ΓνωμΥπΥγ 9177/24.2.2025 Γνωμοδότηση σχετικά με ζητήματα προστασίας δεδομένων στο πλαίσιο του έργου «Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας»

ΑΠ: 9177
Αθήνα, 24-02-2025
ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ
ΑΥΤΟΤΕΛΕΣ ΓΡΑΦΕΙΟ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
TAX. Δ/ΝΣΗ:Αριστοτέλους 19,
TAX. ΚΩΔ.:101 87, Αθήνα
ΥΠΕΥΘΥΝΟΣ: Δημήτρης Ζωγραφόπουλος
Δικηγόρος (ΔΝ) - Ειδικός Επιστήμονας Υπεύθυνος Προστασίας Δεδομένων (DPO)
ΤΗΛΕΦΩΝΟ:213 216 1254
e-mail:zografopoulosd@moh.gov.gr /
dpo@moh.gov.gr / gdpr@moh.gov.gr
ΠΡΟΣ:
ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ Γραφείο κ. ΥΠΟΥΡΓΟΥ
ΚΟΙΝΟΠΟΙΗΣΗ ΠΡΟΣ
1) ΥΠΟΥΡΓΕΙΟ ΨΗΦΙΑΚΗΣ
ΔΙΑΚΥΒΕΡΝΗΣΗΣ
minister@mindigital.gr
Γραφείο κ. ΥΠΟΥΡΓΟΥ
2) ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ ΑΕ
(Υπόψη κ. ΑΣΘΕΝΙΔΗ Στ., Διευθύνοντος Συμβούλου)
info@ktpae.gr
3) ΗΔΙΚΑ ΑΕ
(Υπόψη κας ΤΣΟΥΜΑ Ν., Διευθύνουσας Συμβούλου)
tsouma@idika. gr
Θέμα: Γνωμοδότηση σχετικά με ζητήματα προστασίας δεδομένων στο πλαίσιο του έργου «Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας»
Σχετικά:1) Το από 11/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, με θέμα: «Ψηφιοποίηση αρχείων του Δημόσιου Συστήματος Υγείας — Ευαίσθητα».
2)Το από 12/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας προς το Γραφείο του κ. Υπουργού Υγείας, με θέμα: « Ψηφιοποίηση αρχείων του Δημόσιου Συστήματος Υγείας — Ευαίσθητα».
3)Το από 14/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, με θέμα: «Ψηφιοποίηση αρχείων του Δημόσιου Συστήματος Υγείας - Ευαίσθητα» και τα συνημμένα σε αυτό έγγραφα.
4)Το από 15/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας προς το Γραφείο του κ. Υπουργού Υγείας, με θέμα: « Ψηφιοποίηση αρχείων του Δημόσιου Συστήματος Υγείας - Ευαίσθητα» και τα συνημμένα σε αυτό έγγραφα.
5)Το από 18/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα.
6)Το από 18/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου της ΚτΠ MAE προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας"» και το συνημμένο σε αυτό έγγραφο.
7)Το από 18/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας προς το Γραφείο του κ. Υπουργού Υγείας, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας"» και το συνημμένο σε αυτό έγγραφο.
8)Το από 18/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) της ΚτΠ MAE, με θέμα: «Ψηφιοποίηση αρχείων του Δημόσιου Συστήματος Υγείας - Ευαίσθητα» και το συνημμένο σε αυτό έγγραφο.
9)Το από 19/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) της ΚτΠ MAE προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας"».
10)Το από 19/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) της ΚτΠ MAE, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας"».
11)Το επόμενο από 19/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) της ΚτΠ MAE προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας"».
12)Το από 19/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τους Υπευθύνους Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και της ΚτΠ MAE, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας”».
13)Η από 19/11/2024 απάντηση, με μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, στο προαναφερόμενο υπ’ αρ. (13) μήνυμα.
14)Το από 20/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τους Υπευθύνους Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και της ΚτΠ MAE, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας”».
15)Η από 19/11/2024 απάντηση, με μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) της ΚτΠ MAE, στο προαναφερόμενο υπ’ αρ. (14) μήνυμα.
16)Το από 21/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου της ΚτΠ MAE, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας”».
17)Το από 25/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς την ΚτΠ MAE, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας”».
18)Το από 26/11/2024 μήνυμα ηλεκτρονικού ταχυδρομείου της ΚτΠ MAE, με θέμα: «Προγραμματική Συμφωνία για το έργο "Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας"».
19)Το από 19/12/2024 μήνυμα ηλεκτρονικού ταχυδρομείου της Υπευθύνου Προστασίας Δεδομένων (DPO) του ΕΔΥΤΕ προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, με θέμα: «Σύμβαση με αντικείμενο την «Υλοποίηση Υποστηρικτικής Εφαρμογής για την ψηφιοποίηση των αρχείων του κράτους με σκοπό την επικαιροποίηση των στοιχείων των ασθενών από το μητρώο πολιτών».
20)Η από 19/12/2024 απάντηση του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας στο προαναφερόμενο υπ’ αρ. (20) μήνυμα και όλη η μετέπειτα σχετική αλληλογραφία.
21)Το από 03/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα.
22)Το από 05/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας προς την Κοινωνία της Πληροφορίας ΑΕ (ΚτΠ MAE), σχετικά με χορήγηση εγγράφων, και τα συνημμένα σε αυτό έγγραφα.
23)Το από 06/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου της ΚτΠ MAE προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα.
24)Το από 06/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Ψηφιακής Διακυβέρνησης προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα.
25)Το από 07/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα.
26)Το από 10/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα.
27)Το από 11/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου του Γραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα.
28)Η .υπ’ αρ. πρωτ. ΚτΠ MAE 6814/20-04-2022 Προγραμματική Συμφωνία μεταξύ του Υπουργείου Υγείας και της εταιρείας «Κοινωνία της Πληροφορίας Μ.Α.Ε. (ΚτΠ Μ.Α.Ε.)» για το έργο: «Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας» [εφεξής: Προγραμματική Συμφωνία].
29)Η με αρ. πρωτ. 171381 ΕΞ 2022/23-11-2022 (Α.Π ΚτΠ Μ.Α.Ε. 20644/23-11- 2022) και ΑΔΑ: ΨΘΚΓΗ-ΝΗΚ και κωδικό ΟΠΣ ΤΑ 5174874 Απόφαση Ένταξης του έργου «Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας».
