Ανακοίνωση ΟΑΥ αναφορικά με τα προσωπικά δεδομένα των δικαιoύχων του ΓεΣΥ!

Η μετάβαση στη ψηφιακή εποχή αποτελεί αναμφίβολα μια θετική εξέλιξη με πολλαπλά οφέλη: Απλοποίηση διαδικασιών, μείωση χρόνου αναμονής, αποφυγή περιττής γραφειοκρατίας, εύκολη και άμεση πρόσβαση σε χρήσιμα στοιχεία. Ένα ζήτημα που ανακύπτει ωστόσο, από αυτή την αναγκαία μετάβαση, είναι η διαφύλαξη των Προσωπικών Δεδομένων (ΠΔ) των προσώπων. Πέραν των μέτρων κυβερνοασφάλειας που λαμβάνονται για την προστασία του Συστήματος Πληροφορικής του ΓεΣΥ, ο Οργανισμός Ασφάλισης Υγείας έχει καθορίσει ένα συγκεκριμένο πλαίσιο το οποίο υποδεικνύει και ελέγχει το ποιοι και υπό ποιες προϋποθέσεις έχουν δικαίωμα πρόσβασης και επεξεργασίας στα δεδομένα του κάθε δικαιούχου.

ΠΟΙΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΣΥΛΛΕΓΟΝΤΑΙ

Όταν ένας δικαιούχος αιτηθεί να εγγραφεί ή να εγγράψει τρίτο άτομο στην Πύλη Δικαιούχων του ΓεΣΥ, θα του ζητηθεί να δώσει κάποια προσωπικά του στοιχεία. Αυτά τα στοιχεία περιλαμβάνουν όνομα και επώνυμο, ημερομηνία γέννησης, εθνικότητα και αριθμό ταυτότητας ή αναλόγως, αριθμός εγγραφής αλλοδαπού

Επιπλέον απαιτούνται στοιχεία που αφορούν στην οικογενειακή κατάσταση, την ταχυδρομική διεύθυνση, αριθμούς τηλεφώνου του δικαιούχου και του πλησιέστερου συγγενή, διεύθυνση ηλεκτρονικού ταχυδρομείου, η προτιμώμενη μέθοδος επικοινωνίας και η προτιμώμενη γλώσσα επικοινωνίας (ελληνικά ή αγγλικά).

Ο Οργανισμός έχει το δικαίωμα, προκειμένου να επαληθεύσει το κατά πόσο ο αιτητής πληροί τα κριτήρια ώστε να είναι δικαιούχος του ΓεΣΥ, να ελέγξει τα προσωπικά του στοιχεία χρησιμοποιώντας άλλες κυβερνητικές βάσεις δεδομένων.

Επιπλέον, κάθε φορά που ένας δικαιούχος λαμβάνει υπηρεσίες φροντίδας υγείας στο πλαίσιο του ΓεΣΥ, ο εκάστοτε πάροχος εισάγει προσωπικά δεδομένα σχετικά με αυτές τις υπηρεσίες. Αυτά τα δεδομένα ενδέχεται να περιλαμβάνουν ενδείξεις σχετικά με την κατάσταση της υγείας του δικαιούχου.

Τα ιατρικά δεδομένα εισάγονται στο Σύστημα είτε μέσα στην επιλογή «Ιατρικό Προφίλ» είτε στην κατηγορία «Ιστορικό», ως μέρος της διαδικασίας επιβολής απαιτήσεων.

Ο ΟΑΥ έχει το δικαίωμα να επεξεργάζεται προσωπικά δεδομένα που αφορούν γενικές πληροφορίες για τις υπηρεσίες φροντίδας υγείας που λαμβάνει ένας δικαιούχος, στο πλαίσιο υλοποίησης, παρακολούθησης και διαχείρισης του Γενικού Συστήματος Υγείας.

