Η υποχρεωτική πανευρωπαϊκή έναρξη της εφαρμογής του ΓΚΠΔ (GDPR) ορίστηκε από τις Ευρωπαϊκές Αρχές τον Μάϊο του 2018, δύο χρόνια μετά την εκδοσή του (Reg. 2016/679), για να δοθεί ένα λογικό περιθώριο προσαρμογής στα Κράτη-Μέλη και στους φορείς στις νέες, αυστηρότερες απαιτήσεις του Κανονισμού. Ο ΓΚΠΔ (Κανονισμός) αναφέρεται στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων και στους κανόνες που πρέπει να διέπουν την ελεύθερη διακίνηση δεδομένων στην ΕΕ. Αποτελεί εξέλιξη της Ευρωπαϊκής Οδηγίας 95/49ΕΚ, που η τροποποίησή και ολοκλήρωσή της με τη μορφή Κανονισμού, υπήρξε το συμβιβαστικό αποτέλεσμα πενταετών διαβουλεύσεων, στο επίπεδο των Ευρωπαϊκών Αρχών.Ο Κανονισμός ενσωματώθηκε στην Ελληνική νομοθεσία με το Νόμο 4624/2019, ο οποίος δέχτηκε επικρίσεις από την πλευρά της νομικής κοινότητας, λόγω της ελαστικότητας των παρεκκλίσεων που προβλέπει, συγκριτικά με τις αυστηρότερες προβλέψεις του Κανονισμού.
Η ραγδαία μεταβολή του τεχνολογικού περιβάλλοντος την τελευταία δεκαετία και ιδιαίτερα η πολλαπλασιαστική ανάπτυξη ψηφιακών εφαρμογών στον Υγειονομικό τομέα άλλαξε ριζικά τον τρόπο και την έκταση συλλογής, επεξεργασίας και χρήσης προσωπικών δεδομένων. Δημιουργήθηκε επομένως η ανάγκη για ένα νέο, αναθεωρημένο πλαίσιο προστασίας της “πληροφορικής ιδιωτικότητας” των ατόμων, κυρίως σε ότι αφορά την αλλαγή του συστήματος ευθύνης για την τήρηση της νομοθεσίας, που βασίζεται στην αρχή της Λογοδοσίας ( Accountability), σύμφωνα με την οποία ο οποιοσδήποτε φορέας του Δημόσιου ή του Ιδιωτικού τομέα (νομικά πρόσωπα, επιχειρήσεις, εταιρείες, οργανισμοί κλπ) διαχειρίζεται, ή αποθηκεύει, ή συλλέγει, ή μεταβιβάζει, ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, οφείλει να συμμορφώνεται στις απαιτήσεις του Κανονισμού και να αποδεικνύει τη συμμόρφωση των διαδικασιών ή των συστημάτων του, λαμβάνοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα.
Ο Κανονισμός βασίζεται σε συγκεκριμένους κανόνες, που διέπουν την επεξεργασία προσωπικών δεδομένων (με την ευρεία έννοια που προαναφέρθηκε, δηλαδή της συλλογής, αποθήκευσης, χρήσης κλπ), στις λεγόμενες Αρχές επεξεργασίας. Εκτός από την Αρχή της Λογοδοσίας, οι άλλες Αρχές αφορούν τη Νομιμότητα, την Ελαχιστοποίηση (ή Αναλογικότητα), τον Σκοπό ή Αρχή της θεμιτής επεξεργασίας και διαφάνειας, του Χρονικού Περιορισμού Αποθήκευσης, της Ασφάλειας, Ακεραιότητας, Εμπιστευτικότητας και της Ακρίβειας. Οι παραπάνω νομικοί όροι πρακτικά σημαίνουν, ότι η επεξεργασία προσωπικών δεδομένων όλων των κατηγοριών πρέπει να έχει ως βάση νομιμότητας είτε τη συγκατάθεση του ατόμου, είτε μία σύμβαση, είτε την ανάγκη εκπλήρωσης μιάς νομικής υποχρέωσης, ειδικά όταν πρόκειται για φορείς του Δημοσίου. Ο φορέας που συλλέγει ή επεξεργάζεται προσωπικά δεδομένα θα πρέπει να φροντίζει, ώστε να διαχειρίζεται τον ελάχιστο δυνατό όγκο ή μόνο τα δεδομένα, που είναι αναγκαία για τον συγκεκριμένο σκοπό επεξεργασίας. Επίσης, θα πρέπει να έχει προβλέψει το χρονικό όριο της αναγκαίας αποθήκευσης, στο οποίο θα πρέπει να συμφωνεί και ο ιδιοκτήτης των δεδομένων. Είναι επίσης απαραίτητο ο φορέας επεξεργασίας να διασφαλίζει την ακεραιότητα, και την εμπιστευτικότητα των δεδομένων από κάθε σκόπιμη ή ακούσια διαδικασία παραβίασης, που θα μπορούσε να τα αλλοιώσει ή να τα υποκλέψει.