30)Η με αρ. πρωτ. ΚτΠ MAE 22776/20-12-2022 Απόφαση με θέμα : «Διενέργεια Ηλεκτρονικού Διεθνούς Ανοικτού Άνω των Ορίων Διαγωνισμού για τη Σύναψη Συμφωνίας-Πλαίσιο, με οχτώ (8) οικονομικούς φορείς, με κριτήριο ανάθεσης “την πλέον συμφέρουσα από οικονομική άποψη προσφορά βάσει βέλτιστης σχέσης ποιότητας-τιμής” για το έργο: «SUB2. Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας», με κωδικό ΟΠΣ ΤΑ 5174874.», στην οποία έχει επισυναφθεί Τεύχος Διακήρυξης, το οποίο αποτελεί αναπόσπαστο τμήμα της εν λόγω Απόφασης [εφεξής: Διακήρυξη].
31)Έγγραφο με θέμα: 1η Συνάντηση μεταξύ ΚτΠ-Υπ. Υγείας - ΥπΨηΔ - Αναδοχών της 30-10-2024 (αρχείο παρουσίασης 2024-10-30_DIGIT Health_YpSHD presentation KtP FINAL2.pptx).
32)Έγγραφο με θέμα:Αρχείο Excel Θέματα Υλοποίησης Εργου (16778_SUB2_0EMAT ΑΕΡΓ Ο Υ_ΥΨΗΔ_8υπιηιετγ_ΚτΠ_ΥΨΗΔ(2024-12- 02).xlsx).
33)Έγγραφο με θέμα: 2η Συνάντηση μεταξύ ΚτΠ-Υπ. Υγείας - ΥπΨηΔ - Αναδοχών της 06-12-2024 (αρχείο παρουσίασης 2024-12-06 DIGIT HealthYpSHD presentation KtP_v.05.pptx).
34)Έγγραφο με θέμα: 3η Συνάντηση μεταξύ ΚτΠ-Υπ. Υγείας - ΥπΨηΔ - Αναδοχών της 19-12-2024 (αρχείο παρουσίασης (2024-12-19_DIGIT Health_Presentation KtP_v.02.pptx).
35)Έγγραφο με θέμα: Ιο Memo Αναδοχών «ΠΡΟΤΑΣΗ ΑΝΑΔΟΧΩΝ Υλοποίησης έργου της 13.12.2024».
36)Έγγραφο με θέμα: 2ο Memo Αναδοχών «ΠΡΟΤΑΣΗ ΑΝΑΔΟΧΩΝ Υλοποίησης έργου της 10.01.2025».
(I)Υποβλήθηκε προς το Αυτοτελές Γραφείο Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας το ως άνω από 03/02/2025 μήνυμα ηλεκτρονικού ταχυδρομείου του Γ ραφείου του κ. Υπουργού Υγείας προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και τα συνημμένα σε αυτό έγγραφα, με το οποίο ζητήθηκε από τον ΥΠΔ (DPO) του Υπουργείου Υγείας να παράσχει γνώμη σε σχέση με ζητήματα επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του έργου « Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας», το οποίο υλοποιείται από την ΚτΠ MAE, ως Φορέα Υλοποίησης, για λογαριασμό του του Υπουργείου Υγείας, ως Κύριου του Έργου και Φορέα Λειτουργίας, ενώ το Υπουργείο Ψηφιακής Διακυβέρνησης επέχει θέση Φορέα Χρηματοδότησης.
(II)Από τα έγγραφα του φακέλου της υπόθεσης προκύπτει ότι το φυσικό αντικείμενο του έργου « Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας» δεν περιγράφεται με ενιαίο και ομοιόμορφο τρόπο σε όλα τα σχετικά έγγραφα.
Ειδικότερα, στο Προοίμιο της Προγραμματικής Συμφωνίας αναφέρεται ότι: «Ο Κύριος του Έργου προγραμματίζει την υλοποίηση του Έργου «Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας» που αφορά στην ψηφιοποίηση του συνόλου των φυσικών αρχείων υγείας και την εισαγωγή των ψηφιακών δεδομένων αυτών στα σχετικά Πληροφοριακά Συστήματα Υγείας. Επιπλέον περιλαμβάνει την προμήθεια όλων των απαραίτητων υποδομών πληροφορικής (Κέντρα Δεδομένων και υποδομές που βρίσκονται στις τοπικές υπηρεσίες) παράλληλα με την κατάλληλη ανάπτυξη λογισμικού καθώς και υπηρεσίες υποστήριξης». Το άρθρο 1 της εν λόγω Προγραμματικής Συμφωνίας αφορά το «Αντικείμενο της Συμφωνίας», όπου αναφέρονται μεταξύ άλλων τα ακόλουθα: «Η παρούσα συμφωνία έχει ως αντικείμενο την καταγραφή όλων των αναγκαίων ενεργειών, καθώς και του πλαισίου συνεργασίας των συμβαλλόμενων μερών, με στόχο την έγκαιρη και αποτελεσματική υλοποίηση και λειτουργία του Έργου «Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας». Το Έργο αφορά στην υποστήριξη και ενίσχυση της λειτουργίας 120 νοσοκομείων σε όλη την Ελλάδα, μέσω νέων τεχνολογικών εργαλείων που ανταποκρίνονται καλύτερα στις σημερινές συνθήκες της σύγχρονης κοινωνίας. Ειδικότερα, μέσω αυτού του έργου επιδιώκεται η διάσωση, η προώθηση και η αξιοποίηση των φακέλων των ασθενών, με θετικές επιπτώσεις στον τομέα της υγείας και την επιστημονική έρευνα. (...)»·
Με βάση την Απόφαση Ένταξης του έργου « Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας», το αντικείμενο του περιγράφεται ως εξής:
«Στόχος του προτεινόμενου έργου είναι η ψηφιοποίηση του Φυσικού Αρχείου των Δημόσιων Νοσοκομείων της χώρας κατ’ ελάχιστο των τελευταίων πέντε (5) ετών.
Στόχος του έργου είναι η ψηφιοποίηση έως 190.000.000 σελίδων/εγγράφων & εξετάσεων απεικόνισης διάφορα μεγέθη καθώς και ιατρικών εικόνων/ακτινογραφιών ή ΗΚΓ/ΗΕΓ. Τελικός σκοπός του έργου αυτού είναι η παροχή ψηφιακών, δικτυακών υπηρεσιών προς κάθε τελικό χρήστη προκειμένου να έχει πρόσβαση σε πληροφορίες που αφορούν στο Ιατρικό Ιστορικό που προέκυψε κατά τη νοσηλεία ασθενών στα Δημόσια Νοσοκομεία της χώρας. Ως τελικοί χρήστες των υπηρεσιών αυτών κρίνονται οι πολίτες οι οποίοι έχουν νοσηλευτεί στα Δημόσια Νοσοκομεία της χώρας αλλά και εξουσιοδοτημένο προσωπικό των μονάδων υγείας στο πλαίσιο παροχής ιατρονοσηλευτικών υπηρεσιών σε νοσηλευόμενους και εξωτερικούς ασθενείς.
