Εφαρμογή ακόμη και στα οδοντιατρεία έχει ο Κανονισμός Γενικής Προστασίας Δεδομένων (ΚΓΠΔ) καθώς πρόκειται για μονάδες υγείας οι οποίες διαχειρίζονται φυλασσόμενα δεδομένα ασθενών.
Οδηγίες για την εφαρμογή του νέου κανονισμού που τίθεται σε ισχύ από τις 25 Μαΐου, εξέδωσε το Συμβούλιο Ευρωπαίων Οδοντιάτρων επισημαίνοντας στα μέλη του ότι η προσαρμογή είναι υποχρεωτική και σε περιπτώσεις παράβασης προβλέπονται σοβαρά πρόστιμα.
Στις κατευθυντήριες γραμμές του CED για την εφαρμογή του Κανονισμού Γενικής Προστασίας Δεδομένων, επισημαίνεται η ανάγκη να επικεντρωθούν οι προσπάθειες προσαρμογής στους Υπεύθυνους Προστασίας Δεδομένων (ΥΠΔ).
Αναλυτικά, επισημαίνεται στις κατευθυντήριες οδηγίες, ότι ο κανονισμός στοχεύει στην ενίσχυση και ενοποίηση της προστασίας των δεδομένων για όλα τα άτομα εντός της ΕΕ.
Ειδικότερα, ο Κανονισμός – στο κεφάλαιο IV, τμήμα 4, άρθρα 37-39 – καθορίζει απαιτήσεις σχετικά με τον ορισμό, τη θέση και τα καθήκοντα των Υπεύθυνων Προστασίας Δεδομένων (ΥΠΔ).
Γιατί στους οδοντιάτρους;
Οι εθνικές κυβερνήσεις πρέπει τώρα να εφαρμόσουν τις διατάξεις του ΚΓΠΔ και θα μπορούσαν να απαιτήσουν από τα οδοντιατρεία να διορίσουν έναν ΥΠΔ.
Ενώ η καθοδήγηση της ομάδας εργασίας για την προστασία δεδομένων του άρθρου 29–το συμβουλευτικό όργανο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα – προβλέπει ότι οι μεμονωμένοι ιατροί (το ίδιο θα ισχύει για τους οδοντιάτρους) δεν χρειάζονται ΥΠΔ, τα κράτη μέλη δεν δεσμεύονται από αυτές τις κατευθυντήριες γραμμές και δεν είναι σαφές πότε ακριβώς πρέπει να οριστεί ένας ΥΠΔ.
Ανάλογα με την εθνική εφαρμογή υλοποίησης του ΚΓΠΔ, θα μπορούσε να οδηγήσει σε αύξηση της διοικητικής και οικονομικής επιβάρυνσης των μεμονωμένων οδοντιάτρων.
Απαιτούμενες ενέργειες
Το Συμβούλιο Ευρωπαίων Οδοντιάτρων συνιστά στα μέλη του:
- Να έρθουν σε επαφή με την κυβέρνησή τους για να εντοπίσουν σε ποιό στάδιο υλοποίησης της εφαρμογής βρίσκεται και ποια είναι η σκέψη της σχετικά με τους ΥΠΔ.
- Να προσδιορίσουν μια εφαρμόσιμη λύση για τους οδοντιάτρους [δηλ. ορισμός οροίου απαίτησης (πρόσληψης) ενός ΥΠΔ χρησιμοποιώντας τις παρακάτω οδηγίες] και να την προωθήσουν στις Αρχές.
Συστάσεις
Σε γενικές γραμμές, το CED τονίζει ότι η προστασία των δεδομένων πρέπει να λαμβάνεται πολύ σοβαρά υπόψη. Τα δεδομένα των ασθενών πρέπει να προστατεύονται με μεγάλη προσοχή.
