σε ζητήματα προστασίας δεδομένων της επιχείρησης Ανεξαρτησία ως προς την άσκηση των καθηκόντων του/όχι εντολές Όχι δυσμενείς συνέπειες/κυρώσεις λόγω ορθής τέλεσης των καθηκόντων του Pόλος Ενημερώνει /συμβουλεύει τη Διοίκηση/το προσωπικό Παρακολουθεί τη συμμόρφωση Συνεργάζεται με την Εποπτική Αρχή και αποτελεί το σημείο επικοινωνίας με αυτή Καθήκοντα
26
Οι εθνικεσ ρυθμισεισ του νομοσχεδιου για τον DPO
O διορισμός του DPO γίνεται εγγράφως (προσδιορισμός θέσης & καθηκόντων) για ορισμένο χρονικό διάστημα, που μπορεί να ανανεώνεται. Δυνατότητα ανάκλησης ορισμού ή παύσης για σοβαρό λόγο. Υποχρέωση κοινοποίησης του ονόματος του DPO στην Αρχή. Υποχρέωση τήρησης υποχρέωσης εχεμύθειας από τον DPO («επαγγελματικό απόρρητο»). Ποινική ευθύνη (πλημμεληλατική) σε περίπτωση παραβίασης επαγγελματικής εχεμύθειας.
27
3. Το αρχειο δραστηριοτητων επεξεργασιασ
Μορφή Έγγραφο Ηλεκτρονικό Στη διάθεση της Εποπτικής Αρχής κατόπιν αιτήματος Υποχρεωτικό και για τον Εκτελούντα για τις επεξεργασίες που διεξάγει εκ μέρους του υπευθύνου επεξεργασίας Περιεχόμενο Όνομα &Στοιχεία επικοινωνίας υπευθύνου επεξεργασίας/εκπροσώπου του/DPO Σκοποί επεξεργασίας Κατηγορίες υποκειμένων & προσωπικών δεδομένων Κατηγορίες αποδεκτών δεδομένων Διαβιβάσεις εκτός ΕΕ& εγγυήσεις αυτών Προθεσμίες διαγραφής ει δυνατόν Περιγραφή τεχνικών και οργανωτικών μέτρων ασφαλείας ει δυνατόν
28
Η συννομη επεξεργασια των δεδομενων υγειασ (Αρθρο 9)
Η επεξεργασία δεδομένων υγείας καταρχήν απαγορεύεται. ΕΠΙΤΡΕΠΟΜΕΝΕΣ ΕΞΑΙΡΕΣΕΙΣ: Όταν υπάρχει συγκατάθεση μετά από ενημέρωση («informed consent») του υποκειμένου Εκπλήρωση υποχρεώσεων/άσκηση δικαιωμάτων του Υπευθύνου Επεξεργασίας ή του υποκειμένου σχετικά με την κοινωνική ασφάλιση/κοινωνική προστασία Προστασία ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου, όταν το υποκείμενο είναι σωματικά ή νομικά* ανίκανο να συγκατατεθεί.
29
Η συννομη επεξεργασια των δεδομενων υγειασ/2
Ουσιαστικό δημόσιο συμφέρον στον τομέα της υγείας (π.χ. προστασία έναντι διασυνοριακών απειλών κατά της υγείας, διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας υγειονομικών υπηρεσιών και προϊόντων) Προληπτική ή επαγγελματική ιατρική Εκτίμηση της ικανότητας προς εργασία Ιατρική διάγνωση/θεραπεία Παροχή υγειονομικής ή κοινωνικής περίθαλψης Διαχείριση υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών Δυνάμει σύμβασης με επαγγελματία υγείας που υπόκειται στην υποχρέωση τήρησης του ιατρικού απορρήτου Επιστημονική/ιστορική έρευνα
30
Η συγκαταθεση του υποκειμενου των δεδομενων
Γενικά η συγκατάθεση του υποκειμένου των δεδομένων κατά τον GDPR πρέπει να φέρει τα εξής χαρακτηριστικά: Ένδειξη βούλησης με δήλωση ή με θετική ενέργεια Ελεύθερη Συγκεκριμένη, αδιαμφισβήτητη (unambiguous) Εν πλήρει επιγνώσει (informed) Ανακλητέα Διακριτή δήλωση/ ένδειξη Να αποδεικνύεται από υπεύθυνο επεξεργασίας
31
Ειδικοτερα η συγκαταθεση του ασθενουσ
Ο GDPR προέβλεψε τη σωματική και τη νομική ανικανότητα του υποκειμένου να συγκατατεθεί στην επεξεργασία των δεδομένων του [άρθρο 9 παρ.2 (γ)] Η σωματική ανικανότητα του υποκειμένου αποτελεί αντικείμενο εκτίμησης/αξιολόγησης της ψυχικής/νοητικής/σωματικής κατάστασης του ασθενούς από τον Υπεύθυνο Επεξεργασίας με τη συνδρομή ειδικού θεράποντος ιατρού. Εν τέλει η εκτίμηση της «σωματικής ανικανότητας» από τον Υπεύθυνο Επεξεργασίας θα αξιολογηθεί και από την Εποπτική Αρχή κατά τον έλεγχο της συμμόρφωσης. Η νομική ανικανότητα ανάγεται στο εθνικό δίκαιο των κρατών μελών. Στο ελληνικό δίκαιο η νομική ανικανότητα ταυτίζεται με την «ανικανότητα προς δικαιοπραξία» (ΑΚ 128)
32
Η νομικη ανικανοτητα προΣ συγκαταθεση κατα το ελληνικο δικαιο (ακ 128-131)
Ανήλικοι κάτω των 10 ετών Τελούντες σε πλήρη στερητική δικαστική συμπαράσταση Ανίκανοι προς δικαιοπραξία Ανήλικοι άνω των 10 ετών Τελούντες σε επικουρική δικαστική συμπαράσταση Δεν θεωρείται εξ ορισμού ότι αδυνατούν να παράσχουν έγκυρη συγκατάθεση → Ανάγκη συνεκτίμησης σωματικής/ψυχικής ανικανότητας Περιορισμένα ικανοί προς δικαιοπραξία Όσοι κατά το χρόνο που δόθηκε η συγκατάθεση δεν είχαν συνείδηση των πράξεών τους/τελούσαν σε ψυχική ή διανοητική διαταραχή που περιόριζε αποφασιστικά τη λειτουργία της βούλησής τους → Σωματική/ψυχική ανικανότητα Νομική ανικανότητα έγκυρης συγκατάθεσης
33
Η συννομη επεξεργασια δεδομενων επι ανικανοτητασ συγκαταθεσησ
Η συγκατάθεση στην επεξεργασία προσωπικών δεδομένων θεωρείται «προσωποπαγής». Η παροχή συγκατάθεσης από τρίτο πρόσωπο (κηδεμόνα, δικαστικό συμπαραστάτη) για λογαριασμό του υποκειμένου θεωρείται επιτρεπτή μόνον εφόσον προβλέπεται ρητά στον Κανονισμό (π.χ. Άρθρο 8: Συγκατάθεση από το γονέα για την προσφορά υπηρεσιών κοινωνίας της πληροφορίας σε ανήλικο). Ο GDPR δεν έχει αντίστοιχη ρύθμιση για νομικά ή σωματικά ανίκανους προς παροχή συγκατάθεσης. Επομένως θα πρέπει να αναζητηθεί άλλη νομική βάση κατ’ άρθρο 9, πλην της συγκατάθεσης.