ΠΟΙΟΙ ΕΧΟΥΝ ΔΙΚΑΙΩΜΑ ΠΡΟΣΒΑΣΗΣ

Δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα έχουν, φυσικά, οι ίδιοι οι δικαιούχοι ή οι κηδεμόνες τους. Επιπλέον, δικαίωμα πρόσβασης έχουν οι συμβεβλημένοι με το ΓεΣΥ πάροχοι υπηρεσιών φροντίδας υγείας, οι επαγγελματίες υγείας του ΓεΣΥ, όπως και το προσωπικό που ανήκει ή εργάζεται για λογαριασμό των παροχέων, υπό συγκεκριμένες προϋποθέσεις που δικαιολογούν τέτοια πρόσβαση.

Με βάση πάντοτε την ανάγκη για γνώση, δικαίωμα πρόσβασης έχουν εξουσιοδοτημένοι λειτουργοί του ΟΑΥ, καθώς και οργανισμοί ή πρόσωπα που λειτουργούν ως υπεργολάβοι ή συνεργάτες του ΟΑΥ, όπου στο πλαίσιο των υπηρεσιών που παρέχουν, π.χ. εξέταση απαιτήσεων ή αιτημάτων προέγκρισης, διαχειρίζονται προσωπικά δεδομένα δικαιούχων. Ακόμα, πρόσβαση σε συγκεκριμένα προσωπικά δεδομένα δυνατόν να έχουν δημόσιες υπηρεσίες στα πλαίσια της εκτέλεσης του έργου τους, όπως π.χ. ο Γενικός Ελεγκτής της Δημοκρατίας ή ο Επόπτης του ΓεΣΥ στα πλαίσια διερεύνησης παραπόνων κοκ.

Τέλος, πρόσβαση σε προσωπικά στοιχεία ενός δικαιούχου έχουν επίσης και τα άτομα που έχουν οριστεί από δικαιούχους για να τους εγγράψουν στην Πύλη Δικαιούχων. Η πρόσβαση αυτή διακόπτεται πλήρως με την ολοκλήρωση της εγγραφής του δικαιούχου και πριν ξεκινήσει η παροχή υπηρεσιών φροντίδας υγείας.

ΠΩΣ ΕΛΕΓΧΕΤΑΙ Η ΠΡΟΣΒΑΣΗ ΣΕ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

Στην Πύλη Δικαιούχων εφαρμόζονται τα ενδεδειγμένα τεχνικά μέτρα κυβερνοασφάλειας καθώς και μέτρα τα οποία εφαρμόζουν τις απαιτούμενες προϋποθέσεις για έννομη πρόσβαση σε προσωπικά δεδομένα. Όσον αφορά την πρόσβαση των Παροχέων στο Αρχείο του δικαιούχου, υπάρχει πλήρης διαφάνεια ως προς το ποιος, πότε και υπό ποιες προϋποθέσεις απέκτησε πρόσβαση. Συγκεκριμένα, κάθε τέτοια πρόσβαση καταγράφεται στο Αρχείο Καταγραφής Πρόσβασης που αποτελεί μέρος του αρχείου κάθε δικαιούχου. Ταυτόχρονα, αποστέλλεται ξεχωριστό ηλεκτρονικό μήνυμα στον δικαιούχο κάθε φορά που ένας παροχέας είχε πρόσβαση.

Τέλος, μέσα από την Πύλη, δίνεται η δυνατότητα σε κάθε δικαιούχο να περιορίσει την πρόσβαση των παροχέων είτε σε συγκεκριμένα ιατρικά δεδομένα είτε σε ολόκληρο το ιατρικό του ιστορικό. Στην περίπτωση αυτή, ο δικαιούχος καλείται να αποδεχθεί τον κίνδυνο που υπάρχει να λαμβάνει υπηρεσίες φροντίδας υγείας από παροχείς όταν αυτοί δεν έχουν τη δυνατότητα να έχουν γνώση του ιατρικού τους ιστορικού.