Η εφαρμογή των παραπάνω Αρχών συνδέεται με ένα διευρυμένο φάσμα ατομικών δικαιωμάτων, προβλέποντας παράλληλα και τις διαδικασίες υπεράσπισης και νομικής διεκδίκησης αυτών των δικαιωμάτων από τα φυσικά πρόσωπα.
Τα κυριότερα από τα δικαιώματα αφορούν : 1.την ενημέρωση, η οποία θα πρέπει να είναι σαφής ως προς το σκοπό και τη νομιμότητα της επεξεργασίας, 2.την δυνατότητα πρόσβασης του ατόμου στα προσωπικά του δεδομένα, 3.την δυνατότητα εναντίωσης ή περιορισμού της επεξεργασίας ή εναντίωσης στο profiling, 4.την δυνατότητα διαγραφής ή διόρθωσης, 5. τη φορητότητα, 6. την εναντίωση στη λήψη αυτοματοποιημένων αποφάσεων, 7. το δικαίωμα “στη λήθη”, δηλαδή της απάλειψης του “ψηφιακού ίχνους” και 8. το δικαίωμα ενημερωμένης συγκατάθεσης, που αποτελεί και την ισχυρότερη νομιμοποιητική βάση για την επεξεργασία.
Ο Κανονισμός οριοθετεί και κατηγοριοποιεί τα προσωπικά δεδομένα, προσδιορίζοντας την ειδική κατηγορία των “ευαίσθητων” ή “ειδικών” δεδομένων, (γενετικά, φυλετικά, βιομετρικά, υγείας κλπ), ως μία κατηγορία που απαιτεί ιδιαίτερες και αυστηρότερες προϋποθέσεις για την επεξεργασία της. Σε κάθε περίπτωση, αλλά ιδιαίτερα για την επεξεργασία “ευαίσθητων” δεδομένων μεγάλης κλίμακας προβλέπεται η προσέγγιση με βάση τον κίνδυνο (risk based approach), που αναφέρεται ως “μελέτη αντικτύπου” και αντιπροσωπεύει την αξιολόγηση των επιπτώσεων στην ιδιωτικότητα των ατόμων από τυχόν παρεκκλίσεις στην εφαρμογή των ρυθμιστικών απαιτήσεων, όπως και στην εκτίμηση της αναλογικότητας μεταξύ προβλεπόμενων μέτρων ασφάλειας και βαθμού επικινδυνότητας της επεξεργασίας. Για τη διασφάλιση των ατομικών δικαιωμάτων προβλέπεται επίσης η υποχρεωτική λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, που εκτός από τη μελέτη αντικτύπου απαιτούν την τήρηση των αρχείων επεξεργασίας, την ψευδωνυμοποίηση ή την ανωνυμοποίηση των δεδομένων (ή την κρυπτογράφηση), όπως και μηχανισμό για την τήρηση των υποχρεώσεων κοινοποίησης στα φυσικά πρόσωπα και στην Αρχή Προστασίας του ενδεχόμενου παραβίασης των δεδομένων. (data breach notification)
Μία από τις καινοτομίες του Κανονισμού, σε ότι αφορά το σύστημα ευθύνης για την τήρηση της νομοθεσίας, είναι ο ορισμός Υπευθύνου Επεξεργασίας, (DPO), ο οποίος καθορίζει τον σκοπό και τον τρόπο της επεξεργασίας, που μπορεί να είναι φυσικό ή νομικό πρόσωπο, ή Δημόσια αρχή, όπως και ο ορισμός του “Εκτελούντος την Επεξεργασία”, με τον διακριτό ρόλο της επεξεργασίας των δεδομένων για λογαριασμό του DPO. Ο ορισμός των παραπάνω είναι υποχρεωτικός για φορείς ή οργανισμούς που επεξεργάζονται μεγάλης έκτασης “ευαίσθητα” προσωπικά δεδομένα.