Το ψηφιοποιημένο υλικό θα αποθηκευτεί σε εφαρμογή διαχείρισης εγγράφων. Το ψηφιοποιημένο υλικό και τα μεταδεδομένα του θα μεταπέσουν σε Κεντρικό αποθετήριο (δεν αποτελεί αντικείμενο της παρούσας) ψηφιοποιημένων κλινικών εγγράφων το οποίο θα εγκατασταθεί στο Cloud Health της ΗΔΙΚΑ και μέσω των προδιαγραφών διαλειτουργικότητας και των μεταδεδομένων του ΕΠΔΗΥ [Σημ.: ΕΠΔΗΥ: Εθνικό Πλαίσιο Διαλειτουργικότητας της Ηλεκτρονικής Υγείας] θα είναι σε θέση να τροφοδοτήσει, την Εθνική υποδομή του Εθνικού Ηλεκτρονικού Φακέλου Υγείας των πολιτών (National Digital Patient Health Record (NDPHR)) επιτρέποντας την ετασκόττηση δεδομένων και εγγράφων των Πολιτών μέσω και της εφαρμογής του Ατομικού Ηλεκτρονικού Φακέλου Υγείας (ΑΗΦΥ), δίνοντας έτσι την δυνατότητα σε ασθενείς/πολίτες να αποκτήσουν ολοκληρωμένη πρόσβαση στα δεδομένα υγείας που αφορούν σε Δευτεροβάθμια / Τριτοβάθμια φροντίδα υγείας. Παράλληλα, η υλοποίηση του έργου θα αναβαθμίσει τις παρεχόμενες υπηρεσίες υγείας αλλά και θα μειώσει τις δαπάνες υγείας λόγω της άμεσης πρόσβασης σε στοιχεία ιστορικού και της αποφυγής επανάληψης εξετάσεων που είχαν ήδη πραγματοποιηθεί σε άλλες μονάδες υγείας. Το υλικό που θα επιλεγεί για να γίνει ψηφιοποίηση αφορά φακέλους της τελευταίας ττενταετίας τουλάχιστον ή σε φυσικό όγκο έως 190.000.000 σελίδων/εγγράφων & εξετάσεων απεικόνισης διάφορα μεγέθη και ιατρικών εικόνων/ακτινογραφιών ή ΗΚΓ/ΗΕΓ. Η φυσική μορφή των ανωτέρω αρχείων δύναται να είναι:
-Έγγραφα (ανεξάρτητα) οργανωμένα σε φακέλους
-Απεικονιστικές εξετάσεις και λοιπό υλικό
-Ηλεκτροεγκεφαλογραφήματα
-Ηλεκτροκαρδιογραφήματα και λοιπό υλικό
-Βιβλία».
Τέλος, στην Διακήρυξη του έργου « Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας», το αντικείμενο του περιγράφεται κατά βάση ως εξής:
«(...) 1.3.1 Αντικείμενο της σνμφωνίας-πλαίσιο
Στόχος του έργου είναι η ψηφιοποίηση του Ιστορικού Αρχείου Φακέλων Ασθενών και η Κανονικοποίηση - Συσχέτιση Πρωτοκόλλου Φυσικής Αρχειοθέτησης με το Ηλεκτρονικό Μητρώο Ασθενών. Το παρόν έργο αφορά στην ψηφιοποίηση 157.000.000 σελίδων & Εξετάσεων Απεικόνισης Διάφορα Μεγέθη έως A3, 20.000.000 σελίδων μη τυποποιημένων μεγεθών (Α3+, καρτέλες, κ.λπ.) και 20.000.000 φιλμ/εκτυπώσεις ΗΚΓ/ΗΕΓ, καθώς και στην ταυτοποίηση, κατηγοριοποίηση και χαρακτηρισμό των ψηφιοποιημένων εγγράφων.
Σαν αποτέλεσμα της ψηφιοποίησης ο φάκελος ασθενή (ηλεκτρονικός ή και φυσικός) θα μπορεί να ανακτηθεί σε πολύ σύντομο χρόνο.
Σαν αποτέλεσμα της κανονικοποίησης-συσχέτισης του Πρωτοκόλλου Φυσικής Αρχειοθέτησης με το Ηλεκτρονικό Μητρώο Ασθενών, η ποιοτική εξυπηρέτηση του ασθενή θα είναι εφικτή σε πολύ σύντομο χρόνο.
Τελικός σκοπός του έργου αυτού είναι η παροχή ψηφιακών, δικτυακών υπηρεσιών προς κάθε τελικό χρήστη προκειμένου να έχει πρόσβαση σε πληροφορίες που αφορούν στο Ιατρικό Ιστορικό που προέκυψε κατά τη νοσηλεία ασθενών στα Δημόσια Νοσοκομεία της χώρας. Ως τελικοί χρήστες των υπηρεσιών αυτών κρίνονται οι πολίτες οι οποίοι έχουν νοσηλευτεί στα Δημόσια Νοσοκομεία της χώρας αλλά και εξουσιοδοτημένο προσωπικό των μονάδων υγείας στο πλαίσιο παροχής ιατρονοσηλευτικών υπηρεσιών σε νοσηλευόμενους και εξωτερικούς ασθενείς.
Το ψηφιοποιημένο υλικό θα είναι προσβάσιμο μέσω της εφαρμογής-αποθετήριο διακίνησης εγγράφων με στόχο την μετάπτωση του συνόλου του ψηφιοποιημένου υλικού και μεταδεδομένων σε Κεντρικό αποθετήριο (δεν αποτελεί αντικείμενο της παρούσας) ψηφιοποιημένων κλινικών εγγράφων το οποίο θα εγκατασταθεί στο Cloud Health της ΗΔΙΚΑ, το οποίο μέσω διαλειτουργικότητας και των μεταδεδομένων του ΕΠΔΗΥ θα είναι σε θέση να τροφοδοτήσει, την Εθνική υποδομή του Εθνικού Ηλεκτρονικού Φακέλου Υγείας των πολιτών (National Digital Patient Health Record (NDPHR)) επιτρέποντας την εττισκόττηση δεδομένων και εγγράφων των Πολιτών μέσω και της εφαρμογής του Ατομικού Ηλεκτρονικού Φακέλου Υγείας (ΑΗΦΥ), δίνοντας έτσι την δυνατότητα σε επαγγελματίες υγείας και σε ασθενείς/πολίτες να αποκτήσουν ολοκληρωμένη πρόσβαση στα δεδομένα υγείας τους που αφορούν σε Δευτεροβάθμια / Τριτοβάθμια φροντίδα υγείας. (...)