34
Η συννομη επεξεργασια δεδομενων επι ανικανοτητασ συγκαταθεσησ/2
Νόμιμες βάσεις επεξεργασίας δεδομένων ασθενών Ζωτικό συμφέρον ασθενούς/τρίτου Ιατρική διάγνωση/θεραπεία Προληπτική/επαγγελματική ιατρική Εκτίμηση ικανότητας εργασίας Παροχή περίθαλψης Επιστημονική έρευνα/δημόσιο συμφέρον
35
Η συναφησ γνωμοδοτηση του dpo toy yπουργειου υγειασ
Υπάρχει διχογνωμία ως προς την άποψη αυτή αλλά επιλύονται πρακτικά προβλήματα, καθώς απαγορεύεται η άρνηση παροχής υπηρεσιών υγείας λόγω μη συγκατάθεσης στην επεξεργασία δεδομένων.
36
Η συΝΑΙΝεση του «ΕΝΗΜΕΡΩΜΕΝΟΥ ασθενουσ» κατΑ ΤΟΝ ΚΙΔ (Ν.3418/2005)
Άρθρο 12 ΚΙΔ: Ο γιατρός δεν επιτρέπεται να προβεί στην εκτέλεση οποιασδήποτε ιατρικής πράξης χωρίς την προηγούμενη συναίνεση του ασθενούς. Η συναίνεση θα πρέπει να καλύπτει πλήρως την ιατρική πράξη. Προηγούμενη πλήρης, σαφής, κατανοητή ενημέρωση Ικανότητα συναίνεσης ασθενούς ΠΡΟΫΠΟΘΕΣΕΙΣ ΕΓΚΥΡΗΣ ΣΥΝΑΙΝΕΣΗΣ Συναινούν οι ασκούντες τη γονική μέριμνα Λαμβάνεται υπόψη η γνώμη του ανηλίκου, εφόσον διαθέτει την ωριμότητα να κατανοήσει την κατάσταση της υγείας του. ΑΝΗΛΙΚΟΙ ΑΣΘΕΝΕΙΣ Συναινεί ο δικαστικός συμπαραστάτης ή οι οικείοι του ελλείψει αυτού. Ο γιατρός θα πρέπει να προσπαθήσει να εξασφαλίσει την εκούσια σύμπραξη/συνεργασία του ασθενούς ΑΝΙΚΑΝΟΙ ΠΡΟΣ ΣΥΝΑΙΝΕΣΗ ΑΣΘΕΝΕΙΣ
37
vi. ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ κατΑ ΤΟΝ GDPR
Ενημέρωση Πρόσβαση Διόρθωση Διαγραφή («λήθη») Περιορισμός επεξεργασίας Εναντίωση (και στο profiling) Φορητότητα
38
Υποχρεωσεισ του υπευθυνου επεξεργασιασ ωσ προ την ασκηση των δικαιωματων
Διαφανής ενημέρωση Γραπτώς, με άλλα μέσα, ηλεκτρονικά (και με τυποποιημένα εικονίδια) Συνοπτική, κατανοητή, εύκολα προσβάσιμη μορφή (ιδίως έναντι παιδιών) Διευκόλυνση της άσκησης των δικαιωμάτων Ταχύτατη ικανοποίηση (εντός 1 μηνός ή 2 λόγω πολυπλοκότητας του αιτήματος/όγκου αιτημάτων) Ενημέρωση εντός μηνός από την παραλαβή του αιτήματος για το δικαίωμα καταγγελίας στην Εποπτική Αρχή Σε περίπτωση μη ικανοποίησης του αιτήματος, ενημέρωση για το δικαίωμα δικαστικής προσφυγής Δωρεάν ικανοποίηση Απόδειξη προδήλως αβάσιμου/υπερβολικού αιτήματος Ενέργειες για τη διακρίβωση της (ασαφούς) ταυτότητας του υποκειμένου
39
1. Το δικαιωμα ενημερωσησ κατα τον gdpr (ΆρθρΑ 13-14)
Λεπτομερής ενημέρωση για τη φύση, τους σκοπούς, τη νόμιμη βάση, τα μέσα και τους αποδέκτες της επεξεργασίας καθώς και για τα δικαιώματα του υποκειμένου των δεδομένων Δεν απαγορεύεται από τον GDPR η άσκηση των δικαιωμάτων από άτομα με σωματική ή νομική αδυναμία παροχής έγκυρης συγκατάθεσης. Αξιολόγηση κατά περίπτωση από τον Υπεύθυνο Επεξεργασίας/ιατρό της ικανότητα ς αντίληψης του εκάστοτε ασθενούς βάσει της νοητικής/ψυχικής/σωματικής του κατάστασης. Δεκτή η άσκηση των δικαιωμάτων από το δικαστικό συμπαραστάτη/οικείους συγγενείς/ασκούντες τη γονική μέριμνα Σε περίπτωση συλλογής δεδομένων από τρίτο (π.χ. συγγενή ασθενούς) προβλέπονται εξαιρέσεις από το δικαίωμα εάν τα δεδομένα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης τήρησης του ιατρικού απορρήτου [Άρθρο 14 παρ. 5(δ)]
40
ΤΟ ΔΙΚΑΙΩΜΑ ΕΝΗΜΕΡΩΣΗΣ/2 (Άρθρα 13-14)
ΤΟ ΔΙΚΑΙΩΜΑ ΕΝΗΜΕΡΩΣΗΣ/2 (Άρθρα 13-14) Ι. ΤΟ ΔΙΚΑΙΩΜΑ ΕΝΗΜΕΡΩΣΗΣ (α.13-14) Περιεχόμενο -Ασκείται : Κατά τη λήψη των δεδομένων Πριν από κάθε περαιτέρω επεξεργασία αυτών Εντός 1 μηνός από την πρώτη επικοινωνία με το υποκείμενο (όταν ληφθούν τα δεδομένα από τρίτον) Κατά την πρώτη κοινοποίηση σε αποδέκτη Συλλογή δεδομένων από το υποκείμενο Συλλογή δεδομένων από άλλη πηγή Ταυτότητα & στοιχεία επικοινωνίας υπευθύνου/εκπροσώπου/DPO Πηγή προέλευσης Σκοπός & νόμιμη βάση επεξεργασίας Κατηγορίες δεδομένων Αποδέκτες/κατηγορίες αποδεκτών Διασυνοριακή διαβίβαση εκτός ΕΕ Περίοδος αποθήκευσης ή έστω κριτήρια καθορισμού αυτής Δικαιώματα του υποκειμένου Δικαίωμα ανάκλησης της συγκατάθεσης Δικαίωμα καταγγελίας στην Εποπτική Αρχή Νομική/συμβατική υποχρέωση παροχής δεδομένων/ υποχρέωση του υποκειμένου για παροχή/συνέπειες μη παροχής Αυτοματοποιημένη λήψη αποφάσεων + profiling
41
Το δικαιωμα ενημερωσησ του ασθενουσ (κατα το εθνικο δικαιο)
Το δικαιωμα ενημερωσησ του ασθενουσ (κατα το εθνικο δικαιο) Άρθρο 11 ΚΙΔ: Ο ασθενής έχει δικαίωμα ενημέρωσης για την πραγματική κατάσταση της υγείας του, το περιεχόμενο και τα αποτελέσματα της προτεινόμενης ιατρικής πράξης, τους κινδύνους, τις εναλλακτικές και τον πιθανό χρόνο αποκατάστασης. Επίσης έχει δικαίωμα μη ενημέρωσης. Ο γιατρός υποχρεούται να ενημερώνει και πρόσωπα ανίκανα προς συναίνεση, στο βαθμό που είναι εφικτό, καθώς και τα πρόσωπα που έχουν εξουσία να συναινέσουν αντ’ αυτού. Άρθρο 28 παρ.5 ΚΙΔ: Ο γιατρός οφείλει να ενημερώνει τον πάσχοντα για τη φύση της κατάστασής του, τις θεραπευτικές διαδικασίες, την πιθανή έκβασή τους και τις εναλλακτικές αυτών. Α. 47 παρ. 4 Ν. 2071/1992: Το συμφέρον του ασθενούς εξαρτάται από την ακρίβεια και την πληρότητα των πληροφοριών που του δίδονται. Η ποιότητα της πληροφόρησης για την κατάστασή του καθορίζει τις αποφάσεις του, οι οποίες είναι δυνατόν να προδικάσουν τη μετέπειτα ζωή του. Α. 10 της Σύμβασης του Οβιέδο (N. 2619/1998): Όλοι έχουν δικαίωμα σεβασμού της προσωπικής τους ζωής σε σχέση με την κατάσταση της υγείας τους και δικαιούνται να λαμβάνουν γνώση κάθε σχετικής πληροφορίας/ Δικαίωμα μη ενημέρωσης/Δυνατή η επιβολή περιορισμών από το νόμο προς το συμφέρον του ασθενούς.
