Κοινοποίηση δεδομένων υγείας μελών Μη Κερδοσκοπικού Οργανισμού για στατιστικούς σκοπούς

711
  1. Οι διατάξεις των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 μέχρι 2012 (Ν. 138(Ι)/2001, όπως τροποποιήθηκε με τους Ν. 37(Ι)/2003 και 105(Ι)/2012), στο εξής «ο Νόμος» εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα (άρθρο 3, πεδίο εφαρμογής του Νόμου).
    2. Σύμφωνα με την ερμηνεία του όρου «δεδομένα προσωπικού χαρακτήρα» που δίδεται στο άρθρο 2 του Νόμου, δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δε δύναται πλέον να προσδιοριστούν τα υποκείμενα των δεδομένων.
    3. Μεταγενέστερη επεξεργασία προσωπικών δεδομένων για στατιστικούς σκοπούς δε θεωρείται ασυμβίβαστη με τον αρχικό σκοπό συλλογής των δεδομένων εφόσον δε θα ληφθούν οποιαδήποτε μέτρα αναφορικά με συγκεκριμένο πρόσωπο (άρθρο 4 του Νόμου).
    4. Συνεπώς ο υπεύθυνος επεξεργασίας μπορεί να επεξεργαστεί τα προσωπικά δεδομένα και να κοινοποιήσει τα στατιστικής φύσεως συγκεντρωτικά στοιχεία (αποτελέσματα), από τα οποία δε δύνανται πλέον να προσδιοριστούν τα υποκείμενα των δεδομένων.
    5. Σύμφωνα με το άρθρο 6(1) Νόμου, απαγορεύεται η συλλογή και επεξεργασία ευαίσθητων δεδομένων, όπως είναι τα δεδομένα υγείας (άρθρο 2 του Νόμου).
    6. Κατ’ εξαίρεση, βάσει του εδαφίου (2) του άρθρου 6 του Νόμου επιτρέπεται η συλλογή και επεξεργασία ευαίσθητων δεδομένων, όταν:
    (α) Το υποκείμενο των δεδομένων έδωσε τη ρητή συγκατάθεση του (δηλαδή κατ’ εξαίρεση επιτρέπεται αν το υποκείμενο των δεδομένων ενημερώθηκε για συγκεκριμένη ενέργεια/ κοινοποίηση και χωρίς πίεση και με πλήρη επίγνωση έδωσε ελεύθερα τη συγκατάθεση του,
    (β) όταν η επεξεργασία πραγματοποιείται αποκλειστικά για στατιστικούς σκοπούς, εφόσον υποβληθεί συγκεκριμένο αίτημα στην Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και η Επίτροπος κρίνει ότι συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος και ότι λαμβάνονται όλα τα απαραίτητα μέτρα για την προστασία των υποκειμένων των δεδομένων.
    7. Από τις 25 Μαΐου 2018 που θα τεθεί σε εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 της 27ης Απριλίου 2016, βάσει του άρθρου 89 που αφορά διασφαλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή στατιστικούς σκοπούς θα ισχύουν τα ακόλουθα:
    «1. Η επεξεργασία για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ’ αυτόν τον τρόπο.
    2. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18 και 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.
    3. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18, 19, 20 και 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.
    4. Όταν η επεξεργασία που αναφέρεται στις παραγράφους 2 και 3 εξυπηρετεί την ίδια στιγμή και άλλο σκοπό, οι παρεκκλίσεις εφαρμόζονται μόνο στην επεξεργασία για τους σκοπούς που προβλέπουν οι εν λόγω παράγραφοι.».
    8. Χρήσιμη αναφορά υπάρχει και στο Εγχειρίδιο FRA σχετικά με την ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών δεδομένων, στο οποίο ειδικότερα για την επεξεργασία ιατρικών δεδομένων για στατιστικούς σκοπούς αναφέρει μεταξύ άλλων, τα εξής:
    «Δεδομένα προσωπικού χαρακτήρα τα οποία συλλέγονται για στατιστικούς σκο­πούς δεν μπορούν να χρησιμοποιηθούν για κανέναν άλλο σκοπό.
    Δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν νόμιμα για οποιονδή­ποτε σκοπό μπορούν να χρησιμοποιηθούν στη συνέχεια για στατιστικούς σκοπούς, υπό τον όρο ότι η εθνική νομοθεσία παρέχει επαρκείς εγγυήσεις τις οποίες τηρούν οι χρήστες. Προς τον σκοπό αυτό, θα πρέπει να εξετάζεται ιδίως το ενδεχόμενο τα δεδομένα να καθίστανται ανώνυμα ή να ψευδωνυμοποιούνται πριν τη διαβίβαση.

