Σύμφωνα με την ευρωπαϊκή στρατηγική δεδομένων, η Ευρωπαϊκή Επιτροπή υπέβαλε την πρότασή της για τον κανονισμό για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας (EHDS) τον Μάιο του 2022. Σκοπός του EHDS είναι να δημιουργήσει μια υποχρεωτική διασυνοριακή υποδομή που να επιτρέπει στους κατοίκους να έχουν πρόσβαση τα ηλεκτρονικά τους δεδομένα υγείας οπουδήποτε στην Ευρώπη για σκοπούς υγειονομικής περίθαλψης και χρησιμοποιούν αυτά τα δεδομένα για σκοπούς επιστροφής εξόδων και παρόμοιους σκοπούς (πρωτογενής χρήση). Επιπλέον, το EHDS δημιουργεί μια υποχρεωτική διασυνοριακή υποδομή για τη δευτερογενή χρήση ηλεκτρονικών δεδομένων υγείας, όπως ηλεκτρονικά αρχεία ασθενών, γενετικά δεδομένα, κοινωνικοοικονομικά δεδομένα και δεδομένα που υποβάλλονται σε επεξεργασία σε σχέση με υπηρεσίες υγειονομικής περίθαλψης. Οι δευτερεύουσες χρήσεις καλύπτουν τα πάντα, από τη δημόσια υγεία, σχεδιαστικούς και στατιστικούς σκοπούς, επιστημονική έρευνα, δραστηριότητες ανάπτυξης και καινοτομίας, εκπαίδευση και δοκιμή αλγορίθμων και παροχή εξατομικευμένης υγειονομικής περίθαλψης.
Κάθε χώρα διαθέτει έναν κεντρικό φορέα πρόσβασης σε δεδομένα υγείας του δημόσιου τομέα, ο οποίος αξιολογεί τις αιτήσεις πρόσβασης σε ηλεκτρονικά δεδομένα υγείας και εκδίδει άδειες δεδομένων για πρόσβαση σε ψευδώνυμα σύνολα δεδομένων ή απαντήσεις σε αιτήματα δεδομένων σε ανώνυμη στατιστική μορφή. Πρέπει επίσης να διατηρεί ένα δημόσιο σύστημα πληροφοριών και να εκπληρώνει τις υποχρεώσεις έναντι των φυσικών προσώπων, όπως απαιτείται από τον κανονισμό EHDS και τον GDPR. Οι κάτοχοι ηλεκτρονικών δεδομένων υγείας υποχρεούνται να παρέχουν πρόσβαση στα δεδομένα τους μέσω του φορέα πρόσβασης όταν χορηγείται άδεια δεδομένων ή παρέχεται απάντηση σε αίτημα δεδομένων.
Δεδομένης της ευαίσθητης φύσης των δεδομένων υγείας, η επιλογή του χώρου δεδομένων υγείας ως του πρώτου από πολλούς χώρους δεδομένων που θα δημιουργηθούν εντός της ΕΕ ήταν μια τολμηρή κίνηση από την Επιτροπή. Αυτό θα μπορούσε να εξηγηθεί από την ανάγκη να καταστεί δυνατή η αναζήτηση υγειονομικής περίθαλψης στους Ευρωπαίους εντός της ΕΕ και από την επιτακτική ανάγκη να εναρμονιστεί η ερμηνεία του GDPR και των εθνικών νόμων όσον αφορά την εκτέλεση ερευνητικών προγραμμάτων για την υγεία σε ολόκληρη την ΕΕ, καθώς και επιθυμία της φαρμακευτικής βιομηχανίας να αποκτήσει μεγάλες ποσότητες δεδομένων υγείας που προέρχονται από την ΕΕ. Οι επικείμενες ευρωπαϊκές εκλογές τον Ιούνιο του 2024 άσκησαν πίεση στα διάφορα θεσμικά όργανα να καταλήξουν σε κοινή θέση σε σχέση με τον προτεινόμενο κανονισμό. Το Συμβούλιο Υπουργών και το Κοινοβούλιο της ΕΕ μπόρεσαν και οι δύο να καταλήξουν σε διαπραγματευτικές εντολές τον Δεκέμβριο, οι οποίες κατέστησαν δυνατή την έναρξη των διαπραγματεύσεων του Τριμερούς Διαλόγου μεταξύ διαφορετικών θεσμικών οργάνων της ΕΕ ήδη από τότε.