42
2. Το δικαιωμα προσβασησ
43
Ειδικοτερα: ΤΟ ΔΙΚΑΙΩΜΑ ΠΡΟΣΒΑΣΗΣ ΤΟΥ ΑΣΘΕΝΟΥΣ ΣΤΟΝ ΙΑΤΡΙΚΟ ΤΟΥ ΦΑΚΕΛΟ
Με το προϊσχύσαν καθεστώς (α. 12 παρ. 6 Ν. 2472/1997) η πρόσβαση στον ιατρικό φάκελο ήταν επιτρεπτή μέσω ιατρού. Απόφαση 7/2016 ΑΠΔΠΧ: Η Αρχή επέτρεψε την πρόσβαση στον ιατρικό φάκελο ψυχικώς ασθενούς μέσω ψυχιάτρου της επιλογής του, προκειμένου ο τελευταίος κατά την κρίση του να τον ενημερώσει για το περιεχόμενο του φακέλου του. Ο GDPR δεν προβλέπει αντίστοιχο περιορισμό- Ενδεχομένως αντικείμενο ρύθμισης από τον εσωτερικό νόμο- «Σεβασμός» των μέχρι τώρα αποφάσεων της Αρχής. Άρθρο 14 παρ. 8 ΚΙΔ: Δικαίωμα πρόσβασης ασθενούς στα ιατρικά του αρχεία & λήψης αντιγράφων του φακέλου του. Άρθρο 14 παρ. 10 ΚΙΔ: Δικαίωμα πρόσβασης ασθενούς στα εθνικά ή διεθνή αρχεία στα οποία έχουν εισέλθει προσωπικά του δεδομένα.
44
3. Το δικαιωμα διορθωσησ Περιεχόμενο Διόρθωση ανακριβών δεδομένων
Συμπλήρωση ελλιπών δεδομένων (και με συμπληρωματική δήλωση) Πότε Χωρίς αδικαιολόγητη καθυστέρηση
45
4. Το δικαιωμα διαγραφησ («δικαιωμα στη ληθη»
Πότε ασκείται Τα δεδομένα δεν είναι πλέον απαραίτητα Ανάκληση συγκατάθεσης Εναντίωση στην επεξεργασία Παράνομη επεξεργασία Νομική υποχρέωση του υπευθύνου Δεδομένα ανηλίκων σε σχέση με υπηρεσίες ΚτΠ Υποχρεώσεις συμμόρφωσης υπευθύνου Οριστική διαγραφή χωρίς αδικαιολόγητη καθυστέρηση Ενημέρωση τρίτων υπευθύνων για διαγραφή συνδέσμων/αντιγράφων/αναπαραγωγών (εύλογα μέτρα) Εξαιρέσεις Δικαίωμα ενημέρωσης/ελευθερία έκφρασης Νομική υποχρέωση Υπευθύνου (α. 14 ΚΙΔ) Δημόσιο συμφέρον στον τομέα της υγείας Αρχειοθέτηση, επιστημονική/ιστορική έρευνα/στατιστικοί σκοποί Θεμελίωση/άσκηση/υποστήριξη νομικών αξιώσεων
46
5. το δικαιωμα περιορισμου τησ επεξεργασιασ
Πότε ασκείται Αμφισβήτηση ακρίβειας (έως την επαλήθευση των δεδομένων) Παράνομη επεξεργασία Θεμελίωση/άσκηση/υποστήριξη νομικών αξιώσεων Εναντίωση (έ ως την επαλήθευση εάν υπερισχύουν οι νόμιμοι λόγοι του υπευθύνου) Υποχρεώσεις συμμόρφωσης Αποχή από την επεξεργασία (μόνο αποθήκευση) Ενημέρωση τρίτων για τον περιορισμό Ενημέρωση του υποκειμένου πριν από την άρση του περιορισμού Εξαιρέσεις από τον περιορισμό Συγκατάθεση του υποκειμένου Λόγοι δημοσίου συμφέροντος Προστασία δικαιωμάτων άλλου φυσικού ή νομικού προσώπου
47
6. Το δικαιωμα εναντιωσησ
Περιεχόμενο Δικαίωμα αντίταξης στην επεξεργασία που γίνεται για τους εξής λόγους: Δημόσιο συμφέρον*/άσκηση δημόσιας εξουσίας Υπέρτερο συμφέρον υπευθύνου Εμπορικής προώθησης (+profiling) * Το δικαίωμα εναντίωσης έχει ενδεχομένως μικρό πεδίο εφαρμογής στη σχέση ασθενούς/ ιατρού, σε περιπτώσεις επεξεργασίας για λόγους δημοσίου συμφέροντος στον τομέα της υγείας. Υποχρεώσεις συμμόρφωσης Χωριστή και σαφής ενημέρωση του υποκειμένου για το δικαίωμα το αργότερο κατά την πρώτη επικοινωνία με αυτό Απαγόρευση επεξεργασίας για σκοπούς απευθείας εμπορικής προώθησης Παροχή αυτοματοποιημένων μέσων αντίταξης στο πλαίσιο χρήσης υπηρεσιών κοινωνίας της πληροφορίας. Ανακοίνωση σε τρίτους αποδέκτες
48
7. to δικαιωμα εναντιωσησ στην αυτοματοποιημενη ληψη αποφασεων/στο profiling
Περιεχόμενο Δικαίωμα του υποκειμένου να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας/ profiling, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο. Εξαιρέσεις Απόφαση αναγκαία για τη σύναψη/ εκτέλεση σύμβασης Η απόφαση επιτρέπεται από το ενωσιακό ή εθνικό δίκαιο υπό τον όρο της προστασίας των δικαιωμάτων και των έννομων συμφερόντων του υποκειμένου. Ρητή συγκατάθεση στην απόφαση
49
Τήρηση ιατρικού απορρήτου
vii. Υποχρεωσεισ κλινικησ/ιατρου κατα τη συλλογη & επεξεργασια δεδομενων για ιατρικουσ σκοπουσ Ενημέρωση Τήρηση ιατρικού απορρήτου Συγκατάθεση
50
1. Ειδικοτερα η υποχρεωση τηρησησ του ιατρικου απορρητου
Υποχρέωση εμπιστευτικότητας/εχεμύθειας (confidentiality), την υποχρέωση δηλαδή να μην κοινοποιείται σε τρίτους πληροφορία, 13 ΚΙΔ «…απόλυτη εχεμύθεια για οποιοδήποτε στοιχείο … το οποίο αφορά στον ασθενή ή τους οικείους του» Υγεία του ασθενούς - οικογενειακού περιβάλλοντος Δεδομένα υγείας συνθήκες διαβίωσης /στοιχεία περιβάλλοντος/ κοινωνικο-οικονομικοί παράγοντες
