2016-12-28 04:38:10
Φωτογραφία για Πώς αντιλαμβάνονται τα δικαστήρια την έννοια της συγκατάθεσης σε μία ασφαλιστική σύμβαση;
Η Ένωση Ασφαλιστικών Εταιρειών Ελλάδος (ΕΑΕΕ) στο πλαίσιο των συνεχών προσπαθειών της να ενημερώνει τις εταιρίες-μέλη της και να αναδεικνύει νομικά θέματα που επηρεάζουν με άμεσο ή έμμεσο τρόπο την καθημερινή λειτουργία των εταιριών απέστειλε εγκύκλιο η οποία αναφέρεται στις εξελίξεις στη «νομολογία» της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο χώρο των ασφαλίσεων ζωής και υγείας καθώς και στις υποχρεώσεις προς συμμόρφωση στον ν. 2472/1997.

Ένα από τα σημαντικότερα θέματα είναι μεταστροφή της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή/ ΑΠΔΠΧ) όσον αφορά στην οριοθέτηση της έννοιας της συγκατάθεσης και απομάκρυνσή της από τη στενή ερμηνεία της, την οποία η ΑΠΔΠΧ είχε προκρίνει με την απόφασή της 2/2004.

Διαβάστε στη συνέχεια την εγκύκλιο:

(Α) Εξελίξεις στη «νομολογία» της ΑΠΔΠΧ στο χώρο ασφαλίσεων ζωής και υγείας και

(Β) Υποχρεώσεις προς συμμόρφωση στο ν. 2472/1997


(Α) Οι αποφάσεις της ΑΠΔΠΧ

Η ανάλυση που ακολουθεί αφορά αποφάσεις από τις οποίες διαφαίνεται μεταστροφή της Αρχής όσον αφορά στην οριοθέτηση της έννοιας της συγκατάθεσης και απομάκρυνσή της από τη στενή ερμηνεία της, την οποία η ΑΠΔΠΧ είχε προκρίνει με την απόφασή της 2/2004. Υπενθυμίζεται ότι κατά την άποψη της Αρχής, όπως αυτή είχε αποτυπωθεί στην απόφαση 2/2004 αλλά και σε μετέπειτα αποφάσεις της (βλ. 43/2004, 46/2011), η συγκατάθεση στο ασφαλιστήριο συμβόλαιο, στην έκταση που χορηγείται εκ των προτέρων μέσω γενικού όρου της αίτησης ασφάλισης δεν πληροί την έννοια της συγκατάθεσης, όπως ορίζεται στο ν. 2472/1997. Αυτό είχε σαν αποτέλεσμα την απαίτηση για λήψη εκ νέου (ειδικής) συγκατάθεσης σε κάθε περίπτωση (νέας) επεξεργασίας δεδομένων του υποκειμένου (ασφαλισμένου) που ανακύπτει κατά τη διάρκεια ισχύος της ασφαλιστικής σύμβασης.

Έναυσμα για την αλλαγή της Αρχής στο θέμα της συγκατάθεσης, όπως το αντιλαμβανόταν αρχικά, αποτέλεσε η έκδοση απόφασης το 2012 από το ΣτΕ, στο οποίο προσέφυγε ασφαλιστική εταιρία κατά απόφασης της Αρχής.

Η παράθεση των αποφάσεων της Αρχής καθώς και της απόφασης του ΣτΕ αποσκοπεί να σκιαγραφήσει τον τρόπο με τον οποίο η Αρχή τείνει τα τελευταία χρόνια να αντιμετωπίζει τα εν γένει νομικά ζητήματα εφαρμογής του ν. 2472/2997 κατά την εξέλιξη της ασφαλιστικής σύμβασης.

(α) Απόφαση 33/2016

Η ως άνω απόφαση αφορά επανεισαγωγή υπόθεσης, η οποία είχε αρχικά κριθεί με απόφαση του 2008, με την οποία η Αρχή επέβαλε πρόστιμο σε βάρος ασφαλιστικής επιχείρησης με αιτιολογία την παράβαση διατάξεων του ν. 2472/1997. Η εν λόγω απόφαση της Αρχής ανακλήθηκε στη συνέχεια με απόφαση του ΣτΕ.