Στο έργο εντάσσονται και οι παρακάτω υπηρεσίες:
•Μελέτη Εφαρμογής - Ανάλυση Απαιτήσεων και Μελέτη Διαλειτουργικότητας & Διασύνδεσης
•Μελέτη Ασφαλείας
•Υπηρεσίες Μετάπτωσης
•Υπηρεσίες Εκπαίδευσης
•Υπηρεσίες Πιλοτικής Λειτουργίας
•Υπηρεσίες Δοκιμαστικής Λειτουργίας
•Υπηρεσίες Εγγύησης και Συντήρησης
Το υλικό (φυσικό αρχείο) που θα επιλεγεί προς ψηφιοποίηση αφορά φακέλους της τελευταίας Πενταετίας (τουλάχιστον), που θα επιλεχθούνβάσει κριτηρίων, φυσικού όγκου 157.000.000 σελίδων & Εξετάσεων Απεικόνισης Διάφορα Μεγέθη έως A3, 20.000.000 σελίδων μη τυποποιημένων μεγεθών (Α3+, καρτέλες, κ.λπ.) και 20.000.000 φιλμ/εκτυπώσεις ΗΚΓ/ΗΕΓ, από το έντυπο υλικό των ανωτέρω φακέλων. Η διαστασιολόγηση, οι κατανομές του φυσικού αρχείου, η διαδικασία της επιλογής του φυσικού υλικού θα πραγματοποιηθεί από τους Αναδόχους κατά την υλοποίηση των εκτελεστικών συμβάσεων, έπειτα από την εκπόνηση εξειδικευμένωνμελετών (μελετών εφαρμογής).».
(III)Από τα έγγραφα του φακέλου της υπόθεσης σαφώς προκύπτει ότι το έργο αποσκοπεί, σε βασικές γραμμές, στην ψηφιοποίηση - μέσω της διενέργειας περισσότερων διακριτών επεξεργασιών δεδομένων προσωπικού χαρακτήρα, τουλάχιστον εν μέρει αυτοματοποιημένων - φακέλων ασθενών, που έχουν νοσηλευτεί στα 127 Νοσοκομεία της Χώρας (ήτοι, σε εποπτευομένους φορείς του Υπουργείου Υγείας), ως διακριτούς υπευθύνους επεξεργασίας, και την καταχώριση των ψηφιοποιημένων φακέλων σε ένα κεντρικό αποθετήριο, υπεύθυνος επεξεργασίας του οποίου θα είναι το Υπουργείο Υγείας και εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας θα είναι τι ΙΙΑΙΚΑ ΑΕ. Οι ψηφιοποιημένοι φάκελοι ασθενών, που θα τηρούνται στο προαναφερόμενο κεντρικό αποθετήριο, προορίζονται για περαιτέρω επεξεργασίες, οι οποίες ωστόσο δεν προσδιορίζονται ιιε σαφήνεια στα ως άνω έννοαωα.
Κατόπιν τούτου, λαμβάνοντας ιδίως υπόψη, όπως ισχύουν:
(1)τις διατάξεις του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης,
(2)τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ» (Γενικός Κανονισμός Προστασίας Δεδομένων - ΓΚΠΔ / General Data Protection Regulation - GDPR),
(3)τις διατάξεις του άρθρου 32Α του ΠΔ 121/2017 «Οργανισμός του Υπουργείου Υγείας», όπως αυτές ισχύουν βάσει του άρθρου 82 του Ν. 4600/2019 (ΦΕΚ Α', 43) για τη «ΣύστασηΑυτοτελούς Γραφείου Υπευθύνου Προστασίας Δεδομένων» στο Υπουργείο Υγείας,
(4)τις διατάξεις του Ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις» (ΦΕΚ Α', 137),
(5)Τις Κατευθυντήριες Γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) 4/2019 σύμφωνα με το άρθρο 25 (GDPR) Προστασία των δεδομένων ήδη από τον σχεδίασμά και εξ ορισμού, Έκδοση 2.0, Εκδόθηκαν στις 20 Οκτωβρίου 2020,
(6)τις διατάξεις του Ν. 3418/2005 Κώδικας Ιατρικής Δεοντολογίας (ΦΕΚ Α', 287),
(7)την Εγκύκλιο / Οδηγό του Υπουργείου Υγείας (του Ιουλίου 2018) για τη συμμόρφωση προς το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), η οποία έχει κοινοποιηθεί και στα Νοσοκομεία της Χώρας και έχει αναρτηθεί στο διαδικτυακό τόπο του Υπουργείου Υγείας (http://www.moh. gov.gr/articles/gdpr ), διαθέσιμη σε κάθε ενδιαφερόμενο,
σας γνωρίζουμε τα ακόλουθα:
1. Καταρχάς, οι προϋποθέσεις ορισμού Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ / DPO), η θέση (status) του ΥΠΔ και τα καθήκοντά του στο Υπουργείο Υγείας προβλέπονται ρητά και απευθείας από τις διατάξεις των άρθρων 37-39 του ΓΚΠΔ, τις διατάξεις του άρθρου 32Α του ΠΔ 121/2017 Οργανισμός του Υπουργείου Υγείας, όπως αυτές ισχύουν βάσει του άρθρου 82 του Ν. 4600/2019 για τη «Σύσταση Αυτοτελούς Γραφείου Υπευθύνου Προστασίας Δεδομένων» στο Υπουργείο Υγείας, και των άρθρων 6 έως και 8 του Ν. 4624/2019. Το άρθρο 32Α του ΠΔ 121/2017 ορίζει, μεταξύ άλλων, τα ακόλουθα:
«(...) 6. Ο ΥΠΔ ασκεί όλα τα καθήκοντα και τις αρμοδιότητες, που του απονέμονται από τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων, ιδίως εκείνες του άρθρου 39, καθώς και από άλλες ειδικές διατάξεις. Ο ΥΠΔ έχει, ιδίως, τις εξής αρμοδιότητες:
α) συμμετέχει, δεόντως και εγκαίρως, σε όλα τα θέματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό, διατυπώνει γνώμη για κάθε νομοθετικό μέτρο του Υπουργείου Υγείας, το οποίο εισάγει περιορισμούς στο πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων, σύμφωνα με όσα ορίζονται στα άρθρα 23 και 9 παρ. 4 του Γενικού Κανονισμού Προστασίας Δεδομένων,
β) ενημερώνει τον Υπουργό, τον Αναπληρωτή Υπουργό, τους Γενικούς Γραμματείς, τους Αναπληρωτές Γενικούς Γραμματείς και τις αρμόδιες υπηρεσίες του Υπουργείου Υγείας, τους εκτελούντες την επεξεργασία για λογαριασμό του Υπουργείου και τους υπαλλήλους που διενεργούν επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και τους εποπτευόμενους από το Υπουργείο φορείς για τις υποχρεώσεις τους που απορρέουν από το Γενικό Κανονισμό Προστασίας Δεδομένων καιαπό άλλες διατάξεις, είτε πρόκειται για ρυθμίσεις της Ευρωπαϊκής Ένωσης είτε για εθνικές ρυθμίσεις σχετικά με την προστασία δεδομένων,