ΓΙΑ ΠΟΣΟ ΧΡΟΝΙΚΟ ΔΙΑΣΤΗΜΑ ΤΗΡΟΥΝΤΑΙ ΤΑ ΠΔ ΣΤΟ ΣΥΣΤΗΜΑ ΤΟΥ ΓΕΣΥ

Εάν ο δικαιούχος το επιθυμεί, έχει το δικαίωμα να διακόψει τη χρήση των υπηρεσιών του ΓεΣΥ ανά πάσα στιγμή, υποβάλλοντας σχετικό αίτημα μέσω της Πύλης. Σε μια τέτοια περίπτωση καταργείται μεν η πρόσβασή στο Αρχείο Δικαιούχου, χωρίς όμως το Αρχείο να διαγράφεται από το Σύστημα του ΓεΣΥ.

Τα δεδομένα για την υγεία του δικαιούχου διατηρούνται σύμφωνα με τις κατευθυντήριες γραμμές που εξέδωσε ο αρμόδιος Επίτροπος για την προστασία των δεδομένων της Κυπριακής Δημοκρατίας, στις 3 Ιουλίου 2018. Βάσει αυτού, η περίοδος διατήρησης προσωπικών δεδομένων σχετικά με την υγεία ενός δικαιούχου, δεν πρέπει να υπερβαίνει τα 15 έτη μετά το θάνατό του ή 15 έτη μετά την τελευταία καταχώριση δεδομένων στην Πύλη.

Η περίοδος αυτή ισχύει εφόσον δεν υπάρχουν οικονομικά / νομικά ή άλλα εκκρεμή ζητήματα ή διαφορές μεταξύ του δικαιούχου και του υπεύθυνου επεξεργαστή, στην προκειμένη του ΟΑΥ.

Επίσης, τα προσωπικά δεδομένα υγείας ενός δικαιούχου μπορούν να αποθηκευτούν για μεγαλύτερο χρονικό διάστημα σε ξεχωριστό σύστημα αρχειοθέτησης εάν:

α) υποβάλλονται σε επεξεργασία αποκλειστικά για λόγους αρχειοθέτησης προς το δημόσιο συμφέρον, επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς,

β) εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να αρχειοθετούνται μόνο τα δεδομένα του ατόμου που χρειάζονται για τον εκάστοτε σκοπό. Εάν για παράδειγμα, δεν εξυπηρετεί το σκοπό η οικογενειακή κατάσταση του δικαιούχου, τα σχετικά στοιχεία διαγράφονται και,

γ) εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα τα οποία δεν θα επιτρέπουν πλέον την αναγνώριση δικαιούχου (π.χ. η αντικατάσταση του ονόματος του δικαιούχου με αριθμό).

ΠΟΙΑ ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΔΙΚΑΙΟΥΧΩΝ ΣΕ ΣΧΕΣΗ ΜΕ ΤΑ ΠΔ

Δικαίωμα πρόσβασης: Ο κάθε δικαιούχος έχει το δικαίωμα να ζητήσει πρόσβαση σε όλα τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία από τον ΟΑΥ και τον αφορούν. Ωστόσο, ο ΟΑΥ έχει επίσης το δικαίωμα να προχωρήσει σε εύλογες χρεώσεις διοικητικών εξόδων, εάν ο δικαιούχος υποβάλλει επανειλημμένα αιτήματα πρόσβασης.

Για να αποφευχθεί κάτι τέτοιο, κάθε αίτηση πρέπει να είναι ξεκάθαρη και να καθορίζει σε τι είδους επεξεργασία επιθυμεί να προχωρήσει ο δικαιούχος.

Δικαίωμα στη διόρθωση: Μέσω της Πύλης, ο δικαιούχος έχει ελεγχόμενη πρόσβαση στο Αρχείο του ώστε να μπορεί να προβαίνει σε συγκεκριμένες τροποποιήσεις: Αλλαγές στις προτιμήσεις επικοινωνίας, τα στοιχεία επικοινωνίας ή την απόκρυψη τμημάτων του ιατρικού ιστορικού του.