Παρά το γεγονός ότι ο Κανονισμός φιλοδοξεί να παίξει το ρόλο ενός “τεχνολογικά ουδέτερου” ρυθμιστικού εργαλείου, δηλαδή με ικανότητα προσαρμογής στη ραγδαία εξελισσόμενη τεχνολογία, η συμμόρφωση στις απαιτήσεις του απαιτεί πληθώρα τεχνικών, λειτουργικών και θεσμικών μέτρων, με υψηλό κόστος εφαρμογής και εντεινόμενη τεχνολογική πολυπλοκότητα, ιδιαίτερα για τις πλέον καινοτόμες εφαρμογές, όπως η Τεχνητή Νοημοσύνη και η τεχνολογία blockchain. Προέκυψε, επομένως, η ανάγκη υιοθέτησης ορισμένων ελαστικότερων ρυθμίσεων, που ορίζονται ως “ρήτρες ευελιξίας”, και οι οποίες δίνουν στα Κράτη-Μέλη την ευχέρεια να εξειδικεύουν τους κανόνες που αφορούν την επεξεργασία “ειδικών κατηγοριών” δεδομένων, αλλά και τη δυνατότητα να προσδιορίζουν εκείνες τις ειδικές καταστάσεις και προϋποθέσεις που η επεξεργασία μπορεί να θεωρηθεί σύννομη. Η εισαγωγή εξαιρέσεων επαφίεται κατά συνέπεια στον Εθνικό νομοθέτη, με την υποχρέωση όμως ταυτόχρονης εισαγωγής συγκεκριμένου νομοθετικού μέτρου για κάθε εξαίρεση. Οι εξαιρέσεις που προβλέπονται, τόσο στον Κανονισμό, όσο και στον διευρυμένο κατάλογο παρεκκλίσεων του Νόμου 4624/2019, αφορούν κατά κύριο λόγο την δυνατότητα επεξεργασίας “ειδικών κατηγοριών” δεδομένων, για λόγους “δημοσίου συμφέροντος” , που εξειδικεύονται κατά περίπτωση. Επιτρέπεται κατά συνέπεια η επεξεργασία “ευαίσθητων” προσωπικών δεδομένων (από δημόσιους και ιδιωτικούς φορείς) για λόγους προληπτικής ιατρικής, για τη διαχείρηση των συστημάτων κοινωνικής ασφάλισης και υπηρεσιών υγείας, για τη διαχείριση απειλών στον τομέα της Δημόσιας Υγείας, όπως και για τους αυτονόητους λόγους εθνικής ή δημόσιας ασφάλειας, δίωξης ποινικών αδικημάτων κλπ. Προβλέπεται επίσης, ειδικό άρθρο (αρ. 27) για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης, όπως και ειδικά άρθρα, (αρ. 29 και 30), για την επεξεργασία με σκοπό την αρχειοθέτηση προς το δημόσιο συμφέρον και για σκοπούς επιστημονικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων.