γ) παρακολουθεί και εποπτεύει: αα) τη συμμόρφωση με το Γενικό Κανονισμό Προστασίας Δεδομένων, με άλλες διατάξεις της Ευρωπαϊκής Ένωσης ή με εθνικές ρυθμίσεις σχετικά με την προστασία δεδομένων και με τις πολιτικές του Υπουργείου Υγείας, των εποπτευόμενων από αυτό φορέων και των εκτελούντων την επεξεργασία για λογαριασμό του Υπουργείου Υγείας και των εποπτευόμενων από αυτό φορέων, σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, ββ) την ανάθεση αρμοδιοτήτων, την εκπαίδευση, την ευαισθητοποίηση και την κατάρτιση των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, γγ) τους σχετικούς ελέγχους είτε στο εσωτερικό του Υπουργείου Υγείας είτε σε εποπτευόμενους από το Υπουργείο Υγείας φορείς είτε σε εκτελούντες την επεξεργασία για λογαριασμό του Υπουργείου Υγείας και των εποπτευόμενων από αυτό φορέων,
δ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 του Γενικού Κανονισμού Προστασίας Δεδομένων,
ε) συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ως εποτττική αρχή,
στ) ενεργεί ως σημείο επικοινωνίας με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και κάθε άλλη εποπτική αρχή για θέματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 του Γενικού Κανονισμού Προστασίας Δεδομένων, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα,
ζ) συνεργάζεται, κατά την άσκηση των καθηκόντων και αρμοδιοτήτων του, με τους Υπεύθυνους Προστασίας Δεδομένων, εφόσον αυτοί υπάρχουν, των εποπτευόμενων από το Υπουργείο Υγείας φορέων και των εκτελούντων την επεξεργασία για λογαριασμό του Υπουργείου Υγείας.
7. Ο ΥΠΔ αναφέρεται απευθείας στον Υπουργό, ο οποίος διασφαλίζει ότι ο ΥΠΔ δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του. Ο ΥΠΔ δεν απολύεται ούτε υφίσταται κυρώσεις οποιαδήποτε μορφής, επειδή επιτέλεσε τα καθήκοντά του».
Συνεπώς, από τις ως άνω διατάξεις τόσο του ΓΚΠΔ, του Ν. 4624/2019 όσο και του άρθρου 32Α του ΠΔ 121/2017 προκύπτει ότι ο ΥΠΔ / DPO του Υπουργείου Υγείας λειτουργεί σεκαθεστώς πλήρους ανεξαρτησίας κατά την άσκηση των καθηκόντων του, αποτελεί σημείο επαφής ιδίως με την ΑΠΔΠΧ αλλά και με κάθε άλλη αρχή, σχετικά με ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα και παρακολουθεί και εποπτεύει τη συμμόρφωση με το ΓΚΠΔ, με άλλες διατάξεις της Ευρωπαϊκής Ένωσης ή με εθνικές ρυθμίσεις σχετικά με την προστασία δεδομένων και
με τις πολιτικές του Υπουργείου Υγείας, των εποπτευόμενων από αυτό φορέων και των εκτελούντων την επεξεργασία για λογαριασμό του Υπουργείου Υγείας και των εποπτευόμενων από αυτό φορέων.
Συνακόλουθα, ο ΥΠΔ / DPO του Υπουργείου Υγείας έχει αρμοδιότητα να επιληφθεί της συγκεκριμένης υπόθεσης, αναφορικά με τα ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα που τίθενται.
2.Από τα στοιχεία του φακέλου της υπόθεσης σαφώς προκύπτει κατ’ αρχάς ότι τόσο το Υπουργείο Υγείας, ως υπεύθυνος επεξεργασίας, όσο και η ΚτΠ MAE, ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας, ενέπλεξαν με μεγάλη καθυστέρηση (μόλις τον Νοέμβριο 2024) τους Υπευθύνους Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και της ΚτΠ MAE, αντίστοιχα. Το γεγονός αυτό παρίσταται ως ιδιαίτερα προβληματικό ιδίως για την ΚτΠ MAE, που επέχει θέση Φορέα υλοποίησης του έργου και βαρύνεται για το σχεδιασμό της υλοποίησης του έργου σύμφωνα με τις απαιτήσεις του GDPR.
Υπογραμμίζω εδώ ότι το σύνολο κρίσιμων εγγράφων της υπόθεσης τέθηκαν υπόψη του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, για το σκοπό διατύπωσης γνώμης, μόλις στις αρχές Φεβρουάριου 2025. Μόλις κατά το χρονικό αυτό σημείο κατέστη προφανής η υστέρηση στο σχεδιασμό της προστασίας των κρίσιμων δεδομένων προσωπικού χαρακτήρα κατά την υλοποίηση του έργου « Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας»
Προκύπτει εδώ σαφής παραβίαση ιδίως της διάταξης του άρθρου 38 παρ. 1 του GDPR, που ορίζει ότι: «7. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα».
3.Περαιτέρω από τα στοιχεία του φακέλου της υπόθεσης σαφώς προκύπτει παραβίαση ιδίως των διατάξεων του άρθρου 25 παρ. 1 και 2 του GDPR σχετικά με την προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού. Υπογραμμίζω εξ αρχής ότι - κατά την κρίση μου - η ευθύνη για την παραβίαση αυτών των διατάξεων του άρθρου 25 παρ. 1 και 2 του GDPR βαρύνει πρωτίστως την ΚτΠ MAE, η οποία ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας και ως Φορέας υλοποίησης του έργου βαρύνεται με το σχεδιασμό της υλοποίησης του έργου σύμφωνα με τις απαιτήσεις του GDPR.
