Συνέντευξη στην Νικολέτα Ντάμπου

Σις 25 Μαΐου 2018 ο νέος Γενικός Κανονισμός για τα Προσωπικά Δεδομένα (GDPR), αναμένεται να τεθεί σε ισχύ και παράλληλα να αλλάξει όλο το υπάρχον ρυθμιστικό πλαίσιο σχετικά με τις δυνατότητες επεξεργασίας των προσωπικών δεδομένων.

Ενόψει των επερχόμενων νομοθετικών αλλαγών σε επίπεδο συμμόρφωσης αναφορικά με το δίκαιο των προσωπικών δεδομένων, ολόκληρη η ιατρική κοινότητα μεταμορφώνεται, καθόσον οι πάροχοι υγείας έρχονται πλέον αντιμέτωποι με την άμεση και επιτακτική ανάγκη αλλαγής του μέχρι σήμερα τρόπου λειτουργίας τους.

Τι αλλάζει ; η κα Ιωάννα Μιχαλοπούλου, Managing Partner στην δικηγορική εταιρεία Μιχαλοπούλου & Συνεργάτες απαντά στις ερωτήσεις του www.healthweb.gr. 

Πως θα επηρεάσει ο GDPR τον χώρο της φαρμακευτικής βιομηχανίας;

Ο GDPR εισάγει ένα νέο χάρτη προστασίας δεδομένων για την φαρμακευτική βιομηχανία. Οι φαρμακευτικές εταιρείες υποχρεούνται να συμμορφωθούν με τις νέες απαιτήσεις και να υιοθετήσουν νέα τεχνικά και οργανωτικά μέτρα. Τα πρόστιμα για τη μη συμμόρφωση ενδέχεται να αγγίξουν μέχρι και τα 20 εκ. ευρώ ή 4% του συνολικού παγκόσμιου ετήσιου τζίρου εργασιών της εταιρείας, ενώ δεν αποκλείεται και η επιδίκαση περαιτέρω αποζημίωσης στα υποκείμενα των δεδομένων. Επιπλέον, οι εταιρείες πρέπει να διενεργούν πριν την οποιαδήποτε επεξεργασία προσωπικών δεδομένων εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας (Data Protection Impact Assessments-DPIAs), ώστε να αξιολογούν το ρίσκο που ενέχει μια επεξεργασία στα προσωπικά δεδομένα του υποκειμένου.

Αναφέρατε ότι πρέπει να ληφθούν νέα μέτρα. Θα μπορούσατε να μας τα αναλύσετε;

Οι υπεύθυνοι επεξεργασίας πρέπει να λάβουν όλα εκείνα τα τεχνικά και οργανωτικά μέτρα ώστε τα δεδομένα που επεξεργάζονται να προστατεύονται ήδη από το στάδιο του σχεδιασμού τους (Privacy by design) αλλά και εξ ορισμού (Privacy by default). Προστασία εξ ορισμού σημαίνει ότι εφαρμόζονται αυτόματα οι αυστηρότερες ρυθμίσεις απορρήτου από τη στιγμή που ένας πελάτης αποκτά ένα καινούριο προϊόν ή υπηρεσία. Με άλλα λόγια, δεν θα απαιτείται κάποια αλλαγή στις ρυθμίσεις απορρήτου από τη μεριά του χρήστη. Η ψευδωνυμοποίηση θα μπορούσε να είναι ένα ακόμα μέτρο. Στο πλαίσιο των νέων αυτών απαιτήσεων, οι επιχειρήσεις θα πρέπει να αναδιαμορφώσουν και να επικαιροποιήσουν τις διαδικασίες τους και να συντάξουν, εφόσον δεν έχουν ήδη, Πολιτικές Απορρήτου και Ασφαλείας αλλά και εσωτερικών Κωδίκων (πχ Δεοντολογίας).

