ΕΝΩΣΗ ΙΑΤΡΩΝ ΑΣΚΟΥΝΤΩΝ ΙΑΤΡΙΚΗ ΤΗΣ ΕΡΓΑΣΙΑΣ

Παρατηρήσεις Σύμβασης Επεξεργασίας Προσωπικων Δεδομενων

2023-10-25

Προς την

Ένωση Ιατρών Ασκούντων Ιατρική της Εργασίας

του Ειδικού Καταλόγου Κ.Ν.Υ.Α.Ε.

Σε συνέχεια αιτήματος σας του Προέδρου της Ένωσης για τη μελέτη της προσκομισθείσας «Σύμβασης για την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα», θα ήθελα να σας αναφέρω τα ακόλουθα:

Α. Ο εκάστοτε Ιατρός Εργασίας (αντισυμβαλλόμενος της ΕΞΥΠΠ ) αναλαμβάνει ως εκτελών ή ορθότερα ως υποεκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα, να εκτελέσει επιμέρους όρους της Κύριας Σύμβασης του με την ΕΞΥΠΠ, η οποία εν προκειμένω ενεργεί κατ' εντολή Πελατών της, δυνάμει μεταξύ τους Σύμβασης με αντικείμενο τη διάθεση ενός Ιατρού Εργασίας.

Ως εκτελών την επεξεργασία νοείται το φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας» (άρθρο 4 στοιχ. 8 ΓΚΠΔ).

Η επεξεργασία των προσωπικών δεδομένων από τον εκτελούντα ή υποεκτελούντα την επεξεργασία οφείλει να πληροί πάντα τις απαιτήσεις του Γενικού Κανονισμού Προσωπικών Δεδομένων και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

Επισημαίνω ότι ο Ιατρός της εργασίας επεξεργάζεται τόσο απλά όσο και ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα των εργαζομένων του εκάστοτε Πελάτη της Εταιρείας (ΕΞΥΠΠ).

Ο εκάστοτε υπεύθυνος επεξεργασίας, οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία προσωπικών δεδομένων διενεργείται σύμφωνα με τον ΓΚΠΔ, κατά το άρθρο 24 ΓΚΠΔ, και να χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή των προβλεπόμενων μέτρων, οι οποίοι πρέπει να επεξεργάζονται τα δεδομέναβάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, σύμφωνα με το άρθρο 28 παρ. 1 ΓΚΠΔ.

Λαμβάνοντας υπ' όψη τα ανωτέρω, και με δεδομένο ότι α) από το υπόδειγμα Κύριας Σύμβασης, του οποίου έχω λάβει γνώση, δεν προκύπτει αναφορά σε συγκεκριμένα οργανωτικά αλλά και τεχνικά μέτρα, β) σε αυτό αναφέρεται ρητά ότι οι ιατρικοί φάκελοι των εργαζομένων του εκάστοτε πελάτη παραμένουν στις εγκαταστάσεις αυτού, ενώ ο Ιατρός Εργασίας δεν επιτρέπεται να τηρεί δεδομένα εργαζομένων σε προσωπικό του υπολογιστή ή σε άλλο έγχαρτο ή ηλεκτρονικό αρχείο και δεν πρέπει να μεταφέρει τα δεδομένα εκτός της εγκαταστάσεως της εκάστοτε επιχειρήσεως, σημειώνω ότι καθίσταται αναγκαίο στη σύμβαση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα να προσδιορίζονται από τον Υπεύθυνο της Επεξεργασίας (ενδεχομένως με ειδικό παράρτημα) συγκεκριμένα και κατάλληλα οργανωτικά αλλά και τεχνικά μέτρα, προσαρμοσμένα με την πολιτική ασφαλείας και τις υποδομές του εκάστοτε πελάτη.

Επίσης, θα πρέπει να καταγράφεται σαφώς η υποχρέωση της ΕΞΥΠΠ να διασφαλίζει και να ελέγχει τη συνεργασία του εκάστοτε Πελάτη, για την παροχή προς τον Ιατρό της αναγκαίας κάθε φορά συνδρομής, ώστε να είναι εφικτή η τήρηση συγκεκριμένων οργανωτικών μέτρων για την αποτροπή της τυχαίας ή παράνομης καταστροφής, απώλειας, αλλοίωσης, μη εξουσιοδοτημένης αποκάλυψης, μη εξουσιοδοτημένης πρόσβασης και άλλων παράνομων ή μη εξουσιοδοτημένων μορφών επεξεργασίας, σύμφωνα με την ισχύουσα νομοθεσία.

Σε διαφορετική περίπτωση, οι ιατροί της εργασίας θα είναι ακάλυπτοι και θα φέρουν ευθύνη που δεν τους αναλογεί, για περιστατικά παραβίασης της ασφάλειας των δεδομένων προσωπικού χαρακτήρων, τα οποία επεξεργάζονται.

Β. Περαιτέρω, επισημαίνω ότι θα πρέπει να απαιτηθεί η τροποποίηση της παρ. 12 της προσκομισθείσας «Σύμβασης για την Επεξεργασία Προσωπικών Δεδομένων» ως ακολούθως:

1.Ο εκτελών την επεξεργασία έχει πλήρη ευθύνη και την υποχρέωση να αποζημιώσει πλήρως το υποκείμενο των δεδομένων ή/και τον υπεύθυνο επεξεργασίας για κάθε ζημία που υπέστη τόσο ο ίδιος, άμεσα ή έμμεσα, όσο και οποιοσδήποτε τρίτος περιλαμβανομένων των υποκειμένων των δεδομένων, όταν η ζημία προκλήθηκε ως αποτέλεσμα της μη τήρησης ή/και της υπέρβασης των νόμιμων εντολών και οδηγιών του υπευθύνου επεξεργασίας ή/και παραβίασης των όρων της παρούσας /του παρόντος ή/και των υποχρεώσεων που επιβάλλονται στον εκτελούντα επεξεργασία από τον Κανονισμό και το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο σύνολό του.

2.Ο εκτελών την επεξεργασία απαλλάσσεται από κάθε ευθύνη, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

Είμαι στη διάθεση σας για κάθε περαιτέρω διευκρίνιση.

Η Δικηγόρος

ΑΝΝΑ Π. ΤΣΙΤΟΥΡΑ

Λεωφόρος Παπάγου 31, Παπάγου 15669

Τηλ.6973918070, 2109217958

email : anna.tsitoura@gmail.com

Share