Η αρχική υπόθεση είχε προκύψει μετά από καταγγελία του υποκειμένου ότι ασφαλιστική επιχείρηση προέβη σε παράνομη επεξεργασία προσωπικών του δεδομένων που αφορούσαν στο σεξουαλικό προσανατολισμό του, λαμβάνοντας υπόψη στοιχείο (απολυτήριο ακαταλληλότητας από το στράτευμα), το οποίο ζητήθηκε και αξιολογήθηκε παρανόμως από αυτήν.

Επανερχόμενη η Αρχή στην υπόθεση μετά την απόφαση του ΣτΕ και επικαλούμενη διατάξεις του ν. 2496/97 για την ασφαλιστική σύμβαση και τις διατάξεις αυτού σχετικά με την εκτίμηση κινδύνου, αποφάνθηκε ότι δεν εμπίπτει στην αρμοδιότητά της να κρίνει για το σύννομο είτε της απαίτησης της επιχείρησης για προσκόμιση του απολυτηρίου είτε της επεξεργασίας αυτού εκ μέρους της και της εν τέλει άρνησής της να συνάψει ασφαλιστική σύμβαση με τον καταγγέλλοντα. Επειδή, εξάλλου, το απολυτήριο κατατέθηκε οικειοθελώς, η επεξεργασία, κατά την Αρχή, έγινε με τη συναίνεση του υποκειμένου.

Καταλήγοντας η Αρχή έκρινε ότι δεν συντρέχει λόγος επιβολής κυρώσεων εις βάρος της ασφαλιστικής επιχείρησης πλην όμως της απηύθυνε σύσταση «να κρίνει τα δεδομένα υγείας των υποψηφίων για ασφάλιση επί τη βάσει άλλων στοιχείων π.χ. ιατρικών και παρακλινικών εξετάσεων και όχι βάσει του απολυτηρίου στρατού το οποίο εκδίδεται για διάφορο σκοπό».

Αξίζει πάντως να σημειωθεί ότι η αρχική απόφαση είχε επιβάλει ιδιαίτερα υψηλό πρόστιμο στην εταιρία θεωρώντας παράνομη την εκ μέρους της επεξεργασία δεδομένων που αφορούσαν αποκλειστικά το σεξουαλικό προσανατολισμό του καταγγέλλοντος με το αιτιολογικό ότι δεν ήταν ούτε πρόσφορη ούτε και αναγκαία για την αξιολόγηση της αίτησης ασφάλισης για το σκοπό της σύναψης σύμβασης ασφάλισης ζωής.

Σχόλιο:

Η νέα απόφαση της Αρχής 33/2016 ελήφθη με αρκετά μεγάλη χρονική απόσταση από την έκδοση της αρχικής απόφασης, η οποία εκδόθηκε το 2008 και ακυρώθηκε με αποφάσεις του ΣτΕ.

Με την απόφαση 33/2016 η ΑΠΔΠΧ υιοθέτησε αισθητά πιο ήπια στάση απέναντι στην ασφαλιστική επιχείρηση, αναγνωρίζοντας την ελευθερία αυτής να εκτιμήσει τον προς ανάληψη κίνδυνο κατ’ εφαρμογήν του δικαίου της ιδιωτικής ασφάλισης αλλά και αξιολογώντας, μεταξύ άλλων, και το πραγματικό γεγονός ότι το ίδιο το υποκείμενο παρέδωσε το επίμαχο στοιχείο. Η αξία του γεγονότος αυτού δεν είχε εκτιμηθεί κατά την προηγούμενη απόφασή της.

