Ο Νέος Γενικός Κανονισμός της ΕΕ 2016/679 για την προστασία των προσωπικών δεδομένων/ GDPR. 2016/679.

Η  σημαντική αύξηση των διασυνοριακών ροών  δεδομένων προσωπικού χαρακτήρα, οι ραγδαίες τεχνολογικές εξελίξεις, η παγκοσμιοποίηση και το γεγονός,  ότι τα ίδια τα φυσικά πρόσωπα δημοσιοποιούν ολοένα και ευκολότερα τα προσωπικά τους δεδομένα μέσα από τις ιστοσελίδες κοινωνικής δικτύωσης,  δημιουργούν νέες προκλήσεις για την προστασία των προσωπικών δεδομένων. Οι εξελίξεις αυτές οδήγησαν μεταξύ άλλων σύμφωνα με τις αιτιολογικές σκέψεις του Γενικού Κανονισμού Προστασίας Δεδομένων /GPDR στην ανάγκη θέσπισης  αυτού.

 

Ο GDPR υιοθετήθηκε  προκειμένου να μην υπάρχουν διαφορές μεταξύ των κρατών μελών στους νόμους  προστασίας των δεδομένων προσωπικού χαρακτήρα και για να αναμορφώσει τον τρόπο που οι οργανώσεις προσεγγίζουν τα προσωπικά δεδομένα. Ο Κανονισμός ενισχύει τα θεμελιώδη δικαιώματα των ευρωπαίων κατοίκων για τα προσωπικά τους δεδομένα και ελέγχει υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία, όταν είναι υπεύθυνοι για την παραβίαση του GPDR.

 

Η παρούσα επισκόπηση αναφέρεται στις βασικές διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) με σκοπό να βοηθήσει τους οργανισμούς και εταιρείες να κατανοήσουν το νέο νομικό πλαίσιο που θα ισχύσει στην ΕΕ από το Μάιο 2018.  

 

Ο Kανονισμός  (GDPR 2016/679) θα είναι άμεσα εφαρμοστέος  σε όλα τα κράτη μέλη της ΕΕ με ημερομηνία εφαρμογής του νόμου την 25 η Μαΐου 2018. Αντικαθιστά την Οδηγία 95/46 / ΕΚ που αφορούσε στην προστασία των δεδομένων, η οποία είχε υιοθετηθεί στην Ελλάδα με το νόμο 2472 / 1997.

 

Απαιτείται δε ιδιαίτερη προσοχή καθώς η μη συμμόρφωση στις διατάξεις του, επισύρει πολύ σοβαρά διοικητικά πρόστιμα από την αρμόδια Εποπτική Αρχή, τα οποία μπορούν να φθάσουν ανάλογα με τις διατάξεις που παραβιάζονται έως 20.000.000 Ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκοσμίου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους ανάλογα με το ποιο είναι υψηλότερο.

 

Ο Κανονισμός ισχύει για όλα τα υποκείμενα δεδομένων (πρόσωπα) εντός της ΕΕ, αλλά αφορά και οργανώσεις που βρίσκονται εκτός της ΕΕ, εφόσον παρακολουθούν ή  επεξεργάζονται προσωπικά δεδομένα κατά τη διάρκεια των συναλλαγών τους.

 

Εν συντομία, ο Κανονισμός ορίζει ότι:

 

Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, άμεσα ή έμμεσα.

 

Επεξεργασία νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα  προσωπικού χαρακτήρα  ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή  ή η μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, η χρήση, κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλης μορφή διάθεσης , η συσχέτιση, ή ο συνδυασμός , ο περιορισμός, η διαγραφή ή η καταστροφή

 

Ο υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.

 

Ο εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας.

 

Σύμφωνα με τον Kανονισμό, τα προσωπικά δεδομένα πρέπει να

  • υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
  • συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· («περιορισμός του σκοπού»),
  • είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
  • είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται («ακρίβεια»),
  • διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·
  • υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, («ακεραιότητα και εμπιστευτικότητα»).

Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, την συνδικαλιστική δράση, καθώς και την επεξεργασία των γενετικών δεδομένων, βιομετρικών δεδομένων, τα δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ενός φυσικού προσώπου ή του γενετήσιου προσανατολισμού του (ευαίσθητα), απαγορεύονται, και κάθε απόκλιση από τον κανόνα αυτό υπόκειται σε αυστηρές προϋποθέσεις βάσει του Κανονισμού.

Η νομιμότητα της επεξεργασίας στηρίζεται σε διάφορες νομικές βάσεις. Ετσι είναι σύννομη εφόσον  είναι απαραίτητη

για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος  (π.χ. για την σύναψη σύμβασης πώλησης) ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

ή για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας (πχ. Υποχρεώσεις που προκύπτουν από την εργατική νομοθεσία),

ή για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου (π.χ. σε περίπτωση διακινδύνευσης της υγείας του),

ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

ή είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί (δηλ στην περίπτωση αυτή γίνεται μια στάθμιση μεταξύ του έννομου συμφέροντος και της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου).

 Εφόσον δεν υπάρχουν οι ανωτέρω νομικές βάσεις, η νόμιμη επεξεργασία των προσωπικών δεδομένων στηρίζεται στην συγκατάθεση του υποκειμένου των προσωπικών δεδομένων. Η συγκατάθεση είναι κατά τους ορισμούς του κανονισμού  κάθε ένδειξη βουλήσεως, ελεύθερη συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί  με δήλωση ή σαφή θετική ενέργεια να αποτελέσουν αντικείμενο  επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Θα πρέπει να σημειωθεί ότι το υποκείμενο έχει και το δικαίωμα της οποιαδήποτε στιγμή ανάκλησης της συγκατάθεσής του, η οποία θα πρέπει να γίνεται το ίδιο εύκολα, χωρίς όμως λόγω της ανάκλησης να θίγεται η νομιμότητα της επεξεργασίας που έχει διενεργηθεί προ της ανακλήσεως.

Ο GDPR αναφέρεται επίσης στα παιδιά. Ο γονικός έλεγχος απαιτείται για την επεξεργασία των προσωπικών δεδομένων παιδιών ηλικίας κάτω των 16 ετών για τις online υπηρεσίες. Η επεξεργασία χωρίς τη συγκατάθεση των γονέων δεν είναι σύννομη για παιδιά ηλικίας κάτω των 16.

 

Κατά το χρόνο που γίνεται η συλλογή των προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει, να παράσχει στο υποκείμενο των δεδομένων πληροφορίες που εξασφαλίζουν τη  δίκαιη και διαφανή επεξεργασία όπως τους παραλήπτες  δεδομένων κλπ.

 

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας, επιβεβαίωση, ως προς το εάν ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, αποτελούν αντικείμενο επεξεργασίας και να διασφαλίσει την πρόσβαση του σε αυτά.  Περαιτέρω το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη διόρθωση, τη διαγραφή (δικαίωμα στη λήθη), τον περιορισμό της επεξεργασίας των προσωπικών δεδομένων, να λαμβάνει τα προσωπικά δεδομένα που τον αφορούν (φορητότητα των δεδομένων), και το δικαίωμα  εναντίωσης  στην επεξεργασία των προσωπικών δεδομένων σύμφωνα με τους όρους και προϋποθέσεις που αναφέρονται στον ΓΚΠΔ για κάθε επιμέρους αναφερόμενο δικαίωμα.

Τέλος έχει το δικαίωμα να υποβάλλει καταγγελία στην εποπτική Αρχή.

Μπορεί να υπάρξουν κάποιοι περιορισμοί στα δικαιώματα και τις υποχρεώσεις που απορρέουν από το GDPR, όσον αφορά στην εθνική ασφάλεια, την άμυνα, την δημόσια ασφάλεια κ.λπ.

 

Σε περίπτωση που ο υπεύθυνος επεξεργασίας αναθέτει σε άλλον (εκτελούντα την επεξεργασία) την επεξεργασία των προσωπικών δεδομένων, ο εκτελών την επεξεργασία θα πρέπει να παρέχει επαρκείς διαβεβαιώσεις  για την εφαρμογή των τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις προϋποθέσεις του Κανονισμού, ενώ η μεταξύ τους συνεργασία διέπεται  από σύμβαση η οποία περιέχει τουλάχιστον τους αναγκαίους όρους που περιγράφονται στον Κανονισμό.  

 

Με τον Κανονισμό προβλέπεται ο διορισμός υπευθύνου προστασίας προσωπικών δεδομένων, ο οποίος δεν προβλεπόταν σύμφωνα με το εθνικό μας δίκαιο μέχρι τώρα. Είναι υψίστης σημασίας να σημειωθεί ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

 

α) η επεξεργασία πραγματοποιείται από δημόσια αρχή ή οργανισμό, εκτός από τα δικαστήρια που ενεργούν υπό την ιδιότητά τους ως δικαστικοί ·

β) οι κύριες δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασίας συνίστανται στην επεξεργασία δεδομένων που απαιτεί τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα.

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας και του εκτελούντα την επεξεργασία αποτελούνται από επεξεργασία σε μεγάλη κλίμακα των ειδικών κατηγοριών δεδομένων, (ευαίσθητα) καθώς και τα προσωπικά δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

 

Προβλέπονται τέλος τόσο η θέση του υπευθύνου προστασίας μέσα στον οργανισμό, τα προσόντα του όσο και τα καθήκοντα και η ευθύνη του.

 

Ο υπεύθυνος επεξεργασίας έχει πλήθος υποχρεώσεων όχι μόνο έναντι των υποκειμένων αλλά και έναντι της Εποπτικής Αρχής προκειμένου να μπορεί οποιαδήποτε στιγμή να αποδείξει την νομιμότητα της επεξεργασίας των προσωπικών δεδομένων των υποκειμένων.

 

Έτσι υποχρεούται να διασφαλίζει εξ ορισμού εφαρμόζοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ότι υφίστανται επεξεργασία μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για  τον σκοπό  της επεξεργασίας καθώς και  να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να πληρούνται οι απαιτήσεις του Κανονισμού τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας, όσο και κατά τη στιγμή της επεξεργασίας. Αυτό σημαίνει, ότι σε περίπτωση που υπάρχει αναγκαιότητα εισαγωγής νέας τεχνολογίας στον οργανισμό ή στην επιχείρηση θα πρέπει γίνεται εκτίμηση επιπτώσεων που θα έχει αυτό για την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων σύμφωνα με το αρ. 35 του Κανονισμού.

 

Επίσης ο υπεύθυνος επεξεργασίας θα πρέπει να τηρεί Αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος, το οποίο θα περιέχει τις πληροφορίες που αναφέρονται στον Κανονισμό.  Παρά το γεγονός,  ότι η υποχρέωση αυτή δεν αφορά Επιχειρήσεις ή Οργανισμούς που απασχολούν λιγότερα από 250 άτομα, εκτός και αν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου (εδώ ανήκουν περιπτώσεις μέτρων παρακολούθησης ή scoring), η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων (ευαίσθητα προσωπικά δεδομένα και δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα), για το συμφέρον κάθε επιχείρησης, συνίσταται η σύσταση του Αρχείου αυτού γιατί αποτελεί τη βάση για να τεκμηριωθεί η προστασία των προσωπικών δεδομένων καθώς και η απόδειξη αυτής ενώπιον της Εποπτικής Αρχής, όταν ζητηθεί. Η καταγραφή των δραστηριοτήτων επεξεργασίας, οδηγεί στη γνώση των διαδικασιών και στην αναζήτηση στοχευμένων μέτρων που απαιτούνται για την διασφάλιση της νόμιμης επεξεργασίας των προσωπικών δεδομένων.

 

Ο υπεύθυνος επεξεργασίας θα πρέπει να προσφεύγει στη διενέργεια εκτίμησης επιπτώσεων του αρ. 35 του Κανονισμού σε περίπτωση που επεξεργασία των προσωπικών δεδομένων ιδίως με χρήση νέων τεχνολογιών ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Στην περίπτωση αυτή ενδέχεται να πρέπει να ζητήσει και την γνώμη της εποπτικής αρχής.

Ο υπεύθυνος επεξεργασίας οφείλει να συνεργάζεται με την Eποπτική Aρχή.

Εξαιρετική σημασία τέλος έχει η διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους σε τρίτη χώρα ή σε διεθνή οργανισμό, για την οποία υπάρχουν ειδικές προβλέψεις στον Κανονισμό.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Περιορισμός της υποχρέωσης ονομαστικής δημοσιοποίησης παροχών κατά το άρθρο 66 παρ. 7 του ν. 4316/2014 σύμφωνα με τη γνωμοδότηση αρ. 5/2016 της αρχής προστασίας Δεδομένων προσωπικού Χαρακτήρα.

Στις 30 Ιουνίου 2016 ήταν η καταληκτική ημερομηνία βάσει του ν. 4316/2014 προκειμένου οι φαρμακευτικές εταιρείες να δημοσιοποιήσουν τις παροχές προς τους επαγγελματίες υγείας και τους επιστημονικούς υγειονομικούς φορείς στην Ελλάδα και στην Ευρώπη.

Ειδικότερα σύμφωνα με το άρθρο 66 παρ. 7 του ν. 4316/2014  κάθε φαρμακευτική Επιχείρηση οφείλει να δημοσιοποιεί ονομαστικά στην ιστοσελίδα της και στην ειδική ιστοσελίδα του ΕΟΦ , το αργότερο εντός έξι μηνών από το κλείσιμο κάθε ημερολογιακού έτους, κάθε παροχή που χορηγεί προς τρίτους Επαγγελματίες Υγείας και Επιστημονικούς Φορείς, ενδεικτικά και όχι περιοριστικά δωρεές, χορηγίες, κόστος εγγραφής σε συνέδρια και εκδηλώσεις επιστημονικής ενημέρωσης της ιατρικής κοινότητας όπως αυτές ορίζονται ειδικότερα στις εκάστοτε εγκυκλίους του ΕΟΦ, έξοδα μετάβασης και διαμονής  ως και κάθε άλλη παροχή βάσει σύμβασης ή από ελευθεριότητα αναφορικά με την προώθηση των συνταγογραφούμενων φαρμάκων. Οι παροχές οι οποίες αφορούν σε δραστηριότητες Έρευνας και Ανάπτυξης καθώς και σε μη παρεμβατικές μελέτες (με ή χωρίς φάρμακο) θα δημοσιοποιούνται συγκεντρωτικά από κάθε φαρμακευτική επιχείρηση. Ρητώς εξαιρούνται από την υποχρέωση δημοσιοποίησης τα κόστη από τις έρευνες αγοράς, τα γεύματα και τα ποτά καθώς και αντικείμενα αμελητέας αξίας εφαρμογών ιατρικής και εκπαιδευτικής χρήσης  που συνδέονται άμεσα με τη διεξαγωγή της καθημερινής ιατρικής πρακτικής των Επαγγελματιών Υγείας και των Επιστημονικών Υγειονομικών Φορέων  σύμφωνα με το άρθρο 126 παρ.1 της υπουργικής απόφασης ΔΥΓ3α/ΓΠ 3221/2013 (Β’ 1049). Ως αμελητέα αξία εννοείται κάθε αντικείμενο η αξία του οποίου δεν υπερβαίνει το συνολικό ποσό των 15 Ευρώ συμπεριλαμβανομένου του ΦΠΑ…» Σύμφωνα με το αρθρο 66 παρ. 77β η εποπτεία τήρησης του παρόντος ανήκει στις αρμοδιότητες του Εθνικού Οργανισμού Φαρμάκων, ενώ στους παραβάτες επιβάλλονται διοικητικές κυρώσεις από 30.000 έως 100.000 ευρώ υπέρ του δημοσίου ταμείου.

Η υποχρέωση που θέτει η ως άνω διάταξη ισχύει από 1-7-2016.

‘Ηδη με το από 10-2-2016 έγγραφό του ο Σύνδεσμος Φαρμακευτικών επιχειρήσεων  Ελλάδος (ΣΦΕΕ) ζήτησε από την Αρχή Προστασίας δεδομένων Προσωπικού Χαρακτήρα οδηγίες στα πλαίσια των αρμοδιοτήτων της σχετικά με τη διαδικασία εφαρμογής της διάταξης του άρθρου 66 παρ. 7 του ν. 4316/2014.

Οι φαρμακευτικές εταιρείες ήταν έτοιμες να προχωρήσουν στην αναλυτική δημοσιοποίηση των συγκεκριμένων στοιχείων για όλους τους τύπους συνεδρίων δηλ. τόσο για τα συνέδρια επιστημονικού  περιεχομένου (Τύπου Α), που είναι όλα τα συνέδρια, σεμινάρια και παρόμοιες εκδηλώσεις  συνεχιζόμενης εκπαίδευσης, οι οποίες οργανώνονται από επιστημονικούς ή κρατικούς φορείς   όσο και για τις  «επιστημονικές εκδηλώσεις  προώθησης πωλήσεων από εταιρείες προϊόντων αρμοδιότητας ΕΟΦ. (Τύπου Β΄) που είναι όσες εκδηλώσεις οργανώνονται  από επιχειρήσεις προϊόντων αρμοδιότητας ΕΟΦ διεξάγονται στην Ελλάδα και κατά κύριο μέρος του προγράμματός τους σκοπό έχουν την ενημέρωση επαγγελματιών υγείας για προϊόντα αρμοδιότητας ΕΟΦ (προωθητικά συνέδρια).

Με την με αριθμό 5/2016 γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η οποία εκδόθηκε στις 29-6-2016 η Αρχή έκρινε ότι από τη γραμματική ερμηνεία της συγκεκριμένης διάταξης η οποία αναφέρεται στην προώθηση των συνταγογραφούμενων φαρμάκων προκύπτει ότι η υποχρέωση δημοσιοποίησης των παροχών του άρθρου 66 παρ. 7 του ν. 4316/2014 αναφέρεται μόνο σε παροχές που συνδέονται με τη συμμετοχή επαγγελματιών υγείας σε συνέδρια τα οποία κατατείνουν στην εμπορική προώθηση προς συνταγογράφηση συγκεκριμένων ονομαστικώς αναφερόμενων σκευασμάτων και όχι απλώς των συνταγογραφούμενων δραστικών ουσιών. Με βάση τα ανωτέρω η Αρχή Προστασίας δεδομένων έκρινε ότι η επεξεργασία αναφέρεται μόνο στα προωθητικά συνέδρια και είναι πρόσφορη όσο και αναγκαία για τον επιδιωκόμενο σκοπό, ο οποίος σύμφωνα με την εισηγητική έκθεση του νόμου  είναι η προώθηση της διαφάνειας στις σχέσεις φαρμακευτικών εταιρειών και επαγγελματιών υγείας και η προάσπιση του δικαιώματος του ασθενή να γνωρίζει τη σχέση των φαρμακευτικών εταιρειών με την επιστημονική κοινότητα.

Επίσης έκρινε ότι ως προς τη συμμετοχή επαγγελματιών υγείας σε επιστημονικά συνέδρια είναι αμφίσημο αν η γνώση του ασθενή για τον αριθμό το είδος και το ύψος των παροχών  προς το ιατρό μπορεί να οδηγήσει σε θετικά ή αρνητικά συμπεράσματα ως προς την επιστημονική του κατάρτιση και ότι η υποχρέωση δημοσιοποίησης δεν αφορά παροχές που γίνονται μέσω ΕΛΚΕ για τους πανεπιστημιακούς γιατρούς ως και παροχές προς ιατρούς του Δημοσίου καθόσον αυτές οι παροχές δημοσιοποιούνται ήδη μέσω του προγράμματος ΔΙΑΥΓΕΙΑ.

Η Γνωμοδότηση αυτή έκρινε ως υπεύθυνο επεξεργασίας σύμφωνα με το άρθρο 2 παρ. ζ του ν. 2472/1997 τόσο τον ΕΟΦ για το σύνολο των προσωπικών δεδομένων των επαγγελματιών υγείας που αναρτώνται στην ιστοσελίδα του  όσο και κάθε φαρμακευτική εταιρεία για τα δεδομένα που αφορούν τις παροχές που αυτή έχει κάνει προς επαγγελματίες υγείας και δημοσιοποιεί στην δική της ιστοσελίδα.

Τέλος έκρινε ότι η δημοσιοποίηση που αφορά μόνο τις παροχές για τα προωθητικά συνέδρια πρέπει να αφορά τα ελάχιστα αναγκαία στοιχεία και να μην αναφέρεται ο ΑΦΜ και ο ΑΜΚΑ των επαγγελματιών υγείας. Η αναφορά των ποσών που χορηγήθηκαν πρέπει να περιγράφεται αναλυτικά και διακριτά ανά κατηγορία παροχής (ήτοι έξοδα μετακίνησης, έξοδα διαμονής, έξοδα συμμετοχής στο συνέδριο, ημερήσια αποζημίωση, τυχόν αμοιβή του συμμετέχοντος ιατρού) ώστε να είναι σαφές ποια ποσά επωφελήθηκε αμέσως ο γιατρός και ποια καταβλήθηκαν για τις λοιπές ανάγκες του ταξιδίου και του συνεδρίου. Κάθε περαιτέρω χρήση των δημοσιοποιούμενων στοιχείων για άλλο σκοπό δεν είναι νόμιμη και τέλος ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει όλα τα μέτρα ώστε να αποκλείεται η δημιουργία προφίλ για τους επαγγελματίες υγείας και η δυνατότητα πρόσβασης στα δημοσιοποιούμενα στοιχεία μέσω μηχανών αναζήτησης. Πρέπει να υπάρχει σαφής ενημέρωση στις ιστοσελίδες δημοσιοποίησης προς τους επαγγελματίες υγείας που αποτελούν τα υποκείμενα των δεδομένων σχετικά με το σκοπό της δημοσιοποίησης, την νομική βάση της επεξεργασίας, τον υπεύθυνο επεξεργασίας και το δικαίωμά  τους πρόσβασης και διόρθωσης των ανακριβών δεδομένων.  Τέλος ο χρόνος ανάρτησης των δεδομένων στο διαδίκτυο  πρέπει να περιορισθεί στα τρία (3) έτη.

Μετά ταύτα ο Ιατρικός Σύλλογος Αθηνών  στις 4-7-2016  με επιστολή προς τον ΕΟΦ που κοινοποιήθηκε και στον ΣΦΕΕ θεωρεί αυτονόητο ότι οι εμπλεκόμενοι θα απόσχουν από οποιαδήποτε ανάρτηση είναι αντίθετη με όσα δέχθηκε η γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και επιφυλάχθηκε παντός νομίμου δικαιώματος του για την προάσπιση των δικαιωμάτων των ιατρών μελών του.

Το ζήτημα βρίσκεται ακόμη σε εκκρεμότητα και αναμένονται  περαιτέρω νομικές ενέργειες των εμπλεκομένων μερών, μπροστά στο κίνδυνο επιβολής προστίμων τόσο από τη μη τήρηση του άρθρου 66 παρ. 7 του ν. 4316/2014 όσο και από  την παραβίαση της προστασίας των προσωπικών δεδομένων από το ν. 2472/1997 που επιβάλλει διοικητικές κυρώσεις.