51
Αυτονομια και εμπιστοσυνη
Αυτονομία του προσώπου: η αποκάλυψη πληροφοριών που τα άτομα θεωρούν «μυστικές» τα εκθέτει σε διακινδύνευση των συμφερόντων τους, πιθανές διακρίσεις και στιγματισμό και κατ’ επέκταση σε περιορισμό των επιλογών τους Υλική ή ηθική βλάβη που μπορεί να προκαλέσει η ανακοίνωση της πληροφορίας Εδραίωση της δημόσιας εμπιστοσύνης στο ιατρικό λειτούργημα
52
Προστασια απορρητου 371 ΠΚ : χρηματική ποινή ή φυλάκιση μέχρι ενός έτους σε ιατρούς, μαίες, νοσοκόμους, φαρμακοποιούς καθώς και στους βοηθούς τους που παραβιάζουν το καθήκον εχεμύθειας Πηγή της υποχρέωσης εχεμύθειας είναι το γεγονός ότι τα άτομα εμπιστεύονται «ιδιωτικά» απόρρητα ...ωστόσο περιλαμβάνονται και αυτά που «τα έμαθαν λόγω του επαγγέλματός τους ή της ιδιότητάς τους» ΚΙΔ (άρθρο 13): συγκεκριμένη σχέση εμπιστοσύνης: Ό,τι υποπίπτει στην αντίληψή του ή του αποκαλύπτει ο ασθενής ή τρίτοι Τήρηση απορρήτου και στο πλαίσιο αποδεικτικής διαδικασίας χάριν της διαφύλαξης ιδιωτικότητας/εμπιστοσύνης
53
Απορρητο και προστασια δεδομενων
Ιατρικό απόρρητο Προστασία δεδομένων 8 § 2 ΚΙΔ : Σεβασμός της «ιδιωτικότητας» και της «εχεμύθειας» του ασθενούς και της ασθένειας Έννοιες στενά συνυφασμένες, ομόκεντρες αλλά μη ταυτόσημες. Προστασία δεδομένων- δεν αφορά μόνο την αποκάλυψη αλλά εν γένει τη χρήση της πληροφορίας
54
2. Συννομη συλλογη-καταχωρηση- επεξεργασια δεδομενων
Η συλλογή και επεξεργασία δεδομένων ασθενών στα πλαίσια ενός ιατρείου/νοσοκομείου/κλινικής υπόκειται στο κανονιστικό πλαίσιο του GDPR και θα πρέπει να γίνεται σύμφωνα με όλες τις προϋποθέσεις που θέτει για τους Υπευθύνους Επεξεργασίας. Επιπλέον, η τήρηση των ιατρικών αρχείων υπόκειται στις υποχρεώσεις του ΚΙΔ, που προβλέπει ρητώς την εφαρμογή της εθνικής νομοθεσίας περί προστασίας δεδομένων (άρθρο 14 ΚΙΔ).
55
Τηρηση ιατρικου αρχειου (Άρθρο 14 ΚΙΔ)
Σε ηλεκτρονική ή μη μορφή Δεδομένα αρρήκτως ή αιτιωδώς συνδεόμενα με την ασθένεια Κρίσεις ή σχολιασμοί για τους ασθενείς μόνον εάν αφορούν στην ασθένειά τους Τήρηση επαγγελματικών βιβλίων κατά τρόπο ώστε να διασφαλίζεται το επαγγελματικό απόρρητο/προστασία προσωπικών δεδομένων. ΠΕΡΙΕΧΟΜΕΝΟ ΑΡΧΕΙΟΥ Ονοματ/μο, πατρώνυμο, φύλο, δνση, ημερομηνίες επίσκεψης, ενοχλήματα, διάγνωση, αγωγή Κλινικές:Αποτελέσματα κλινικών και παρακλινικών εξετάσεων ΧΡΟΝΟΣ ΤΗΡΗΣΗΣ 10ετία από την τελευταία επίσκεψη του ασθενούς σε ιδιωτικά ιατρεία και πρωτοβάθμιες μονάδες φροντίδας υγείας του ιδιωτικού τομέα 20ετία από την τελευταία επίσκεψη του ασθενούς στις λοιπές περιπτώσεις
56
Δικαιωμαπροσβασησ τριτων σε ιατρικα αρχεια (αρθρο 14 παρ. 9 Κιδ)
Κατ’ αρχήν απαγόρευση πρόσβασης τρίτων σε ιατρικά αρχεία. Κατ’ εξαίρεση επιτρέπεται η πρόσβαση: Σε δικαστικές και εισαγγελικές αρχές κατά την άσκηση των καθηκόντων τους (αυτεπάγγελτα ή με αίτηση τρίτου που έχει έννομο συμφέρον). Σε άλλα όργανα της Πολιτείας που έχουν σχετική αρμοδιότητα Νομολογία της ΑΠΔΠΧ: Μεγάλος αριθμός αποφάσεων όπου χορηγείται άδεια για κοινοποίηση δεδομένων προς υπεράσπιση (και των ) συμφερόντων του ιδίου του ασθενούς (θέση σε δικαστική συμπαράσταση) – π.χ. απόφαση 68/2012 ή σε τρίτους προς υπεράσπιση των δικαιωμάτων/συμφερόντων τους (και) εναντίον του ασθενούς – π.χ. αποφάσεις 47/2012, 56/2012
57
συλλογη δεδομενων ασθενων κατα τον gdpr
H συλλογή δεδομένων υγείας του ασθενούς υπόκειται στις αρχές του Κανονισμού κι επομένως θα πρέπει αυτά: Να συλλέγονται και να τυγχάνουν επεξεργασίας για σκοπούς περίθαλψης θεραπείας του ασθενούς. Με «διαφανή τρόπο», ήτοι από διαφανείς ως προς το υποκείμενο πηγές (π.χ. οικογενειακό περιβάλλον). Να περιορίζονται στα απολύτως απαραίτητα για την εξυπηρέτηση του σκοπού (ελαχιστοποίηση). Να τηρούνται μόνο για το απολύτως απαραίτητο χρονικό διάστημα που απαιτεί ο σκοπός και η νομοθεσία.