(β) Απόφαση 47/2016

Στην απόφαση 47/2016 ασφαλιστική επιχείρηση ζήτησε (με την ιδιότητα του τρίτου) από άλλη ασφαλιστική επιχείρηση τη χορήγηση απλών και ευαίσθητων δεδομένων (υγείας) που αφορούσαν σε ασφαλισμένη της πρώτης και τα οποία τηρούνταν σε αρχεία της δεύτερης (ως υπεύθυνου επεξεργασίας).

Ο σκοπός της επεξεργασίας αφορούσε στην αντίκρουση από την αιτούσα εταιρία των ισχυρισμών που προέβαλε η ασφαλισμένη της κατά αυτής στο πλαίσιο άσκησης εις βάρος της αγωγής αποζημίωσης ενώπιον του Ειρηνοδικείου Αθηνών. Την αγωγή αυτή αρνείτο η εταιρία ως αβάσιμη, ισχυριζόμενη ότι το χειρουργικό επίδομα που διεκδικούσε η ασφαλισμένη της αφορούσε επέμβαση, οφειλόμενη σε προϋπάρχουσα ασθένεια, την οποία η ασφαλισμένη είχε αποκρύψει κατά το προσυμβατικό στάδιο.

Αποδεχόμενη η Αρχή ότι ο σκοπός επεξεργασίας συνάδει με τις διατάξεις του ν. 2472/1997 (άρθρου 5 παρ. 2 στοιχ. ε’ και 7 παρ. 2 στοιχ. γ’) και ότι συγχρόνως επιτυγχάνεται και η αρχή της αναλογικότητας, έδωσε την άδειά της για τη χορήγηση των πληροφοριών, αφού η εταιρία που θα διαβίβαζε τις πληροφορίες προηγουμένως ενημέρωνε το υποκείμενο.

Σχόλιο:

Η απόφαση αυτή έχει πρακτικό αντίκρισμα για δύο λόγους. Αφενός μπορεί να χρησιμοποιηθεί ως αναφορά κατά την υποβολή ανάλογων αιτημάτων προς την ΑΠΔΠΧ. Παρεμφερές περιεχόμενο και αιτιολογικό είχαν και οι αποφάσεις της Αρχής 11/2016, 56/2015 και 59/2015.

Αφετέρου περιέχει μια ενδιαφέρουσα ταξινόμηση των πληροφοριών που ζητούσε η εναγόμενη ασφαλιστική επιχείρηση με κριτήριο το χαρακτήρα τους είτε ως απλών προσωπικών δεδομένων είτε ως ευαίσθητων προσωπικών δεδομένων κατά τις έννοιες του ν. 2472/1997. Συγκεκριμένα, οι αιτούμενες πληροφορίες σχετικά με την ύπαρξη ασφαλιστηρίου, τους όρους του και τη διάρκειά του συνιστούν κατά την ΑΠΔΠΧ απλά προσωπικά δεδομένα. Αντίθετα, οι πληροφορίες σχετικά με την αποζημίωση λόγω νοσηλείας ή λόγω πάθησης συνιστούν ευαίσθητα δεδομένα.

(γ) Απόφαση ΣτΕ 3775/2012

Η ως άνω απόφαση του Συμβουλίου της Επικρατείας ακύρωσε την απόφαση 2/2004 της ΑΠΔΠΧ μετά από την αίτηση ακύρωσης που υπέβαλε η εμπλεκόμενη ασφαλιστική εταιρία. Σημειώνεται ότι η απόφαση 2/2004 ήταν η πρώτη απόφαση με την οποία η Αρχή κλήθηκε να αποφανθεί πάνω σε θέματα εφαρμογής του δικαίου προστασίας των προσωπικών δεδομένων στο χώρο της ιδιωτικής ασφάλισης, εγκαινιάζοντας ένα «νομολογιακό προηγούμενο» που καθόρισε τις επόμενες αποφάσεις της όσον αφορά στην εφαρμογή της έννοιας της συγκατάθεσης.

Η απόφαση του ΣτΕ απορρίπτει κατ’ ουσίαν τη στενή ερμηνεία της έννοιας της συγκατάθεσης που είχε παγιώσει με αποφάσεις της η Αρχή επί σειρά ετών.