Υπεύθυνος προστασίας δεδομένων
– Ο ΚΓΠΔ ορίζει ότι πρέπει να ορίζεται ένας ΥΠΔ εκεί όπου οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του επεξεργαστή (στην περίπτωσή μας το οδοντιατρείο ή ο οδοντίατρος) συνίστανται από εργασίες επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση των δεδομένων σε μεγάλη κλίμακα.
– Επομένως, πρέπει να ληφθούν υπόψη δύο κριτήρια κατά τη συζήτηση σχετικά με το εάν απαιτείται ένας ΥΠΔ:
• Πόσους ανθρώπους(προσωπικό) συμπεριλαμβάνει ένα οδοντιατρείο,των οποίων η κύρια δραστηριότητα είναι η επεξεργασία των δεδομένων του;
• Τα δεδομένα επεξεργάζονται σε μεγάλη κλίμακα;
Κριτήριο 1: Βασική Δραστηριότητα
Κατά την άποψη του CED, δεν είναι βασική δραστηριότητα του οδοντιάτρου η επεξεργασία δεδομένων, αλλά μια απαίτηση για τη θεραπεία των ασθενών (η πραγματική βασική δραστηριότητα). Ταυτόχρονα, οι οδοντίατροι μπορεί να έχουν προσωπικό το οποίο έχει βασική δραστηριότητα να επεξεργάζεται (καταγράφει, ενημερώνει) τα δεδομένα των ασθενών. Εάν δεν υπάρχει σημαντικός αριθμός ατόμων εκ του προσωπικού των οποίων η βασική δραστηριότητα είναι η επεξεργασία δεδομένων, δεν πρέπει να απαιτείται ένας ΥΠΔ.
Κριτήριο 2: Μεγάλη κλίμακα
Η ομάδα εργασίας του άρθρου 29 παρέχει περαιτέρω καθοδήγηση σχετικά με τον τρόπο καθορισμού της έννοιας της μεγάλης κλίμακας:
- Ο αριθμός των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα – είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό του σχετικού πληθυσμού
- Ο όγκος των δεδομένων και / ή η έκταση των διαφορετικών στοιχείων δεδομένων που υποβάλλονται σε επεξεργασία
- Η διάρκεια ή η μονιμότητα της δραστηριότητας επεξεργασίας των δεδομένων
- Η γεωγραφική επέκταση της δραστηριότητας επεξεργασίας
Τουλάχιστον δύο από αυτά τα κριτήρια πρέπει να δείχνουν ότι το υπό συζήτηση ιατρείο επεξεργάζεται ασυνήθιστα υπερβολικές ποσότητες δεδομένων για να απαιτήσει έναν ΥΠΔ. Κατά συνέπεια, το μέσο οδοντιατρείο δεν πρέπει να εκλαμβάνεται ως επεξεργαστής δεδομένων μεγάλης κλίμακας.
Εκτιμήσεις επιπτώσεων στην προστασία δεδομένων
To CED εκτιμά ότι θα πρέπει να ισχύουν τα ίδια κριτήρια για να αξιολογηθεί εάν θα εκπληρωθούν οι απαιτήσεις που εισήχθησαν από τον ΚΓΠΔ για τις αποκαλούμενες εκτιμήσεις επιπτώσεων στην προστασία δεδομένων (DPIAs) – Κεφάλαιο IV, Τμήμα 3, άρθρα 35-36 – που πρέπει να εφαρμοστούν εκεί όπου η χρήση νέων τεχνολογιών για την επεξεργασία των δεδομένων ενδέχεται να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και την ελευθερία των ατόμων.
Ποινικές ρήτρες
Ο Κανονισμός θέτει δύο ανώτατα όρια για τα πρόστιμα, αν δεν τηρηθούν οι κανόνες:
1) πρόστιμα έως 10 εκατ. ευρώ κατ ‘ανώτατο όριο, ή, σε περίπτωση επιχείρησης, μέχρι 2% της παγκόσμιας ετήσιας ανάληψης. Αυτή η πρώτη κατηγορία προστίμου θα εφαρμοζόταν, για παράδειγμα, εάν ένας επεξεργαστής δεδομένων δεν διενεργεί εκτιμήσεις επιπτώσεων, όπως απαιτείται από τον Κανονισμό.