Το πεδίο των προτεινόμενων δευτερογενών χρήσεων των ηλεκτρονικών δεδομένων υγείας είναι ευρύ. Σύμφωνα με την αρχική πρόταση της Επιτροπής, τα δικαιώματα των υποκειμένων των δεδομένων θα βασίζονται στον GDPR και η μόνη πρόσθετη διασφάλιση θα είναι το ασφαλές περιβάλλον τεχνικής επεξεργασίας για προσωπικά δεδομένα που σχετίζονται με την υγεία. Ο βαθμός στον οποίο τα υποκείμενα των δεδομένων θα πρέπει να ελέγχουν τη δευτερεύουσα χρήση των δεδομένων τους σχετικά με την υγεία στο EHDS έχει αποδειχθεί ότι είναι ένα από τα πιο επίμαχα ζητήματα που διχάζουν το Συμβούλιο και το Κοινοβούλιο.
Στο επόμενο ιστολόγιο θα συζητήσω πρώτα τις διάφορες μορφές ελέγχου που προβλέπονται για τα υποκείμενα των δεδομένων σχετικά με τη δευτερογενή χρήση των δεδομένων υγείας τους. Στη συνέχεια θα περιγράψω τις αντίστοιχες θέσεις των διαφορετικών ιδρυμάτων και θα τις συζητήσω υπό το φως της φινλανδικής νομοθεσίας σχετικά με τη δευτερογενή χρήση δεδομένων υγείας και κοινωνικών δικτύων που έχει λειτουργήσει ως ένα από τα μοντέλα της πρότασης EHDS.
Opt-out ή -in έναντι του δικαιώματος αντίρρησης
Όταν εξετάζουμε τον βαθμό ελέγχου που έχουν τα υποκείμενα των δεδομένων στη δευτερεύουσα χρήση των δεδομένων υγείας τους, θα πρέπει να κάνουμε διάκριση μεταξύ της συναίνεσης βάσει του GDPR και του δικαιώματος αντίρρησης, αφενός, και της συναίνεσης που βασίζεται σε θεμελιώδη δικαιώματα και ηθική (opt-in ) και η ελαφρύτερη εκδοχή του εξαίρεση, από την άλλη πλευρά. Εν ολίγοις, η συναίνεση βάσει του GDPR σχετίζεται με την επεξεργασία προσωπικών δεδομένων και προτείνεται από το Κοινοβούλιο για γενετικά, γονιδιωματικά και πρωτεομικά δεδομένα. Η Επιτροπή και το Συμβούλιο δεν προτείνουν συναίνεση για οποιοδήποτε είδος δευτερεύουσας χρήσης επεξεργασίας.
Το δικαίωμα αντίρρησης σύμφωνα με τον GDPR δίνει στο υποκείμενο των δεδομένων το δικαίωμα να εναντιωθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του , ανά πάσα στιγμή στην επεξεργασία των προσωπικών τους δεδομένων, όταν αυτή η επεξεργασία βασίζεται στο δημόσιο συμφέρον (άρθρο 6 παρ. 1 (ε )) ή έννομο συμφέρον (άρθρο 6 παρ. 1 στοιχείο στ)). Μετά την ένσταση, ο υπεύθυνος επεξεργασίας δεν μπορεί πλέον να επεξεργάζεται τα προσωπικά δεδομένα εκτός εάν μπορεί να αποδείξει, δηλαδή επιτακτικούς νόμιμους λόγους που υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων. (Άρθρο 21 παρ. 1) Για επιστημονικούς ή ιστορικούς ερευνητικούς ή στατιστικούς σκοπούς το δικαίωμα αντίρρησης ισχύει εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση εργασίας που πραγματοποιείται για λόγους δημοσίου συμφέροντος. (άρθρο 21 παρ. 6) Με άλλα λόγια, το υποκείμενο των δεδομένων δεν μπορεί να ασκήσει το δικαίωμά του αντίρρησης, εκτός εάν δώσει προσωπικό λόγο για μια τέτοια ένσταση και για επιστημονική ή στατιστική χρήση αυτό μπορεί να μην είναι αρκετό εάν η επεξεργασία κριθεί απαραίτητη για το κοινό λόγους ενδιαφέροντος. Επομένως, το δικαίωμα αντίρρησης εξαρτάται από την αποκάλυψη προσωπικών λόγων από το υποκείμενο των δεδομένων, δηλαδή περισσότερο προσωπικά δεδομένα, και τα ενδεχόμενα υπέρτατα συμφέροντα του υπεύθυνου επεξεργασίας.