Υπενθυμίζεται ότι με την απόφαση 2/2004 η ΑΠΔΠΧ είχε κρίνει ότι η ανακοίνωση ιατρικού στοιχείου (ευαίσθητου προσωπικού δεδομένου) ασφαλισμένης από διαγνωστικό κέντρο σε ασφαλιστική εταιρία χωρίς ενημέρωση του υποκειμένου συνιστά παράβαση του ν.2472/1997, η οποία κατ΄ακολουθίαν καθιστά παράνομη και τη συλλογή και καταχώριση του ιδίου στοιχείου σε αρχείο της ασφαλιστικής εταιρίας.

Με την ίδια απόφαση είχε κρίνει επίσης ότι έλειπε και η συγκατάθεση της ασφαλισμένης για την καταχώριση από την ασφαλιστική εταιρία, με την αιτιολογία ότι «συγκατάθεσή» της στο ασφαλιστήριο συμβόλαιο υπό την μορφή προσχώρησης στους γενικούς του όρους δεν ισοδυναμεί με την κατά το άρθρο 2 περ. ια) του ν. 2472/97 απαιτούμενη «ελεύθερη, ρητή και ειδική δήλωση βούλησης».

Ενδιαφέρον είχε ότι η υπόθεση αφορούσε περίπτωση απόκρυψης προϋπάρχουσας ασθένειας, η οποία δεν είχε δηλωθεί κατά τη σύναψη της σύμβασης και διαπιστώθηκε εκ των υστέρων από την εταιρία κατά την υποβολή της αίτησης αποζημίωσης. Το υπερηχογράφημα, δηλαδή, ζητήθηκε για την απόδειξη απατηλής δήλωσης εκ μέρους της ασφαλισμένης κατά παράβαση του ασφαλιστικού νόμου.

Η Αρχή επέβαλλε στην ασφαλιστική εταιρία πρόστιμο ύψους 20.000 ευρώ και στο διαγνωστικό κέντρο πρόστιμο 30.000 ευρώ.

Το ΣτΕ δικάζοντας την αίτηση ακύρωσης της ως άνω απόφασης που υπέβαλε η ασφαλιστική επιχείρηση, έκρινε ότι υπήρχε συγκεκριμένη και ειδική συγκατάθεση της ασφαλισμένης για την επεξεργασία του επίμαχου δεδομένου, διατυπωθείσα ρητώς στο έντυπο της αίτησης ασφάλισης, η οποία αποτέλεσε μέρος της συναφθείσας σύμβασης ασφάλισης. Ειδικότερα έκρινε ότι «….Η συγκατάθεση που περιέχεται στην αίτηση ασφαλίσεως της ασφαλισμένης δεν ήταν γενική και αόριστη καθ’ όσον δεν αφορούσε οποιαδήποτε επεξεργασία προσωπικών της δεδομένων και δη ευαίσθητων δεδομένων της υγείας της, αλλά παρεσχέθη για όσα μόνο ήσαν απαραίτητα για την εκπλήρωση του σκοπού και τη λειτουργία της ασφαλιστικής συμβάσεως.

Τέτοια, ήσαν σε κάθε περίπτωση τα δεδομένα υγείας που προϋπήρχαν της ασφαλίσεως, τα οποία αποτέλεσαν αντικείμενο συγκεκριμένων ερωτήσεων εκ μέρους της ασφαλιστικής εταιρείας στο έντυπο για ασφάλιση και αντίστοιχα, συγκεκριμένων απαντήσεων εκ μέρους της ασφαλισμένης».

Σχόλιο:

Η ευρύτερη οριοθέτηση της έννοιας της συγκατάθεσης την οποία ανέδειξε το ΣτΕ με τη συγκεκριμένη απόφασή του φαίνεται ότι επηρέασε αναλόγως τις μετέπειτα αποφάσεις της Αρχής.