58
Νομιμη επεξεργασια δεδομενων ασθενων
Νομιμη επεξεργασια δεδομενων ασθενων Νόμιμη βάση επεξεργασίας (συγκατάθεση, διάγνωση, θεραπεία, περίθαλψη, ζωτικό συμφέρον ασθενούς). Μη υποβολή σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το νόμιμο σκοπό (π.χ. κοινοποίηση σε ασφαλιστικές εταιρείες, τράπεζες κλπ.). Tήρηση ακρίβειας δεδομένων: «Επικαιροποίηση» όταν απαιτείται. Λήψη άμεσων μέτρων για διόρθωση, διαγραφή ανακριβών δεδομένων σε σχέση με τους σκοπούς της επεξεργασίας
59
Νομιμη επεξεργασια δεδομενων ασθενων/2
Διαφύλαξη ακεραιότητας και εμπιστευτικότητας των δεδομένων με τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων προστασίας τους από: Μη εξουσιοδοτημένη/παράνομη επεξεργασία (π.χ. πρόσβαση από προσωπικό που δεν έχει σχετική δικαιοδοσία) Τυχαία απώλεια Καταστροφή Φθορά
60
3. Σχεση ιατρου-κλινικησ ωσ προσ την επεξεργασια δεδομενων ασθενων
Πέραν της τήρησης του ιατρικού απορρήτου, ο ιατρός φέρει την υποχρέωση τήρησης της εμπιστευτικότητας των πληροφοριών της κλινικής των οποίων καθίσταται κοινωνός στα πλαίσια της απασχόλησής του. H σχέση ιατρού – κλινικής μας «απασχολεί» στο επίπεδο του GDPR, ως προς το εάν ο ιατρός αποτελεί μέλος του προσωπικού της κλινικής ή «τρίτος» (εξωτερικός συνεργάτης) σε σχέση με το νομικό πρόσωπο της κλινικής. Νομικό ερώτημα: Εάν παρέχει ανεξάρτητες υπηρεσίες, θεωρείται «εκτελών την επεξεργασία»; Ή ο γιατρός και ο δικηγόρος είναι πάντοτε υπεύθυνοι επεξεργασίας; «Εκτελούντες την επεξεργασία» θεωρούνται επίσης οποιοιδήποτε τρίτοι προβαίνουν σε επεξεργασία δεδομένων της κλινικής /του ιατρείου για λογαριασμό της/του (π.χ. διαγνωστικά εργαστήρια, πάροχοι υπηρεσιών ΙΤ, μισθοδοσίας κλπ.)
61
Υποχρεωσεισ ΙΑΤΡΟΥ/κλινικησ ωσ προσ τουσ εκτελουντεσ την επεξεργασια
Επιλογή εκτελούντων την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία προσωπικών δεδομένων. Απαραίτητη έγγραφη συμβατική δέσμευση ως προς τους όρους επεξεργασίας των δεδομένων (τήρηση εντολών του υπευθύνου ως προς την επεξεργασία, ενημέρωση για τυχόν διασυνοριακή διαβίβαση, δέσμευση εμπιστευτικότητας, υποχρεωτική έγκριση τυχόν «subcontractors», λήψη μέτρων ασφαλείας, audit rights κλπ.) Ευθύνη του υπευθύνου για παραλείψεις του εκτελούντος (απαλλαγή μόνον σε περίπτωση που αποδείξει ότι δεν ευθύνεται για τη γενεσιουργό αιτία της ζημίας).
62
Η ευθυνη του εκτελουντοσ κατα τον gdpr
O εκτελών ευθύνεται εις ολόκληρον με τον υπεύθυνο για την τήρηση του Κανονισμού (ιδίως μέσω της τήρησης των οδηγιών του υπευθύνου για την ασφάλεια και την εμπιστευτικότητα. Συμβατική ευθύνη έναντι του υπευθύνου Αδικοπρακτική ευθύνη έναντι των υποκειμένων των δεδομένων που υπέστησαν ζημία από παραλείψεις του Διοικητικές κυρώσεις από την Εποπτική Αρχή
63
4. Συμβατη επεξεργασια για σκοπουσ επιστημονικησ ερευνασ
Η επεξεργασία προσωπικών δεδομένων (υγείας) για σκοπούς επιστημονικής έρευνας θεωρείται «συμβατή» περαιτέρω επεξεργασία κατά τον GDPR. Υποχρέωση τήρησης αρχής ελαχιστοποίησης των δεδομένων και μέτρων προστασίας των δικαιωμάτων & ελευθεριών των συμμετεχόντων (π.χ. ανωνυμοποίηση, κρυπτογράφηση). Για τη συγκατάθεση των συμμετεχόντων εφαρμόζεται ο Κανονισμός 536/2014, ο οποίος επιτρέπει πρόσθετα εθνικά μέτρα για τη συμμετοχή σε κλινικές δοκιμές.
64
vii. Σχεδιο δρασησ: ο δρομοσ προσ τη συμμορφωση
Θέσπιση/εφαρμογή πολιτικών Λήψη απαραίτητων τεχνικών μέτρων ασφαλείας Οργάνωση αρχείου επεξεργασιών Απόδειξη συμμόρφωσης Υιοθέτηση κουλτούρας προστασίας δεδομένων Εκπαίδευση προσωπικού Κατανομή αρμοδιοτήτων DPO Χαρτογράφηση επεξεργασιών Αναγνώριση κενών PLAN TRAIN IMPLEMENT COMPLY
65
Βημα 1: «ΧΑΡΤΟΓΡΑΦΗΣΗ» ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ
«Χαρτογράφηση» δεδομένων/ αρχείων/ βάσεων σε συσχετισμό με προσωπικά δεδομένα «Χαρτογράφηση» πληροφοριακών διαδικασιών και ροών εντός οργανισμού (δεδομένα «συναλλασσομένων» και εργαζομένων ροών/διαβιβάσεων εκτός οργανισμού Εξέταση – χαρτογράφηση των πηγών άντλησης/προέλευσης των δεδομένων Eνημέρωση/ συνειδητοποίηση των απαιτήσεων και των αλλαγών που απαιτούνται Σε ποιο επίπεδο; Χαρτογράφηση «προβληματικών περιοχών»
66
ΒΗΜΑ 2: ΝΟΜΙΚΟΣ ΕΛΕΓΧΟΣ ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ
Έλεγχος συμβάσεων/ενημερώσεων/πολιτικών ασφαλείας και προστασίας δεδομένων Νομική αξιολόγηση μέτρων προστασίας φυσικού και ηλεκτρονικού αρχείου Νομική αξιολόγηση «επιπέδου» προστασίας προσωπικών δεδομένων εντός της κλινικής/του ιατρείου
67
Βημα 3: αποτυπωση «κενων» («GAP ANALYSIS»)
Αποτύπωση από νομικής και τεχνολογικής απόψεως των κενών της κλινικής/του ιατρείου ως προς τη συμμόρφωση. Αποτύπωση των «θεραπειών» που απαιτούνται για να επιτευχθεί η συμμόρφωση
68
Βημα 4: μετρα Συμμορφωσησ
Data Protection by design : δεν αφορά μόνο τις τεχνολογίες υπό στενή έννοια αλλά και τον σχεδιασμό εφαρμογών, διαδικασιών, εργασιών με γνώμονα την προστασία δια/ εκ του σχεδιασμού Data Protection Impact Assessment : Πλαίσιο εκτίμησης επιπτώσεων το οποίο πρέπει να (συ)σχετίζεται με τη διαχείριση κινδύνων και εν γένει τις διαδικασίες διαχείρισης (project management) μέσα σε έναν οργανισμό
69
ΜΕΤΡΑ ΣΥΜΜΟΡΦΩΣΗΣ/2 Σχεδιασμός/προσαρμογή των Πολιτικών Ασφαλείας και Προστασίας Απορρήτου και Προσωπικών Δεδομένων. Θέσπιση των απαραίτητων ενδοεπιχειρησιακών διαδικασιών (“Standard Operating Procedures”) για την ορθή διαχείριση των προσωπικών δεδομένων εντός του Οργανισμού και την «ελαχιστοποίηση» της επεξεργασίας σύμφωνα με τις απαιτήσεις του Κανονισμού. Οργάνωση του «αρχείου δραστηριοτήτων επεξεργασίας», ως απαιτείται από τον Κανονισμό σύμφωνα με την «αρχή της λογοδοσίας», προκειμένου η κλινική σας να είναι σε θέση να αποδεικνύει ανά πάσα στιγμή τη συμμόρφωσή της σε περίπτωση ελέγχου από την Εποπτική Αρχή.
