Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52009XX0606(03)

Σχέδιο γνώμης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη

OJ C 128, 6.6.2009, p. 20–27 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/20


Σχέδιο γνώμης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη

2009/C 128/03

Ο ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ,

Έχοντας υπόψη:

συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 286,

το Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 8,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών,

τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, και ιδίως το άρθρο 41,

την αίτηση γνωμοδότησης σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 που υποβλήθηκε στον ΕΕΠΔ στις 2 Ιουλίου 2008,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΓΝΩΜΗ:

Ι.   ΕΙΣΑΓΩΓΗ

Η πρόταση οδηγίας για την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη

1.

Στις 2 Ιουλίου 2008, η Επιτροπή υιοθέτησε πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη (εφεξής: «η πρόταση»). (1) Η Επιτροπή υπέβαλε την πρόταση στον ΕΕΠΔ προς γνωμοδότηση σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001.

2.

Η πρόταση αποσκοπεί στον καθορισμό κοινοτικού πλαισίου για την παροχή διασυνοριακής υγειονομικής περίθαλψης εντός της ΕΕ για τις περιπτώσεις κατά τις οποίες η περίθαλψη που επιζητούν οι ασθενείς παρέχεται σε κράτος μέλος διαφορετικό από την πατρίδα τους. Η πρόταση διαρθρώνεται γύρω από τρεις κύριους άξονες:

θέσπιση κοινών αρχών για όλα τα συστήματα υγειονομικής περίθαλψης της ΕΕ, με σαφή καθορισμό των ευθυνών των κρατών μελών,

ανάπτυξη συγκεκριμένου πλαισίου για τη διασυνοριακή υγειονομική περίθαλψη στο οποίο θα διευκρινίζονται τα δικαιώματα των ασθενών για υγειονομική περίθαλψη σε άλλο κράτος μέλος,

προαγωγή της ευρωπαϊκής συνεργασίας για την υγειονομική περίθαλψη, σε τομείς όπως η αναγνώριση συνταγών που εκδίδονται σε άλλες χώρες, τα ευρωπαϊκά δίκτυα αναφοράς, η αξιολόγηση της τεχνολογίας υγειονομικής περίθαλψης, η συλλογή δεδομένων, η ποιότητα και η ασφάλεια.

3.

Ο στόχος του πλαισίου αυτού είναι διττός: σαφής καθορισμός των δικαιωμάτων για επιστροφή δαπανών για υγειονομική περίθαλψη που παρέχεται σε άλλα κράτη μέλη, και εξασφάλιση της τήρησης των αναγκαίων απαιτήσεων για ασφαλή και αποτελεσματική διασυνοριακή υγειονομική περίθαλψη υψηλής ποιότητας.

4.

Για την εφαρμογή ενός συστήματος διασυνοριακής υγειονομικής περίθαλψης απαιτείται ανταλλαγή των σχετικών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία (εφεξής: «δεδομένα υγείας») των ασθενών μεταξύ των εγκεκριμένων φορέων και των επαγγελματιών του τομέα της υγείας των διαφόρων κρατών μελών. Τα δεδομένα αυτά θεωρούνται ευαίσθητα και εμπίπτουν στους αυστηρότερους κανόνες προστασίας δεδομένων που προβλέπονται στο άρθρο 8 της οδηγίας 95/46/ΕΚ για τις ειδικές κατηγορίες δεδομένων.

Αίτηση γνωμοδότησης του ΕΕΠΔ

5.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι ζητείται η γνώμη του για το ζήτημα αυτό και ότι η αίτηση γνωμοδότησης αναφέρεται στο προοίμιο της πρότασης, σύμφωνα με το άρθρο 28 του κανονισμού (ΕΚ) αριθ. 45/2001.

6.

Είναι η πρώτη φορά που ζητείται επίσημα η γνώμη του ΕΕΠΔ για πρόταση οδηγίας στον τομέα της υγείας. Επομένως, στην παρούσα γνώμη, ορισμένα σχόλια έχουν ευρύτερη εμβέλεια και καλύπτουν γενικά ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα στον τομέα της υγείας τα οποία θα μπορούσαν να ισχύουν και για άλλες νομικές πράξεις (δεσμευτικές ή μη).

7.

Κατ′ αρχάς, ο ΕΕΠΔ επιθυμεί να δηλώσει ότι υποστηρίζει τις πρωτοβουλίες για τη βελτίωση των συνθηκών διασυνοριακής υγειονομικής περίθαλψης. Πράγματι, η πρόταση αυτή πρέπει να εξεταστεί στο πλαίσιο του γενικού κοινοτικού προγράμματος για τη βελτίωση της υγείας των πολιτών στην κοινωνία των πληροφοριών. Άλλες σχετικές πρωτοβουλίες είναι η αναμενόμενη οδηγία και ανακοίνωση της Επιτροπής για τη δωρεά και τη μεταμόσχευση ανθρώπινων οργάνων (2), η σύσταση περί της διαλειτουργικότητας των ηλεκτρονικών ιατρικών φακέλων (3), καθώς και η αναμενόμενη ανακοίνωση για την τηλεϊατρική (4). Ωστόσο, ο ΕΕΠΔ ανησυχεί για το γεγονός ότι όλες αυτές οι αλληλένδετες πρωτοβουλίες δεν συνδέονται στενά ή/και δεν είναι εναρμονισμένες ως προς το αντικείμενο της ιδιωτικότητας και της ασφάλειας των δεδομένων, γεγονός που εμποδίζει την υιοθέτηση ενιαίας προσέγγισης για την προστασία των δεδομένων στον τομέα της υγείας, ιδίως όσον αφορά τη χρήση νέων τεχνολογιών ΤΠΕ. Για παράδειγμα, στην υπό εξέταση πρόταση, μολονότι η τηλεϊατρική αναφέρεται ρητά στην αιτιολογική παράγραφο 10, δεν αναφέρεται καθόλου η διάσταση προστασίας δεδομένων της σχετικής ανακοίνωσης της Επιτροπής. Εξάλλου, μολονότι οι ηλεκτρονικοί ιατρικοί φάκελοι αποτελούν έναν τρόπο επικοινωνίας δεδομένων υγείας σε διασυνοριακό επίπεδο, η πρόταση δεν περιέχει αναφορά στην σχετική σύσταση της Επιτροπής. (5). Κατά αυτόν τον τρόπο, παρέχεται η εντύπωση ότι δεν έχει ακόμη αναπτυχθεί μια καθαρή συνολική θεώρηση των θεμάτων ιδιωτικότητας στον τομέα της υγείας και ότι, σε ορισμένες περιπτώσεις, η θεώρηση αυτή απουσιάζει τελείως.

8.

Αυτό είναι επίσης εμφανές στην εξεταζόμενη πρόταση, στην οποία ο ΕΕΠΔ με λύπη του διαπιστώνει ότι δεν αντιμετωπίζονται κατά συγκεκριμένο τρόπο οι επιπτώσεις ως προς την προστασία δεδομένων. Υπάρχουν βεβαίως αναφορές στην προστασία δεδομένων, αλλά οι αναφορές αυτές είναι γενικής φύσεως και δεν αντικατοπτρίζουν κατάλληλα τις συγκεκριμένες ανάγκες και απαιτήσεις όσον αφορά την ιδιωτικότητα στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης.

9.

Ο ΕΕΠΔ επιθυμεί να τονίσει ότι μια ομοιόμορφη και ουσιαστική προσέγγιση της προστασίας δεδομένων στις προτεινόμενες νομοθετικές πράξεις του τομέα της υγείας όχι μόνον θα διασφαλίσει το θεμελιώδες δικαίωμα των πολιτών για προστασία των δεδομένων τους, αλλά και θα συμβάλει στην περαιτέρω ανάπτυξη της διασυνοριακής υγειονομικής περίθαλψης στην ΕΕ.