Έτσι, η μετατόπιση αυτή της ΑΠΔΠΧ αντανακλάται στην απόφαση 90/2014 η οποία αφορούσε την εξέταση από την Αρχή αιτήματος ασφαλιστικής εταιρίας για χορήγηση παραπεμπτικού σημειώματος και αντιγράφων αποτελεσμάτων εξετάσεων από την εταιρία EUROMEDICA στο πλαίσιο αξίωσης της ασφαλισμένης για καταβολή αποζημίωσης (και όχι σημειωτέον σε επίπεδο δικαστικής διένεξης).

Συγκεκριμένα η ΑΠΔΠΧ επικαλούμενη, μεταξύ άλλων και την απόφαση του ΣτΕ 3775/2012, έκρινε ότι «..Η Α υπογράφοντας την αίτηση ασφάλισης και μη υπαναχωρώντας από την ασφαλιστική σύμβαση , αποδέχτηκε το στο ιστορικό αναφερόμενο άρθρο 5 …..Η δήλωση βούλησης στο άρθρο 5 της ασφαλιστικής σύμβασης με την οποία η Α εξουσιοδοτεί ρητώς, μεταξύ άλλων, την ασφαλιστική εταιρεία να λαμβάνει κάθε πληροφορία ή ιστορικό από τα νοσηλευτικά ιδρύματα …συνιστά κατ’ ουσίαν παροχή συγκατάθεσης…ιδίως δεδομένων υγείας. Περαιτέρω, με την άνευ οποιαδήποτε επιφυλάξεως ρητή αποδοχή του άρθρου αυτού, η ασφαλισμένη παρέσχε την…..ελεύθερη συγκατάθεσή της…..Συνεπώς, η για το λόγο αυτό διαβίβαση ευαίσθητων δεδομένων ….δυνάμει του προαναφερόμενου άρθρου της ασφαλιστικής σύμβασης για την ενεργοποίηση της υποχρέωσης της αιτούσης ασφαλιστικής εταιρίας προς καταβολή της αποζημιώσεως της ασφαλισμένης, συνιστά νόμιμο σκοπό επεξεργασίας, ενώ παράλληλα πληρούται και η αρχή της αναλογικότητας…».

Η ίδια συλλογιστική που αναπτύχθηκε στο πλαίσιο της απόφασης εντοπίζεται και στις αποφάσεις 45/2014 και 50/2014.

Σχετική εξάλλου με το θέμα της συγκατάθεσης είναι και η απόφαση 30/2015 της Αρχής. Στην απόφαση αυτή η ΑΠΔΠΧ είχε παραπέμψει με αφορμή ανάλογο αίτημα επεξεργασίας δεδομένων υγείας στην Ολομέλειά της το ζήτημα εάν ο επίμαχος όρος, όπως και παρεμφερείς όροι που χρησιμοποιούν οι ασφαλιστικές επιχειρήσεις στις ασφαλιστικές τους συμβάσεις (επί της ουσίας στις αιτήσεις ασφάλισης) πληρούν όντως τις προϋποθέσεις της ελεύθερης, ρητής, εν πλήρη επιγνώσει και αδιαμφισβήτητης συγκατάθεσης του υποκειμένου-ασφαλισμένου για την επεξεργασία ευαίσθητων προσωπικών δεδομένων του.

Η ανάγκη παραπομπής του θέματος στην Ολομέλεια είχε κατά την ΑΠΔΠΧ άμεση συσχέτιση με το γεγονός ότι μέχρι σήμερα υφίσταται κυμαινόμενη νομολογία, τόσο του Συμβουλίου της Επικρατείας όσο και του Άρειου Πάγου (βλ. ΣτΕ 3775/2012 και ΑΠ 2100/2009) όσο και της ίδιας (βλ. αποφάσεις 2/2004, 66/2005, 46/2011, 78/2012 κ.α.). Παρά το γενικότερο ενδιαφέρον του ζητήματος η προώθηση και συζήτησή του δεν προχώρησε στην Ολομέλεια καθώς η αίτηση διεκπεραιώθηκε με απόφαση Τμήματος της Αρχής, η οποία ελήφθη υπό την πίεση της δικαστικής διαδικασίας που βρισκόταν εκείνο το χρονικό διάστημα σε εκκρεμότητα.