70
Μετρα συμμορφωσησ/3 Θέσπιση εσωτερικών διαδικασιών παραλαβής και διεκπεραίωσης αιτημάτων για την ενάσκηση των δικαιωμάτων των υποκειμένων (προετοιμασία κατάλληλων templates για ενημερώσεις των υποκειμένων και για εμπρόθεσμη ικανοποίηση όλων των αιτημάτων τους). Σύνταξη ή /και τροποποίηση συμβάσεων με εργαζόμενους, εκτελούντες την επεξεργασία/πελάτες, προμηθευτές κλπ. Θέσπιση/προσαρμογή των απαιτούμενων κατά τον Κανονισμό ενημερώσεων προς το προσωπικό, τους ασθενείς, τους διαδικτυακούς χρήστες. Τροποποίηση των εντύπων συγκατάθεσης και τη θέσπιση διαδικασιών εκ νέου λήψης της συγκατάθεσης, ούτως ώστε να πληροί η τελευταία τις απαιτήσεις του Κανονισμού.
71
Μετρα συμμορφωσησ/4 Data Protection Officer – προσοχή στις….πιστοποιήσεις Σύμφωνα με την ανακοίνωση της ΑΠΔΠΧ (9/8/2017) ο ΓΚΠΔ «δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση» Μέχρι σήµερα κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO Οι προτεινόµενες πιστοποιήσεις DPO δεν εµπίπτουν στην κατηγορία των υφιστάµενων επίσηµων ελληνικών πιστοποιήσεων
72
Μετρα συμμορφωσησ/5 Εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για να διασφαλίζεται ότι, εξ ορισμού (by default) υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αφορά:Eύρος των δεδομένων, βαθμός της επεξεργασίας, περίοδος αποθήκευσης και προσβασιμότητα. Θέσπιση μηχανισμού αναφοράς παραβιάσεων στην Εποπτική Αρχή και στα Υποκείμενα
73
Ασφαλεια δεδομενων (ενδεικτικα μετρα)
Ψευδωνυμοποίηση/ Κρυπτογράφηση Διασφάλιση απορρήτου, ακεραιότητας, διαθεσιμότητας και αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση Δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο Διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των μέτρων Τήρηση εγκεκριμένου κώδικα δεοντολογίας (άρθρο 40) ή εγκεκριμένου μηχανισμού πιστοποίησης (άρθρο 42) ως δυνητικά στοιχεία για την απόδειξη της συμμόρφωσης Μέτρα προστασίας φυσικού αρχείου
74
ψευδωνυμοποιηση επεξεργασία κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
75
Κωδικεσ δεοντολογιασ (άρθρα 40-41)
Κώδικες δεοντολογίας για ορθή εφαρμογή του νόμου – ενδεικτικός κατάλογος θεμάτων Μηχανισμοί παρακολούθησης συμμόρφωσης και από την αρχή ελέγχου αλλά και από διαπιστευμένο φορέα (που αποδεικνύει ανεξαρτησία κι εμπειρογνωμοσύνη) Υποβολή κωδίκων προς έγκριση στην αρχή ελέγχου
76
Πιστοποιηση (αρθρα 42-43) Θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης Εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας Διασφάλιση διαπίστευσης φορέων πιστοποίησης
77
Συμμορφωνω το ιατρειο μου
Σχέσεις με ασθενείς: Έντυπα ενημέρωσης/συγκατάθεσης για την επεξεργασία δεδομένων: Θα πρέπει να διαβάζονται, να υπογράφονται, να τηρούνται στο Φάκελο της Συμμόρφωσης Αποστολή εξετάσεων μέσω Xωριστή συγκατάθεση/επιβεβαίωση Παραλαβή εξετάσεων από τρίτο: Διασφάλιση συγκατάθεσης ασθενούς Σχέσεις με εκτελούντες: Συμβάσεις εκτέλεσης επεξεργασίας με διαγνωστικά εργαστήρια, εξωτερικούς συνεργάτες (π.χ. Υποστηρικτές ΙΤ, εξωτερικό λογιστή κλπ.) Σχέσεις με προσωπικό/ πρακτικώς ασκούμενους κλπ.: Συμφωνίες εμπιστευτικότητας/εχεμύθειας Σχέσεις απασχόλησης με Νοσοκομείο: Ο φορέας απασχόλησης οφείλει να αποστείλει τις κατάλληλες συμβατικές δεσμεύσεις Ιστοσελίδα ιατρείου: Όροι χρήσης & Πολιτική Προστασίας Απορρήτου
78
Συμμορφωνω το ιατρειο μου
«Αυτο-έλεγχος»: Έλεγχος επεξεργασιών με βάση την αρχή της ελαχιστοποίησης, του σκοπού, του περιορισμού της περιόδου αποθήκευσης, τήρηση αρχείου δραστηριοτήτων επεξεργασίας προαιρετικά, «εκκαθάριση» αρχείου πέραν της 10ετίας, τήρηση διοικητικών μέτρων ασφαλείας (π.χ. Οι φάκελοι των ασθενών να είναι σε κλειδωμένο χώρο με περιορισμένο δικαίωμα πρόσβασης) Διαφύλαξη ιατρικού απορρήτου στις προφορικές επικοινωνίες του προσωπικού (π.χ. Πληροφορίες από τηλεφώνου) Μέτρα τεχνολογικής προστασίας του ηλεκτρονικού αρχείου Ενημερώνω την ΑΠΔΠΧ σε περίπτωση παραβίασης Θεσπίζω Πολιτικές/διαδικασίες ασφαλούς διαχείρισης δεδομένων
79
Συμμορφωση δημοσιου νοσοκομειου/ιδιωτικησ κλινικησ
Εκτίμηση αντικτύπου Διορισμός Data Protection Officer Aρχείο Δραστηριοτήτων Επεξεργασίας Μέτρα νομικής και τεχνολογικής συμμόρφωσης στα πλαίσια της αρχής της Λογοδοσίας
80
Συμμορφωση ιατρικου συλλογου
Εκτίμηση αντικτύπου Διορισμός Data Protection Officer Aρχείο Δραστηριοτήτων Επεξεργασίας Μέτρα νομικής και τεχνολογικής συμμόρφωσης στα πλαίσια της αρχής της Λογοδοσίας