ΙΙ.   ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΚΑΤΑ ΤΗ ΔΙΑΣΥΝΟΡΙΑΚΗ ΥΓΕΙΟΝΟΜΙΚΗ ΠΕΡΙΘΑΛΨΗ

Γενικό πλαίσιο

10.

Ο κυριότερος στόχος της Ευρωπαϊκής Κοινότητας υπήρξε ανέκαθεν η εγκαθίδρυση μιας εσωτερικής αγοράς, δηλαδή ενός χώρου χωρίς εσωτερικά σύνορα εντός του οποίου εξασφαλίζεται η ελεύθερη κυκλοφορία εμπορευμάτων, προσώπων, υπηρεσιών και κεφαλαίων. Είναι, επομένως, φυσικό ότι η δυνατότητα των ατόμων να μετακινούνται και να διαμένουν ευκολότερα σε κράτη μέλη διαφορετικά από την πατρίδα τους οδήγησε σε ζητήματα σχετικά με την υγειονομική περίθαλψη. Για το λόγο αυτόν, κατά τη δεκαετία του 1990, το Ευρωπαϊκό Δικαστήριο αντιμετώπισε, στο πλαίσιο της εσωτερικής αγοράς, ζητήματα που αφορούν την ενδεχόμενη επιστροφή ιατρικών δαπανών που πραγματοποιούνται σε άλλο κράτος μέλος. Το Δικαστήριο αναγνώρισε ότι η ελευθερία παροχής υπηρεσιών, που προβλέπεται στο άρθρο 49 της συνθήκη ΕΚ, περιλαμβάνει την ελευθερία των ατόμων να μετακινούνται σε άλλο κράτος μέλος για υγειονομική περίθαλψη (6). Κατά συνέπεια, οι ασθενείς που επιθυμούν να λάβουν διασυνοριακή υγειονομική περίθαλψη δεν μπορούν πλέον να αντιμετωπίζονται διαφορετικά από τους υπηκόους της χώρας προέλευσής τους που λαμβάνουν την ίδια ιατρική περίθαλψη χωρίς να διαβαίνουν τα σύνορα.

11.

Αυτές οι αποφάσεις του Δικαστηρίου αποτελούν τον πυρήνα της εξεταζόμενης πρότασης. Αφού η νομολογία του Δικαστηρίου βασίζεται σε επί μέρους υποθέσεις, η εξεταζόμενη πρόταση αποσκοπεί στη βελτίωση της σαφήνειας ώστε να εξασφαλιστεί γενικότερη και ουσιαστικότερη εφαρμογή των ελευθεριών λήψης και παροχής υγειονομικών υπηρεσιών. Αλλά, όπως προαναφέρεται, η πρόταση εντάσσεται σε ένα πλέον φιλόδοξο πρόγραμμα για τη βελτίωση της υγείας των πολιτών στο πλαίσιο της κοινωνίας των πληροφοριών το οποίο, κατά την ΕΕ, προσφέρει σημαντικές δυνατότητες για τη βελτίωση της διασυνοριακής υγειονομικής περίθαλψης μέσω της χρήσης της τεχνολογίας των πληροφοριών.

12.

Για προφανείς λόγους, ο καθορισμός κανόνων για τη διασυνοριακή υγειονομική περίθαλψη είναι λεπτό ζήτημα που άπτεται ενός ευαίσθητου τομέα στον οποίον τα κράτη μέλη έχουν καθιερώσει διαφορετικά εθνικά συστήματα, π.χ. όσον αφορά την ασφάλιση και την επιστροφή των εξόδων ή την οργάνωση της υποδομής υγειονομικής περίθαλψης, συμπεριλαμβανομένων των σχετικών πληροφοριακών δικτύων και εφαρμογών. Μολονότι, στην εξεταζόμενη πρόταση, ο κοινοτικός νομοθέτης εστιάζει μόνον στη διασυνοριακή υγειονομική περίθαλψη, οι σχετικοί κανόνες θα επηρεάσουν τουλάχιστον τον τρόπο με τον οποίον οργανώνονται τα εθνικά συστήματα υγειονομικής περίθαλψης.

13.

Η βελτίωση των συνθηκών παροχής διασυνοριακής υγειονομικής περίθαλψης θα ωφελήσει τους πολίτες, παράλληλα όμως συνεπάγεται και ορισμένους κινδύνους γι' αυτούς. Πρέπει να επιλυθούν πολυάριθμα πρακτικά προβλήματα λόγω της διασυνοριακής συνεργασίας μεταξύ ατόμων από διαφορετικές χώρες με διαφορετικές γλώσσες. Αφού η ποιότητα της υγείας είναι το πρωταρχικό μέλημα κάθε πολίτη, θα πρέπει να αποφευχθούν οι κίνδυνοι παρανόησης και συνακόλουθης ανακρίβειας. Είναι προφανές ότι η βελτίωση της διασυνοριακής υγειονομικής περίθαλψης σε συνδυασμό με τις εξελίξεις της τεχνολογίας των πληροφοριών έχει σημαντικές επιπτώσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Λόγω της αποτελεσματικότερης και, άρα, αυξανόμενης ανταλλαγής δεδομένων υγείας, της αυξανόμενης απόστασης μεταξύ των ενδιαφερομένων και των αρμόδιων φορέων, και των διαφορών μεταξύ εθνικών νομοθετικών διατάξεων για την εφαρμογή των κανόνων προστασίας των δεδομένων, ανακύπτουν ζητήματα ασφάλειας των δεδομένων και ασφάλειας δικαίου.

Προστασία των δεδομένων υγείας

14.

Πρέπει να τονιστεί ότι τα δεδομένα υγείας θεωρούνται ειδική κατηγορία δεδομένων που απαιτεί υψηλότερη προστασία. Όπως αποφάνθηκε πρόσφατα το Ευρωπαϊκό Δικαστήριο Ανθρώπινων Δικαιωμάτων, στη συνάρτηση του άρθρου 8 της Ευρωπαϊκής Σύμβασης Ανθρώπινων Δικαιωμάτων, «η προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε των ιατρικών δεδομένων, έχει θεμελιώδη σημασία για την άσκηση του δικαιώματος του ατόμου για προστασία της ιδιωτικής και της οικογενειακής του ζωής, την οποία εγγυάται το άρθρο 8 της Σύμβασης» (7). Πριν εξηγήσουμε τους αυστηρότερους κανόνες που ισχύουν για την επεξεργασία των δεδομένων υγείας σύμφωνα με την οδηγία 95/46/ΕΚ, πρέπει να αναφερθούμε εν συντομία στην έννοια των «δεδομένων υγείας».

15.

Η οδηγία 95/46/ΕΚ δεν περιέχει ρητό ορισμό των δεδομένων υγείας. Συνήθως, εφαρμόζεται διασταλτική ερμηνεία, και τα δεδομένα υγείας ορίζονται συχνά ως «δεδομένα προσωπικού χαρακτήρα που συνδέονται σαφώς και στενά με την περιγραφή της κατάστασης υγείας ενός ατόμου» (8). Από την άποψη αυτήν, τα δεδομένα υγείας περιλαμβάνουν, κανονικά, τα ιατρικά δεδομένα (π.χ. παραπεμπτικά και συνταγές ιατρών, εκθέσεις ιατρικών εξετάσεων, εργαστηριακές εξετάσεις, ακτινογραφίες κλπ.), καθώς και διοικητικά και χρηματοοικονομικά δεδομένα που σχετίζονται με την υγεία (π.χ. έγγραφα που αφορούν την εισαγωγή σε νοσοκομείο, τον αριθμό κοινωνικής ασφάλισης, τον προγραμματισμό ιατρικών ραντεβού, τα τιμολόγια παροχής υπηρεσιών υγειονομικής περίθαλψης κλπ.). Σημειωτέον ότι ο όρος «ιατρικά δεδομένα» (9) χρησιμοποιείται ενίοτε για τα δεδομένα που αφορούν την υγεία, παράλληλα με τον όρο «δεδομένα υγειονομικής περίθαλψης». (10) Στην παρούσα γνώμη, γίνεται χρήση του όρου «δεδομένα υγείας».