Οι διατάξεις του άρθρου 25 παρ. 1 και 2 του GDPR σχετικά με την προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού ορίζουν ότι:
«1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.».
Στο πλαίσιο αυτό, η αιτιολογική σκέψη υπ’ αρ. (78) του GDPR διαλαμβάνει ότι:
«78. Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας. Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή εττεξεργάζονται δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των δεδομένων, κατά την ανάπτυξη και τον σχεδιασμό τέτοιων προϊόντων, υπηρεσιών και εφαρμογών, ώστε, λαμβανομένων υπόψη των τελευταίων εξελίξεων, να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων. Οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης· να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών.».
Σχετική με την ερμηνεία και εφαρμογή των αρχών της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού είναι ιδίως οι ως άνω αναφερόμενες Κατευθυντήριες Γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) 4/2019 σύμφωνα με το άρθρο 25 (GDPR) Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, (Εκδοση 2.0, Εκδόθηκαν στις 20 Οκτωβρίου 2020). Στις εν λόγω Κατευθυντήριες Γραμμές του ΕΣΠΔ αναλύεται όλο το εύρος των απαιτήσεων συμμόρφωσης προς τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (ΠΔΣΕΟ) και ρητά αναφέρεται ότι οι apyéc αυτές δεν αφορούν μόνο τους υπευθύνους επεξεργασίας, όπως το Υπουργείο Υγείας, αλλά και τους εκτελούντες την επεξεργασία, όπως η ΚτΠ MAE, ιδίως στο πλαίσιο των δηιιοσίων υπηρεσιών.
Ιδίως οι εν λόγω Κατευθυντήριες Γ ραμμές του ΕΣΠΔ διαλαμβάνουν (σελ. 5) ότι:
«Οι κατευθυντήριες γραμμές εστιάζουν στην εφαρμογή της ΠΔΣΕΟ από τους υπεύθυνους επεξεργασίας, με βάση την υποχρέωση του άρθρου 25 του ΓΚΠΔ. Άλλοι φορείς, όπως οι εκτελούντες την επεξεργασία και οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών (εφεξής «παραγωγοί»), οι οποίοι δεν ρυθμίζονται άμεσα στο άρθρο 25, μπορούν επίσης να θεωρήσουν χρήσιμες τις παρούσες κατευθυντήριες γραμμές κατά τη δημιουργία προϊόντων και υπηρεσιών συμβατών με τον ΓΚΠΔ, τα οποία επιτρέπουν στους υπεύθυνους επεξεργασίας να εκπληρώνουν τις υποχρεώσεις τους σε σχέση με την προστασία των δεδομένων. Η αιτιολογική σκέψη 78 του ΓΚΠΔ προσθέτει ότι η ΠΔΣΕΟ θα πρέπει να λαμβάνεται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών. Παρά το γεγονός ότι όλοι οι υττεύθυνοι επεξεργασίας έχουν το καθήκον να ενσωματώσουν την ΠΔΣΕΟ στις δραστηριότητες επεξεργασίας τους, η διάταξη αυτή ενθαρρύνει την εφαρμογή των αρχών της προστασίας δεδομένων, όπου οι δημόσιες διοικήσεις θα πρέπει να δίνουν το παράδειγμα. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την εκπλήρωση των υποχρεώσεων ΠΔΣΕΟ σε ό,τι αφορά την επεξεργασία που διενεργείται από τους εκτελούντες και υπο-εκτελούντες την επεξεργασία, γεγονός που πρέπει να λαμβάνεται υπόψη κατά τη σύναψη σύμβασης με αυτούς».
Χρήσιμο κείμενο για την εφαρμογή των αρχών της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού αποτελεί και η από 19/02/2025 ανακοίνωση της Ισπανικής ΑΠΔΠΧ «Η σημασία της Προστασίας Δεδομένων με Σχεδιασμό στις Συμβάσεις Δημόσιας Διοίκησης» (Βλ. AEPD, “The Importance of Data Protection by Design in Public Administration Contracts”, ελεύθερα προσβάσιμη στην ηλ. διεύθυνση:https://www.aepd.es/en/press-and- communication/blog/the-importance-data-protection-design-public-administration-contracts
Συνεπώς, δεν υπάργει n παραμικρή αμφιβολία ότι οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών και ότι οι διακηρύξεις δημοσίων διαγωνισμών θα πρέπει να συμμορφούται πλήρως προς τοις επιταγές του GDPR και να μην αποκλίνουν από αυτές.
Στην προκειμένη περίπτωση, ο σχεδιασμός της ΚτΠ MAE, ως εκτελούσας την επεξεργασία για λογαριασμό του Υπουργείου Υγείας και ως Φορέα υλοποίησης του έργου, πάσχει κατά το σχεδιασμό και την υλοποίηση του έργου «Ψηφιοποίηση Αρχείων του Δημόσιου Συστήματος Υγείας» για περισσότερους λόγους και, ιδίως, για τους εξής λόγους:
(α) Σχεδίασε την δημιουργία κεντρικού αποθετηρίου των ψηφιοποιημένων αρχείων εντελώς διακριτού από το σύστημα της υποδομής του Εθνικού Ηλεκτρονικού Φακέλου Υγείας, με το οποίο κεντρικό αποθετήριο ο ΑΗΦΥ θα πρέπει να διαλειτουργεί (μετά από την ενδεχόμενη υλοποίηση άλλου έργου, που θα πρέπει να προκηρυχθεί;;) βάσει του Εθνικού Πλαισίου Διαλειτουργικότητας της Ηλεκτρονικής Υγείας (ΕΠΔΗΥ), χωρίς να αιτιολογείται ειδικά εξ αρχής και από το σχεδιασμό για ποιό λόγο δεν μπορεί να γίνει απόθεση των ψηφιοποιημένων αρχείων απευθείας στο σύστημα της υποδομής του Εθνικού Ηλεκτρονικού Φακέλου Υγείας, ως διακριτό υποσύνολο αυτού.
(β) Δεν υφίσταται στην Διακήρυξη του έργου επαρκής πρόνοια αναφοράς στην έννοια της κλινικής αξιολόγησης και χρησιμότητας των ψηφιοποιούμενων αρχείων, με αποτέλεσμα η ψηφιοποίηση να αφορά άκριτα έγγραφα, που ενδεχομένως υπάρχουν στους φακέλους των ασθενών στα Νοσοκομεία χωρίς ουσιαστική κλινική χρησιμότητα στο πλαίσιο του ΑΗΦΥ ή άλλης περαιτέρω επεξεργασίας (πχ. επιστημονικές έρευνες).