81
ΔΙΟΙΚΗΤΙΚΕΣ Κυρωσεισ λογω μη συμμορφωσησ
Διορθωτικές εξουσίες Αρχής (άρθρο 58 παρ. 2) Επιβολή προστίμων για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική. Παράγοντες προσδιορισμού ύψους προστίμου Κατηγορίες δεδομένων/ φύση, η βαρύτητα και η διάρκεια της παράβασης/ δόλος ή η αμέλεια/ ενέργειες για μετριασμό συνεπειών/ βαθμός ευθύνης/τυχόν προηγούμενες παραβάσεις/ τρόπος πληροφόρησης της Αρχής/ διάθεση-βαθμός συνεργασίας/ τήρηση κωδίκων δεοντολογίας/ κάθε ελαφρυντικό-επιβαρυντικό στοιχείο
82
ΥΨΟΣ ΔΙΟΙΚΗΤΙΚΩΝ ΠΡΟΣΤΙΜΩΝ
Για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση Αυστηρά πρόστιμα (άρθρο 83): Α΄ κατηγορία παραβάσεων - Έως ή για επιχειρήσεις το 2% Β’ κατηγορία παραβάσεων - Έως ή για επιχειρήσεις το 4% (και για μη συμμόρφωση προς αποφάσεις Αρχής) του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο
83
ΑΣΤΙΚΕΣ ΚΥΡΩΣΕΙΣ Αστική ευθύνη υπευθύνου για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον κανονισμό. Αστική ευθύνη εκτελούντος εφόσον παρέβη υποχρεώσεις κανονισμού ή οδηγίες υπευθύνου Εις ολόκληρον ευθύνη του υπεύθυνου/ εκτελούντος επεξεργασία (άρθρο 82) Πρόβλεψη εκπροσώπησης από συλλογικό φορέα (άρθρο 80)
84
ΠΟΙΝΙΚΕΣ ΚΥΡΩΣΕΙΣ Ο ορισμός των ποινικών κυρώσεων είναι αρμοδιότητα των κ-μ Αποτελεσματικές, ανάλογες και αποτρεπτικές ποινικές κυρώσεις Υποχρέωση διασφάλισης εφαρμογής Ευθύνη νομίμου εκπροσώπου του Υπευθύνου (κλινικής) Ζήτημα της «επόμενης μέρας»: Ποινική ευθύνη του DPO
85
Δεδομενα υγειασ στο ελληνικο προσχεδιο νομου
Όταν η επεξεργασία δεδομένων υγείας θεμελιώνεται στη συγκατάθεση ρητή έγγραφη συγκατάθεση του υποκειμένου των δεδομένων Ηλεκτρονική συγκατάθεση; – Προϋποθέσεις και δυσχέρειες Επίγνωση της σημασίας / ενημέρωση Η δήλωση πρέπει να καταγράφεται µε τρόπο ασφαλή και αποδείξιμο Η δήλωση πρέπει να είναι ανά πάσα στιγµή διαθέσιµη σε αυτόν Η δήλωση του συνδροµητή ή χρήστη µπορεί να ανακληθεί οποτεδήποτε χωρίς αναδροµικό αποτέλεσµα
86
ΓΕΝΕΤΙΚΑ ΔΕΔΟΜΕΝΑ ΚΑΙ ΑΣΦΑΛΙΣΗ
ΓΕΝΕΤΙΚΑ ΔΕΔΟΜΕΝΑ ΚΑΙ ΑΣΦΑΛΙΣΗ Απαγορεύεται η συλλογή και επεξεργασία γενετικών δεδομένων ή/και πραγματοποίηση γενετικών προδιαγνωστικών εξετάσεων για σκοπούς ασφάλισης υγείας και ζωής δεν επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που έχουν προκύψει από προδιαγνωστικές γενετικές εξετάσεις που αφορούν μέλη της οικογενείας του υποκειμένου των δεδομένων Γνωμοδότηση του Συμβουλίου της Ευρώπης ( Recommendation CM/Rec(2016)8of the Committee of Ministers to the member States on the processing of personal health-related data for insurance purposes, including data resulting from genetic tests)
87
Η Βιντεοεπιτηρηση στο σχεδιο νομου
Η Βιντεοεπιτηρηση στο σχεδιο νομου Συλλογή/ επεξεργασία δεδομένων εικόνας για τον σκοπό της προστασίας προσώπων ή/και αγαθών Συλλογή/ επεξεργασίας δεδομένων ήχου σε όλως εξαιρετικές περιπτώσεις. Τα δεδομένα δεν πρέπει να τηρούνται για μεγαλύτερο χρονικό διάστημα από όσο απαιτείται ενόψει του επιδιωκόμενου κάθε φορά σκοπού επεξεργασίας Τεχνικά και οργανωτικά μέτρα Ενημέρωση για την πραγματοποίηση βιντεοεπιτήρησης
88
Περιορισμοι δικαιωματων προσωπου
Δυνατότητα μη ικανοποίησης δικαιωμάτων ενημέρωσης και πρόσβασης, εφόσον ο περιορισμός απαιτείται για τη διασφάλιση της τήρησης επαγγελματικού απορρήτου. ΠΡΌΣΒΑΣΗ ΜΕΣΩ ΙΑΤΡΟΥ; Περιορισμός της ανακοίνωσης παραβίασης δεδομένων εφόσον η επίμαχη επεξεργασία αφορά σκοπούς που σχετίζονται με σημαντικά οικονομικά, χρηματοοικονομικά συμφέροντα του κράτους, συμπεριλαμβανομένης …, της δημόσιας υγείας και της κοινωνικής ασφάλισης, ιδίως σε σχέση με την πραγματοποίηση των σχετικών ελέγχων
89
Προηγουμενη διαβουλευση με απδπχ
Προηγουμενη διαβουλευση με απδπχ Για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο/κανονιστική πράξη η οποία αφορά επεξεργασία προσωπικών δεδομένων. Μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων υγείας/δημόσιας υγείας για σκοπούς δημοσίου συμφέροντος, όπως η χρήση συστημάτων ηλεκτρονικής συνταγογράφησης, η εισαγωγή και χρήση φακέλου ή ηλεκτρονικής κάρτας υγείας. Μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων υγείας για σκοπούς διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών. Μεγάλης κλίμακας συστηματική επεξεργασία γενετικών/βιομετρικών δεδομένων.