Σύμφωνα με τον GDPR, το δικαίωμα αντίρρησης πρέπει να γνωστοποιείται ρητά στο υποκείμενο των δεδομένων και να παρουσιάζεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων. Το υποκείμενο των δεδομένων μπορεί να ασκήσει αυτό το δικαίωμα με αυτοματοποιημένα μέσα και χρησιμοποιώντας τεχνικές προδιαγραφές. (άρθρο 21 παρ. 4)
Το opt-out χρησιμοποιείται σε πολλούς τομείς του δικαίου και ο καθένας θα πρέπει να εξετάζεται χωριστά. Σύμφωνα με τη Γαλλική Γερουσία, η δευτερογενής επεξεργασία δεδομένων υγείας θα πρέπει να απαιτεί τη συγκατάθεση του υποκειμένου των δεδομένων, αλλά αυτή η συγκατάθεση θα μπορούσε να θεωρηθεί ότι έχει δοθεί εάν τα άτομα αφού ενημερωθούν για τη δευτερεύουσα χρήση δεν έχουν αντιταχθεί σε αυτήν. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δηλώνει ότι σε περιπτώσεις όπου η συγκατάθεση δεν αποτελεί τη βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, μπορεί να χρησιμοποιηθεί ως εγγύηση για την επεξεργασία. Επιπλέον, το δικαίωμα απαγόρευσης του άμεσου μάρκετινγκ σύμφωνα με το άρθρο 21.2 του ΓΚΠΔ είναι ένα άνευ όρων δικαίωμα απαγόρευσης της χρήσης προσωπικών δεδομένων για άμεσο μάρκετινγκ και γενικά ονομάζεται opt-out. Κατά συνέπεια, η εξαίρεση θα μπορούσε να περιγραφεί ως διασφάλιση για την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων εντός του EHDS, όταν δεν απαιτείται συναίνεση. Ομοίως, μια επιλογή συμμετοχής ή η λεγόμενη ηθική συναίνεση, όταν δεν χρησιμοποιείται ως νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θα μπορούσε να περιγραφεί ως διασφάλιση από την άποψη του GDPR.
Διαπραγματευτική εντολή του Συμβουλίου: διαφορετικές εκδοχές του δικαιώματος αντίρρησης
Η εντολή του Συμβουλίου για τις διαπραγματεύσεις είναι γραμμένη με τρόπο που αφήνει τις δύσκολες πτυχές του κανονισμού στην εθνική νομοθεσία των κρατών μελών. Αυτό αφορά, ειδικότερα, την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Το δικαίωμα αντίρρησης στη δευτερογενή επεξεργασία των δεδομένων τους αποτελεί βασικό παράδειγμα. Εάν τα κρίσιμα ζητήματα αφεθούν στα κράτη μέλη ή, όπως προτείνει η Επιτροπή, στον GDPR, η τρέχουσα κατάσταση όσον αφορά την εφαρμογή του GDPR για διασυνοριακά έργα έρευνας και ανάπτυξης θα αναπαραχθεί στο πλαίσιο του EHDS και κάθε χώρα θα τερματιστεί. εφαρμόζοντας τη δική τους εκδοχή και ερμηνεία του νόμου.
Ακόμη και ο ρόλος του προτεινόμενου δικαιώματος αντίρρησης για δευτερεύουσες χρήσεις είναι ρευστός. Σύμφωνα με το Συμβούλιο, «είναι σκόπιμο να αφήσουμε τα κράτη μέλη ελεύθερα να αποφασίσουν να εισαγάγουν και να τροποποιήσουν ένα τέτοιο δικαίωμα, δεδομένου ότι συνεπάγεται ισορροπία μεταξύ της ατομικής αυτονομίας και της διαθεσιμότητας δεδομένων υγείας για σκοπούς δευτερεύουσας χρήσης, η οποία γίνεται καλύτερα σε εθνικό επίπεδο επίπεδο, λαμβάνοντας υπόψη τις ειδικές καταστάσεις και τις ιστορικές εμπειρίες των κρατών μελών. (αιτιολογική σκέψη 37α) … Όταν ένα κράτος μέλος δεν εισάγει συγκεκριμένο δικαίωμα αντίρρησης σύμφωνα με το άρθρο 35ΣΤ του παρόντος κανονισμού, αποκλειστικά το άρθρο 21 του κανονισμού (ΕΕ) 2016/ Θα ισχύει το 679.'