Σε όλες όμως τις παραπάνω περιπτώσεις εξαιρέσεων ή παρεκκλίσεων, εξακολουθούν να ισχύουν στην ίδια έκταση οι αυστηρές αρχές του Κανονισμού και τα δικαιώματα των ατόμων. Αυτό σημαίνει ότι οι φορείς που επεξεργάζονται τα ευαίσθητα δεδομένα μεγάλης κλίμακας, όπως οι υπηρεσίες Ασφάλισης και Υγείας, θα πρέπει να θέσουν σε εφαρμογή διαδικασίες και συστήματα αξιολόγησης των κινδύνων (μελέτη αντικτύπου), επιλεκτικών μηχανισμών πρόσβασης, κρυπτογράφησης ή ψευδονομιμοποιήσεων, μέτρα για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της ανθεκτικότητας συστημάτων και υπηρεσιών επεξεργασίας, όπως και διαδικασίες αξιολόγησης των τακτικών δοκιμών ασφάλειας.
Από τα παραπάνω γίνεται κατανοητό, ότι οι οριζόντιου χαρακτήρα ρυθμιστικές απαιτήσεις του Κανονισμού θα πρέπει να ισχύουν για κάθε διαδικασία και ψηφιακή εφαρμογή, που διαχειρίζεται με τον οποιοδήποτε τρόπο δεδομένα προσωπικού χαρακτήρα. Διανύουμε όμως μια εποχή, όπου οι υπηρεσίες και οι εκθετικά πολλαπλασιαζόμενες ψηφιακές εφαρμογές τείνουν να μετατρέψουν τον τομέα της Υγείας στο μεγαλύτερο εργαστήριο επεξεργασίας, αποθήκευσης και διαβίβασης ευαίσθητων προσωπικών δεδομένων. Η πρόσφατη πανδημική κρίση επιτάχυνε αυτή την εξέλιξη, κάτω από τις πιεστικές ανάγκες για ταχύτατη συλλογή και αξιολόγηση μεγάλης κλίμακας δεδομένων σε Ευρωπαϊκό και Διεθνές επίπεδο (big data),για την “από απόσταση” παροχή υπηρεσιών υγείας (τηλεϊατρική, τηλεσυμβουλευτική, m-health), των εφαρμογών Τεχνητής Νοημοσύνης, blockchain κλπ. Την τελευταία δεκαετία οι Ευρωπαϊκές αρχές επιδίδονται σε έναν ρυθμιστικό “αγώνα δρόμου”, για να καλύψουν τα θεσμικά και τεχνολογικά κενά που προκύπτουν από την ταχύτητα μετατροπής των καινοτόμων ψηφιακών εφαρμογών σε υπηρεσίες, οι οποίες εκτός από τις απαιτήσεις συμμόρφωσης με τον ΓΚΠΔ υπόκεινται στους γενικότερους και ειδικότερους κανόνες εμπορικών συναλλαγών της ΕΕ, στο Ενωσιακό δίκαιο του ανταγωνισμού, του ηλεκτρονικού Εμπορίου, των διασυνοριακών συναλλαγών κλπ.