Κατά συνέπεια μέχρι σήμερα δεν υπάρχει άποψη εκπεφρασμένη από την Ολομέλεια της ΑΠΔΠΧ για το σημαντικό αυτό θέμα, ώστε να χαρακτηρισθεί ως παγιωμένη άποψη της Αρχής.

Β) Υποχρεώσεις προς συμμόρφωση στο ν. 2472/1997

Λαμβάνοντας υπόψη τις εξελίξεις που έχουν επέλθει τα τελευταία χρόνια στη νομολογία που αφορά στο ν. 2472/1997, όπως αναλύθηκαν παραπάνω ακολουθεί σύντομη, ενδεικτική και κατά το δυνατόν συστηματοποιημένη ανακεφαλαίωση των βασικότερων υποχρεώσεων που απορρέουν για τις ασφαλιστικές επιχειρήσεις από τις σχετικές διατάξεις του ν. 2472/1997.

Πιο συγκεκριμένα, οι ασφαλιστικές επιχειρήσεις στο πλαίσιο της συμμόρφωσής τους με το ν. 2472/1997 είναι σημαντικό να μεριμνούν για τα ακόλουθα:

1. Να λαμβάνουν την πλήρη συγκατάθεση του υποκειμένου κατά την έννοια του ν. 2472/1997 και τις απαιτήσεις περί του ειδικού, ρητού και ελεύθερου χαρακτήρα αυτής, προκειμένου να καθίσταται επιτρεπτή η επεξεργασία στοιχείων ασφάλισης, υγείας και ιατρικού φακέλου του ασφαλισμένου τόσο κατά τη διάρκεια ισχύος της ασφαλιστικής σύμβασης όσο και ενδεχομένως μετά τη λύση/ λήξη αυτής και για όσο χρόνο υπάρχει απαίτηση που θα προκύπτει από αυτήν.

Η δήλωση συγκατάθεσης χορηγείται οπωσδήποτε μέσω της αίτησης ασφάλισης, η οποία αποτελεί αναπόσπαστο τμήμα της ασφαλιστικής σύμβασης και περιέχει την κατά το δυνατόν πιο αναλυτική και πληρέστερη καταγραφή των σκοπών της επεξεργασίας των δεδομένων (και δη ευαίσθητων προσωπικών δεδομένων) των ασφαλισμένων τους, συμπεριλαμβανομένων, μεταξύ άλλων, των αποδεκτών αλλά και πηγών των δεδομένων αυτών. Εις ό,τι αφορά ειδικά τους αποδέκτες, προτείνεται σε αυτούς να αναγράφεται ως πιθανός αποδέκτης άλλη ασφαλιστική επιχείρηση, παρ’ όλο ότι σε αυτή τη φάση μια τέτοια προσθήκη δεν φαίνεται να απαλλάσσει τις επιχειρήσεις από την υποχρέωση λήψης της άδειας της Αρχής (βλέπετε όμως και αντίθετη κρίση της Αρχής σε περίπτωση νοσηλευτικού ιδρύματος στην απόφαση 46/2011 παρ. 10).

Η δήλωση πρέπει να περιέχει επιπλέον ακριβή και πλήρη ενημέρωση του υποκειμένου-υποψήφιου να ασφαλιστεί για τα δικαιώματα αντίρρησης και πρόσβασης που κατοχυρώνει η νομοθεσία υπέρ των υποκειμένων.

Σε ό,τι αφορά τη συγκατάθεση, οι ασφαλιστικές εταιρίες μπορούν να προκρίνουν τη λήψη αυτής και σε μεταγενέστερα της σύναψης της σύμβασης ασφάλισης χρονικά σημεία επ’ αφορμή άλλων γεγονότων και ενδεικτικά κατά την εισαγωγή στο νοσοκομείο μέσω των δηλώσεων ασθενείας και νοσοκομειακής περίθαλψης, κατά την εξέταση από τον ιατρό πραγματογνώμονα κ.α.