2) μέγιστο ποσό 20 εκατ. € ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών. Ένα παράδειγμα θα ήταν μια παραβίαση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, βάσει του Κανονισμού.
Τα πρόστιμα προσαρμόζονται ανάλογα με τις περιστάσεις κάθε συγκεκριμένης περίπτωσης.
Δικαίωμα πρόσβασης
Μέρος των διευρυμένων δικαιωμάτων των προσώπων στα οποία αναφέρεται ο ΚΓΠΔ είναι το δικαίωμα για τα δεδομένα να λαμβάνουν από τον υπεύθυνο επεξεργασίας των δεδομένων την επιβεβαίωση του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν υποβάλλονται σε επεξεργασία, πού και για ποιο σκοπό. Επιπλέον, ο επεξεργαστής θα πρέπει να παρέχει δωρεάν αντίγραφο των προσωπικών δεδομένων σε ηλεκτρονική μορφή. Αυτή η αλλαγή είναι μια δραματική αλλαγή σχετικά με τη διαφάνεια των δεδομένων και την ενδυνάμωση των ζητημάτων των δεδομένων.
Δικαίωμα να ξεχαστεί
Επίσης γνωστό ως Διαγραφή Δεδομένων, είναι το δικαίωμα να λησμονηθούν καταγραφές (στοιχεία) των δεδομένων, ο επεξεργαστής να διαγράψει τα προσωπικά δεδομένα του/της, να σταματήσει την περαιτέρω διάδοση των δεδομένων και ενδεχομένως να σταματήσει την επεξεργασία των δεδομένων από τρίτους. Οι όροι για τη διαγραφή, όπως περιγράφονται στο άρθρο 17, περιλαμβάνουν τα δεδομένα που δεν έχουν πλέον σχέση με τους αρχικούς σκοπούς επεξεργασίας ή αυτών των ιδιοκτητών των δεδομένων που αποσύρουν τη συναίνεση τους. Πρέπει επίσης να σημειωθεί ότι το δικαίωμα αυτό απαιτεί από τους επεξεργαστές να συγκρίνουν τα δικαιώματα των αιτουμένων ιδιωτών με το “δημόσιο συμφέρον για τη διαθεσιμότητα των δεδομένων” κατά την εξέταση αυτών των αιτήσεων.
Προστασία δεδομένων από το σχεδιασμό
Η προστασία της ιδιωτικής ζωής από το σχεδιασμό, ως έννοια, έχει υπάρξει εδώ και χρόνια, αλλά απλώς τώρα γίνεται μέρος μιας νομικής απαίτησης με το ΚΓΠΔ. Στον πυρήνα της, η ιδιωτικότητα απαιτεί από το σχεδιασμό των συστημάτων την ενσωμάτωση της προστασίας των δεδομένων από το ξεκίνημα του σχεδιασμού, παρά αργότερα με την προσθήκη. Ειδικότερα: «Ο υπεύθυνος της επεξεργασίας πρέπει να εγκαταστήσει κατάλληλα τεχνικά και οργανωτικά μέτρα με αποτελεσματικό τρόπο ώστε να ανταποκρίνονται στις απαιτήσεις του παρόντος Κανονισμού και να προστατεύσει τα δικαιώματα των ιδιοκτητών των δεδομένων». Το άρθρο 23 ζητεί από τους επεξεργαστές να τηρούν και να επεξεργάζονται μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την εκπλήρωση των καθηκόντων τους (ελαχιστοποίηση των δεδομένων), καθώς και τον περιορισμό της πρόσβασης σε εκείνα τα προσωπικά δεδομένα που χρειάζονται για τη διεξαγωγή της διαδικασίας.