Ο ΓΚΠΔ προβλέπει και παροτρύνει, επίσης, τους φορείς ή τις ενώσεις που επεξεργάζονται προσωπικά δεδομένα, να διαμορφώσουν και να υιοθετήσουν Κώδικες Δεοντολογίας και Κατευθυντήριες Οδηγίες Καλών Πρακτικών, μετά από διαβούλευση και έγκριση από τις αρμόδιες Εθνικές ή Ευρωπαϊκές Αρχές Προστασίας Προσωπικών Δεδομένων, όπως και την εφαρμογή προτύπων Πιστοποίησης, από ανεξάρτητους , διαπιστευμένους φορείς. Οι Ευρωπαϊκές Αρχές από το 2014 διαμόρφωσαν ένα πλαίσιο ρύθμισης για την “κινητή Υγεία” (m-health), με τη μορφή “Πράσινης Βίβλου”, το οποίο στη συνέχεια εξελίχθηκε σε “Κώδικα καλών πρακτικών και αρχών συμμόρφωσης με τον GDPR”, υποβλήθηκε το 2018 στην Ομάδα Εργασίας του άρθρου 29 (WG29), χωρίς να λάβει όμως τελική έγκριση, παραμένοντας σε εκκρεμότητα. Ωστόσο, οι Ευρωπαϊκές Αρχές έχουν εκδώσει πρόσφατα μία σειρά Κατευθυντήριων Οδηγιών, που αφορούν την “Διαλειτουργικότητα μεταξύ εγκεκριμένων συσκευών”, τη “Διασυνοριακή ιχνηλάτηση των επαφών” για τις ανάγκες της πανδημίας, χωρίς να έχει όμως διαμορφωθεί ένα ενιαίο, οριζόντιο πλαίσιο Καλών πρακτικών και Κωδίκων για τις πολυάριθμες, και διαφορετικών τεχνολογιών ψηφιακές εφαρμογές που αναπτύσσονται σήμερα.
Οι αυξημένες υγειονομικές ανάγκες, που προέκυψαν και από τις πιέσεις που άσκησε και ασκεί η πανδημία σε όλα τα συστήματα υγείας, οδήγησε αρκετές Ευρωπαϊκές χώρες στην ανάπτυξη αξιόλογων Εθνικών πρωτοβουλιών για τη διεύρυνση της παροχής υπηρεσιών τηλεϊατρικής, με την καθιέρωση Εθνικών Κωδίκων και Οδηγιών και τη νομοθέτηση ειδικών ρυθμίσεων για την αποζημίωση των επαγγελματιών υγείας που ασκούν τη συγκεκριμένη πρακτική. Είναι χαρακτηριστικά τα παραδείγματα της Γαλλίας και της Γερμανίας, που αξιοποίησαν τις προβλέψεις του ΓΚΠΔ περί Κωδίκων, αλλά και του Ευρωπαϊκού Κανονισμού 2017/745 “για την ασφάλεια και τις επιδόσεις των ιατροτεχνολογικών προϊόντων” και θεωρώντας το λογισμικό των τηλεϊατρικών εφαρμογών ως ιατροτεχνολογικό προϊόν, ανέπτυξαν αξιόλογες εφαρμογές τηλεσυμβουλευτικής στην τρέχουσα ιατρική πρακτική.
Στη χώρα μας παρατηρείται σοβαρή καθυστέρηση σε πολλά επίπεδα ανάπτυξης των ψηφιακών εφαρμογών, με μεγάλα ελλείμματα στο θεσμικό και τεχνολογικό επίπεδο, αλλά και στο επίπεδο ριζικών οργανωτικών και λειτουργικών μεταρρυθμίσεων. Η έλλειψη στρατηγικών διαλειτουργικότητας, η αδυναμία καθιέρωσης ενιαίου, εθνικού ηλεκτρονικού φακέλου και η αποσπασματικότητα στην λειτουργία των περισσοτέρων ψηφιακών εφαρμογών στους τομείς της Υγείας και της Ασφάλισης λειτουργούν ως εμπόδια για τον αναγκαίο ψηφιακό μετασχηματισμό του υγειονομικού μας συστήματος. Τέλος, η εφαρμογή του ΓΚΠΔ είναι επίσης προβληματική στον τομέα της Υγείας, σε ότι αφορά την απουσία λήψης των απαραίτητων τεχνικών και οργανωτικών μέτρων, για τη διασφάλιση των διαδικασιών συμμόρφωσης και αποδείξεων της συμμόρφωσης, με συνέπεια την έκθεση του μεγαλύτερου μέρους των επαγγελματιών Υγείας, αλλά και των φορέων υγείας στους κινδύνους που απορρέουν από το κυρωτικό σύστημα του Κανονισμού.