Η Οδηγία για την προστασία δεδομένων προσωπικού χαρακτήρα αναφέρει την επεξεργασία των δεδομένων για στατιστικούς σκοπούς στο πλαίσιο των πιθα­νών εξαιρέσεων από τις αρχές της προστασίας των δεδομένων. Σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) της Οδηγίας, η αρχή του περιορισμού του σκοπού μπορεί να αίρεται δυνάμει του εθνικού δικαίου υπέρ της μεταγενέστε­ρης χρήσης των δεδομένων για στατιστικούς σκοπούς, εφόσον στο εθνικό δίκαιο προβλέπονται όλες οι αναγκαίες εγγυήσεις. Σύμφωνα με το άρθρο 13 παράγρα­φος 2 της Οδηγίας, επιτρέπεται περιορισμός των δικαιωμάτων πρόσβασης δυνά­μει του εθνικού δικαίου όταν η επεξεργασία των δεδομένων γίνεται προς κατάρ­τιση στατιστικών και μόνο –και πάλι πρέπει να παρέχονται επαρκείς εγγυήσεις δυνάμει του εθνικού δικαίου. Στο εν λόγω πλαίσιο, η Οδηγία για την προστασία δεδομένων προσωπικού χαρακτήρα θεσπίζει την ειδική απαίτηση να αποκλείεται η χρήση δεδομένων τα οποία αποκτήθηκαν ή δημιουργήθηκαν στο πλαίσιο στα­τιστικής έρευνας για τη λήψη αποφάσεων που αφορούν συγκεκριμένο πρόσωπο.

Παρότι τα δεδομένα προσωπικού χαρακτήρα τα οποία έχουν συλλεχθεί νόμιμα από τον υπεύθυνο επεξεργασίας για κάποιο σκοπό μπορούν να χρησιμοποι­ούνται μεταγενέστερα από τον ίδιο υπεύθυνο επεξεργασίας για στατιστικούς σκοπούς –η καλούμενη «δευτερογενής στατιστική επεξεργασία»– πρέπει να καθίστανται ανώνυμα ή να ψευδωνυμοποιούνται, ανάλογα με την περίπτωση, πριν από τη διαβίβασή τους σε τρίτο για στατιστικούς σκοπούς, εκτός εάν το υπο­κείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του γι’ αυτό ή προβλέπεται ειδικά από την εθνική νομοθεσία. Αυτό συνάγεται από την απαίτηση για κατάλ­ληλες εγγυήσεις του άρθρου 6 παράγραφος 1 στοιχείο β) της Οδηγίας για την προστασία δεδομένων προσωπικού χαρακτήρα.
Οι σημαντικότερες περιπτώσεις χρήσης προσωπικών δεδομένων για στατιστι­κούς σκοπούς είναι οι επίσημες στατιστικές, που καταρτίζονται από τις εθνικές στατιστικές υπηρεσίες και τη Στατιστική Υπηρεσία της ΕΕ με βάση το εθνικό και ενωσιακό δίκαιο για τις επίσημες στατιστικές. Οι πολίτες και οι επιχειρήσεις συνή­θως υποχρεούνται εκ του νόμου να αποκαλύπτουν δεδομένα προσωπικού χαρα­κτήρα στις στατιστικές αρχές. Οι εργαζόμενοι σε στατιστικές υπηρεσίες δεσμεύο­νται από ειδικό επαγγελματικό απόρρητο, το οποίο τηρείται αυστηρά, δεδομένου ότι είναι ουσιώδες για το υψηλό επίπεδο εμπιστοσύνης το οποίο πρέπει να έχουν οι πολίτες για να διαθέσουν δεδομένα στις στατιστικές αρχές.

Ο Κανονισμός (EΚ) 223/2009 σχετικά με τις ευρωπαϊκές στατιστικές (Κανονισμός για τις ευρωπαϊκές στατιστικές) περιέχει ουσιώδεις κανόνες για την προστασία των προσωπικών δεδομένων στις επίσημες στατιστικές, ως εκ τούτου μπορεί να θεωρηθεί ότι παρουσιάζει ενδιαφέρον και για τις διατάξεις περί επίσημων στα­τιστικών σε εθνικό επίπεδο. Ο Κανονισμός διατυπώνει την αρχή ότι για την κατάρτιση επίσημων στατιστικών απαιτείται αρκούντως ακριβής νομική βάση.

Παράδειγμα: Στην υπόθεση Huber κατά Bundesrepublik Deutschland,το ΔΕΕ έκρινε ότι η συλλογή και αποθήκευση προσωπικών δεδομένων από αρχή για στατιστικούς σκοπούς δεν αποτελεί από μόνη της επαρκή λόγο για τη νομι­μοποίηση της επεξεργασίας. Ο νόμος που προέβλεπε την επεξεργασία των προσωπικών δεδομένων έπρεπε να πληροί και την απαίτηση της αναγκαιό­τητας, κάτι που δεν συνέβαινε στο συγκεκριμένο πλαίσιο.