2. Να ενημερώνουν το υποκείμενο-υποψήφιο να ασφαλιστεί πρόσωπο για τις εξετάσεις στις οποίες τυχόν απαιτείται να υποβληθεί κατά τον προασφαλιστικό του έλεγχο στον οποίο αυτό υπόκειται, καθ’ υπόδειξη της ασφαλιστικής επιχείρησης, προς το σκοπό της σύναψης ασφαλιστικής σύμβασης.

Η ενημέρωση λαμβάνει χώρα πριν την πραγματοποίηση των εξετάσεων εγγράφως (με τη λήψη υπογραφής του παραπεμπτικού) μέσω του ασφαλιστικού διαμεσολαβητή ή του διαγνωστικού κέντρου, στο οποίο η ασφαλιστική εταιρία κατά τη συνήθη διαδικασία διαβιβάζει το παραπεμπτικό με ονομαστική αναλυτική καταγραφή των εξετάσεων (βλ. εγκύκλιο Ε.Α.Ε.Ε. 19 934/8.3.2010).

3. Να ενημερώνουν το υποκείμενο για κάθε διαβίβαση που ενεργούν προς τρίτους δεδομένων που οι ίδιες τηρούν. Η ενημέρωση σε κάθε περίπτωση προηγείται της διαβίβασης (βλ. απόφαση 153/2014).

4. Να ενημερώνουν την Αρχή χωρίς καθυστέρηση για κάθε μεταβολή των στοιχείων που περιέχονται στην άδεια λειτουργίας των αρχείων τους, όπως του είδους των συλλεγόμενων δεδομένων, του σκοπού της επεξεργασίας, των πηγών (π.χ. όχι μόνο ο ίδιος ο ασφαλισμένος και η οικογένεια/ συγγενείς αυτού αλλά και οι παρέχοντες υπηρεσίες υγείας) και των αποδεκτών αυτών κ.α. Ως προς τους αποδέκτες, θα πρέπει να επιδιώκεται η όσο το δυνατόν μεγαλύτερη εξατομίκευση. Επί παραδείγματι, δεν αρκεί η γενική, αόριστη αναφορά των ασφαλιστικών διαμεσολαβητών ως μια κατηγορία αποδεκτών. Η σχετική καταχώρηση θα πρέπει να περιλαμβάνει τις επιμέρους κατηγορίες ασφαλιστικών διαμεσολαβητών, με ξεχωριστή μνεία, ενδεικτικά, των τραπεζών ως τέτοιων. Αντίθετα, δεν απαιτείται από το ν. 2472/1997 ονομαστική καταγραφή των αποδεκτών.

Τα στοιχεία για τα οποία ζητείται η άδεια λειτουργίας ενός αρχείου και τα οποία εγκρίνονται από την ΑΠΔΠΧ θα πρέπει να είναι όσο πιο πλήρη γίνεται με σκοπό τη νομική κατοχύρωση της επιχείρησης σε περίπτωση προσφυγής υπόθεσης στην Αρχή ή στις δικαστικές αρχές.

Ενδεικτικά θα ήταν χρήσιμο να προστεθεί ως σκοπός επεξεργασίας η δικαστική χρήση δεδομένων υγείας και ασφάλισης που τηρεί η ασφαλιστική επιχείρηση με σκοπό την άσκηση ή υπεράσπιση δικαιώματος αυτής ως υπευθύνου επεξεργασίας ενώπιον δικαστηρίου ή πειθαρχικού οργάνου. Μια τέτοια τροποποίηση της αρχικής άδειας λειτουργίας του αρχείου της ασφαλιστικής επιχείρησης ίσως την απάλλασσε από την ανάγκη λήψης κάθε φορά σχετικής άδειας της Αρχής. Η προσθήκη αυτή προτείνεται επ’ αφορμή της απόφασης 74/2010 της Αρχής σύμφωνα με την οποία η προσθήκη ειδικού όρου για δικαστική χρήση στοιχείων υπάρχοντος αρχείου θα απαλλάσσει το νοσηλευτικό ίδρυμα από την ανάγκη ad hoc αίτησης άδειας για το συγκεκριμένο σκοπό. 1

