Προς
Προϊστάμενο ΑΑΔΕ Α’ΔΟΥ Πατρών
κο Παπαθανασόπουλο Κων/νο
Ενταύθα
Αρ. Πρωτ.: 2618/24-4-2018
Κοινοποίηση:
Μέλη ΙΣΠ
ΠΙΣ – Ιατρικοί Σύλλογοι
Βάσει προφορικών αναφορών από ιατρούς – μέλη μας για φορολογικούς ελέγχους που πραγματοποιήθηκαν στα ιατρεία της πόλης μας πρόσφατα, ενημερωθήκαμε ότι οι αρμόδιοι ελεγκτές απαίτησαν πρόσβαση σε ηλεκτρονικό ιατρικό αρχείο των μελών μας με το αιτιολογικό της διασταύρωσης οικονομικών στοιχείων, υπό την απειλή προστίμου αξίας 2.500 ευρώ σε άρνηση πρόσβασης στα αρχεία που περιέχουν προσωπικά δεδομένα ασθενών.
Σας επισημαίνουμε ότι οι ελευθεροεπαγγελματίες ιατροί υπόκεινται σε δύο ειδικές νομοθεσίες τήρησης ιατρικού απορρήτου και διαφύλαξης ευαίσθητων προσωπικών δεδομένων, με αυστηρές ποινές σε περίπτωση παραβίασής τους :
α) στο άρθρο 14 παρ. 6 Ν. 3418 (ΦΕΚ 287 Α’ 28-11-2005) του κώδικα ιατρικής δεοντολογίας (ειδική νομολογία): «Ο ιατρός τηρεί τα επαγγελματικά του βιβλία με τέτοιο τρόπο, ώστε να εξασφαλίζεται το ιατρικό απόρρητο και η προστασία των προσωπικών δεδομένων».
β) ο νέος ευρωπαϊκός κανονισμός 2016/679 περί προστασίας προσωπικών δεδομένων (GDPR) επιφέρει μία νομοθετική υποχρέωση προσαρμογής σε νέα πρότυπα με στόχο την αυστηροποίηση των διαδικασιών που τηρούνται για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Η προσαρμογή αυτή αφορά όλες τις δημόσιες και ιδιωτικές δομές υγείας και δεσμεύει ατομικά και τους ιατρούς που απασχολούνται σε αυτές τις δομές. Ο κανονισμός προβλέπει ότι τα προσωπικά δεδομένα ανήκουν στους πολίτες και οποιαδήποτε διαδικασία τους αφορά θα πρέπει να προκύψει αποκλειστικά μετά από έγγραφη συγκατάθεσή τους. Ενδεικτικά αναφέρονται κάποια αποσπάσματα από τα επίμαχα άρθρα του Ευρωπαϊκού κανονισμού :
Άρθρο 9#1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
Άρθρο 40. Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση τη συγκατάθεση του ενδιαφερόμενου υποκειμένου των δεδομένων ή με άλλη βάση, προβλεπόμενη από τον νόμο, είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους όπως αναφέρεται στον παρόντα 4.5.2016 EL Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης L 119/7 κανονισμό, περιλαμβανομένης της ανάγκης συμμόρφωσης προς την εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.
Άρθρο 32. Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή με προφορική δήλωση.
Άρθρο 31. Οι δημόσιες αρχές στις οποίες κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με νομική υποχρέωση για την άσκηση των επίσημων καθηκόντων τους, όπως φορολογικές και τελωνειακές αρχές, μονάδες οικονομικής έρευνας, ανεξάρτητες διοικητικές αρχές ή αρχές χρηματοπιστωτικών αγορών που είναι αρμόδιες για τη ρύθμιση και την εποπτεία των αγορών κινητών αξιών δεν θα πρέπει να θεωρηθούν αποδέκτες, εάν λαμβάνουν δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τη διενέργεια ειδικής έρευνας για το γενικό συμφέρον, σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους. Τα αιτήματα κοινολόγησης που αποστέλλονται από δημόσιες αρχές θα πρέπει να είναι πάντα γραπτά, αιτιολογημένα και σύμφωνα με την περίσταση και δεν θα πρέπει να αφορούν το σύνολο ενός συστήματος αρχειοθέτησης ή να οδηγούν στη διασύνδεση των συστημάτων αρχειοθέτησης. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω δημόσιες αρχές θα πρέπει να συμμορφώνεται προς τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
Άρθρο 60. ΕE Γενικός Κανονισμός για την Προστασία Δεδομένων
«Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών» 1. Η επικεφαλής εποπτική αρχή συνεργάζεται με τις άλλες ενδιαφερόμενες εποπτικές αρχές σύμφωνα με το παρόν άρθρο με σκοπό να επιτύχει συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσσουν μεταξύ τους κάθε συναφή πληροφορία.
Άρθρο 85. Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. Κατά συνέπεια, αμέσως μόλις ο υπεύθυνος επεξεργασίας L 119/16 EL Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης 4.5.2016 λάβει γνώση μιας παραβίασης δεδομένων προσωπικού χαρακτήρα, θα πρέπει αμελλητί και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή, εκτός εάν o υπεύθυνος επεξεργασίας μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Εάν μια τέτοια γνωστοποίηση δεν μπορεί να επιτευχθεί εντός 72 ωρών, η γνωστοποίηση θα πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
Επομένως η διαδικασία πρόσβασης των δημόσιων αρχών φορολογικού και οικονομικού ελέγχου σε ηλεκτρονικό υπολογιστή ιατρού, θα πρέπει να τελεί υπό αυστηρές προϋποθέσεις:
- Την έγγραφη και αιτιολογημένη αίτηση της δημόσιας αρχής για πρόσβαση στην ηλεκτρονική βάση που περιέχει εξ’ορισμού ευαίσθητα προσωπικά δεδομένα.
- την ενημέρωση όλων των ασθενών που εμπεριέχονται στη βάση δεδομένων και την έγγραφη συγκατάθεσή τους.
- Την ενημέρωση και γραπτή γνωστοποίηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα από την εποπτεύουσα αρχή και από τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων.
Σύμφωνα με τον κανονισμό (άρθρο 85 #4) : Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Παρακαλούμε για την αγαστή συνεργασία των εμπλεκόμενων φορέων για την τήρηση των κείμενων νομικών διατάξεων.
Μετά τιμής,
Η Πρόεδρος Ο Γραμματέας
Άννα Μαστοράκου Γεώργιος Πατριαρχέας