Υπεύθυνοι προστασίας δεδομένων
Επί του παρόντος, οι υπεύθυνοι επεξεργασίας υποχρεούνται να κοινοποιούν τις δραστηριότητές τους επί της επεξεργασίας δεδομένων σε τοπικούς ΥΠΔ, οι οποίες, για τις πολυεθνικές εταιρείες, μπορεί να είναι ένας γραφειοκρατικός εφιάλτης, με τα περισσότερα κράτη μέλη να έχουν διαφορετικές απαιτήσεις κοινοποίησης. Σύμφωνα με το ΚΓΠΔ δεν θα είναι απαραίτητο να υποβάλλονται κοινοποιήσεις/καταχωρήσεις σε κάθε τοπικό ΥΠΔ των δραστηριοτήτων επεξεργασίας δεδομένων, ούτε θα απαιτείται η κοινοποίηση/απόκτηση έγκρισης για μεταφορές βάσει των Πρότυπων Ρητρών Σύμβασης (MCCs). Αντ ‘αυτού, θα υπάρξουν απαιτήσεις εσωτερικής τήρησης αρχείων, όπως εξηγείται περαιτέρω παρακάτω και ο διορισμός των ΥΠΔ θα είναι υποχρεωτικός μόνο για τους ελεγκτές και τους επεξεργαστές των οποίων οι βασικές δραστηριότητες συνίστανται σε επεξεργασίες που απαιτούν τακτική και συστηματική παρακολούθηση των δεδομένων σε μεγάλη κλίμακα ή σε ειδικές κατηγορίες δεδομένων ή δεδομένων σχετιζόμενων με ποινικές καταδίκες και αξιόποινες πράξεις.
Είναι σημαντικό, ο ΥΠΔ:
- Πρέπει να διορίζεται με βάση τα επαγγελματικά προσόντα και, ειδικότερα, τις ειδικές γνώσεις σχετικά με το δίκαιο και τις πρακτικές προστασίας δεδομένων
- Μπορεί να είναι μέλος του προσωπικού ή εξωτερικός πάροχος υπηρεσιών
- Τα στοιχεία επικοινωνίας πρέπει να παρέχονται στον αρμόδιο ΥΠΔ
- Πρέπει να του διατίθενται οι κατάλληλοι πόροι για την εκτέλεση των καθηκόντων του και τη διατήρηση της εμπειρογνωμοσύνης του.
- Πρέπει να αναφέρεται απευθείας στο υψηλότερο επίπεδο Διοίκησης
- Δεν πρέπει να εκτελεί άλλα καθήκοντα που θα μπορούσαν να οδηγήσουν σε σύγκρουση συμφερόντων.
Ειδοποίηση παραβίασης
Σύμφωνα με το ΓΚΠΔ, η κοινοποίηση παραβίασης θα καταστεί υποχρεωτική σε όλα τα κράτη μέλη όπου μια παραβίαση δεδομένων ενδέχεται να “οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων”. Αυτό πρέπει να γίνει εντός 72 ωρών από την πρώτη στιγμή της συνειδητοποίησης της παράβασης. Οι επεξεργαστές δεδομένων θα υποχρεούνται επίσης να ειδοποιούν τους πελάτες τους, τους ελεγκτές, “χωρίς αδικαιολόγητη καθυστέρηση”, αφού πρώτα αντιληφθούν την παραβίαση των δεδομένων.
Φορητότητα δεδομένων
Το ΚΓΠΔ εισάγει τη φορητότητα δεδομένων – το δικαίωμα για έναν ιδιοκτήτη δεδομένων να λαμβάνει προσωπικά δεδομένα που τον αφορούν, τα οποία είχαν παρασχεθεί προηγούμενα, σε μια «ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή» και να έχει το δικαίωμα να διαβιβάσει τα δεδομένα αυτά σε άλλο επεξεργαστή.