Η εντολή του Συμβουλίου προτείνει ένα νέο άρθρο 35στ στο οποίο παρέχονται διαφορετικές επιλογές για την εισαγωγή του δικαιώματος αντίρρησης στα κράτη μέλη. Πρώτον, είναι σημαντικό να τονιστεί ότι, σύμφωνα με το Συμβούλιο, η καθιέρωση οποιουδήποτε είδους δικαιώματος αντίρρησης πέραν του άρθρου 21 του ΓΚΠΔ σε εθνικό επίπεδο θα ήταν εθελοντική και εναπόκειται στα κράτη μέλη. Η πιο ολοκληρωμένη εκδοχή εξαίρεσης είναι αυτή σύμφωνα με την οποία τα φυσικά πρόσωπα μπορούσαν να ασκήσουν το δικαίωμά τους να αντιταχθούν, ανά πάσα στιγμή και χωρίς αιτιολογία, με απλό και προσιτό τρόπο, μεταξύ άλλων με ηλεκτρονικά μέσα.
Το Συμβούλιο υπογραμμίζει επίσης τη δυνατότητα ενός κράτους μέλους να περιορίσει το δικαίωμα αντίρρησης υπό τις προϋποθέσεις που ορίζονται στο άρθρο 23 του ΓΚΠΔ σε περίπτωση που ένα κράτος μέλος επιλέξει να μην εφαρμόσει την πλήρη εξαίρεση όσον αφορά τις δευτερεύουσες χρήσεις δεδομένων υγείας. Αυτό θα ήταν δυνατό, ιδίως, σε σχέση με σκοπούς που σχετίζονται με την προστασία της δημόσιας υγείας και της επαγγελματικής ασφάλειας και δραστηριότητες που διασφαλίζουν υψηλά επίπεδα ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και της ασφάλειας των φαρμάκων ή των ιατροτεχνολογικών προϊόντων. Τα κράτη μέλη θα πρέπει να εφαρμόσουν κατάλληλα και αποτελεσματικά μέτρα για την ενημέρωση των υποκειμένων των δεδομένων σχετικά με τέτοιους περιορισμούς στο δικαίωμά τους αντίρρησης.
Συνοψίζοντας, η θέση του Συμβουλίου φαίνεται να είναι ότι τα κράτη μέλη θα μπορούσαν να επιλέξουν να εισαγάγουν ένα πλήρες ή μερικό δικαίωμα αντίρρησης παρέχοντας στα υποκείμενα των δεδομένων καλύτερο έλεγχο στις δευτερεύουσες χρήσεις των δεδομένων υγείας τους ή να μην εισαγάγουν κάποιο συγκεκριμένο δικαίωμα αντίρρησης πέραν του άρθρου 21 GDPR.
Διαπραγματευτική εντολή του Ευρωπαϊκού Κοινοβουλίου
Σε αντίθεση με το Συμβούλιο της ΕΕ, το Κοινοβούλιο της ΕΕ προτείνει την εισαγωγή μιας συνολικής εξαίρεσης για όλες τις δευτερεύουσες χρήσεις ηλεκτρονικών δεδομένων υγείας, με εξαίρεση τα γενετικά, γονιδιωματικά και πρωτεομικά δεδομένα για τα οποία απαιτείται συναίνεση. Αυτό το δικαίωμα εξαίρεσης βασίζεται στη διασφάλιση της εμπιστευτικής σχέσης μεταξύ του ασθενούς και του ιατρού, όπως επιβεβαιώνεται από το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων. Ως εκ τούτου, προβλέπεται ότι τα κράτη μέλη προβλέπουν έναν προσβάσιμο και εύκολα κατανοητό μηχανισμό εξαίρεσης, βάσει του οποίου παρέχεται στα φυσικά πρόσωπα η δυνατότητα να εκφράσουν ρητά την επιθυμία τους να μην υποβληθούν σε επεξεργασία όλα ή μέρος των προσωπικών τους ηλεκτρονικών δεδομένων υγείας για ορισμένους ή όλους. σκοπούς δευτερεύουσας χρήσης. Η άσκηση αυτού του δικαιώματος δεν θα επηρεάσει τη νομιμότητα της επεξεργασίας που έλαβε χώρα στο πλαίσιο του EHDS πριν το άτομο να εξαιρεθεί (άρθρο 35 παράγραφος 5).
