Στην τελευταία ετήσια έκθεση του έτους 2022, η εποπτική αρχή του κρατιδίου της Έσσης εξέτασε το ζήτημα της δυνατότητας ανεβάσματος ακτινολογικών εξετάσεων στο cloud παράλληλα ή και αντί της αποθήκευσης αυτών σε οπτικό αποθηκευτικό μέσο (CD/DVD). Το ζήτημα προέκυψε μετά από καταγγελία ασθενούς ακτινοδιαγνωστικού ιατρείου, η οποία διαμαρτυρήθηκε για την άνευ συγκατάθεσης κοινολόγηση των προσωπικών δεδομένων της σε τρίτους. Σύμφωνα με την καταγγελία, το ιατρείο δεν χορήγησε τα αποτελέσματα των εξετάσεων μόνο στο παραδοσιακό CD, αλλά παράλληλα έδωσε στην ασθενή και κωδικούς πρόσβασης στον server του, με τη χρήση των οποίων μπορούσε η ίδια ή ο θεράπων ιατρός της να αποκτήσει πρόσβαση στις εξετάσεις της.
Η καταγγέλλουσα ζήτησε από το ιατρείο την άμεση διαγραφή των ιατρικών δεδομένων της από τον server, αίτημα το οποίο ικανοποιήθηκε άμεσα. Ωστόσο, η ασθενής είχε τη γνώμη πως το ιατρείο δεν την είχε ενημερώσει επαρκώς σχετικά με τη διαβίβαση των δεδομένων της σε εξωτερικό πάροχο, ενώ περαιτέρω η διαβίβαση αυτή θα έπρεπε να έχει πραγματοποιηθεί μόνο με τη ρητή συγκατάθεσή της. Για το λόγο αυτό, η ασθενής προσέφυγε ενώπιον της αρμόδιας εποπτικής αρχής.
Ερωτηθέν από την εποπτική αρχή, το ιατρείο υποστήριξε πως η διάθεση των ιατρικών απεικονίσεων μέσω διαδικτυακής λειτουργίας εξωτερικού παρόχου αποτελούσε μέρος της συμβατικής του υποχρέωσης, ενώ ισοδυναμούσε με την παράδοση αυτών σε ένα CD. Η διάθεση των απεικονίσεων με τον τρόπο αυτό συνδεόταν άρρηκτα με την αποστολή του ιατρείου, καθώς οι ασθενείς χρειάζονταν τις εξετάσεις τους στο πλαίσιο της θεραπείας τους από άλλον ιατρό. Επιπλέον, το ιατρείο επεσήμανε πως η χορήγηση του παραδοσιακού CD είναι τεχνολογικά παρωχημένη και πρακτικά αναποτελεσματική. Τούτο διότι ολοένα και λιγότεροι ασθενείς, αλλά και ιατροί, είναι σε θέση να διαβάζουν CD, καθώς πολλοί εξ αυτών δεν διαθέτουν πλέον οδηγό CD-ROM.
Η εποπτική αρχή συντάχθηκε με τη γνώμη του ιατρείου και επιδοκίμασε την πρακτική του. Σύμφωνα με τη νομική αξιολόγηση που πραγματοποίησε, η συλλογή, αποθήκευση και χρήση δεδομένων υγείας από τον θεράποντα ιατρό επιτρέπεται στη βάση του άρθρου 9 παρ.2η’ ΓΚΠΔ, για σκοπούς πρόληψης και θεραπείας, ως εκ τούτου δεν απαιτεί τη συγκατάθεση του ασθενούς. Η συγκατάθεση αυτή απαιτείται στην περίπτωση όπου ο επαγγελματίας υγείας επιθυμεί να προσφέρει πρόσθετες υπηρεσίες, όπως ενημερωτικό δελτίο ή υπηρεσία υπενθύμισης για εξετάσεις.
Στην προκείμενη περίπτωση, το καταγγελλόμενο ακτινολογικό ιατρείο αποτελεί ουσιαστικά ένα διαγνωστικό κέντρο, το οποίο λειτουργεί σε μεγάλο βαθμό βάσει παραπομπών από άλλους ιατρούς. Οι ιατρικές απεικονίσεις δημιουργούνται με σκοπό τη διαβίβασή τους στον θεράποντα ιατρό, ως εκ τούτου η δημιουργία και επεξεργασία αυτών προς τον σκοπό της διαβίβασης αυτής είναι απαραίτητη για την εκπλήρωση της συμβατικής υποχρέωσης του ακτινολογικού ιατρείου κατά την εννοία του άρθρου 9 παρ.2ή’ ΓΚΠΔ και δεν αποτελεί μια πρόσθετη υπηρεσία.
Επιλήψιμη δεν ήταν ούτε η διαβίβαση των δεδομένων στον εκτελούντα την επεξεργασία πάροχο του συστήματος πρόσβασης, δεδομένου ότι αυτός, κατά ρητή αναφορά του άρθρου 4 στοιχ. 10 ΓΚΠΔ, δεν είναι «τρίτος».
Με βάση τις ανωτέρω παρατηρήσεις, η εποπτική αρχή της Έσσης κατέληξε πως η υποχρέωση υιοθέτησης πρακτικών που λαμβάνουν υπόψιν το state of the art, όπως προβλήθηκε από το καταγγελλόμενο ιατρείο, συνεπάγεται την εγκατάλειψη των παραδοσιακών φυσικών μέσων αποθήκευσης, όπως το CD. Όπως καταληκτικώς παρατηρήθηκε, η προστασία των προσωπικών δεδομένων δεν απαιτεί την προσκόλληση σε παρωχημένες τεχνολογικές λύσεις, όταν η προστασία αυτή μπορεί να επιτευχθεί με σύγχρονους διαύλους και μέσα διαβίβασης δεδομένων και επικοινωνίας.
Πηγή: lawspot.gr