(γ) Δεν υφίσταται στην Διακήρυξη του έργου επαρκής πρόνοια συσχέτισης δεδομένων με ήδη υφιστάμενα συστήματα αρχειοθέτησης του Υπουργείου Υγείας, όπως με το Ψηφιακό Αποθετήριο Βεβαιώσεων Νοσηλειών - Εξετάσεων, στο οποίο αποθηκεύονται οι βεβαιώσεις νοσηλείας ή εξέτασης ασθενούς που έχουν διενεργηθεί στα δημόσια νοσοκομεία και τις ιδιωτικές κλινικές της χώρας και το οποίο αποτελεί κατά νόμο (άρθρο 93 του Ν. 4961/2022, ΦΕΚ Α’, 146).) τμήμα του ΑΗΦΥ και τηρείται στην ΗΔΙΚΑ ΑΕ για λογαριασμό του Υπουργείου Υγείας.
(δ) Δεν υφίστανται εξ αρχής και από το σχεδιασμό στην Διακήρυξη του έργου επαρκείς απαιτήσεις ποιοτικών ελέγχων από την πλευρά των Νοσοκομείων για την διασφάλιση μηδενικού λάθους ως προς την ταυτοποίησης ασθενών στο φυσικό αρχείο. Αντίθετα, στο οικείο τμήμα της Διακήρυξης (5.4.1.10 Διαδικασία παράδοσης παραλαβής παραγόμενου υλικού σάρωσης) αναφέρεται ρητά ότι : «Η διαδικασία παράδοσης - παραλαβής παραγόμενου υλικού σάρωσης αποτελεί μέρος της Μεθοδολογίας Έργου του παραδοτέου Μελέτη Εφαρμογής - Ανάλυση Απαιτήσεων». Ωστόσο, τέτοια Μελέτη δεν έχει εκπονηθεί εγκαίρως, εξ όσων γνωρίζουμε, και αυτή καταλείπεται ξεχωριστά σε κάθε Ανάδοχο (υπο-εκτελούντα την επεξεργασία), χωρίς προτυποποιημένα αναγκαία και πρόσφορα κοινά standards (προδιαγραφές) για όλους τους Αναδόχους. Στο τμήμα αυτό της Διακήρυξης υπάρχουν απλώς ενδείξεις κλινικής αξιολόγησης των δεδομένων: «Επισημαίνεται πως εξαιτίας του περιορισμένου όγκου σελίδων προς ψηφιοποίηση, θα δοθεί προτεραιότητα σε ιατρικούς φακέλους που πληρούν κάποια στοιχεία. Ενδεικτικά, και όχι περιοριστικά, παρατίθενται κάποια στοιχεία και κριτήρια επιλογής φυσικού αρχείου, τα οποία θα οριστικοποιηθούν κατά την εκπόνηση της Μελέτης Εφαρμογής:
•Οι φάκελοι θα πρέπει να αφορούν εισαγωγές πρόσφατων ετών.
•Οι ασθενείς θα πρέπει να είναι ενεργοί.
•Θα πρέπει να δίνεται προτεραιότητα σε περιστατικά υψηλού κινδύνου.».
(ε) Η Διακήρυξη αρκείται στον Δειγματοληπτικό Έλεγχο παραγόμενων προϊόντων σάρωσης από τους Αναδόχους (5.4.1.5), γεγονός που δεν διασφαλίζει την εύλογη απαίτηση του Υπουργείου Υγείας για την διασφάλιση μηδενικού λάθους ως προς την ταυτοποίησης ασθενών.
(στ) Οι όροι της Διακήρυξης, που έχει εκπονήσει η ΚτΠ MAE, ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας και ως Φορέας υλοποίησης του έργου, δεν διασφαλίζουν την τήρηση από το Υπουργείο Υγείας, ως υπεύθυνου επεξεργασίας του κεντρικού αποθετηρίου που θα προκύψει από το έργο (δηλαδή, του εν λόγω διαρθρωμένου συστήματος αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα), της θεμελιώδους αρχής της ακρίβειας των δεδομένων, που κατοχυρώνεται στο άρθρο 5 παρ. 1 του GDPR. Για το λόγο ότι, κατά κοινή ομολογία, με βάση την Διακήρυξη, όχι μόνο δεν κατοχυρώνεται η αρχή του μηδενικού λάθους στο παραγόμενο προϊόν των ψηφιοποιημένων φακέλων των ασθενών, αλλά αντίθετα επιτρέπεται η ύπαρξη σφαλμάτων, με βάση στατιστικούς υπολογισμούς, της τάξεως του 1%. Πρακτικά αυτό σημαίνει, επίσης κατά γενική ομολογία, ότι όχι μόνο δεν αποκλείεται η πιθανότητα κάποιος ασθενής, ως τελικός χρήστης, να μην παραλάβει το σύνολο των δεδομένων του ή ακόμα να ανακαλύψει στο φάκελό του δεδομένα άλλου ασθενή, αλλά το ότι τα ενδεχόμενα αυτά αναγνωρίζονται κατά την υλοποίηση του έργου ως εξαιρετικά πιθανά και ανεκτά από στατιστικής απόψεως. Ωστόσο, από νομική άποψη στις περιπτώσεις αυτές θα συντρέγουν παραβιάσεις ρητών διατάξεων του GDPR: θα παραβιάζονται από κοινού οι θεμελιώδεις αρχές της ακρίβειας των δεδομένων και της ακεραιότητα, εμπιστευτικότητα και διαθεσιμότητας των δεδομένων, που κατοχυρώνονται στο άρθρο 5 παρ. 1 του GDPR, και θα συντρέχει περιστατικό παραβίασης κατά την έννοια του άρθρου 4 στοιχ. (12) του GDPR («12) παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,). Κατά τον τρόπο αυτό, το Υπουργείο Υγείας, ως υπεύθυνος επεξεργασίας, θα εκτίθεται στις διοικητικές κυρώσεις των άρθρων 77επ. του GDPR (διοικητικά πρόστιμα από την ΑΠΔΠΧ) και στις αστικές κυρώσεις των άρθρων 79επ. του GDPR. Επιπλέον, οι νόμιμιοι εκπρόσωποί του θα εκτίθενται σε ποινικές κυρώσεις στη βάση των ποινικών διατάξεων του Ν.