Δεδομένης της ευαίσθητης φύσης ορισμένων δεδομένων που σχετίζονται με την υγεία και των δυσκολιών που σχετίζονται με την ανωνυμοποίηση τέτοιων δεδομένων, προβλέπεται περαιτέρω ότι αποσπάσματα από ανθρώπινα γενετικά δεδομένα, γονιδιωματικά και πρωτεομικά δεδομένα, όπως γενετικοί δείκτες, και δεδομένα από βιοτράπεζες και αποκλειστικές βάσεις δεδομένων μπορούν να διατίθενται για δευτερεύουσα χρήση μετά από τη συγκατάθεση του φυσικού προσώπου. Απαιτείται επίσης ατομική συναίνεση για δευτερεύουσες χρήσεις προσωπικών δεδομένων που λαμβάνονται από εφαρμογές ευεξίας.
Η εντολή του Κοινοβουλίου προβλέπει περαιτέρω ότι οι φορείς πρόσβασης σε δεδομένα υγείας καθιστούν δημόσια διαθέσιμες και εύκολα αναζητήσιμες και προσβάσιμες για φυσικά πρόσωπα τις συνθήκες υπό τις οποίες τα ηλεκτρονικά δεδομένα υγείας τους διατίθενται για δευτερεύουσα χρήση. Τα υποκείμενα των δεδομένων θα πρέπει να γνωρίζουν την ευαίσθητη φύση αυτών των δεδομένων. Αυτό θα πρέπει να περιλαμβάνει πληροφορίες σχετικά με, μεταξύ άλλων, τη νομική βάση βάσει της οποίας παρέχεται πρόσβαση στον χρήστη δεδομένων υγείας και τα ισχύοντα δικαιώματα των φυσικών προσώπων σε σχέση με τη δευτερεύουσα χρήση ηλεκτρονικών δεδομένων υγείας, συμπεριλαμβανομένου του δικαιώματος εξαίρεσης και του δικαιώματος να δηλώσουν συμμετοχή και λεπτομερείς πληροφορίες σχετικά με τον τρόπο άσκησής τους (άρθρο 38).
Εφόσον τα φυσικά πρόσωπα έχουν τη δυνατότητα να εξαιρεθούν ή να συμμετάσχουν σε όλα ή ορισμένα από τα μέρη των δεδομένων τους για όλες ή ορισμένες από τις δευτερεύουσες χρήσεις, είναι επιτακτική ανάγκη να τους παρέχονται λεπτομερείς πληροφορίες σχετικά με αυτή τη δυνατότητα, τη φύση διαφορετικών χρήσεων και τους τρόπους άσκησης των δικαιωμάτων τους. Ο τρόπος εφαρμογής αυτών των διατάξεων στην πράξη δεν προβλέπεται, αλλά είναι κατανοητό ότι τέτοιες πληροφορίες μπορούν να παρέχονται εύκολα σε ηλεκτρονική ηλεκτρονική υπηρεσία, στην οποία η δυνατότητα εξαίρεσης ή συμμετοχής μπορεί να ασκηθεί από τα υποκείμενα των δεδομένων. Το ηλεκτρονικό σύστημα πληροφοριών θα μπορούσε να κατασκευαστεί με τρόπο ώστε να αναγνωρίζει αυτόματα σε σχέση με τη συλλογή ηλεκτρονικών δεδομένων υγείας τις δευτερεύουσες χρήσεις που επιτρέπονται για δεδομένα προσωπικά ηλεκτρονικά δεδομένα υγείας.
Διαφανής επεξεργασία και δικαίωμα στην ενημέρωση ως βάση για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων
Στενά συνδεδεμένες με τη συζήτηση σχετικά με το εάν θα υπάρχει πραγματική εξαίρεση ή δικαίωμα αντίρρησης που εφαρμόζεται σε εθνικό επίπεδο είναι οι διατάξεις του GDPR που σχετίζονται με τη διαφανή επεξεργασία προσωπικών δεδομένων και τη διευκόλυνση της χρήσης των δικαιωμάτων (άρθρα 12 έως 14). Σύμφωνα με την αρχική πρόταση της Επιτροπής, οι φορείς πρόσβασης σε δεδομένα υγείας δεν είναι υποχρεωμένοι να παρέχουν πληροφορίες στα υποκείμενα των δεδομένων για έργα που υπόκεινται σε άδεια δεδομένων, αλλά θα πρέπει να παρέχουν γενικές πληροφορίες του κοινού για όλες τις άδειες δεδομένων που εκδίδονται σύμφωνα με τον κανονισμό (άρθρο 38 παράγραφος 2) ).
Η διαφάνεια της επεξεργασίας προσωπικών δεδομένων δεν είναι μόνο υποχρεωτική από την άποψη του GDPR, αλλά σύμφωνα με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί επίσης να λειτουργήσει ως πρόσθετη διασφάλιση σε μια κατάσταση όπου οι συνθήκες της έρευνας δεν επιτρέπουν συγκεκριμένη συναίνεση. Αυτό θα συνηγορούσε υπέρ των ισχυρότερων απαιτήσεων πληροφόρησης που θα επέτρεπαν στα υποκείμενα των δεδομένων να γνωρίζουν πότε και για ποιους δευτερεύοντες σκοπούς χρησιμοποιούνται τα ηλεκτρονικά δεδομένα υγείας τους.
Μια σημαντική μελέτη που διεξήχθη σε 12 ευρωπαϊκές χώρες σχετικά με την κοινή χρήση ψηφιακών δεδομένων υγείας κατέληξε στο συμπέρασμα ότι οι άνθρωποι θέλουν να ενημερώνονται για την κοινή χρήση των δεδομένων υγείας τους για δευτερεύοντες σκοπούς. Οι άνθρωποι ήθελαν επίσης να έχουν τον έλεγχο της κοινής χρήσης προσωπικών δεδομένων υγείας για διαφορετικούς σκοπούς. Δεδομένων ορισμένων γεωγραφικών παραλλαγών των ερωτηθέντων ως προς την έκταση του ελέγχου, οι συγγραφείς προτείνουν ένα συμβιβαστικό μοντέλο που αντικατοπτρίζει τη γενική στάση των ερωτηθέντων. Αυτό χαρακτηρίζεται ως «ηθική συναίνεση» σε μια μορφή δυναμικής ψηφιακής συναίνεσης σε μια ψηφιακή πλατφόρμα στην οποία τα υποκείμενα των δεδομένων θα μπορούσαν να ελέγχουν τη χρήση των δεδομένων υγείας τους. Αυτό το μοντέλο θα μπορούσε επίσης να περιλαμβάνει το μοντέλο εξαίρεσης που προτείνει το Κοινοβούλιο. Εάν υλοποιηθεί ως μοντέλο συμμετοχής στο EHDS, θα μπορούσε επίσης να χρησιμοποιηθεί ως νομική βάση για την επεξεργασία προσωπικών δεδομένων υγείας.
Δευτερεύουσα χρήση δεδομένων υγείας και δικαίωμα αντίρρησης σύμφωνα με τη φινλανδική νομοθεσία
Καθώς η Φινλανδία ήταν ένας από τους σημαντικότερους υποστηρικτές του EHDS έχοντας ήδη ένα συγκρίσιμο πλαίσιο για δευτερεύουσες χρήσεις δεδομένων υγείας, είναι ενδιαφέρον να δούμε πώς η Φινλανδία έχει συμπεριλάβει τη δυνατότητα εξαίρεσης στη δευτερογενή χρήση της νομοθεσίας για τα δεδομένα υγείας.