Σε περίπτωση που ένας δικαιούχος επιθυμεί να διορθώσει τυχόν λάθη στα προσωπικά του στοιχεία, π.χ. ιατρικά δεδομένα που καταχώρησε παροχέας, τότε μπορεί να υποβάλει σχετικό αίτημα με τα ανάλογα αποδεικτικά. Σε αυτή την περίπτωση δεν επιβάλλεται κάποιο τέλος από τον Οργανισμό. Οι πιο πάνω τροποποιήσεις φυσικά, τελούν υπό την αίρεση του Οργανισμού, ο οποίος έχει την ευθύνη να αποφασίσει εάν θα εγκριθούν ώστε να γίνουν μέρος του Αρχείου Δικαιούχου. Μόλις γίνει αυτό, οι πληροφορίες που περιέχονται στο Αρχείο είναι προσβάσιμες στον ΟΑΥ και σε όσα άτομα/υπηρεσίες έχουν το δικαίωμα πρόσβασης.

Δικαίωμα περιορισμού: Επιπλέον, οι δικαιούχοι έχουν το δικαίωμα να αιτηθούν περιορισμό στην επεξεργασία των δεδομένων τους από τον Οργανισμό υπό συγκεκριμένες προϋποθέσεις. Εάν ένας δικαιούχος επιθυμεί να υποβάλει αίτημα για άσκηση ενός ή περισσοτέρων, από όσα αναφέρονται πιο πάνω, μπορεί να επικοινωνήσει με τον Υπεύθυνο Προστασίας Δεδομένων στην ηλεκτρονική διεύθυνση dpo@hio.org.cy.

Ηλεκτρονικό μήνυμα που ζητά την άσκηση ενός δικαιώματος, δεν θεωρείται ταυτόχρονη συγκατάθεση για επεξεργασία των προσωπικών δεδομένων του δικαιούχου.

Τι πρέπει να πληροί το αίτημα:

  • Σαφή δήλωση για το δικαίωμα που επιθυμεί να ασκήσει ο δικαιούχος
  • Τον λόγο που το απαιτεί
  • Ημερομηνία και υπογραφή του αιτητή
  • Ψηφιακό σαρωμένο αντίγραφο της έγκυρης ταυτότητας που αποδεικνύει την ταυτότητά του αιτητή

Εάν η αίτηση πληροί τις πιο πάνω προϋποθέσεις και αποδειχθεί έγκυρη, ο Οργανισμός θα τη χειριστεί το συντομότερο δυνατό και το αργότερο σε τριάντα (30) ημέρες μετά την παραλαβή του αιτήματος.

Ο ΟΑΥ βρίσκεται συνεχώς σε εγρήγορση έτσι ώστε να διασφαλίζεται ένα ψηλό επίπεδο προστασίας των προσωπικών δεδομένων των δικαιούχων του ΓεΣΥ. Επιπλέον, ο Οργανισμός διαβουλεύεται σε τακτική βάση με το Γραφείο της Επιτρόπου Προστασίας Προσωπικών Δεδομένων λαμβάνοντας σχετικές οδηγίες και αποφάσεις, ούτως ώστε να διασφαλίζεται η έννομη επεξεργασία σε όλα τα φάσματα της λειτουργίας του ΓεΣΥ των προσωπικών δεδομένων.

Εν κατακλείδι, ο Οργανισμός, ως δημόσια οντότητα που συλλέγει και διαχειρίζεται μεγάλο όγκο προσωπικών δεδομένων έχει υποχρέωση να συμμορφώνεται με τις πρόνοιες του Ευρωπαϊκού Γενικού Κανονισμού για τα Προσωπικά Δεδομένα. Πέραν όμως της νομικής υποχρέωσης, η προστασία των προσωπικών δεδομένων των δικαιούχων αποτελεί μέρος των ηθικών αξιών στη βάση των οποίων λειτουργεί ο Οργανισμός και ως εκ τούτου, ο σεβασμός στην ιδιωτικότητα και η προστασία προσωπικών δεδομένων έχουν εδραιωθεί ως μέρος της όλης οργανωτικής του κουλτούρας.