90
ρυθμισεισ του σχεδιου νομου για τουΣ εργαζομενουσ/1
ρυθμισεισ του σχεδιου νομου για τουΣ εργαζομενουσ/1 Διασφάλιση σεβασμού της αξιοπρέπειας, της προσωπικότητας, της ιδιωτικής ζωής και της προστασίας των προσωπικών δεδομένων στο πλαίσιο της εργασιακής σχέσης και στον χώρο εργασίας. Προστασία και (α) υποψηφίων για εργασία, (β) πρώην εργαζόμενων Επιτρεπτή η επεξεργασία δεδομένων αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης ή προκύπτουν από διάταξη νόμου
91
ρυθμισεισ του σχεδιου νομου για τουΣ εργαζομενουσ/2
ρυθμισεισ του σχεδιου νομου για τουΣ εργαζομενουσ/2 Νόμιμη συλλογή και επεξεργασία προσωπικών δεδομένων από τον εργοδότη εφόσον αυτή είναι απαραίτητη: (α) για την εκπλήρωση των εκατέρωθεν υποχρεώσεων. (β) για τη συμμόρφωση με έννομη υποχρέωση του εργοδότη (γ) για τη διαφύλαξη ζωτικού συμφέροντος του εργαζόμενου (δ) για την εκπλήρωση έννομων συμφερόντων του εργοδότη, εφόσον υπερισχύουν των δικαιωμάτων των εργαζομένων, ως υποκειμένων
92
ρυθμισεισ του σχεδιου νομου για τουΣ εργαζομενουσ/3
ρυθμισεισ του σχεδιου νομου για τουΣ εργαζομενουσ/3 Όταν η επεξεργασία των δεδομένων των εργαζομένων βασίζεται στη συγκατάθεση, πρέπει αυτή να είναι έγγραφη και να διακρίνεται από τη σύμβαση απασχόλησης. Ο εργοδότης θα πρέπει να μπορεί να αποδείξει ότι έχει ενημερώσει τον εργαζόμενο και ότι ο εργαζόμενος έχει γνήσια και ελεύθερη επιλογή και είναι σε θέση να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς αρνητικές επιπτώσεις. ΠΡΟΣΟΧΗ: Η συγκατάθεση του εργαζόμενου δεν αίρει την παρανομία του σκοπού επεξεργασίας.
93
Επεξεργασια δεδομενων υγειας εργαζομενων
Όταν συλλέγονται απευθείας και μόνον από τους εργαζόμενους και μόνο εφόσον είναι απολύτως απαραίτητα: Για την αξιολόγηση της καταλληλότητας του εργαζόμενου/υποψηφίου Για την εκπλήρωση υποχρεώσεων υγιεινής και ασφαλείας του εργοδότη Για τη θεμελίωση δικαιωμάτων των εργαζομένων και την απόδοση κοινωνικών παροχών
94
Επεξεργασια δεδομενων υγειας εργαζομενων /2
Διεξαγωγή ιατρικών εξετάσεων και αναλύσεων, όπως τα ψυχολογικά και ψυχομετρικά τεστ, επιτρέπεται μόνο σε ειδικές περιπτώσεις κι εφόσον τα συγκεκριμένα καθήκοντα και οι απαιτήσεις της συγκεκριμένης εργασίας καθιστούν αναγκαία την έρευνα και παρακολούθηση της κατάστασης και της προσωπικότητας του εργαζομένου σε σχέση με τη συγκεκριμένη θέση ή/και κατηγορία απασχόλησης. Δεν επιτρέπεται η επεξεργασία γενετικών δεδομένων των εργαζομένων. Εξαίρεση μόνο με εγγυήσεις και σε όλως εξαιρετικές περιπτώσεις Επεξεργασία δεδομένων ποινικών καταδικών εφόσον και στο μέτρο του απολύτως απαραίτητου για την αξιολόγηση της καταλληλότητας του εργαζομένου.
95
Η παρακολουθηση των εργαζομενων κατα το σχεδιο Νομου/1
Η παρακολούθηση των εργαζομένων επιτρέπεται εφόσον δεν προσβάλλει την αξιοπρέπειά τους (π.χ. ο γεωεντοπισμός επιτρέπεται εφόσον επιβάλλεται για την προστασία προσώπων και αγαθών και το συντονισμό και έλεγχο της διεκπεραίωσης της εργασίας και δικαιολογείται από τη φύση της). Η παρακολούθηση πρέπει να περιορίζεται στα δεδομένα που συνδέονται άμεσα με τη σχέση απασχόλησης και να μην επεκτείνεται στην προσωπική σφαίρα (π.χ. τα δεδομένα της κάμερας να μην χρησιμοποιούνται αποκλειστικά για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων). Η παρακολούθηση της χρήσης μέσων επικοινωνίας στο χώρο εργασίας επιτρέπεται εφόσον είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών και την οργάνωση και έλεγχο της δραστηριότητας που έχει ανατεθεί στους εργαζόμενους.
96
Η παρακολουθηση των εργαζομενων κατα το σχεδιο Νομου/2
Υποχρέωση εργοδότη προς ενημέρωση των εργαζομένων για την εισαγωγή μεθόδων παρακολούθησης. Απαγόρευση χρήσης των δεδομένων που συλλέχθηκαν από τον Εργοδότη σε βάρος του εργαζόμενου εάν αυτός δεν έχει προηγουμένως ενημερωθεί. Υποχρέωση κατάρτισης Κανονισμού Χρήσης Επικοινωνιακών Μέσων και Μέσων Ηλεκτρονικής Επεξεργασίας και κοινοποίησης αυτού στους εργαζόμενους (υποχρέωση εργοδότη να αποδείξει ότι οι εργαζόμενοι έχουν λάβει γνώση) Δικαίωμα εργαζομένων να αποτείνονται στον DPO.
97
ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΠΟΙΝΙΚΕΣ ΚΥΡΩΣΕΙΣ
ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΠΟΙΝΙΚΕΣ ΚΥΡΩΣΕΙΣ Εκ προθέσεως επέμβαση σε αρχείο προσωπικών δεδομένων και παράνομη επεξεργασία δεδομένων τιμωρείται με φυλάκιση. Επί ευαίσθητων δεδομένων: Φυλάκιση <1 έτους και χρηματική ποινή € ) Αν σκοπός παράνομου περιουσιακού οφέλους/πρόκλησης περιουσιακής ζημίας ή βλάβης τρίτου: Φυλάκιση <3 ετών και χρηματική ποινή € Επιβουλή δημοκρατικού πολιτεύματος ή εθνικής ασφάλειας: Κάθειρξη και χρηματική ποινή € DPO: Παραβίαση επαγγελματικής εχεμύθειας επί σκοπώ περιουσιακού οφέλους/πρόκλησης βλάβης στον Υπεύθυνο Επεξεργασίας/εκτελούντα: Φυλάκιση τουλάχιστον 1έτους και χρηματική ποινή €
98
Σκοποσ αυστηροτητασ του νεου πλαισιου;
Αυστηρό πλαίσιο Υιοθέτηση κουλτούρας προστασίας της ιδιωτικότητας
100
σΑΣ ΕΥΧΑΡΙΣΤω ΓΙΑ ΤΗΝ ΠΡΟΣΟΧΗ ΣΑΣ!
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.