Στη φινλανδική νομοθεσία σχετικά με τις δευτερεύουσες χρήσεις δεδομένων υγείας και κοινωνικής δικτύωσης , βάσει της οποίας διαμορφώνεται η πρόταση για τον κανονισμό EHDS ως επί το πλείστον, δεν περιλαμβάνεται ρητό δικαίωμα εξαίρεσης. Είναι δυνατή η άσκηση του δικαιώματος αντίρρησης σύμφωνα με το άρθρο 21 του ΓΚΠΔ εντός της αρχής αδειοδότησης, Findata, με την εγγραφή του στο κυβερνητικό σύστημα ηλεκτρονικής ταυτοποίησης και με την παροχή προσωπικού λόγου για την ένσταση. Δεν είναι σαφές σε ποιες περιπτώσεις θα μπορούσε να παρακαμφθεί το δικαίωμα αντίρρησης από τον αιτούντα την άδεια δεδομένων. Σε τέτοιες περιπτώσεις, τα άτομα που έχουν εξαιρεθεί θα πρέπει να ενημερώνονται και μπορούν να ασκήσουν έφεση κατά αυτής της απόφασης.
Μέχρι στιγμής, περίπου 230 άτομα από τον πληθυσμό των 5,6 εκατομμυρίων έχουν χρησιμοποιήσει το δικαίωμά τους αντίρρησης. Η Findata παρέχει πληροφορίες σχετικά με αυτό το δικαίωμα στην ιστοσελίδα της. Άλλοι κάτοχοι προσωπικών δεδομένων υγείας που τα χρησιμοποιούν για δευτερεύουσες χρήσεις δεν έχουν τόσο εύκολα προσβάσιμες πληροφορίες σχετικά με τη δυνατότητα άσκησης του δικαιώματος αντίρρησης, αλλά οι πληροφορίες περιλαμβάνονται στη γενική τεκμηρίωση προστασίας δεδομένων που είναι διαθέσιμη στις ιστοσελίδες των περιφερειών νοσοκομείων, ιδιωτικών παρόχων υγειονομικής περίθαλψης και του Φινλανδικού Ινστιτούτου Υγείας και Πρόνοιας.
Θα πρέπει επίσης να τονιστεί ότι η εθνική φινλανδική νομοθεσία περί προστασίας δεδομένων που συμπληρώνει τον GDPR απαιτεί από τον υπεύθυνο επεξεργασίας δεδομένων να αξιολογεί σε κάθε περίπτωση εάν είναι απαραίτητο να μην εφαρμόζει το δικαίωμα αντίρρησης ή άλλα δικαιώματα για ένα συγκεκριμένο ερευνητικό έργο σύμφωνα με το άρθρο 89.2 GDPR. Ο νόμος προβλέπει αρκετές προϋποθέσεις για αυτό, συμπεριλαμβανομένης της διενέργειας αξιολόγησης αντικτύπου στην προστασία των δεδομένων (ΑΠΔΠ) για την επεξεργασία ειδικών κατηγοριών δεδομένων. Αυτό προϋποθέτει επίσης ότι η χρήση της εξαίρεσης για ένα συγκεκριμένο ερευνητικό έργο κοινοποιείται σωστά στα υποκείμενα των δεδομένων. Αυτό είναι επιβεβλημένο δεδομένου ότι το υποκείμενο των δεδομένων δεν μπορεί να αμφισβητήσει την απόφαση ούτε στο δικαστήριο ούτε στην αρχή προστασίας δεδομένων εάν δεν γνωρίζει ότι τα δεδομένα του χρησιμοποιούνται παρά την ένσταση.
συμπέρασμα
Εάν εγκριθεί η έκδοση του Συμβουλίου του κανονισμού EHDS σχετικά με το δικαίωμα αντίρρησης, αυτό είναι πολύ πιθανό να οδηγήσει σε νομική αβεβαιότητα όσον αφορά τον χειρισμό των δικαιωμάτων σε σύνολα δεδομένων σε ολόκληρη την ΕΕ. Το opt-out είναι μια de facto απαγόρευση ορισμένων τύπων δευτερευουσών χρήσεων δεδομένων, ενώ το δικαίωμα αντίρρησης σύμφωνα με το άρθρο 21 είναι δικαίωμα υπό όρους, η εφαρμογή του οποίου είναι περιορισμένη και υπόκειται σε casu ερμηνεία. Αυτό περιλαμβάνει την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων για διαφορετικές δραστηριότητες επεξεργασίας όπου το δικαίωμα αντίρρησης δεν θα επιτρεπόταν, συμπεριλαμβανομένης της δυνατότητας προσφυγής σε αυτήν την απόφαση. Επιπλέον, το υποκείμενο των δεδομένων θα πρέπει να αποκαλύψει έναν προσωπικό, πιθανώς έναν ευαίσθητο λόγο αντίρρησης στην επεξεργασία, ο οποίος θα μπορούσε να αποκαλύψει και την ταυτότητά του.