Αλλαγή στοιχείων συνεπάγεται έκδοση νέας άδειας κατά το ν. 2472/1997 (πλην της αλλαγής διεύθυνσης του υπευθύνου επεξεργασίας ή του εκπροσώπου αυτού).

Επίσης, καθότι η άδεια δίνεται για ορισμένο χρόνο, οι εταιρίες θα πρέπει να μεριμνούν για την έγκαιρη ανανέωσή της κατόπιν αίτησης προς την Αρχή.

Είναι, εξάλλου, χρήσιμο οι επιχειρήσεις να διασφαλίσουν ότι και οι συνεργαζόμενοι με αυτές πάροχοι υγείας (π.χ. ιδιωτικές κλινικές, διαγνωστικά κέντρα) στο πλαίσιο των δικών τους αδειών έχουν μεριμνήσει για τις απαραίτητες αντίστοιχες καταχωρήσεις και κυρίως ότι στην εκδοθείσα άδειά τους περιλαμβάνονται οι ασφαλιστικές επιχειρήσεις ως αποδέκτες των δεδομένων υγείας ασθενών τους.

5. Να λαμβάνουν τα κατάλληλα και απαιτούμενα για την ασφαλή διαχείριση των βάσεων δεδομένων και συστημάτων τους οργανωτικά και τεχνικά μέτρα με σκοπό την αποτροπή μη εξουσιοδοτημένης πρόσβασης. Οι επιχειρήσεις επιδιώκουν να βελτιώνουν τα μέτρα ασφαλείας που εφαρμόζουν και τις σχετικές με αυτά διαδικασίες, λαμβάνοντας τα πλέον σύγχρονα τεχνικά μέτρα ενίσχυσης της ασφάλειας και της προστασίας των δεδομένων των πελατών τους, με έμφαση στα ευαίσθητα δεδομένα υγείας αυτών (βλ. απόφαση ΑΠΔΠΧ 98/2013). Ενδεικτικά μέτρα αποτελούν η εφαρμογή πολιτικών ασφαλείας και ορθής διαχείρισης δεδομένων, η χρήση κωδικών από πολύ περιορισμένο αριθμό προσώπων.

6. Οι συμβάσεις συνεργασίας με τους ασφαλιστικούς διαμεσολαβητές να περιέχουν οπωσδήποτε όρους εμπιστευτικότητας των δεδομένων που περιέρχονται σε γνώση τους κατά την εκτέλεση των καθηκόντων τους. Οι διαμεσολαβητές απαγορεύεται να τηρούν φάκελο με δεδομένα υγείας και κλινικών εξετάσεων των ασφαλισμένων και εν γένει δικαιούχων απαιτήσεων από ασφάλιση.

1 Στην απόφαση 74/2010 η ΑΠΔΠΧ χαρακτηριστικά αναφέρει ότι «…οι επιμελείς υπεύθυνοι επεξεργασίας ζητούν την άδεια να προβούν σε δικαστική χρήση δεδομένων που τηρούν (στοιχεία ιατρικού φακέλου ασθενούς) προκειμένου να ασκήσουν τα δικαιώματά τους ενώπιον δικαστηρίου….».
Πηγή Tromaktiko
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΣΧΟΛΙΑΣΤΕ
ΑΚΟΛΟΥΘΗΣΤΕ ΤΟ NEWSNOWGR.COM
ΣΧΕΤΙΚΑ ΑΡΘΡΑ
ΠΡΟΗΓΟΥΜΕΝΑ ΑΡΘΡΑ