Η διαφορά μεταξύ ανωνυμοποιημένων και ψευδωνυμοποιημένων δεδομένων προκαλεί συχνά σύγχυση. Πότε εφαρμόζονται οι επιταγές του GDPR;

Από την 20ετή μου εμπειρία στο φαρμακευτικό δίκαιο οφείλω να παραδεχτώ ότι τα ανωνυμοποιημένα δεδομένα είναι η βέλτιστη κοινή πρακτική στη βιομηχανία των επιστημών υγείας, ειδικότερα στο πλαίσιο των κλινικών δοκιμών. Σύμφωνα με τον GDPR προσωπικά δεδομένα που ενώ έχουν υποστεί ψευδωνυμοποίηση θα μπορούσαν με την βοήθεια επιπλέον πληροφοριών τελικά να ταυτοποιήσουν ένα άτομο, θεωρούνται ταυτοποιήσιμα προσωπικά δεδομένα και ως εκ τούτου υπόκεινται στις διατάξεις του GDPR. Αντιθέτως, ανωνυμοποιημένα δεδομένα που δεν μπορούν να ταυτοποιήσουν ένα άτομο δεν θεωρούνται προσωπικά δεδομένα.

Τι αντίκτυπο θα έχει στις φαρμακευτικές επιχειρήσεις η ενίσχυση της προστασίας των προσωπικών δεδομένων;

Ο νέος Κανονισμός εισάγει νέα δικαιώματα για τα υποκείμενα όπως αυτό της πρόσβασης στα δεδομένα, της διαγραφής (δικαίωμα στη λήθη), της φορητότητας των δεδομένων τους, της εναντίωσης συμπεριλαμβανομένου και του profiling. Ειδικά το τελευταίο είναι ιδιαίτερα σημαντικό για τις δυνατότητες direct marketing των επιχειρήσεων της υγείας. Επίσης, καθοριστικό ρόλο θα έχει η ρητή συγκατάθεση των υποκειμένων, η οποία πρέπει να λαμβάνεται απαραίτητα πριν από κάθε επεξεργασία των δεδομένων τους.

Τυχόν γνωστοποιήσεις παραβιάσεων των δεδομένων εκ μέρους των υπευθύνων επεξεργασίας πρέπει να κοινοποιούνται στην εποπτική αρχή εντός 72 ωρών. Εισάγεται επομένως ένα πλέγμα δικαιωμάτων, τα οποία θα επηρεάσουν όλες σχεδόν τις δραστηριότητες μιας φαρμακευτικής εταιρείας για τις οποίες θα πρέπει να προετοιμαστούν οι τελευταίες ανάλογα.

Ποιος θα είναι ο ρόλος του Data Protection Officer (DPO) που εισάγεται για πρώτη φορά με το νέο Κανονισμό;

Ο DPO θα διαδραματίζει ένα ρόλο κλειδί εντός της επιχείρησης. Ο διορισμός του κρίνεται υποχρεωτικός όταν οι βασικές δραστηριότητες μια εταιρείες περιλαμβάνουν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως γενετικά ή βιομετρικά δεδομένα και δεδομένα υγείας, δηλαδή δεδομένα που κατεξοχήν χειρίζονται οι φαρμακευτικές εταιρείες.

Τα καθήκοντα του περιλαμβάνουν μεταξύ άλλων την παροχή πληροφοριών και συμβουλών αναφορικά με την επεξεργασία δεδομένων, τον έλεγχο της συμμόρφωσης με τον GDPR και την συνεργασία με τις εποπτικές αρχές.

Πόσο επείγον θεωρείτε το ζήτημα της συμμόρφωσης της φαρμακοβιομηχανίας ενόψει της εφαρμογής του GDPR;

Η κρίσιμη μέρα της πρώτης εφαρμογής του Κανονισμού-GDPR πλησιάζει και οι εταιρείες του χώρου της υγείας που θα δύνανται να αποδείξουν τη συμμόρφωσή τους με τις ρυθμίσεις του, θα είναι αυτές που θα μπορούν να συνεχίσουν σύννομα και χωρίς το φόβο των δυσθεώρητων προστίμων τη δραστηριότητά τους.

Ενόψει μάλιστα και της έκδοσης του τελικού κειμένου του νέου συμπληρωματικού εφαρμοστικού νόμου του ως άνω Γενικού Κανονισμού στην ελληνική επικράτεια, με βάση τον οποίο αναμένεται να προβλεφθούν επιπρόσθετες υποχρεώσεις στους υπευθύνους και εκτελούντες αναφορικά με την επεξεργασία των ευαίσθητων δεδομένων, συμπεριλαμβανομένων και των δεδομένων της υγείας, η συμμόρφωσή τους είναι άμεση και επιβεβλημένη.

Πηγή: HealthWeb