Μπορούμε επίσης να ρωτήσουμε, δεδομένης της ευαισθησίας των εν λόγω προσωπικών δεδομένων και του ευρέος φάσματος δευτερευουσών χρήσεων, εάν ένα περιορισμένο υπό όρους δικαίωμα αντίρρησης θα πληρούσε τις απαιτήσεις του άρθρου 52 παράγραφος 1 του Χάρτη της Ευρωπαϊκής Ένωσης, το οποίο ορίζει τη γενική προϋποθέσεις για τον περιορισμό των θεμελιωδών δικαιωμάτων για τα κράτη μέλη. Τέτοιοι περιορισμοί πρέπει να προβλέπονται από το νόμο, να σέβονται την ουσία των δικαιωμάτων και ελευθεριών και, σε περίπτωση ευαίσθητων δεδομένων, οι περιορισμοί θα πρέπει να είναι απολύτως απαραίτητοι και να ανταποκρίνονται πραγματικά σε στόχους που αναγνωρίζει η Ένωση ή να προστατεύουν τα δικαιώματα και τις ελευθερίες άλλων. Δεδομένου ότι η εντολή του Συμβουλίου δίνει χώρο για διαφορετικές εκδοχές των περιορισμών για το δικαίωμα των υποκειμένων των δεδομένων να ελέγχουν τη δευτερεύουσα χρήση των προσωπικών τους δεδομένων, μπορεί να εισαγάγει ακόμη μεγαλύτερη νομική αβεβαιότητα στο πλαίσιο του EHDS εάν σε ορισμένα κράτη μέλη οι περιορισμοί αυτοί θεωρηθούν ότι δεν είναι συμβατό με τον Χάρτη των Θεμελιωδών Δικαιωμάτων.
Εάν τα άτομα είχαν διαφορετικές δυνατότητες να αντιταχθούν στη χρήση των προσωπικών τους δεδομένων σε διαφορετικές χώρες της ΕΕ, αυτό θα ισοδυναμούσε επίσης με άνιση μεταχείριση των υποκειμένων των δεδομένων σε διαφορετικά κράτη μέλη. Αυτό που δεν θέλουμε είναι να αναπαράγουμε την παρούσα κατακερματισμένη κατάσταση όσον αφορά την αλληλεπίδραση του GDPR και των εθνικών τομεακών νόμων που ρυθμίζουν την επεξεργασία δεδομένων υγείας για δευτερεύοντες σκοπούς. Ο τομέας της έρευνας έχει πληγεί ιδιαίτερα από αυτό. Είναι δύσκολο να μοιραστούν δεδομένα για βιοϊατρική έρευνα ακόμη και μεταξύ των σκανδιναβικών χωρών που έχουν πολύ παρόμοιο νομικό πλαίσιο.
Προκειμένου να δοθούν σε όλους τους κατοίκους της ΕΕ ίσα δικαιώματα για τον έλεγχο των δευτερευουσών χρήσεων των δεδομένων τους σχετικά με την υγεία στο πλαίσιο EHDS, σαφείς κανόνες σε όλη την ΕΕ σχετικά με το δικαίωμα του υποκειμένου των δεδομένων να απαγορεύει (εξαίρεση) όλα ή ορισμένα δευτερεύοντα Η χρήση των προσωπικών τους δεδομένων υγείας, όπως προτείνεται από το Κοινοβούλιο, πρέπει να προτιμηθεί από αυτή την άποψη. Οι πρακτικές συνέπειες θα πρέπει να εξαλειφθούν, για παράδειγμα, ως προς το εάν υπάρχει μία γενική εξαίρεση ή δυνατότητα εξαίρεσης μόνο για ορισμένους τύπους χρήσεων προσωπικών δεδομένων. Η τεχνολογική υποδομή για να γίνει αυτό θα μπορούσε να αναπτυχθεί σε ευρωπαϊκό επίπεδο σε σχέση με τη δημιουργία του τεχνολογικού πλαισίου EHDS.