16.

Ένας χρήσιμος ορισμός των «δεδομένων υγείας» περιέχεται στο πρότυπο ISO 27799: «πληροφορίες οι οποίες αφορούν τη φυσική ή την ψυχική υγεία ενός ατόμου, ή την παροχή υγειονομικών υπηρεσιών στο άτομο, και οι οποίες μπορούν να περιλαμβάνουν: α) πληροφορίες σχετικά με την εγγραφή του ατόμου για την παροχή υγειονομικών υπηρεσιών, β) πληροφορίες για πληρωμές ή επιλεξιμότητα για παροχή υγειονομικής περίθαλψης στο άτομο, γ) αριθμό, σύμβολο ή άλλο στοιχείο που αποδίδεται στο άτομο προκειμένου να ταυτοποιείται μονοσήμαντα για λόγους υγείας, δ) πληροφορίες σχετικά με το άτομο οι οποίες συλλέγονται κατά την παροχή υγειονομικών υπηρεσιών σε αυτό, ε) πληροφορίες που προέρχονται από τις δοκιμές ή την εξέταση του σώματος ή ουσιών του σώματος, και στ) ταυτοποίηση ενός ατόμου (επαγγελματία του τομέα της υγείας) ως παρόχου υγειονομικής περίθαλψης στο άτομο».

17.

Ο ΕΕΠΔ υποστηρίζει σθεναρά την υιοθέτηση συγκεκριμένου ορισμού για τα «δεδομένα υγείας» σε συνάρτηση της εξεταζόμενης πρότασης, ο οποίος θα μπορούσε να χρησιμοποιηθεί και στο μέλλον σε άλλα σχετικά κοινοτικά νομικά κείμενα (βλ. Τμήμα ΙΙΙ κατωτέρω).

18.

Το άρθρο 8 της οδηγίας 95/46/ΕΚ θεσπίζει τους κανόνες επεξεργασίας ειδικών κατηγοριών δεδομένων. Οι κανόνες αυτοί είναι αυστηρότεροι από τους κανόνες επεξεργασίας άλλων δεδομένων οι οποίοι προβλέπονται στο άρθρο 7 της οδηγίας 95/46/ΕΚ. Το γεγονός αυτό καταδεικνύεται ήδη στην παράγραφο 1 του άρθρου 8 η οποία αναφέρει ρητά ότι τα κράτη μέλη απαγορεύουν την επεξεργασία, μεταξύ άλλων, δεδομένων που αφορούν την υγεία. Οι επόμενες παράγραφοι του άρθρου αυτού περιέχουν διάφορες παρεκκλίσεις από την απαγόρευση αυτήν, οι οποίες όμως είναι λιγότερο ευρείες από τους λόγους επεξεργασίας συνήθων δεδομένων οι οποίοι καθορίζονται στο άρθρο 7. Για παράδειγμα, η απαγόρευση δεν ισχύει εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του [άρθρο 8 παράγραφος 2 στοιχείο α)], εν αντιθέσει προς τη υπονοούμενη συγκατάθεση που απαιτείται σύμφωνα με το άρθρο 7 στοιχείο α) της οδηγίας 95/46/ΕΚ. Εξάλλου, το δίκαιο των κρατών μελών μπορεί να ορίζει ότι, σε ορισμένες περιπτώσεις, ακόμη και η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα δεν αρκεί για την άρση της απαγόρευσης. Η παράγραφος 3 του άρθρου 8 καλύπτει αποκλειστικά την επεξεργασία δεδομένων που αφορούν την υγεία. Σύμφωνα με την παράγραφο αυτήν, η απαγόρευση της παραγράφου 1 δεν ισχύει εάν η επεξεργασία είναι αναγκαία για την ιατρική πρόληψη ή διάγνωση, την παροχή ιατροφαρμακευτικής αγωγής ή τη διαχείριση των ιατροφαρμακευτικών υπηρεσιών, η δε επεξεργασία των δεδομένων αυτών εκτελείται από κατ' επάγγελμα θεράποντα της υγείας υποκείμενο στο επαγγελματικό απόρρητο το οποίο προβλέπει το εθνικό δίκαιο ή από άλλο πρόσωπο το οποίο ομοίως υπέχει αντίστοιχη υποχρέωση.

19.

Το άρθρο 8 της οδηγίας 95/46/ΕΚ δίνει μεγάλη έμφαση στο γεγονός ότι τα κράτη μέλη θα πρέπει να παρέχουν τις δέουσες ή κατάλληλες εγγυήσεις. Για παράδειγμα, η παράγραφος 4 του άρθρου 8 παρέχει στα κράτη μέλη τη δυνατότητα να θεσπίζουν και άλλες παρεκκλίσεις από την απαγόρευση επεξεργασίας ευαίσθητων δεδομένων για σοβαρούς λόγος δημόσιου συμφέροντος, εφόσον παρέχονται οι δέουσες εγγυήσεις. Η διάταξη αυτή υπογραμμίζει, κατά γενικό τρόπο, την ευθύνη των κρατών μελών να δίνουν ιδιαίτερη προσοχή στην επεξεργασία ευαίσθητων δεδομένων, όπως τα δεδομένα που αφορούν την υγεία.

Προστασία των δεδομένων υγείας σε διασυνοριακές καταστάσεις

Κοινή ευθύνη των Κρατών Μελών

20.

Τα κράτη μέλη θα πρέπει να έχουν σαφή επίγνωση της προαναφερόμενης ευθύνης όταν τίθεται ζήτημα διασυνοριακής ανταλλαγής δεδομένων υγείας. Όπως προαναφέρεται, η διασυνοριακή ανταλλαγή δεδομένων υγείας αυξάνει τον κίνδυνο ανακριβούς ή παράνομης επεξεργασίας δεδομένων, πράγμα το οποίο θα είχε, προφανώς, τεράστιες αρνητικές επιπτώσεις για το άτομο στο οποίο αναφέρονται τα δεδομένα. Στη διαδικασία αυτήν συμμετέχουν τόσο το κράτος μέλος ασφάλισης (στο οποίο είναι ασφαλισμένος ο ασθενής) όσο και το κράτος μέλος αγωγής (στο οποίο όντως παρέχεται η υγειονομική περίθαλψη), τα οποία, κατά συνέπεια, φέρουν κοινή ευθύνη.

21.

Υπό αυτό το πρίσμα, η ασφάλεια των δεδομένων υγείας είναι σημαντικό θέμα. Στην προαναφερόμενη πρόσφατη υπόθεση, το Ευρωπαϊκό Δικαστήριο Ανθρώπινων Δικαιωμάτων απέδωσε ιδιαίτερη βαρύτητα στην εμπιστευτικότητα των δεδομένων υγείας:«Ο σεβασμός της εμπιστευτικότητας των δεδομένων υγείας αποτελεί ζωτική αρχή των νομικών συστημάτων όλων των Συμβαλλόμενων Μερών της Σύμβασης. Είναι σημαντικό όχι μόνον να γίνεται σεβαστή η έννοια της ιδιωτικότητας του ασθενούς αλλά και να διατηρείται η εμπιστοσύνη του στο ιατρικό επάγγελμα και στις υγειονομικές υπηρεσίες εν γένει» (11).

22.

Εξάλλου, οι κανόνες προστασίας των δεδομένων, οι οποίοι καθορίζονται στην οδηγία 95/46/ΕΚ, υποχρεώνουν το κράτος μέλος ασφάλισης να παρέχει στον ασθενή κατάλληλες, ορθές και επικαιροποιημένες πληροφορίες σχετικά με τη διαβίβαση των προσωπικών του δεδομένων σε άλλο κράτος μέλος και να εξασφαλίζει την ασφαλή διαβίβαση των δεδομένων σε αυτό το κράτος μέλος. Το κράτος μέλος αγωγής θα πρέπει επίσης να εξασφαλίζει την ασφαλή παραλαβή των δεδομένων αυτών και να παρέχει το δέον επίπεδο προστασίας κατά την επεξεργασία των δεδομένων, σύμφωνα με το εθνικό του δίκαιο περί προστασίας δεδομένων.

23.

Ο ΕΕΠΔ επιθυμεί να αποσαφηνιστεί η κοινή ευθύνη των κρατών μελών το πλαίσιο της πρότασης, λαμβανομένης υπόψη, μεταξύ άλλων, της ηλεκτρονικής διαβίβασης δεδομένων, ιδίως στη συνάρτηση νέων εφαρμογών ΤΠΕ, όπως αναφέρεται κατωτέρω.

Ηλεκτρονική διαβίβαση δεδομένων υγείας

24.

Η βελτίωση της διασυνοριακής ανταλλαγής δεδομένων υγείας εξασφαλίζεται κυρίως με τη χρήση της τεχνολογίας των πληροφοριών. Μολονότι η ανταλλαγή δεδομένων στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης μπορεί ακόμη να πραγματοποιείται με μη αυτοματοποιημένο τρόπο (π.χ. ο ασθενής μεταβαίνει σε άλλο κράτος μέλος παίρνοντας μαζί του τα δεδομένα υγείας του, όπως εργαστηριακές εξετάσεις, παραπεμπτικά ιατρών κλπ.), υπάρχει σαφής πρόθεση να αντικατασταθούν τα έγγραφα από ηλεκτρονικά μέσα. Η ηλεκτρονική διαβίβαση δεδομένων υγείας θα υποστηριχθεί από τα συστήματα πληροφοριών υγείας που έχουν εγκατασταθεί (ή πρόκειται να εγκαταστηθούν) στα κράτη μέλη (στα νοσοκομεία, κλινικές κλπ.), καθώς και από τη χρήση νέων τεχνολογιών, όπως οι εφαρμογές ηλεκτρονικών ιατρικών φακέλων (που θα λειτουργούν ενδεχομένως μέσω του διαδικτύου), καθώς και άλλων μέσων, όπως οι κάρτες υγείας ασθενών και ιατρών. Βεβαίως, είναι δυνατόν να χρησιμοποιούνται ταυτόχρονα έγγραφα και ηλεκτρονικά μέσα, ανάλογα με τα συστήματα υγειονομικής περίθαλψης των κρατών μελών.

25.

Οι εφαρμογές ηλεκτρονικής υγείας και τηλεϊατρικής, οι οποίες εμπίπτουν στο πεδίο εφαρμογής της προτεινόμενης οδηγίας, θα εξαρτώνται αποκλειστικά από την ανταλλαγή ηλεκτρονικών δεδομένων υγείας (π.χ. ζωτικά σήματα, εικόνες κλπ.), συνήθως σε συνδυασμό με άλλα υπάρχοντα ηλεκτρονικά συστήματα πληροφοριών υγείας που είναι εγκατεστημένα στα κράτη μέλη αγωγής και ασφάλισης. Στα συστήματα αυτά περιλαμβάνονται εφαρμογές τηλεδιάδρασης μεταξύ ασθενούς και ιατρού (π.χ. τηλεπαρακολούθηση και τηλεδιάγνωση) όσο και μεταξύ ιατρών (π.χ. τηλεπικοινωνία μεταξύ επαγγελματιών του τομέα της υγείας για έμπειρες συμβουλές σε συγκεκριμένα περιστατικά υγείας). Άλλες ειδικότερες εφαρμογές υγείας που υποστηρίζουν τη γενική παροχή διασυνοριακής υγειονομικής περίθαλψης θα μπορούσαν επίσης να βασίζονται αποκλειστικά στην ηλεκτρονική ανταλλαγή δεδομένων, όπως π.χ. η ηλεκτρονική συνταγογράφηση ή το ηλεκτρονικό παραπεμπτικό, που ήδη εφαρμόζεται σε εθνικό επίπεδο από μερικά κράτη μέλη (12).

Τομείς που εμπνέουν ανησυχία κατά τη διασυνοριακή ανταλλαγή δεδομένων υγείας

26.

Λαμβανομένων υπόψη των ανωτέρω, καθώς και της ποικιλομορφίας των συστημάτων υγείας των κρατών μελών και της αυξανόμενης ανάπτυξης των εφαρμογών ηλεκτρονικής υγείας, ανακύπτουν ανησυχίες στους ακόλουθους δύο βασικούς τομείς όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα κατά τη διασυνοριακή υγειονομική περίθαλψη: α) τα διαφορετικά επίπεδα ασφαλείας που ενδέχεται να εφαρμόζουν τα κράτη μέλη για την προστασία των δεδομένων προσωπικού χαρακτήρα (από άποψη τεχνικών και οργανωτικών μέτρων), και β) η ενσωμάτωση τηςιδιωτικότητας στις εφαρμογές ηλεκτρονικής υγείας, ιδίως στις νέες εξελίξεις. Επιπλέον, θα πρέπει να δοθεί προσοχή και σε άλλες πτυχές, όπως η δευτερεύουσα χρήση δεδομένων υγείας, ιδίως για την εκπόνηση στατιστικών μελετών. Τα ζητήματα αυτά αναλύονται περαιτέρω παρακάτω.

Ασφάλεια δεδομένων στα κράτη μέλη

27.

Παρά το γεγονός ότι οι οδηγίες 95/46/ΕΚ και 2002/58/ΕΚ εφαρμόζονται ομοιόμορφα στην Ευρώπη, η ερμηνεία και η εφαρμογή ορισμένων στοιχείων ενδέχεται να διαφέρει από τη μία χώρα στην άλλη, ιδίως σε τομείς όπου οι νομικές διατάξεις είναι γενικές και εξαρτώνται από τη διακριτική ευχέρεια του εκάστοτε κράτους μέλους. Σε αυτό το πλαίσιο, το κυριότερο πεδίο ανησυχίας είναι η ασφάλεια της επεξεργασίας, δηλαδή τα (τεχνικά και οργανωτικά) μέτρα που λαμβάνουν τα κράτη μέλη για να διασφαλίζουν την ασφάλεια των δεδομένων υγείας.

28.

Μολονότι η αυστηρή προστασία των δεδομένων υγείας είναι ευθύνη των κρατών μελών, δεν υπάρχει, προς το παρόν, γενικώς αποδεκτός ορισμός του «κατάλληλου» επιπέδου ασφαλείας για την υγειονομική περίθαλψη εντός της ΕΕ ο οποίος θα μπορούσε να εφαρμοστεί στην περίπτωση της διασυνοριακής υγειονομικής περίθαλψης. Για παράδειγμα, ένα νοσοκομείο ενός κράτους μέλους μπορεί να υποχρεούται, βάσει των εθνικών κανονιστικών διατάξεων για την προστασία των δεδομένων, να λαμβάνει συγκεκριμένα μέτρα ασφαλείας (π.χ. να καθορίζει πολιτική ασφαλείας και κώδικες δεοντολογίας, συγκεκριμένους κανόνες για τη σύναψη συμβολαίων και τη χρήση εξωτερικών εργολάβων, απαιτήσεις ελέγχου κλπ.), πράγμα που μπορεί να μη συμβαίνει σε άλλα κράτη μέλη. Η ασυνέπεια αυτή ενδέχεται να έχει επιπτώσεις στη διασυνοριακή ανταλλαγή δεδομένων, ιδίως όταν αυτή πραγματοποιείται με ηλεκτρονικά μέσα, αφού δεν είναι δυνατόν να διασφαλιστεί ότι η ασφάλεια των δεδομένων (από τεχνική και οργανωτική άποψη) είναι του αυτού επιπέδου στα διάφορα κράτη μέλη.

29.