Στο πλαίσιο του ΣτΕ, η Σύσταση για τα στατιστικά δεδομένα που δημοσιεύθηκε το 1997 καλύπτει την κατάρτιση στατιστικών για τον δημόσιο και τον ιδιωτικό τομέα. Η εν λόγω Σύσταση καθιέρωσε αρχές που συμπίπτουν με τις κύριες αρχές της Οδηγίας για την προστασία δεδομένων προσωπικού χαρακτήρα, οι οποίες αναφέρθηκαν ανωτέρω. Λεπτομερέστεροι κανόνες θεσπίζονται για τα εξής θέματα:

Ενώ τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον υπεύθυνο επεξεργασίας για στατιστικούς σκοπούς δεν επιτρέπεται να χρησιμοποιηθούν για οποιονδήποτε άλλο σκοπό, τα δεδομένα που συλλέγονται για μη στατιστικούς σκοπούς είναι διαθέσιμα για μεταγενέστερη στατιστική χρήση. Η Σύσταση για τα στατιστικά δεδομένα επιτρέπει ακόμη και την κοινοποίηση των δεδομένων σε τρίτους, εφόσον γίνεται αποκλειστικά για στατιστικούς σκοπούς. Στις περιπτώ­σεις αυτές, τα μέρη θα πρέπει να συνομολογούν και να καταγράφουν την έκταση της νόμιμης μεταγενέστερης χρήσης για στατιστικούς σκοπούς. Δεδομένου ότι αυτό δεν υποκαθιστά τη συγκατάθεση του υποκειμένου των δεδομένων, εικά­ζεται ότι πρέπει να παρέχονται από το εθνικό δίκαιο οι κατάλληλες πρόσθετες εγγυήσεις ώστε να ελαχιστοποιείται ο κίνδυνος κατάχρησης των προσωπικών δεδομένων, π.χ. η υποχρέωση να καθίστανται τα δεδομένα ανώνυμα ή ψευδώ­νυμα πριν από τη διαβίβαση.

Τα πρόσωπα που ασχολούνται κατ’ επάγγελμα με στατιστική έρευνα θα πρέ­πει να δεσμεύονται από το επαγγελματικό απόρρητο –όπως συμβαίνει και στις επίσημες στατιστικές– δυνάμει του εθνικού δικαίου. Η υποχρέωση τήρησης του απορρήτου θα πρέπει να επεκτείνεται και στους λαμβάνοντες τις συνεντεύξεις, εφόσον ασχολούνται κατ’ επάγγελμα με τη συλλογή δεδομένων από υποκείμενα δεδομένων ή άλλα πρόσωπα.

Εάν μια στατιστική έρευνα η οποία χρησιμοποιεί προσωπικά δεδομένα δεν προ­βλέπεται από τον νόμο, τα υποκείμενα των δεδομένων θα πρέπει να παράσχουν τη συγκατάθεσή τους στη χρήση των δεδομένων τους προκειμένου αυτή να νομι­μοποιείται ή θα πρέπει τουλάχιστον να έχουν την ευκαιρία να αντιταχθούν σε αυτήν. Εάν τα προσωπικά δεδομένα συλλέγονται για στατιστικούς σκοπούς μέσα από λήψη συνεντεύξεων από πρόσωπα, τα εν λόγω πρόσωπα πρέπει να έχουν σαφή ενημέρωση για το κατά πόσον η αποκάλυψη των δεδομένων τους είναι υποχρεωτική βάσει του εθνικού δικαίου. Ευαίσθητα προσωπικά δεδομένα δεν θα πρέπει ποτέ να συλλέγονται κατά τρόπον ο οποίος να επιτρέπει την εξακρίβωση της ταυτότητας του προσώπου, εκτός εάν αυτό επιτρέπεται ρητά από το εθνικό δίκαιο.
Όταν μια στατιστική έρευνα δεν μπορεί να διεξαχθεί χωρίς ανώνυμα δεδομένα και απαιτεί οπωσδήποτε προσωπικά δεδομένα, τα δεδομένα που συλλέγονται προς τον σκοπό αυτό θα πρέπει να ανωνυμοποιούνται το συντομότερο δυνατόν. Τα αποτελέσματα της έρευνας δεν πρέπει, αν μη τι άλλο, να επιτρέπουν την εξα­κρίβωση της ταυτότητας των υποκειμένων των δεδομένων, εκτός εάν αυτό προ­δήλως δεν ενέχει κανέναν κίνδυνο.
Εν κατακλείδι, μετά την ολοκλήρωση της στατιστικής ανάλυσης, τα προσωπικά δεδομένα που χρησιμοποιήθηκαν πρέπει είτε να διαγράφονται είτε να καθίστανται ανώνυμα. Σε μια τέτοια περίπτωση, η Σύσταση για τα στατιστικά δεδομένα προτείνει τα δεδομένα ταυτοποίησης να αποθηκεύονται χωριστά από τα λοιπά προσωπικά δεδομένα. Αυτό σημαίνει, λόγου χάρη, ότι τα δεδομένα θα πρέπει να ψευδωνυ­μοποιούνται και είτε το κλειδί κρυπτογράφησης είτε ο κατάλογος με τα ταυτοποι­ητικά συνώνυμα να αποθηκεύονται χωριστά από τα ψευδώνυμα δεδομένα.». (dataprotection.gov.cy)

Διαβάστε ακόμα: Η πνευματική ιδιοκτησία και η εξέλιξη της στο Διαδίκτυο