ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)

∆. Ζωγραφόπουλος 148 λειτουργία αρχείου με δεδομένα που αφορούν την υγεία ή την έναρξη της επεξεργασίας τους και λάβει τη σχετική άδεια από την ΑΠ∆ΠΧ , προκειμένου να είναι σύννομη η κατ’ εξαίρεση επεξεργασία των δεδομένων αυτών. Επιπλέον, προκειμένου να είναι σύννομη η κατ’ εξαίρεση επεξεργασία των δεδομένων αυτών έπρεπε να συντρέχει μία τουλάχιστον από τις νομικές βάσεις , τις οποίες προέβλεπε το άρθρο 7 παρ. 2. Η πλέον ενδεδειγμένη νομική βάση για την κατ’ εξαίρεση σύννομη επεξεργασία των δεδομένων που αφορούν την υγεία ήταν αυτή της παρ. 2 στοιχ. (δ΄) του άρθρου 7 του Ν 2472/1997: «(…) δ) Η επεξεργασία αφορά θέματα υγείας και εκτελείται από πρόσωπο που ασχολείται κατ' επάγγελμα με την παροχή υπηρεσιών υγείας και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας, υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή τη διαχείριση υπηρεσιών υγείας ». Ωστόσο, στο άρθρο 7Α παρ. 1 του Ν 2472/1997 οριζόταν σε σχέση με την απαλλαγή υποχρέωσης γνωστοποίησης και λήψης άδειας επεξεργασίας ευαίσθητων δεδο- μένων ότι: « 1. Ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση γνωστοποίησης του άρθρου 6 και από την υποχρέωση λήψης άδειας του άρθρου 7 του παρόντος νόμου στις ακόλουθες περιπτώσεις: (…) δ) Όταν η επεξεργασία αφορά δεδομένα υγείας και γίνεται από ιατρούς ή άλλα πρόσωπα που παρέχουν υπηρεσίες υγείας, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από το ιατρικό απόρρητο ή άλλο απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας, και τα δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους. Για την εφαρμογή της παρούσας διάταξης τα δικαστήρια και οι δημόσιες αρχές δεν λογίζονται ως τρίτοι, εφόσον τη διαβίβαση ή κοινοποίηση επιβάλλει νόμος ή δικαστική απόφαση. ∆εν εμπίπτουν στην απαλλαγή της παρούσας διάταξης τα νομικά πρόσωπα ή οργανισμοί που παρέχουν υπηρεσίες υγείας, όπως κλινικές, νοσοκομεία, κέντρα υγείας, κέντρα αποθεραπείας και αποτοξίνωσης, ασφαλιστικά ταμεία και ασφαλιστικές εταιρίες, καθώς και οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν η επεξεργασία διεξάγεται στο πλαίσιο προγραμμάτων τηλεϊατρικής ή παροχής ιατρικών υπηρεσιών μέσω δικτύου. (…)». Τέλος, με τις ποινικές διατάξεις του άρθρου 22 του Ν 2472/1997 κολάζονταν ιδίως τόσο η παράλειψη γνωστοποίησης στην ΑΠ∆ΠΧ, κατά το άρθρο 6 του νόμου αυτού, της σύστασης και λειτουργία αρχείου ή οποιασδήποτε μεταβολής στους όρους και τις προϋποθέσεις χορηγήσεως της άδειας, που προβλεπόταν από την παρ. 3 του άρθρου 7 του νόμου αυτού ( παρ. 1 ), όσο και η κατά παράβαση του άρθρου 7 του νόμου αυτού τήρηση αρχείου χωρίς άδεια ή κατά παράβαση των όρων και προϋποθέσεων της άδειας της ΑΠ∆ΠΧ ( παρ. 2 ) καθώς, επίσης, η εν γένει χωρίς δικαίωμα (συνεπώς, παράνομη) επεξεργασία (απλών και ευαίσθητων) δεδομένων προσωπικού χαρακτήρα, που τηρούνταν σε αρχείο ( παρ. 4 ). Πρέπει να σημειωθεί ότι, υπό το καθεστώς της Οδηγίας 95/46/ΕΚ και του Ν 2472/1997, η συντριπτική πλειοψηφία των υποθέσεων , που απασχόλησαν την ΑΠ∆ΠΧ, σχετικά με την επεξεργασία δεδομένων που αφορούν την υγεία, είχαν ως αντικείμενο είτε αιτήσεις υπευθύ- νων επεξεργασίας για τη λήψη άδειας από την Αρχή για τη σύσταση και λειτουργία αρχείου με ευαίσθητα δεδομένα, σύμφωνα με τις ως άνω διατάξεις των άρθρων 6 και 7 του Ν 2472/1997, είτε αιτήσεις υπευθύνων επεξεργασίας για τη λήψη άδειας από την Αρχή για τη διαβίβαση σε αιτούντες τρίτους δεδομένων που αφορούν την υγεία των υποκειμένων τους για το σκοπό της