Η υπ' αριθμ. ΓΠ οικ 7586 ΚΥΑ των Υπουργών Οικονομικών – Υγείας – Επικράτειας και του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων, η οποία δημοσιεύθηκε στις 12.2.2022 στο υπ' αριθ. 608 ΦΕΚ (Τ. Β'), για τον καθορισμό της διαδικασίας προσδιορισμού των υποχρέων προσώπων και επιβολής του διοικητικού προστίμου της παρ. 4 του άρθρου 24 του ν. 4865/2021, είναι ένα διάτρητο νομοθέτημα που παρουσιάζει ακόμη μεγαλύτερα προβλήματα από αυτά του άρθρου 24 ν. 4865/2021.
Ωστόσο, για αρχή είναι ιδιαίτερα χρήσιμο να εστιάσουμε στο βασικό και κραυγαλέο ελάττωμα της εν λόγω ΚΥΑ , το οποίο είναι η “κατάρτιση λίστας” από την ΗΔΙΚΑ Α.Ε (άρθρο 2 παρ. 2), για τους εξής λόγους:
Γιατί, ενώ είναι προφανές ότι η ΗΔΙΚΑ θα αντλήσει τα στοιχεία που απαιτούνται για την κατάρτιση της εν λόγω λίστας από τη Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης του άρθρου 6 του ν. 3892/2010 ( προβλέπεται στη λίστα αυτή να υπάρχει η ένδειξη χρήσης συνταγογράφησης), η χρήση αυτής της βάσης δεδομένων δεν αναφέρεται κάν στην ΚΥΑ και η παράλειψη αυτή συνιστά ολοφάνερη πλημμέλεια.
Γιατί είναι κραυγαλέα παράνομη η επεξεργασία των προσωπικών δεδομένων μας που περιέχονται στη Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης για το σκοπό της επιβολής του προστίμου του άρθρου 24 ν. 4865/2021, όπως ορίζεται στο άρθρο 4 παρ. 2 της ΚΥΑ, καθώς σύμφωνα με τη διάταξη του άρθρου 6 του νόμου 3892/2010 οι σκοποί του Συστήματος Ηλεκτρονικής Συνταγογράφησης είναι: α) η υποστήριξη των Φορέων Κοινωνικής Ασφάλισης τόσο για τον έλεγχο και την εκκαθάριση των συνταγών και παραπεμπτικών όσο και την κάλυψη των δαπανών φαρμακευτικής περίθαλψης και υπηρεσιών υγείας, β) η υποστήριξη του ελέγχου για όλες τις υπηρεσίες υγείας που παρέχονται προς τους ασφαλισμένους των Φ.Κ.Α., γ) η υποστήριξη της παρακολούθησης και ελέγχου της συνταγογράφησης, της συγκέντρωσης και στατιστικής αξιολόγησης στοιχείων που έχουν σχέση με παροχές υγείας και φαρμακευτικής περίθαλψης, δ) η υποστήριξη της εποπτείας και του συντονισμού ενεργειών για τον έλεγχο των δαπανών του συστήματος υγειονομικής περίθαλψης όλων των φορέων και κλάδων ασθένειας αρμοδιότητας της Γενικής Γραμματείας Κοινωνικής Ασφάλισης.
Γιατί η διάταξη του άρθρου 18 παρ. 1 περ β' του ΓΚΠΔ παρέχει στα υποκείμενα το δικαίωμα να ζητήσουν από τον υπεύθυνο επεξεργασίας τον προσωρινό περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν όταν η επεξεργασία είναι παράνομη.
------------------------------------------------------------------------------------------------------------------------
ΠΡΟΣΟΧΗ: Το κείμενο της δήλωσης με τα στοιχεία του δηλούντος το αντιγράφουμε στο mail που στέλνουμε και στους τρεις Υπευθύνους Προστασίας Δεδομένων - ΔΕΝ το στέλνουμε ως συνημμένο αρχείο
ΔΗΛΩΣΗ
Άσκησης του δικαιώματος περιορισμού της επεξεργασίας των προσωπικών δεδομένων μου που περιέχονται στην Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης κατ' άρθρο 18 παρ. 1 περ. β' ΓΚΠΔ
Του:
xxxxxxx xxxxxx του xxxxxx, κατοίκου xxxxxx xxxxxx, οδός
xxxxxxxxxxx αρ. xxx, ΤΚ xxxxxxx, με ΑΔΤ xxxxxxx και Α.Φ.Μ. xxxxxxxxx,
ΔΟΥ xxx, τηλ. Xxxxxxxxxxxxx, ΑΜΚΑxxxxxxxxxxxx Email: xxxxxxxxxxxx
Προς
Α) Τον Υπεύθυνο Προστασίας για τα προσωπικά δεδομένα (DPO) του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων email: dpo@yeka.gr
Β) Τον Υπεύθυνο Προστασίας για τα προσωπικά δεδομένα του Υπουργείου Υγείας email: dpo@moh.gov.gr και gdpr@moh.gov.gr
Γ) Τον Υπεύθυνο Προστασίας προσωπικών δεδομένων (DPO) της ΗΔΙΚΑ ΑΕ, email: dpo@idika.gr
Με την υπ' αριθμ. ΓΠ οικ 7586 ΚΥΑ των Υπουργών Οικονομικών – Υγείας – Επικράτειας και του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων που δημοσιεύθηκε στις 12.2.2022 στο υπ' αριθ. 608 ΦΕΚ (Τ. Β'), η οποία εκδόθηκε για το καθορισμό της διαδικασίας προσδιορισμού των υποχρέων προσώπων και επιβολής του διοικητικού προστίμου της παρ. 4 του άρθρου 24 του ν. 4865/2021, μεταξύ άλλων ορίζεται η ΚΑΤΑΡΤΙΣΗ ΛΙΣΤΑΣ από την ανώνυμη εταιρεία με την επωνυμία “Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης” (ΗΔΙΚΑ Α.Ε) με τα φυσικά πρόσωπα που έχουν γεννηθεί έως και την 31.12.1961 και εντάσσονται στην παρ. 1 του άρθρου 24 του ν. 4865/2021, η οποία περιλαμβάνει τα εξής στοιχεία (i) ονοματεπώνυμο, πατρώνυμο, μητρώνυμο, ημερομηνία γέννησης, Αριθμό Μητρώου Κοινωνικής Ασφάλισης (Α.Μ.Κ.Α) ή Προσωρινός Αριθμός Ασφάλισης και Υγειονομικής Περίθαλψης Αλλοδαπού (Π.Α.Α.Υ.Π.Α) ή Προσωρινός Αριθμός Μητρώου Κοινωνικής Ασφάλισης (Π.Α.Μ.Κ.Α) (ii) ένδειξη σχετικά με τη συμμόρφωσή τους με την υποχρέωση εμβολιασμού για την επιβολή μισού ή πλήρους προστίμου (iii) ένδειξη χρήσης συνταγογράφησης εντός τελευταίας πενταετίας. (άρθρο 2 παρ. 2).
Η “ένδειξη χρήσης συνταγογράφησης” δεικνύει ότι η εν λόγω λίστα θα καταρτιστεί βάσει των στοιχείων που έχουν συλλεγεί στη Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης του άρθρου 6 του ν. 3892/2010, την οποία τηρεί και συντηρεί ο φορέας "Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης - ΗΔΙΚΑ Α.Ε." για λογαριασμό της Γενικής Γραμματείας Κοινωνικών Ασφαλίσεων.
Επειδή η επεξεργασία των προσωπικών δεδομένων μου που περιέχονται στην Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης είναι παράνομη για οποιονδήποτε άλλο σκοπό πλην των αναφερομένων στο ν. 3892/2010 και δη είναι παράνομη η επεξεργασία και η χρήση τους για την κατάρτιση της λίστας που αναφέρεται στο άρθρο 2 παρ. 2 της υπ' αριθμ. ΓΠ οικ 7586 ΚΥΑ των Υπουργών Οικονομικών – Υγείας – Επικράτειας και του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων με σκοπό την επιβολή του προστίμου του άρθρου 24 ν. 4865/2021
Για τους λόγους αυτούς
και με την επιφύλαξη κάθε νομίμου δικαιώματός μου
ΔΗΛΩΝΩ ότι ασκώ το δικαίωμα που μου παρέχει το άρθρο 18 παρ. 1 περ β' του ΓΚΠΔ για τον περιορισμό της χρήσης των προσωπικών δεδομένων μου που περιέχονται στην Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης και ζητώ να μην καταγραφούν στη λίστα του άρθρου 2 παρ. 2 της υπ' αριθμ. ΓΠ οικ 7586 ΚΥΑ των Υπουργών Οικονομικών – Υγείας – Επικράτειας και του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων.
Ο δηλών ή Η δηλόύσα
xxxxxxxxxxxxxxxxxxxxxxx
Το έστειλα και πήρα την ακόλουθη απάντηση από ΥΠΟΥΡΓΕΙΟ ΕΡΓΑΣΙΑΣ ΚΑΙ ΚΟΙΝΩΝΙΚΩΝ ΥΠΟΘΕΣΕΩΝ / ΥΠΗΡΕΣΙΑ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
ΑπάντησηΔιαγραφή.......................
Σε απάντηση του ανωτέρω σχετικού, με το οποίο ασκείτε το δικαίωμα περιορισμού που περιγράφεται στο θέμα του παρόντος, παρακαλούμε όπως λάβετε υπόψη σας τα εξής :
1. Όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, η εν λόγω δημόσια αρχή ή φορέας υποχρεούται να ορίζει υπεύθυνο προστασίας δεδομένων, με τον οποίο τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα από την εν λόγω αρχή ή φορέα (υπεύθυνο επεξεργασίας), καθώς και με την άσκηση των δικαιωμάτων τους προς την εν λόγω αρχή ή φορέα, δυνάμει του Γενικού Κανονισμού για την Προστασία Δεδομένων.
2. Ως προς το είδος επεξεργασίας της οποίας ζητείται ο περιορισμός, στο άρθρο 3 της υ.α. ΓΠ.οικ. 7586 (ΦΕΚ Β΄ 608/2022) ορίζεται ανά σκοπό επεξεργασίας ο εκάστοτε υπεύθυνος επεξεργασίας, προς τον οποίο πρέπει να απευθύνεστε για την άσκηση των δικαιωμάτων σας και δη, εν προκειμένω, προς το Υπουργείο Υγείας.
3. Επομένως, το αίτημά σας δεν μπορεί να εξεταστεί από την Υπηρεσία μας, η οποία δεν είναι αρμόδια επί του τιθέμενου ή άλλου ζητήματος επεξεργασίας δεδομένων από υπεύθυνο επεξεργασίας διαφορετικό του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων.
4. Περαιτέρω, το αίτημά σας δεν θα διαβιβαστεί από εμάς στην αρμόδια Υπηρεσία του Υπουργείου Υγείας, προς την οποία ήδη απευθύνεστε.
Με εκτίμηση
Ο Υπεύθυνος Προστασίας Δεδομένων
Διονύσιος Καλογεράς
Υπεύθυνος Προστασίας Δεδομένων | ΥΠ.Ε.Κ.Υ.Π.
E: dpo@yeka.gr
T: 2104225879
Στείλαμε τη δήλωση και μας απάντησαν το εξής:
ΑπάντησηΔιαγραφήΣε απάντηση του ανωτέρω σχετικού, με το οποίο ασκείτε το δικαίωμα περιορισμού που περιγράφεται στο θέμα του παρόντος, παρακαλούμε όπως λάβετε υπόψη σας τα εξής :
1. Όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, η εν λόγω δημόσια αρχή ή φορέας υποχρεούται να ορίζει υπεύθυνο προστασίας δεδομένων, με τον οποίο τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα από την εν λόγω αρχή ή φορέα (υπεύθυνο επεξεργασίας), καθώς και με την άσκηση των δικαιωμάτων τους προς την εν λόγω αρχή ή φορέα, δυνάμει του Γενικού Κανονισμού για την Προστασία Δεδομένων.
2. Ως προς το είδος επεξεργασίας της οποίας ζητείται ο περιορισμός, στο άρθρο 3 της υ.α. ΓΠ.οικ. 7586 (ΦΕΚ Β΄ 608/2022) ορίζεται ανά σκοπό επεξεργασίας ο εκάστοτε υπεύθυνος επεξεργασίας, προς τον οποίο πρέπει να απευθύνεστε για την άσκηση των δικαιωμάτων σας και δη, εν προκειμένω, προς το Υπουργείο Υγείας.
3. Επομένως, το αίτημά σας δεν μπορεί να εξεταστεί από την Υπηρεσία μας, η οποία δεν είναι αρμόδια επί του τιθέμενου ή άλλου ζητήματος επεξεργασίας δεδομένων από υπεύθυνο επεξεργασίας διαφορετικό του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων.
4. Περαιτέρω, το αίτημά σας διαβιβάζεται ως συνημμένο με την παρούσα απάντηση από εμάς στην αρμόδια Υπηρεσία του Υπουργείου Υγείας, προς την οποία ήδη απευθύνεστε.
Ποιά είναι η επόμενη κίνηση που μπορούμε να κάνουμε;
Ευχαριστούμε πολύ εκ των προτέρων.
Η δεύτερη απάντηση από την πλευρά του υπουργείου.
ΑπάντησηΔιαγραφήΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΥΠΟΥΡΓΕΙΟΥ ΥΓΕΙΑΣ
Συνημμένα
6:16 μ.μ. (πριν από 43 λεπτά)
προς εγώ, _1.ΓΡΑΦΕΙΟ, alternate.minister, dpo, dpo
Σε απάντηση του κάτωθι συνημμένου μηνύματός σας, σας διαβιβάζουμε την υπ’ αρ. πρωτ. 12186/25-02-2022 γνωμοδότηση του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, σχετικά με πανομοιότυπες και τυποποιημένες «ΔΗΛΩΣΕΙΣ Άσκησης του δικαιώματος περιορισμού της επεξεργασίας των προσωπικών δεδομένων μου που περιέχονται στην Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης κατ’ άρθρο 18 παρ. 1 περ. β΄ ΓΚΠΔ» προς το Υπουργείο Υγείας.
Όπως αναφέρει η συνημμένη γνωμοδότηση:
«Μετά τη δημοσίευση της ΚΥΑ υπ’ αρ. ΓΠ.οικ. 7586/2022 «Καθορισμός διαδικασίας προσδιορισμού των υπόχρεων προσώπων και επιβολής του διοικητικού προστίμου της παρ. 4 του άρθρου 24 του ν. 4865/2021 (Α΄ 238)» (ΦΕΚ Β΄, 608), των Υπουργών Οικονομικών – Υγείας – Επικρατείας και του Διοικητή της ΑΑΔΕ, άρχισαν να υποβάλλονται (ήδη, ο αριθμός τους έχει φτάσε σε μερικές δεκάδες), μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου, αναφορές προς (α) τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων, (β) τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και (γ) τον Υπεύθυνο Προστασίας Δεδομένων (DPO) της ΗΔΙΚΑ ΑΕ, οι οποίες αναπαράγουν το ίδιο τυποποιημένο κείμενο, με θέμα: «ΔΗΛΩΣΗ Άσκησης του δικαιώματος περιορισμού της επεξεργασίας των προσωπικών δεδομένων μου ου περιέχονται στην Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης κατ’ άρθρο 18 παρ. 1 περ. β΄ ΓΚΠΔ», υπόδειγμα του οποίου έχει αναρτηθεί σε διάφορους διαδικτυακούς τόπους, προκειμένου να μπορεί να γίνει χρήση τους από τους ενδιαφερόμενους. Οι ενδιαφερόμενοι, οι οποίοι παραθέτουν στις εν λόγω επικοινωνίες τους τα στοιχεία ταυτοποίησής τους (ονοματεπώνυμο, ταχυδρομική διεύθυνση, ΑΔΤ, ΑΦΜ, αρ. τηλεφώνου, ΑΜΚΑ, και email), τα οποία συνιστούν απλά δεδομένα τους προσωπικού χαρακτήρα, υπό την έννοια των διατάξεων του άρθρου 4 στοιχ. (α) του ΓΚΠΔ (GDPR), αυτοπροσδιορίζονται ως καταρχήν υπόχρεα πρόσωπα για την επιβολή του διοικητικού προστίμου της παρ. 4 του άρθρου 24 του Ν. 4865/2021 κατά την προαναφερόμενη ΚΥΑ.
Τίθεται, συνεπώς, ζήτημα διατύπωσης γνώμης από τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας ως προς τη βασιμότητα των διαλαμβανομένων στις εν λόγω τυποποιημένες «ΔΗΛΩΣΕΙΣ Άσκησης του δικαιώματος περιορισμού της επεξεργασίας των προσωπικών δεδομένων μου που περιέχονται στην Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης κατ’ άρθρο 18 παρ. 1 περ. β΄ ΓΚΠΔ» προς το Υπουργείο Υγείας.».
Για τους λόγους που διεξοδικά παρατίθενται στη γνωμοδότηση αυτή, καταλήγουμε στο εξής:
«Με βάση τα προαναφερόμενα:
(α) Οι διαλαμβανόμενοι στις υπό κρίση πανομοιότυπες και τυποποιημένες «ΔΗΛΩΣΕΙΣ Άσκησης του δικαιώματος περιορισμού της επεξεργασίας των προσωπικών δεδομένων μου που περιέχονται στην Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης κατ’ άρθρο 18 παρ. 1 περ. β΄ ΓΚΠΔ» προς το Υπουργείο Υγείας ισχυρισμοί τυγχάνουν παντελώς αβάσιμοι, στο μέτρο που επικαλούνται υποτιθέμενες παραβιάσεις του δικαιώματος κάθε ενδιαφερομένου στην προστασία έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, για τους λόγους που διεξοδικά εκτέθηκαν.
(β) Το Υπουργείο Υγείας, ως υπεύθυνος επεξεργασίας, δύναται να απορρίψει το αίτημα περιορισμού στην επεξεργασία, που έχει ασκήσει κάθε ενδιαφερόμενος κατά τα προαναφερόμενα, στη βάση της παρούσας γνωμοδότησης του Υπευθύνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας».
cid:image003.jpg@01CE1410.3F0FB7B0
Δημήτρης Ζωγραφόπουλος
Δικηγόρος (ΔΝ) – Ειδικός επιστήμονας,
Υπουργείο Υγείας
Αυτοτελές Γραφείο Υπευθύνου Προστασίας Δεδομένων
Υπεύθυνος Προστασίας Δεδομένων (DPO)
Τηλ. : 213 216 12 54
e-mail: zografopoulosd@moh.gov.gr / dpo@moh.gov.gr / gdpr@moh.gov.gr
Σας έχουν επισυνάψει ολόκληρο το κείμενο της γνωμοδότησης; Αν ναι, θα προσέξατε ότι έχει πολλά ενδιαφέροντα σημεία....από νομικής πλευράς το πλέον ενδιαφέρον είναι ότι επικαλείται μεν το άρθρο 24 του ν. 4624/2019, αλλά γνωμοδοτεί αντίθετα από αυτά που ορίζει το εν λόγω άρθρο.
ΑπάντησηΔιαγραφήΝ 4624/2019: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 (753009)
Αρθρο 24
Επεξεργασία δεδομένων προσωπικού
χαρακτήρα για άλλους σκοπούς από
δημόσιους φορείς
1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι:
α) απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες·
β) αναγκαία για την αποτροπή κινδύνων για την εθνική ασφάλεια, εθνική άμυνα ή δημόσια ασφάλεια ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων·
γ) αναγκαία για τη δίωξη ποινικών αδικημάτων·
δ) αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου·
ε) απαραίτητη για την παραγωγή των επίσημων στατιστικών.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμε- νες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.