Επομένως, απαιτείται περαιτέρω εναρμόνιση στον τομέα αυτόν, πρέπει δηλαδή να καθοριστεί ένα κοινό σύνολο απαιτήσεων ασφαλείας για την υγεία το οποίο θα πρέπει να υιοθετηθεί από κοινού από τους παρόχους υπηρεσιών υγειονομικής περίθαλψης των κρατών μελών. Η ανάγκη αυτή εντάσσεται οπωσδήποτε στη γενική ανάγκη για καθορισμό κοινών αρχών για τα συστήματα υγείας της Ευρωπαϊκής Ένωσης, όπως προβλέπεται στην πρόταση.

30.

Αυτό πρέπει να γίνει κατά γενικό τρόπο, χωρίς να επιβληθούν συγκεκριμένες τεχνικές λύσεις στα κράτη μέλη, αλλά με τον καθορισμό μιας αμοιβαία αναγνωρισμένης και αποδεκτής βάσης, π.χ. στους τομείς ανάπτυξης πολιτικής ασφάλειας, αναγνώρισης και αυθεντικοποίησης των ασθενών και των επαγγελματιών του τομέα της υγείας, κλπ. Τα υφιστάμενα ευρωπαϊκά και διεθνή πρότυπα (π.χ. ISO και CEN) για την υγεία και την ασφάλεια, καθώς και οι ευρέως αποδεκτές τεχνικές έννοιες με νομική βάση (π.χ. ηλεκτρονικές υπογραφές (13) θα μπορούσαν να χρησιμεύσουν ως οδηγός για το εγχείρημα αυτό.

31.

Ο ΕΕΠΔ υποστηρίζει την ιδέα της εναρμόνισης της ασφάλειας των δεδομένων στην υγεία σε επίπεδο ΕΕ και φρονεί ότι η Επιτροπή θα πρέπει να αναλάβει σχετικές πρωτοβουλίες, ήδη στο πλαίσιο της εξεταζόμενης πρότασης (βλ. Τμήμα ΙΙΙ κατωτέρω).

Ιδιωτικότητα στις εφαρμογές ηλεκτρονικής υγείας

32.

Η ιδιωτικότητα και η ασφάλεια θα πρέπει να αποτελούν μέρος του σχεδιασμού και της εφαρμογής κάθε συστήματος υγειονομικής περίθαλψης, ιδίως δε των εφαρμογών ηλεκτρονικής υγείας που αναφέρονται στην εξεταζόμενη πρόταση («ιδιωτικότητα κατά τον σχεδιασμό»). Η αναμφισβήτητη αυτή απαίτηση έχει ήδη υποστηριχθεί και σε άλλα σχετικά έγγραφα πολιτικής, τόσο γενικής εμβέλειας (14) όσο και ειδικά για την υγεία (15).

33.

Στο πλαίσιο της διαλειτουργικότητας της ηλεκτρονικής υγείας που συζητείται στην πρόταση, η έννοια της «ιδιωτικότητας κατά τον σχεδιασμό» θα πρέπει να τονιστεί και πάλι ως βάση για όλες τις προτεινόμενες εξελίξεις. Η έννοια αυτή εφαρμόζεται σε πολλά διαφορετικά επίπεδα: το οργανωτικό, το σημασιολογικό, και το τεχνικό.

Στο οργανωτικό επίπεδο, η ιδιωτικότητα θα πρέπει να λαμβάνεται υπόψη κατά τον καθορισμό των διαδικασιών που απαιτούνται για την ανταλλαγή δεδομένων υγείας μεταξύ των φορέων υγειονομικής περίθαλψης των κρατών μελών. Αυτό ενδέχεται να έχει άμεσο αντίκτυπο στο είδος των ανταλλαγών και στο εύρος ανταλλαγής δεδομένων (π.χ. χρήση αναγνωριστικών αριθμών αντί των πραγματικών ονομάτων των ασθενών όταν αυτό είναι εφικτό).

Στο σημασιολογικό επίπεδο, οι απαιτήσεις ιδιωτικότητας και ασφάλειας θα πρέπει να ενσωματωθούν σε νέα πρότυπα και δομές, π.χ. στον καθορισμό του προτύπου ηλεκτρονικής συνταγής που συζητείται στην πρόταση. Μια τέτοια προσπάθεια θα μπορούσε να βασιστεί στα υφιστάμενα τεχνικά πρότυπα του τομέα, όπως τα πρότυπα για την εμπιστευτικότητα των δεδομένων και την ηλεκτρονική υπογραφή, και να καλύπτουν τις ειδικότερες ανάγκες για την υγεία, όπως η αυθεντικοποίηση των ειδικευμένων επαγγελματιών του τομέα της υγείας ανάλογα με το ρόλο τους.

Στο τεχνικό επίπεδο, η αρχιτεκτονική των συστημάτων και οι εφαρμογές των χρηστών θα πρέπει να ενσωματώνουν τεχνολογίες προώθησης της ιδιωτικότητας, εφαρμόζοντας τον προαναφερόμενο σημασιολογικό ορισμό.

34.

Ο ΕΕΠΔ κρίνει ότι ο τομέας των ηλεκτρονικών συνταγών θα μπορούσε να χρησιμεύσει ως αφετηρία για την ενσωμάτωση απαιτήσεων ιδιωτικότητας και ασφάλειας ήδη κατά την αρχική φάση ανάπτυξης (βλ. Τμήμα ΙΙΙ κατωτέρω).

Άλλες πτυχές

35.

Μια άλλη πτυχή που θα πρέπει να εξεταστεί στο πλαίσιο της διασυνοριακής ανταλλαγής δεδομένων υγείας είναι η δευτερεύουσα χρήση των δεδομένων υγείας, ιδίως δε η χρήση των δεδομένων για την εκπόνηση στατιστικών μελετών, όπως προβλέπεται ήδη στην εξεταζόμενη πρόταση.

36.

Όπως προαναφέρεται στο σημείο 18, η παράγραφος 4 του άρθρου 8 της οδηγίας 95/46/ΕΚ προβλέπει τη δυνατότητα δευτερεύουσας χρήσης των δεδομένων υγείας. Ωστόσο, αυτή η περαιτέρω επεξεργασία θα πρέπει να πραγματοποιείται μόνον για «σοβαρούς λόγος δημόσιου συμφέροντος» και πρέπει να υπόκειται σε «δέουσες εγγυήσεις» που καθορίζονται από το εθνικό δίκαιο ή με απόφαση της εποπτικής αρχής (16). Επίσης, σε περίπτωση επεξεργασίας των δεδομένων για στατιστικούς λόγους, όπως επίσης αναφέρεται στη γνώμη του ΕΕΠΔ για την πρόταση κανονισμού σχετικά με κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία (17), ένας πρόσθετος κίνδυνος ανακύπτει από τη διαφορετική έννοια που ενδέχεται να έχουν οι όροι «εμπιστευτικότητα» και «προστασία δεδομένων», αφενός μεν, κατά την εφαρμογή της νομοθεσίας περί προστασίας δεδομένων, αφετέρου δε, κατά την εφαρμογή της νομοθεσίας περί στατιστικών.

37.

Ο ΕΕΠΔ επιθυμεί να υπογραμμίσει τα στοιχεία αυτά στο πλαίσιο της εξεταζόμενης πρότασης. Θα πρέπει να περιληφθούν σαφέστερες αναφορές των απαιτήσεων προστασίας δεδομένων όσον αφορά τη μετέπειτα χρήση των δεδομένων υγείας (βλ. Τμήμα ΙΙΙ κατωτέρω).

ΙΙΙ.   ΛΕΠΤΟΜΕΡΗΣ ΑΝΑΛΥΣΗ ΤΗΣ ΠΡΟΤΑΣΗΣ

Οι διατάξεις περί προστασίας δεδομένων της πρότασης

38.

Σε διάφορα σημεία της πρότασης υπάρχουν πολλές αναφορές στην προστασία των δεδομένων και την ιδιωτικότητα, και συγκεκριμένα:

Στην αιτιολογική παράγραφο 3 αναφέρεται, μεταξύ άλλων, ότι η οδηγία πρέπει να τίθεται σε ισχύ και να εφαρμόζεται με το δέοντα σεβασμό των δικαιωμάτων προστασίας της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα,

Στην αιτιολογική παράγραφο 11 αναφέρονται το θεμελιώδες δικαίωμα σεβασμού της ιδιωτικής ζωής κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και η εμπιστευτικότητα ως δύο από τις λειτουργικές αρχές τις οποίες ακολουθούν τα συστήματα υγείας σε ολόκληρη την Κοινότητα,

Στην αιτιολογική παράγραφο 17 το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα χαρακτηρίζεται ως θεμελιώδες δικαίωμα των ατόμων το οποίο πρέπει να διαφυλάσσεται, με ιδιαίτερη έμφαση στο δικαίωμα του ατόμου για πρόσβαση στα δεδομένα υγείας - μεταξύ άλλων, στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης - όπως προβλέπεται από την οδηγία 95/46/ΕΚ,

Το σημείο α) της παραγράφου 1 του άρθρου 3, στο οποίο καθορίζεται η σχέση της οδηγίας με άλλες κοινοτικές διατάξεις, παραπέμπει στις οδηγίες 95/46/ΕΚ και 2002/58/ΕΚ,

Στην παράγραφο 1 στοιχείο στ) του άρθρου 5, το οποίο πραγματεύεται τις ευθύνες του κράτους μέλους αγωγής, καθορίζεται η προστασία του δικαιώματος ιδιωτικότητας ως μία από τις ευθύνες αυτές, σύμφωνα με τα εθνικά μέτρα εφαρμογής των οδηγιών 95/46/ΕΚ και 2002/58/ΕΚ,

Στην παράγραφο 5 του άρθρου 6, το οποίο αφορά την υγειονομική περίθαλψη που παρέχεται σε άλλο κράτος μέλος, τονίζεται το δικαίωμα πρόσβασης των ασθενών στα ιατρικά τους μητρώα όταν μεταβαίνουν σε άλλο κράτος μέλος για να λάβουν υγειονομική περίθαλψη ή για να αναζητήσουν υγειονομική περίθαλψη που παρέχεται σε άλλο κράτος μέλος, και πάλι σύμφωνα με τα εθνικά μέτρα εφαρμογής των οδηγιών 95/46/ΕΚ και 2002/58/ΕΚ,

Στην παράγραφο 2 στοιχείο α) του άρθρου 12, το οποίο αφορά τα εθνικά σημεία επαφής για τη διασυνοριακή υγειονομική περίθαλψη, αναφέρεται ότι αυτά τα σημεία επαφής θα πρέπει να είναι υπεύθυνα, μεταξύ άλλων, για την παροχή και τη διάδοση, στους ασθενείς, πληροφοριών σχετικά με τις εγγυήσεις προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχει άλλο κράτος μέλος,

Στο άρθρο 16 σχετικά με την ηλεκτρονική υγεία αναφέρεται ότι τα μέτρα για την επίτευξη διαλειτουργικότητας των συστημάτων τεχνολογιών πληροφόρησης και επικοινωνίας θα πρέπει να σέβονται το θεμελιώδες δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το εφαρμοστέο δίκαιο,

Τέλος, στην παράγραφο 1 του άρθρου 18 αναφέρεται, μεταξύ άλλων, ότι η συλλογή δεδομένων για στατιστικούς λόγους και για λόγους ελέγχου θα πρέπει να πραγματοποιείται σύμφωνα με την εθνική και την κοινοτική νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα.

39.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι, κατά την εκπόνηση της πρότασης, ελήφθη υπόψη η προστασία των δεδομένων και ότι επιχειρείται να καταδειχθεί η γενική ανάγκη ιδιωτικότητας στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης. Ωστόσο, οι διατάξεις της πρότασης, οι οποίες αφορούν την προστασία των δεδομένων, είναι είτε πολύ γενικές είτε παραπέμπουν στις ευθύνες των κρατών μελών κατά μάλλον επιλεκτικό και αποσπασματικό τρόπο:

Συγκεκριμένα, οι αιτιολογικές παράγραφοι 3 και 11 και το άρθρο 3 παράγραφος 1 στοιχείο α), το άρθρο 16 και το άρθρο 18 παράγραφος 1 αναφέρονται στην ουσία στο γενικό νομικό πλαίσιο προστασίας δεδομένων (τα δύο τελευταία άρθρα, στο πλαίσιο της ηλεκτρονικής υγείας και της εκπόνησης στατιστικών, αλλά χωρίς να καθορίζουν συγκεκριμένες απαιτήσεις ιδιωτικότητας).

Όσον αφορά τις ευθύνες των κρατών μελών, υπάρχει μια γενική αναφορά στο άρθρο 5 παράγραφος 1 στοιχείο στ).

Η αιτιολογική παράγραφος 17 και το άρθρο 6 παράγραφος 5 περιλαμβάνουν πιο συγκεκριμένη αναφορά στο δικαίωμα πρόσβασης των ασθενών στο κράτος μέλος αγωγής.

Τέλος, στο στοιχείο α) της παραγράφου 2 του άρθρου 12 περιέχεται διάταξη για το δικαίωμα ενημέρωσης των ασθενών στο κράτος μέλος ασφάλισης (μέσω της λειτουργίας των εθνικών σημείων επαφής).

Επιπλέον, όπως προαναφέρεται στην εισαγωγή της παρούσας γνώμης, δεν υπάρχει σύνδεση ή αναφορά στις πτυχές ιδιωτικότητας που καλύπτονται από άλλες κοινοτικές νομοθετικές πράξεις (δεσμευτικές ή μη) στον τομέα της υγειονομικής περίθαλψης, ιδίως όσον αφορά τη χρήση νέων εφαρμογών ΤΠΕ (όπως η τηλεϊατρική ή οι ηλεκτρονικοί ιατρικοί φάκελοι).

40.

Κατ′ αυτόν τον τρόπο, μολονότι η ιδιωτικότητα αναφέρεται γενικά ως απαίτηση για τη διασυνοριακή υγειονομική περίθαλψη, δεν υπάρχει μια συνολική καθαρή εικόνα των απαιτήσεων, ούτε υπό το πρίσμα των υποχρεώσεων των κρατών μελών, ούτε υπό το πρίσμα των ιδιαιτεροτήτων που εισάγει η διασυνοριακή φύση της παροχής υπηρεσιών υγειονομικής περίθαλψης (εν αντιθέσει προς την εθνική παροχή υπηρεσιών υγειονομικής περίθαλψης). Συγκεκριμένα:

Οι ευθύνες των κρατών μελών δεν παρουσιάζονται κατά ολοκληρωμένο τρόπο, αφού ορισμένες υποχρεώσεις (δικαίωμα πρόσβασης και ενημέρωσης) τονίζονται - αλλά σε διαφορετικά μέρη της πρότασης - ενώ άλλες, όπως η ασφάλεια επεξεργασίας, παραλείπονται τελείως.

Δεν γίνεται καμία αναφορά στις διαφορές μεταξύ των μέτρων ασφαλείας των κρατών μελών, ούτε στην ανάγκη για εναρμόνιση της ασφάλειας των δεδομένων υγείας σε ευρωπαϊκό επίπεδο, στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης.

Δεν γίνεται καμία αναφορά στην ενσωμάτωση της έννοιας της ιδιωτικότητας στις εφαρμογές ηλεκτρονικής υγείας, ούτε στην περίπτωση των ηλεκτρονικών συνταγών.

41.

Επιπλέον, το άρθρο 18, το οποίο πραγματεύεται τη συλλογή δεδομένων για στατιστικούς σκοπούς και για σκοπούς ελέγχου, εμπνέει ορισμένες ανησυχίες. Η παράγραφος 1 αναφέρει τα «στατιστικά και άλλα συμπληρωματικά δεδομένα»· επίσης, αναφέρει τον «έλεγχο» (στα αγγλικά: «monitoring purposes»), στη συνέχεια δε, απαριθμεί τους τομείς που υπάγονται στον έλεγχο αυτό, ήτοι την παροχή διασυνοριακής υγειονομικής περίθαλψης, την παρεχόμενη αγωγή, τους παρόχους και τους ασθενείς, το κόστος, και την έκβαση. Σε αυτό το πλαίσιο, το οποίο είναι ήδη πολύ ασαφές, υπάρχει μεν γενική αναφορά στη νομοθεσία περί προστασίας δεδομένων, χωρίς όμως να καθορίζονται συγκεκριμένες απαιτήσεις για τη μετέπειτα χρήση δεδομένων που αφορούν την υγεία όπως προβλέπεται στο άρθρο 8 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Επιπλέον, η παράγραφος 2 περιέχει μια άνευ όρων υποχρέωση για διαβίβαση μεγάλου όγκου δεδομένων στην Επιτροπή, τουλάχιστον ετησίως. Αφού δεν υπάρχει ρητή αναφορά σε αξιολόγηση της ανάγκης για τη διαβίβαση αυτήν, δημιουργείται η εντύπωση ότι ο κοινοτικός νομοθέτης έχει ήδη αποφασίσει ότι οι διαβιβάσεις αυτές προς την Επιτροπή είναι αναγκαίες.

Οι συστάσεις του ΕΕΠΔ

42.

Για να καλυφθούν κατάλληλα τα προαναφερόμενα στοιχεία, ο ΕΕΠΔ διατυπώνει τις ακόλουθες συστάσεις, υπό μορφήν πέντε βασικών φάσεων τροποποιήσεων:

Φάση 1 — Ορισμός των δεδομένων υγείας

43.

Το άρθρο 4 περιέχει τους βασικούς ορισμούς που χρησιμοποιούνται στην πρόταση. Ο ΕΕΠΔ συνιστά να προστεθεί στο άρθρο αυτό ένας ορισμός των δεδομένων υγείας. Σε αυτό θα πρέπει να χρησιμοποιηθεί διασταλτική ερμηνεία του όρου «δεδομένα υγείας», όπως περιγράφεται στο Τμήμα ΙΙ της παρούσας γνώμης (σημεία 14 και 15).

Φάση 2 — Προσθήκη συγκεκριμένου άρθρου για την προστασία των δεδομένων

44.

Ο ΕΕΠΔ συνιστά επίσης να προστεθεί στην πρόταση συγκεκριμένο άρθρο για την προστασία των δεδομένων, το οποίο να καθορίζει τη συνολική διάσταση ιδιωτικότητας κατά σαφή και κατανοητό τρόπο. Το άρθρο αυτό θα πρέπει: α) να περιγράφει τις ευθύνες των κρατών μελών ασφάλισης και αγωγής, συμπεριλαμβανομένης, μεταξύ άλλων, της ανάγκης για ασφάλεια της επεξεργασίας, και β) να εντοπίζει τους κύριους τομείς για περαιτέρω ανάπτυξη, δηλ. εναρμόνιση της ασφάλειας και ενσωμάτωση της έννοιας της ιδιωτικότητας στην ηλεκτρονική υγεία. Όσον αφορά τα ζητήματα αυτά, είναι δυνατόν να προστεθούν συγκεκριμένες διατάξεις (στο προτεινόμενο άρθρο), όπως εξηγείται στις φάσεις 3 και 4 κατωτέρω.

Φάση 3 — Εναρμόνιση της ασφάλειας

45.

Μετά την τροποποίηση που αναφέρεται στη φάση 2, ο ΕΕΠΔ συνιστά να θεσπίσει η Επιτροπή ένα μηχανισμό για τον καθορισμό ενός επιπέδου ασφαλείας, κοινής αποδοχής, για τα δεδομένα υγείας σε εθνικό επίπεδο, λαμβάνοντας υπόψη τα υφιστάμενα σχετικά τεχνικά πρότυπα. Αυτό θα πρέπει να αντικατοπτρίζεται στην πρόταση, και θα μπορούσε να επιτευχθεί με τη χρήση της διαδικασίας επιτροπολογίας που περιγράφεται ήδη στο άρθρο 19 για άλλα μέρη της πρότασης. Επιπλέον, γα την εκπόνηση των σχετικών κατευθυντήριων γραμμών, θα μπορούσαν να χρησιμοποιηθούν και άλλα μέσα, με τη σύμπραξη όλων των ενδιαφερομένων, όπως η Ομάδα του άρθρου 29 και ο ΕΕΠΔ.

Φάση 4 — Ενσωμάτωση της ιδιωτικότητας στο πρότυπο ηλεκτρονικής συνταγής

46.

Το άρθρο 14, που αφορά την αναγνώριση συνταγών που εκδίδονται σε άλλο κράτος μέλος, προβλέπει την ανάπτυξη κοινοτικού προτύπου συνταγής το οποίο να υποστηρίζει τη διαλειτουργικότητα των ηλεκτρονικών συνταγών. Το μέτρο αυτό θα θεσπιστεί με τη διαδικασία επιτροπολογίας που προβλέπεται στο άρθρο 19 παράγραφος 2 της πρότασης.

47.

Ο ΕΕΠΔ συνιστά να ενσωματωθούν, στο προτεινόμενο πρότυπο ηλεκτρονικής συνταγής, οι έννοιες της ιδιωτικότητας και της ασφάλειας, ξεκινώντας από την βασική σημασιολογική διαμόρφωση του προτύπου. Αυτό θα πρέπει να αναφέρεται ρητά στο άρθρο 14 παράγραφος 2 στοιχείο α). Και πάλι, έχει ύψιστη σημασία η σύμπραξη όλων των ενδιαφερομένων. Εν προκειμένω, ο ΕΕΠΔ επιθυμεί να τηρείται ενήμερος και να συμπράττει στις περαιτέρω ενέργειες για το θέμα αυτό μέσω της προτεινόμενης διαδικασίας επιτροπολογίας.

Φάση 5 — Μετέπειτα χρήση των δεδομένων υγείας για στατιστικούς σκοπούς και σκοπούς παρακολούθησης

48.

Για να αποφεύγονται οι παρανοήσεις, ο ΕΕΠΔ συνιστά να διευκρινιστεί το νόημα της έκφρασης «άλλα συμπληρωματικά δεδομένα» του άρθρου 18 παράγραφος 1. Επίσης, το άρθρο αυτό θα πρέπει να τροποποιηθεί ώστε να αναφέρει σαφέστερα τις απαιτήσεις για τη μετέπειτα χρήση των δεδομένων υγείας που αναφέρεται στο άρθρο 8 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Εξάλλου, η υποχρέωση διαβίβασης όλων των δεδομένων στην Επιτροπή, η οποία προβλέπεται στην παράγραφο 2, θα πρέπει να εξαρτάται από αξιολόγηση της ανάγκης για τη διαβίβαση αυτήν για θεμιτούς σκοπούς που θα καθορίζονται δεόντως προκαταβολικά.

IV.   ΣΥΜΠΕΡΑΣΜΑΤΑ

49.

Ο ΕΕΠΔ υποστηρίζει για τις πρωτοβουλίες που αναλήφθηκαν για τη βελτίωση των συνθηκών διασυνοριακής υγειονομικής περίθαλψης. Εκφράζει όμως ανησυχίες για το γεγονός ότι οι κοινοτικές πρωτοβουλίες για την υγεία δεν χαρακτηρίζονται πάντοτε από ικανοποιητικό συντονισμό όσον αφορά τη χρήση των ΤΠΕ, την ιδιωτικότητα και την ασφάλεια, πράγμα που παρεμποδίζει την υιοθέτηση καθολικής προσέγγισης προστασίας δεδομένων στον τομέα της υγείας.

50.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την αναφορά στην ιδιωτικότητα που περιέχεται στην εξεταζόμενη πρόταση. Χρειάζονται, όμως, ορισμένες τροποποιήσεις, όπως επεξηγείται στο Τμήμα ΙΙ της παρούσας γνώμης, προκειμένου να καθοριστούν σαφείς απαιτήσεις για τα κράτη μέλη αγωγής και ασφάλισης, και για να αντιμετωπιστεί κατάλληλα η διάσταση προστασίας δεδομένων της διασυνοριακής υγειονομικής περίθαλψης:

Στο άρθρο 4 θα πρέπει να προστεθεί ορισμός των δεδομένων υγείας, ο οποίος να καλύπτει τα δεδομένα προσωπικού χαρακτήρα που συνδέονται σαφώς και στενά με την περιγραφή της κατάστασης υγείας ενός ατόμου. Ο ορισμός αυτός θα πρέπει, κατ' αρχήν, να περιλαμβάνει τα ιατρικά δεδομένα αλλά και τα διοικητικά και χρηματοοικονομικά δεδομένα που σχετίζονται με την υγεία.

Συνιστάται θερμά να προστεθεί ένα άρθρο για την προστασία των δεδομένων. Το άρθρο αυτό θα πρέπει να δίνει μια σαφή γενική εικόνα, περιγράφοντας τις ευθύνες των κρατών μελών ασφάλισης και αγωγής και εντοπίζοντας τους κυριότερους τομείς για περαιτέρω εξελίξεις, δηλ. εναρμόνιση της ασφάλειας και ενσωμάτωση της έννοιας της ιδιωτικότητας, ιδίως στις εφαρμογές ηλεκτρονικής υγείας.

Συνιστάται να θεσπίσει η Επιτροπή, στο πλαίσιο της εξεταζόμενης πρότασης, ένα μηχανισμό για τον καθορισμό ενός επιπέδου ασφαλείας, κοινής αποδοχής, για τα δεδομένα υγείας σε εθνικό επίπεδο, λαμβάνοντας υπόψη τα υφιστάμενα σχετικά τεχνικά πρότυπα. Θα πρέπει επίσης να ενθαρρυνθούν και άλλες πρωτοβουλίες, με τη σύμπραξη όλων των ενδιαφερομένων, της Ομάδας του άρθρου 29 και του ΕΕΠΔ.

Συνιστάται να ενσωματωθεί η έννοια της «ιδιωτικότητας κατά τον σχεδιασμό» στο προτεινόμενο κοινοτικό πρότυπο ηλεκτρονικής συνταγής (μεταξύ άλλων, στο σημασιολογικό επίπεδο). Αυτό θα πρέπει να αναφέρεται σαφώς στο άρθρο 14 παράγραφος 2 στοιχείο α). Ο ΕΕΠΔ επιθυμεί να τηρείται ενήμερος και να συμπράττει στις περαιτέρω ενέργειες για το θέμα αυτό μέσω της προτεινόμενης διαδικασίας επιτροπολογίας.

Συνιστάται να διατυπωθεί σαφέστερα το άρθρο 18 και να περιληφθεί ρητή αναφορά στις συγκεκριμένες απαιτήσεις για τη μετέπειτα χρήση των δεδομένων που αφορούν την υγεία η οποία προβλέπεται στο άρθρο 8 παράγραφος 4 της οδηγίας 95/46/ΕΚ.

Βρυξέλλες, 2 Δεκεμβρίου 2008.

Peter HUSTINX

Ευρωπαίος Επόπτης Προστασίας Δεδομένων


(1)  COM(2008) 414 τελικό. Σημειωτέον ότι, την ίδια ημερομηνία, υιοθετήθηκε μια συμπληρωματική ανακοίνωση για ένα κοινοτικό πλαίσιο για την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη (COM(2008) 415 τελικό). Επειδή όμως η ανακοίνωση έχει γενικό μόνον χαρακτήρα, ο ΕΕΠΔ προτίμησε να εστιάσει την προσοχή του στην πρόταση οδηγίας.

(2)  Εχει αναγγελθεί στο πρόγραμμα εργασιών της Επιτροπής.

(3)  Σύσταση της Επιτροπής, της 2ας Ιουλίου 2008, περί της διασυνοριακής διαλειτουργικότητας των συστημάτων ηλεκτρονικών ιατρικών φακέλων (κοινοποιηθείσα υπό τον αριθμό Ε(2008) 3282), ΕΕ L 190; 18.7.2008, σ. 37.

(4)  Έχει αναγγελθεί στο πρόγραμμα εργασιών της Επιτροπής.

(5)  Ενδεικτικό, εν προκειμένω, είναι το γεγονός ότι, στην ανακοίνωση που αναφέρεται στην υποσημείωση 1, η οποία καθορίζει κοινοτικό πλαίσιο για την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη, δεν γίνεται μνεία της προστασίας της ιδιωτικής ζωής ή των προσωπικών δεδομένων.

(6)  Βλ. υπόθεση 158/96, Kohll, [1998] Συλλ. I-1931, παρ. 34. Βλ. επίσης, μεταξύ άλλων, υπόθεση C-157/99, Smits and Peerbooms [2001] Συλλ. I-5473 και υπόθεση C-385/99, Müller-Fauré and Van Riet [2003] Συλλ. I-12403.

(7)  Βλ. ΕΔΑΔ 17 Ιουλίου 2008, I v. Finland (αίτηση αριθ. 20511/03), παρ. 38.

(8)  Βλ. Ομάδα του άρθρου 29, Έγγραφο εργασίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία σε ηλεκτρονικούς ιατρικούς φακέλους, Φεβρουάριος 2007, WP 131, παρ. ΙΙ.2. Βλ. επίσης την ευρεία έννοια των «δεδομένων προσωπικού χαρακτήρα», Ομάδα του άρθρου 29, Γνώμη 4/2007 σχετικά με την έννοια των δεδομένων προσωπικού χαρακτήρα, WP 136.

(9)  Συμβούλιο της Ευρώπης, σύσταση αριθ. R(97)5 σχετικά με την προστασία των ιατρικών δεδομένων.

(10)  ISO 27799:2008 «Health informatics - Information security management in health using ISO/IEC 27702».

(11)  Βλ. ΕΔΑΔ 17 Ιουλίου 2008, I v. Finland (αίτηση αριθ. 20511/03), παρ. 38.

(12)  eHealth ERA Report, Towards the Establishment of a European eHealth Research Area, European Commission, Information Society and Media, Μάρτιος 2007, http://ec.europa.eu/information_society/activities/health/docs/policy/ehealth-era-full-report.pdf

(13)  Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές, ΕΕ L 13, της 19.1.2000, σ. 12-20.

(14)  The EDPS and EU Research and Technological Development, Έγγραφο Πολιτικής, ΕΕΠΔ, Απρίλιος 2008, http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/PolicyP/08-04-28_PP_RTD_EN.pdf

(15)  Σύσταση της Επιτροπής, της 2ας Ιουλίου 2008, περί της διασυνοριακής διαλειτουργικότητας των συστημάτων ηλεκτρονικών ιατρικών φακέλων (κοινοποιηθείσα υπό τον αριθμό Ε(2008) 3282), ΕΕ L 190 της 18.7.2008, σ. 37.

(16)  Βλ. επίσης την αιτιολογική παράγραφο 34 της οδηγίας 95/46/ΕΚ. Σχετικά με το σημείο αυτό, βλ. επίσης σ. 16 της γνώμης της Ομάδας του άρθρου 29 σχετικά με τα ηλεκτρονικούς ιατρικούς φακέλους η οποία αναφέρεται στην υποσημείωση 8.

(17)  ΕΕ C 295, της 7.12.2007, σ. 1.


Top