4624/2019 ή άλλων διατάξεών της ποινικής νομοθεσίας. Για να το διατυπώσω απλά, κάθε περιστατικό παραβίασης συνιστά ένα βιασμό της προσωπικότητας του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Δεν είναι επιτρεπτό για το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, να ανεχθεί - για στατιστικούς λόγους - βιασμούς της προσωπικότητας των ασθενών των Νοσοκομείων της Χώρας. Η πιθανότητα επέλευσής σφάλματος κατά την ψηφιοποίηση (επιπλέον, θα πρέπει να οροθετηθεί προσεκτικά και περιοριστικά η έννοια του σφάλματος) σαφώς διαφέρει από την εκ του σχεδιασμού αποδοχή ύπαρξης σφαλμάτων σε υψηλό αριθμητικά ποσοστό. Επισημαίνεται, ότι, καθόσον εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας για το κεντρικό αποθετήριο που θα προκύψει από το έργο θα είναι η ΗΔΙΚΑ ΑΕ, ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας, θα προκύπτουν και για την ΗΔΙΚΑ ΑΕ αντίστοιχοι κίνδυνοι ευθύνης, σύμφωνα με τις ρυθμίσεις του GDPR.
Συνεπώς, έγουν - κατά την κρίση μου - παραβιαστεί οι προαναφερόαενες διατάζεις του άρθρου 25 του GDPR και συντρέχει βάσιμη πιθανότητα παραβίασης των άρθρων 4 στοιχ. (12) και 5 παρ. 1 του GDPR.
4. Στο σημείο αυτό, οφείλω από την πλευρά ιιου να επανέλθω ως προς γνώμη, που έχω ήδη εκφέρει σχετικά με το παρόν έργο. Συγκεκριμένα, είχα διατυπώσει (στις 14/11/2024) την άποψη ότι δεν απαιτούνται ειδικές διατάξεις νόμου ως νομικές βάσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για το σκοπό ψηφιοποίησης των φακέλων ασθενών, λαμβάνοντας υπόψη το άρθρο 84 παρ. 7 του Ν. 4600/2019 , που ορίζει ότι: «Η ΗΔΙΚΑ Α.Ε. αναλαμβάνει το σχεδιασμό, την υλοποίηση, την οργάνωση της μετάπτωσης των δεδομένων προσωπικού χαρακτήρα και άλλων δεδομένων, την τήρηση υπό συνθήκες που διασφαλίζουν την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των δεδομένων και κάθε άλλο θέμα, που αφορά την ομαλή λειτουργία του συστήματος αρχειοθέτησης του Α.Η. Φ. Υ, τηρώντας τις διατάξεις της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα και, ιδίως, τις θεμελιώδεις αρχές, που θέτει για τη νομιμότητα κάθε επεξεργασίας δεδομένων προσωπικού χαρακτήρα το άρθρο 5 του Γενικού Κανονισμού για την Προστασία Δεδομένων. Στο πλαίσιο της εν λόγω εκτέλεσης επεξεργασίας για λογαριασμό του Υπουργείου Υγείας, η ΗΔΙΚΑ Α.Ε. επιφορτίζεται με όλες τις υποχρεώσεις που θέτουν για τον εκτελούντα την επεξεργασία οι διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων και ιδίως: (...)». Έγραφα τότε σχετικά ότι: «Στην δική μου νομική αντίληψη, η ψηφιοποίηση εγγράφων είναι προπαρασκευαστική ενέργεια για την μετάπτωση των δεδομένων στον ΑΗΦΥ και η ΗΔΙΚΑ έχει ήδη εκ του νόμου εξουσία να την διενεργήσει, για λογαριασμό του Υπουργείου Υγείας».
Ωστόσο, κατά το χρόνο εκείνο, η Γενική Γραμματεία Υπηρεσιών Υγείας του Υπουργείου Υγείας, που είχε καταστεί αποδέκτης σχετικής υπόδειξης του Γραφείου του κ. Υπουργού Υγείας «να διερευνηθεί και να ολοκληρωθεί σε συνεργασία με τον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων του Υπουργείου μας το πλαίσιο τόσο νομικά όσο και πρακτικά υπό το οποίο θα λάβει χώρα η προώθηση και η μεταφορά δεδομένων στους αναδόχους των συμβάσεων», παρέλειψε οποιαδήποτε ενιημέρωσή του για το έργο. Και, βέβαια, δεν υπήρξε n παραμικρή συνεργασία.
Με δεδομένο ότι απέκτησα πρόσβαση στο φάκελο του έργου στις αρχές του τρέχοντος μήνα, κατά τα προαναφερόμενα, και διαπίστωσα τότε το σχεδιασμό κεντρικού αποθετηρίου εντελώς διακριτού από τα ήδη υφιστάμενα στην ΗΔΙΚΑ ΑΕ, για λογαριασμό του Υπουργείου Υγείας, αναθεωρώ την ως άνω διατυπωθείσα άποψή μου και θεωρώ απολύτως επιβεβλημένη τη θέσπιση ειδικών νομικών διατάξεων (κατά το πρότυπο των άρθρων 84 του Ν. 4600/2019 και 93 του Ν. 4961/2022), που θα ρυθμίζουν συνολικά το ζήτημα της ψηφιοποίησης των φακέλων ασθενών των 127 Νοσοκομείων της Χώρας.
Εφόσον προκόψουν άμεσα οι διατάξεις αυτές και με την ενδεχόμενη πρόβλεψη της κατ’ εξουσιοδότηση έκδοσης υπουργικών αποφάσεων, με περιεχόμενο που θα αποκαθιστά τα προβλήματα που έχουν εντοπιστεί κατά την υλοποίηση του έργου, προς την κατεύθυνση της αρχής της διασφάλισης του μηδενικού λάθους, είναι η δυνατή η προσήκουσα ολοκλήρωση του έργου μέσα στους προβλεπόμενους χρόνους. Στο πλαίσιο αυτό, οι Υπεύθυνοι Προστασίας Δεδομένων του Υπουργείου Υγείας και της ΚτΠ MAE, μπορούν ασφαλώς να συνδράμουν.
Παραμένω στη διάθεσή σας για περαιτέρω πληροφορίες ή διευκρινίσεις.
Ο Προϊστάμενος του Αυτοτελούς Γ ραφείου Προστασίας Δεδομένων του
Υπουργείου Υγείας
Δημήτρης Ζωγραφόπουλος Δικηγόρος (ΔΝ) - Ειδικός Επιστήμονας Υπεύθυνος Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας