Αριθμ. 2650

ΦΕΚ B’ 1298/10.04.2020

Ρύθμιση ειδικότερων τεχνικών ζητημάτων για τη λειτουργία του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό CΟVID-19, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων εικοστού ένατου της από 30.3.2020 Πράξης Νομοθετικού Περιεχομένου (ΠΝΠ) «Μέτρα αντιμετώπισης της πανδημίας του κορωνοϊού COVID-19 και άλλες κατεπείγουσες διατάξεις» (Α΄ 75) και 83 του ν. 4600/2019 (Α΄ 43).

ΟΙ ΥΠΟΥΡΓΟΙ

ΥΓΕΙΑΣ - ΕΠΙΚΡΑΤΕΙΑΣ

Λαμβάνοντας υπόψη:

1. Τις διατάξεις της από 30.3.2020 Πράξης Νομοθετικού Περιεχομένου «Μέτρα αντιμετώπισης της πανδημίας του κορωνοϊού COVID-19 και άλλες κατεπείγουσες διατάξεις», (Α΄ 75) και ιδίως του άρθρου εικοστού ένατου.

2. Τις διατάξεις του ν. 4600/2019 «Εκσυγχρονισμός και Αναμόρφωση Θεσμικού Πλαισίου Ιδιωτικών Κλινικών, Σύσταση Εθνικού Οργανισμού Δημόσιας Υγείας, Σύσταση Εθνικού Ινστιτούτου Νεοπλασιών και λοιπές διατάξεις» (Α΄/43) και ιδίως των άρθρων 82, 83 και 84.

3. Τις διατάξεις του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων - ΓΚΠΔ/ General Data Protection Regulation - GDPR).

4. Τις διατάξεις του ν. 4624/2019 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις (Α΄ 137).

5. Τις διατάξεις του κανονισμού (ΕΚ) 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Δεκεμβρίου 2008, σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία.

6. Τις διατάξεις της Οδηγίας 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης, η οποία έχει ενσωματωθεί στην ελληνική έννομη τάξη με τις διατάξεις του ν. 4213/2013 (Α΄/261).

7. Τις διατάξεις του ν. 2619/1998 κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης για την προστασία των ανθρωπίνων δικαιωμάτων και της αξιοπρέπειας του ατόμου σε σχέση με τις εφαρμογές της βιολογίας και της ιατρικής: Σύμβαση για τα Ανθρώπινα Δικαιώματα και τη Βιοϊατρική (Α΄ 132).

8. Τις διατάξεις της από 11.3.2020 Πράξης Νομοθετικού Περιεχομένου «Κατεπείγοντα μέτρα αντιμετώπισης των αρνητικών συνεπειών της εμφάνισης του κορωνοϊού COVID-19 και της ανάγκης περιορισμού της διάδοσής του», (Α΄ 55), η οποία κυρώθηκε με τον ν. 4682/2020 (Α΄ 76).

9. Τις διατάξεις της από 14.3.2020 Πράξης Νομοθετικού Περιεχομένου «Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19», (Α΄ 64), η οποία κυρώθηκε με τον ν. 4682/2020 «Κύρωση:

α) της από 25.2.2020 Πράξης Νομοθετικού Περιεχομένου «Κατεπείγοντα μέτρα αποφυγής και περιορισμού της διάδοσης κορωνοϊού» (Α' 42),

β) της από 11.3.2020 Πράξης Νομοθετικού Περιεχομένου «Κατεπείγοντα μέτρα αντιμετώπισης των αρνητικών συνεπειών της εμφάνισης του κορωνοϊού COVID-19 και της ανάγκης περιορισμού της διάδοσής του» (A' /55) και

γ) της από 14.3.2020 Πράξης Νομοθετικού Περιεχομένου «Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19» (Α' 64) και άλλες διατάξεις» (Α΄/76).

10. Τις διατάξεις του ν. 2071/1992 «Εκσυγχρονισμός και Οργάνωση Συστήματος Υγείας» (Α΄ 123) και ιδίως του άρθρου 47.

11. Τις διατάξεις του ν. 3418/2005 «Κώδικας Ιατρικής Δεοντολογίας» (Α΄ 287).

12. Τις διατάξεις του ν. 3607/2007 “ Σύσταση και Καταστατικό της «Ηλεκτρονικής Διακυβέρνησης Κοινωνικής Ασφάλισης Α.Ε.» (Η.ΔΙ.ΚΑ. Α.Ε.) και λοιπές ασφαλιστικές και οργανωτικές διατάξεις” (Α΄ 245).

13. Τις διατάξεις του ν. 3892/2010 «Ηλεκτρονική καταχώριση και εκτέλεση ιατρικών συνταγών και παραπεμπτικών ιατρικών εξετάσεων» (Α΄ 189).

14. Τις διατάξεις του ν. 3918/2011 «Διαρθρωτικές αλλαγές στο σύστημα υγείας και άλλες διατάξεις» (Α΄ 31). 15. Τις διατάξεις του ν. 4238/2014 «Πρωτοβάθμιο Εθνικό Δίκτυο Υγείας (Π.Ε.Δ.Υ.), αλλαγή σκοπού Ε.Ο.Π.Υ.Υ. και λοιπές διατάξεις» (Α΄ 38).

16. Τις διατάξεις του π.δ. 121/2017 «Οργανισμός του Υπουργείου Υγείας» (Α΄ 148).

17. Τις διατάξεις των άρθρων 1 και 2 του π.δ. 81/2019 «Σύσταση, συγχώνευση, μετονομασία και κατάργηση Υπουργείων και καθορισμός των αρμοδιοτήτων τους - Μεταφορά υπηρεσιών και αρμοδιοτήτων μεταξύ Υπουργείων» (A’ 119), όπως ισχύει.

18. Τις διατάξεις του 83/2019 «Διορισμός Αντιπροέδρου της Κυβέρνησης, Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών» (Α΄ 121).

19. Τις διατάξεις του άρθρου 90 του π.δ. 63/2005 Κώδικας Νομοθεσίας για την κυβέρνηση και τα κυβερνητικά όργανα (ΦΕΚ Α΄ 98).

20. Την Υ6/2019 απόφαση του Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Υπουργό Επικρατείας» (Β΄ 2902).

21. Την 2649/10.4.2020 απόφαση του Υπουργού Υγείας «Σύσταση και βασικές παράμετροι λειτουργίας του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό CΟVID-19, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων εικοστού ένατου της από 30.3.2020 Πράξης Νομοθετικού Περιεχομένου (Π.Ν.Π.) «Μέτρα αντιμετώπισης της πανδημίας του κορωνοϊού COVID-19 και άλλες κατεπείγουσες διατάξεις» (Α΄/75) και 83 του ν. 4600/2019 ( Α΄ 43) ». 22. Την υπ’ αριθ. Β1α/οικ. 24300/10.4.2020 βεβαίωση της Διεύθυνσης Προϋπολογισμού και Δημοσιονομικών Αναφορών του Υπουργείου Υγείας, σύμφωνα με την οποία δεν προκαλείται πρόσθετη δαπάνη σε βάρος του Προϋπολογισμού του Υπουργείου Υγείας και του προϋπολογισμού των εποπτευόμενων φορέων του, διότι με αυτή καθορίζονται τεχνικά ζητήματα σχετικά με τη λειτουργία του Εθνικού Μητρώου Ασθενών από τον κορωνοιό COCID-19, αποφασίζουμε:

Άρθρο 1

Ζητήματα σχετικά με τις βασικές υποχρεώσεις της ΗΔΙΚΑ ΑΕ, ως εκτελούσας την επεξεργασία για λογαριασμό του Υπουργείου Υγείας, κατά τη λειτουργία του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19

1. Κατά την εκτέλεση της επεξεργασίας, για λογαριασμό του Υπουργείου Υγείας, σχετικά με τη λειτουργία του συστήματος αρχειοθέτησης του Εθνικού Μητρώου από τον κορωνοϊό CΟVID-19 («Εθνικό Μητρώο Ασθενών COVID-19»), στη βάση των διατάξεων των άρθρων 83 του ν. 4600/2019, εικοστού ένατου της από 30.3.2020 Πράξης Νομοθετικού Περιεχομένου (ΦΕΚ Α΄ 75) και 3 του ν. 3607/2007, η εταιρεία με την επωνυμία «ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΚΟΙΝΩΝΙΚΗΣ ΑΣΦΑΛΙΣΗΣ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ» και το διακριτικό τίτλο «ΗΔΙΚΑ Α.Ε.» που έχει συσταθεί με το ν. 3607/2007, αναλαμβάνει τον τεχνικό σχεδιασμό, την υλοποίηση, την οργάνωση της μετάπτωσης των δεδομένων προσωπικού χαρακτήρα και άλλων δεδομένων από κάθε πηγή, την τήρηση υπό συνθήκες που διασφαλίζουν την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των δεδομένων και κάθε άλλο θέμα, που αφορά την ομαλή λειτουργία του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 και ενεργεί τηρώντας τις διατάξεις της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα και, ιδίως, εκείνες του άρθρου 28 του ΓΚΠΔ καθώς, επίσης, τις θεμελιώδεις αρχές, που θέτει για τη νομιμότητα κάθε επεξεργασίας δεδομένων προσωπικού χαρακτήρα το άρθρο 5 του ΓΚΠΔ.

2. Η ΗΔΙΚΑ ΑΕ, ως εκτελούσα την επεξεργασία, συμπεριλαμβάνει το σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 στο αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 30 του ΓΚΠΔ.

3. Η ΗΔΙΚΑ ΑΕ, ως εκτελούσα την επεξεργασία, αναλαμβάνει την υποχρέωση να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται το ενδεδειγμένο επίπεδο ασφάλειας έναντι των κινδύνων, σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 32 του ΓΚΠΔ ως ορίζονται στην παρ. 6 του επόμενου άρθρου.

4. Η ΗΔΙΚΑ ΑΕ, ως εκτελούσα την επεξεργασία, διενεργεί, για λογαριασμό του Υπουργείου Υγείας, την προβλεπόμενη από τις διατάξεις του άρθρου 35 του ΓΚΠΔ, εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία συλλέγονται και τυγχάνουν περαιτέρω επεξεργασίας στο Εθνικό Μητρώο Ασθενών COVID-19. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, παρέχει συμβουλές σχετικά με την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της, με τη συνεργασία του Υπευθύνου Προστασίας Δεδομένων (DPO) της ΗΔΙΚΑ ΑΕ.

5. Η ΗΔΙΚΑ ΑΕ, ως εκτελούσα την επεξεργασία, ενημερώνει το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, αμελλητί, στην περίπτωση που αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις του άρθρου 33 του ΓΚΠΔ.

Άρθρο 2

Ζητήματα σχετικά με τον προσδιορισμό των κατάλληλων τεχνικών και οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας

1. Το σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 δομείται σε μορφή web εφαρμογής, η οποία διασφαλίζει οπωσδήποτε, με βάση και τις καταγεγραμμένες εντολές και οδηγίες του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας: (α) τη δυνατότητα καταγραφής όλων των απαραίτητων ιατρικών δεδομένων που σχετίζονται με την επιβεβαίωση της διάγνωσης των ασθενών, βάσει των επιστημονικών κριτηρίων για την ένταξή τους στο Εθνικού Μητρώου Ασθενών COVID-19, όπως αυτά προσδιορίζονται ειδικότερα ιδίως από τον Παγκόσμιο Οργανισμό Υγείας (ΠΟΥ - WHO) και τον Εθνικό Οργανισμό Δημόσιας Υγείας (ΕΟΔΥ) και (β) την περιοδική καταγραφή και παρακολούθηση των ενδείξεων και μετρήσεων, που κρίνονται απαραίτητες για την ανάλυση της πορείας τους.

2. Το σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 διαλειτουργεί με ασφάλεια με τα ακόλουθα συστήματα αρχειοθέτησης, που έχουν ήδη αναπτυχθεί από την ΗΔΙΚΑ Α.Ε: (α) Με το σύστημα αρχειοθέτησης της Ηλεκτρονικής Συνταγογράφησης (ΣΗΣ). Το σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 αντλεί για κάθε ασθενή από το ΣΗΣ το ιστορικό διαγνώσεων, συνταγών, εξετάσεων και θεραπευτικών πρωτοκόλλων. Στη συνέχεια το σύστημα (ΣΗΣ) διασυνδέεται με το σύστημα αρχειοθέτησης eΔΑΠΥ του Ε.Ο.Π.Υ.Υ., για την διαδικασία εκτέλεσης του παραπεμπτικού COVID-19. (β) Με το σύστημα αρχειοθέτησης του ΑΜΚΑ. Το σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 εκτελεί κλήση κατά την ένταξη ενός νέου ασθενή για την άντληση και επικαιροποίηση των δημογραφικών του στοιχείων. (γ) Με το σύστημα αρχειοθέτησης του Ατομικού Ηλεκτρονικού Φακέλου Υγείας (Α.Η.Φ.Υ.), κατά τρόπο ώστε να ενημερώνει το ατομικό ιστορικό υγείας του λήπτη υπηρεσιών υγείας, που είναι εγγεγραμμένος στο Εθνικό Μητρώο Ασθενών COVID-19 και να αντλεί πληροφορίες από το ιστορικό αυτό, εφόσον απαιτείται για τους σκοπούς λειτουργίας του Εθνικού Μητρώου Ασθενών COVID-19.

3. Το σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 θα τηρείται, για λογαριασμό του Υπουργείου Υγείας, στο Data Center της ΗΔΙΚΑ ΑΕ για αόριστο χρονικό διάστημα, ήτοι για όσο συνεχίζεται η εκτέλεση επεξεργασίας σχετικά με τη λειτουργία του συστήματος αρχειοθέτησης του εν λόγω Εθνικού Μητρώου Ασθενών από την ΗΔΙΚΑ ΑΕ. Εφόσον τερματιστεί η εκτέλεση επεξεργασίας σχετικά με τη λειτουργία του εν λόγω συστήματος αρχειοθέτησης από την ΗΔΙΚΑ ΑΕ, και μετά από αίτημα του Υπουργείου Υγείας η ΗΔΙΚΑ ΑΕ υποχρεούται να επιστρέψει όλα τα δεδομένα προσωπικού χαρακτήρα στο Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, και να διαγράψει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ευρωπαϊκής Ένωσης ή το εθνικό δίκαιο απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα.

4. Η επεξεργασία όλων των δεδομένων στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 υποστηρίζεται από τα υφιστάμενα συστήματα ασφαλείας καθώς και τις υφιστάμενες σχετικές διαδικασίες της ΗΔΙΚΑ ΑΕ.

5. Η ΗΔΙΚΑ ΑΕ αναλαμβάνει την υποχρέωση να διασφαλίζει την πρόσβαση στα δεδομένα του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 στους διαπιστευμένους χρήστες του εν λόγω συστήματος αρχειοθέτησης, με βάση τους ρόλους και τα δικαιώματα που τους αποδίδει το Υπουργείο Υγείας. Ο έλεγχος πρόσβασης των χρηστών πραγματοποιείται από το ασφαλές εσωτερικό σύστημα LDAP σε συνεργασία με το εσωτερικό σύστημα διαχείρισης χρηστών της ΗΔΙΚΑ ΑΕ. στο οποίο αποθηκεύονται όλα τα στοιχεία των χρηστών - χειριστών του Συστήματος και με βάση τους ειδικά διαμορφωμένους ρόλους, που ορίζουν τα δικαιώματα των χρηστών (πρόσβασης, προβολής και επεξεργασίας) στο σύστημα. Βάσει των δικαιωμάτων αυτών, οι χρήστες - χειριστές θα δύνανται να έχουν διαβαθμισμένη πρόσβαση και δυνατότητα για τις ακόλουθες λειτουργίες: (α) να προσθέσουν νέες εγγραφές στο σύστημα, (β) να επεξεργαστούν ήδη καταχωρημένες εγγραφές, (γ) να έχουν δυνατότητα προβολής εγγραφών και (δ) να έχουν δυνατότητα πρόσβασης σε στατιστικές αναφορές του συστήματος επιχειρηματικής ευφυΐας (BI) της ΗΔΙΚΑ ΑΕ.

6. Για τη διασφάλιση των δικαιωμάτων των υποκειμένων των δεδομένων, λαμβάνονται, κατ’ ελάχιστον, τα ακόλουθα τεχνικά και οργανωτικά μέτρα εκ μέρους της ΗΔΙΚΑ ΑΕ:

α) Η πρόσβαση στα δεδομένα και η επεξεργασία επιτρέπεται μόνο με χρήση καταλλήλων διαπιστευτηρίων από προσωπικό, το οποίο διαθέτει τις κατάλληλες εξουσιοδοτήσεις και υποχρεούται κατά τα ανωτέρω στην τήρηση όλων των προβλεπόμενων, κατά την κείμενη νομοθεσία, υποχρεώσεων εμπιστευτικότητας και τήρησης απορρήτου, ανεξάρτητα από τον ειδικότερο νομικό χαρακτηρισμό της σχέσης εργασίας του με την ΗΔΙΚΑ ΑΕ.

β) Οι διαβιβάσεις των δεδομένων πραγματοποιούνται με κρυπτογράφηση.

γ) Τηρούνται σε ηλεκτρονική μορφή επικαιροποιημένα αρχεία καταγραφής των ενεργειών που εκτελούνται σε προσωπικά δεδομένα. Στα αρχεία αυτά καταγράφονται το όνομα χρήστη και ο χρόνος συμβάντος, καθώς και οι ακόλουθες τουλάχιστον ενέργειες: εισαγωγή, πρόσβαση, εξαγωγή, τροποποίηση και διαγραφή προσωπικών δεδομένων. Τηρούνται, επίσης, σε ηλεκτρονική μορφή αντίγραφα των προαναφερομένων αρχείων καταγραφής για χρονικό διάστημα τουλάχιστον είκοσι (20) ετών.

δ) Ενημερώνεται και ευαισθητοποιείται συστηματικά το προσωπικό, το οποίο ασχολείται με τη συγκεκριμένη επεξεργασία, ανεξάρτητα από τον ειδικότερο νομικό χαρακτηρισμό της σχέσης εργασίας του με την ΗΔΙΚΑ ΑΕ.

Άρθρο 3

Προσδιορισμός των χρηστών του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό CΟVID-19 και των δικαιωμάτων αυτών

1. Οι ρόλοι των χρηστών του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 καθορίζονται ως εξής: (α) Διαχειριστές Εφαρμογής, (β) Υπεύθυνοι Καταχώρισης στο Μητρώο, (γ) Θεράποντες Ιατροί, (δ) Χρήστες εργαστηριακής διερεύνησης (ε) Χρήστες για σκοπούς ιχνηλάτησης (στ) Χρήστης Στατιστικής Πληροφόρησης. Με βάση τους προαναφερόμενους ρόλους, οι χρήστες δικαιούνται πρόσβασης στο σύνολο ή σε μέρος των καταχωρημένων στο Εθνικό Μητρώο Ασθενών COVID-19 πληροφοριών.

2. Οι χρήστες διαπιστευμένοι ως Διαχειριστές Εφαρμογής έχουν πρόσβαση στο σύνολο των ασθενών και των παραμετρικών στοιχείων της εφαρμογής.

3. Οι χρήστες διαπιστευμένοι ως Υπεύθυνοι Καταχώρισης στο Μητρώο είναι ιατροί και, εφόσον αυτό ήθελε κριθεί απαραίτητο, και ειδικευόμενοι ιατροί των εξής ειδικοτήτων: (α) Πνευμονολόγοι, (β) Παθολόγοι, (γ) Γενικοί Ιατροί και (δ) Παιδίατροι καθώς και (ε) ιατροί μικροβιολόγοι που έχουν καταστεί θεράποντες ιατροί ασθενών COVID-19.

4. Οι χρήστες διαπιστευμένοι ως Θεράποντες Ιατροί έχουν πρόσβαση στις ακόλουθες κατηγορίες ασθενών: (α) ασθενείς που έχουν ενταχθεί από τους ίδιους και (β) ασθενείς που είναι υπό την δική τους παρακολούθηση για την παροχή ιατρικών υπηρεσιών.

5. Οι χρήστες διαπιστευμένοι στην κατηγορία χρήστες για σκοπούς ιχνηλάτησης έχουν το δικαίωμα λήψης των δεδομένων των κρουσμάτων που είναι αναγκαία για την ταυτοποίησή τους και την υλοποίηση των σκοπών της ιχνηλάτησης. Ειδικά για τον ΕΟΔΥ και τη Γενική Γραμματεία Πολιτικής Προστασίας (ΓΓΠΠ) ισχύουν οι προβλεπόμενοι σκοποί επεξεργασίας της κείμενης νομοθεσίας. Λαμβανομένων υπόψη των διατάξεων του άρθρου 5 της από 14.3.2020 Πράξης Νομοθετικού Περιεχομένου (ΦΕΚ Α΄/64), για τους σκοπούς της επιχειρησιακής προετοιμασίας και του συντονισμού μεταξύ του ΕΟΔΥ και της ΓΓΠΠ για την αντιμετώπιση των συνεπειών του κορωνοϊού COVID-19 και της καταγραφής της διασποράς των κρουσμάτων για λόγους προστασίας της δημόσιας υγείας, οι χρήστες της συγκεκριμένης κατηγορίας ιχνηλάτησης έχουν δικαίωμα να λαμβάνουν μέσω της ΗΔΙΚΑ ΑΕ, η οποία ενεργεί για το σκοπό αυτό για λογαριασμό του Υπουργείου Υγείας, για κάθε ασθενή, που έχει καταχωρηθεί στο Εθνικό Μητρώο Ασθενών από COVID-19, τα ακόλουθα δεδομένα προσωπικού χαρακτήρα: (α) ονοματεπώνυμο, (β) φύλο, (γ) ηλικία, (δ) τηλέφωνο επικοινωνίας, (ε) διεύθυνση κατοικίας (οδός-αριθμός-δήμος-ταχυδρομικός κώδικας), (στ) εισαγωγή ή όχι σε νοσοκομείο, (ζ) το νοσοκομείο εισαγωγής και (η) τη διεύθυνση προσωρινού περιορισμού (αν δεν ταυτίζεται με τη διεύθυνση κατοικίας) και (θ) το ΑΜΚΑ του ή το ΠΑΑΥΠΑ ή σε περίπτωση έλλειψής τους, άλλου ταυτοποιητικού στοιχείου. Δικαιούται, επίσης, η ΓΓΠΠ να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα του συνοδού του ασθενούς, τα οποία έχουν καταχωρηθεί στο Εθνικό Μητρώο Ασθενών από COVID-19.

6. Οι χρήστες διαπιστευμένοι στην κατηγορία Χρήστες Εργαστηριακής Διερεύνησης έχουν το δικαίωμα καταχώρισης στοιχείων σχετικών με τα αποτελέσματα εργαστηριακής διερεύνησης δυνητικών κρουσμάτων Covid-19, την οποία έχουν διενεργήσει οι ίδιοι. Ειδικά ως προς τους χρήστες αυτούς, συγκεκριμένα τα ιδιωτικά διαγνωστικά εργαστήρια που εκτελούν διαγνωστική εξέταση για την διαπίστωση μόλυνσης από τον ιό COVID-19 ιδρύεται υποχρέωση όπως εντός αποκλειστικής προθεσμίας πέντε (5) ημερών από την έκδοση της παρούσας, καταχωρήσουν το σύνολο των στοιχείων των επιβεβαιωμένων κρουσμάτων, που έχουν ήδη διαπιστωθεί εκ μέρους τους πριν την λειτουργία του μητρώου, ως προς το σύνολο των ανωτέρω υπό σημείο (5) αναφερόμενων στοιχείων, ασθενών από COVID-19 με την επιλογή της ένδειξης «προηγούμενη χειρόγραφη καταχώριση».

7. Οι χρήστες διαπιστευμένοι ως Χρήστες Στατιστικής Πληροφόρησης έχουν πρόσβαση μόνο στη στατιστική πληροφόρηση, δηλαδή σε στατιστικής φύσης συγκεντρωτικά στοιχεία από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων. Δεν έχουν δικαίωμα προβολής των δεδομένων προσωπικού χαρακτήρα των ασθενών, θα τους παρέχεται πρόσβαση μόνο σε ανωνυμοποιημένα ή ψευδωνυμοποιημένα δεδομένα των ασθενών. Βάσει των καταχωρημένων στο μητρώο δεδομένων, οι χρήστες της κατηγορίας αυτής έχουν διαθέσιμη στατιστική πληροφόρηση για στοιχεία σχετικά με την κατανομή των ασθενών. Όλα τα στατιστικά στοιχεία παρέχονται συγκεντρωτικά, βάσει διαφόρων κριτηρίων και παραμέτρων (ανά νομό, ανά πόλη, ανά μετάλλαξη, ανά ηλικιακή ομάδα κλπ.), στα οποία εμφανίζεται η κατανομή των ασθενών, χωρίς δυνατότητα άμεσης ή έμμεσης ταυτοποίησής τους.

Άρθρο 4

Προσδιορισμός των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο Εθνικό Μητρώο Ασθενών που πάσχουν από COVID-19

1. Κάθε ασθενής, ο οποίος έχει διαγνωσθεί ότι έχει προσβληθεί από COVID-19 εντάσσεται υποχρεωτικά από το θεράποντα ιατρό του στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 για τους σκοπούς του άρθρου 1 της παρούσας. Θεράποντες ιατροί με υποχρέωση καταχώρισης της ένταξης ασθενούς στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 είναι ιατροί και, εφόσον αυτό ήθελε κριθεί απαραίτητο, και ειδικευόμενοι ιατροί των εξής ειδικοτήτων: (α) Πνευμονολόγοι, (β) Παθολόγοι, (γ) Γενικοί Ιατροί και (δ) Παιδίατροι (ε) Μικροβιολόγοι. Η καταχώριση δεδομένων προσωπικού χαρακτήρα του ασθενούς στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 γίνεται σε πρότυπο ηλεκτρονικού εντύπου, το οποίο περιέχει ενότητες με τα ακόλουθα στοιχεία, τα οποία έχουν προσδιοριστεί ιδίως με βάση τις παραμέτρους που έχουν εκπονηθεί από τον Παγκόσμιο Οργανισμό Υγείας (ΠΟΥ - WHO) και τον Εθνικό Οργανισμό Δημόσιας Υγείας (ΕΟΔΥ): στοιχεία σχετικά με το Νοσοκομείο Αναφοράς (Νοσοκομείο/ Κλινική), στοιχεία ταυτοποίησης του ιατρού, ο οποίος διενεργεί την καταχώρηση, δημογραφικά στοιχεία ασθενούς, στοιχεία σχετικά με τα κλινικά χαρακτηριστικά του κρούσματος, στοιχεία σχετικά με την κατάταξη του κρούσματος (Πιθανό/Επιβεβαιωμένο/Ύποπτο/Αρνητικό) και την εργαστηριακή διερεύνηση αυτού, στοιχεία σχετικά με την επιλογή νοσηλείας του ασθενούς ( Νοσηλεία στο Νοσοκομείο/Κατ’ οίκον περιορισμός - Νοσηλεία στο σπίτι), στοιχεία σχετικά με το συνοπτικό ιστορικό υγείας του ασθενούς, στοιχεία σχετικά με την έκβαση της νόσου σε ένα επιβεβαιωμένο κρούσμα.

2. Η ένταξη ασθενούς στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 διενεργείται με τη δημιουργία καρτέλας ασθενούς από διαπιστευμένο χρήστη της κατηγορίας «Υπεύθυνοι Καταχώρισης στο Μητρώο», ήτοι από ιατρούς και, εφόσον αυτό ήθελε κριθεί απαραίτητο, και ειδικευόμενους ιατρούς των εξής ειδικοτήτων: (α) Πνευμονολόγοι, (β) Παθολόγοι, (γ) Γενικοί Ιατροί και (δ) Παιδίατροι, (ε) μικροβιολόγοι. Οι εν λόγω θεράποντες ιατροί, που είναι ήδη εγγεγραμμένοι ως χρήστες του Συστήματος Ηλεκτρονικής Συνταγογράφησης (Σ.Η.Σ.), ταυτοποιούνται κατά την είσοδο τους στο Εθνικό Μητρώο Ασθενών COVID-19 με τη χρήση των στοιχείων ταυτοποίησης με τα οποία ταυτοποιούνται και στο Σ.Η.Σ., σύμφωνα με τα οριζόμενα στις διατάξεις του ν. 3892/2010.

3. Για την ένταξη ενός νέου ασθενή στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19, ο διαπιστευμένος χρήστης της κατηγορίας «Υπεύθυνοι Καταχώρισης στο Μητρώο» συμπληρώνει τον ΑΜΚΑ του ασθενή και, αφού επιλέξει την επιλογή «Αναζήτηση», αντλούνται τα στοιχεία του ασθενή από το σύστημα αρχειοθέτησης του ΑΜΚΑ.

4. Ακολούθως, δημιουργείται καρτέλα για τον ασθενή στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19. Για την συμπλήρωση των απαραίτητων στοιχείων τον ασθενή θα υπάρχει διαλειτουργία με το σύστημα αρχειοθέτησης της Ηλεκτρονικής Συνταγογράφησης.

5. Στην καρτέλα κάθε ενταγμένου ασθενούς θα υπάρχουν οπωσδήποτε διαθέσιμα τα ακόλουθα δεδομένα προσωπικού χαρακτήρα: (α) Όνομα, (β) Επώνυμο, (γ) ΑΜΚΑ, (δ) Ημερομηνία Γέννησης, (ε) Εθνικότητα (στ) Επάγγελμα, (ζ) Διεύθυνση (Δήμος/Κοινότητα, Νομός, Ταχυδρομικός Κώδικας), (η) Στοιχεία επικοινωνίας (Τηλέφωνο/Κινητό τηλέφωνο/ Email).

Επίσης, εφόσον ο ασθενής συνοδεύεται, θα υπάρχουν οπωσδήποτε διαθέσιμα τα ακόλουθα δεδομένα προσωπικού χαρακτήρα του συνοδού: (α) Όνομα, (β) Επώνυμο, Διεύθυνση (Δήμος/Κοινότητα, Νομός, Ταχυδρομικός Κώδικας), (η) Στοιχεία επικοινωνίας (Τηλέφωνο/Κινητό τηλέφωνο/ Email).

6. Μετά από τη δημιουργία καρτέλας ασθενούς, οι διαπιστευμένος χρήστες των κατηγοριών «Υπεύθυνοι Καταχώρισης στο Μητρώο» και «Θεράποντες Ιατροί» έχουν τη δυνατότητα να καταχωρήσουν επιπλέον στοιχεία για τον ασθενή, καθώς και τα βασικά στοιχεία σχετικά με τη διάγνωση του COVID-19: Ιστορικό Έκθεσης στο COVID-19, Κλινικά Χαρακτηριστικά (Ασυμπτωματικός/ Συμπτωματικός, Συμπτώματα, Σημεία, Απεικονιστικά ευρήματα, Υποκείμενα νοσήματα/συννοσηρότητα, Επιπλοκές), Κατάταξη Κρούσματος, Εργαστηριακή Διερεύνηση, Παρακολούθηση Ασθενή, Κατ' Οίκον Περιορισμός, Νοσηλεία στο Νοσοκομείο, Έκβαση Νόσου.

7. Στο Εθνικό Μητρώο Ασθενών COVID-19 καταγράφεται το σύνολο των σχετικών κρουσμάτων, είτε πρόκειται για κρούσματα που έχουν καταχωρηθεί και δεν έχουν λάβει ακόμα κατάταξη «Επιβεβαιωμένο» είτε πρόκειται για κρούσματα που έχουν καταχωρηθεί και έχουν λάβει κατάταξη «Επιβεβαιωμένο». Η πρόσβαση σε καθεμία από τις αντίστοιχες κατηγορίες κρουσμάτων διευκολύνεται μέσω αντίστοιχου ευρετηρίου.

8. Και για τους χρήστες αυτούς, ιδρύεται υποχρέωση όπως εντός αποκλειστικής προθεσμίας πέντε (5) ημερών από την έκδοση της παρούσας, καταχωρήσουν το σύνολο των στοιχείων των επιβεβαιωμένων κρουσμάτων, που έχουν ήδη διαπιστωθεί εκ μέρους τους πριν την λειτουργία του μητρώου, ως προς το σύνολο των ανωτέρω υπό σημείο (5) αναφερόμενων στοιχείων, ασθενών από COVID-19 με την επιλογή της ένδειξης «προηγούμενη χειρόγραφη καταχώριση».

9. Τα δεδομένα προσωπικού χαρακτήρα των ασθενών, που εντάσσονται στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19 τηρούνται ισοβίως και, περαιτέρω, για διάστημα είκοσι ετών από το θάνατο του ασθενούς. Οι πληροφορίες αυτές δύνανται, μετά το θάνατο του ασθενούς, να αποθηκεύονται επ’ αόριστον, με τη χρήση τεχνικών ψευδωνυμοποίησης ή/και κρυπτογράφησης, εφόσον θα υποβάλλονται σε επεξεργασία μόνο για τους σκοπούς διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών, που προσδιορίζονται στο άρθρο 9 παρ. 2 στοιχ. (η) του ΓΚΠΔ, καθώς, επίσης, και για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παρ. 1 του ΓΚΠΔ.

10. Τα υποκείμενα των δεδομένων έχουν, ως προς τα δεδομένα τους προσωπικού χαρακτήρα που έχουν καταχωριστεί στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών COVID-19, τα δικαιώματα εκείνα, που τους αναγνωρίζει ο ΓΚΠΔ και κάθε άλλη ρύθμιση για την προστασία δεδομένων προσωπικού χαρακτήρα που τηρούνται σε ιατρικά αρχεία, και ισχύουν για το Σ.Η.Σ.

11. Αποδέκτες, υπό την έννοια της περ. 9 του άρθρου 4 του ΓΚΠΔ, των δεδομένων προσωπικού χαρακτήρα, που έχουν καταχωριστεί στο σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών από COVID-19, είναι τα ίδια τα υποκείμενα των δεδομένων, οι εκάστοτε αρμόδιες υπηρεσίες του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, για την άσκηση των εκ του νόμου αρμοδιοτήτων τους, η ΗΔΙΚΑ ΑΕ για το σκοπό της σύστασης και λειτουργίας του εν λόγω συστήματος αρχειοθέτησης, ο εκάστοτε θεράπων ιατρός ή άλλος επαγγελματίας υγείας, κατά τη νοσηλεία ή επίσκεψη σε δημόσια ή ιδιωτική μονάδα παροχής υπηρεσιών υγείας, για τον σκοπό παροχής υπηρεσιών υγείας, καθώς και επαγγελματίες υγείας και δημόσιες αρχές, για τον σκοπό πλήρωσης δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας.

12. Οι δημόσιες αρχές που ενδέχεται να λάβουν πληροφορίες του Εθνικού Μητρώου Ασθενών από COVID-19 στο πλαίσιο συγκεκριμένης έρευνας, για την πλήρωση της κύριας αποστολής τους, σύμφωνα με το ενωσιακό δίκαιο ή εθνικές ρυθμίσεις, δεν θεωρούνται ως αποδέκτες. Η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τις κείμενες διατάξεις για την προστασία των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.

13. Οι υπηρεσίες του Υπουργείου Υγείας και οι εποπτευόμενοι από το Υπουργείο Υγείας φορείς ή, ενδεχομένως, άλλοι φορείς του Δημοσίου ή διεθνείς οργανισμοί, κατά τον λόγο της αρμοδιότητάς τους, δύνανται να λαμβάνουν από το σύστημα αρχειοθέτησης του Εθνικού Μητρώου Ασθενών από COVID-19 ψευδωνυμοποιημένες ή ανωνυμοποιημένες πληροφορίες, από τις οποίες δεν μπορεί να προκύψει άμεση ή έμμεση ταυτοποίηση των ενδιαφερόμενων υποκειμένων, για σκοπούς που καθιστούν την εν λόγω επεξεργασία (διαβίβαση) απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος. 14. Ευρωπαϊκά Μητρώα Ασθενών από τον κορωνοϊό COVID-19 δύνανται να λαμβάνουν ψευδωνυμοποιημένες ή ανωνυμοποιημένες πληροφορίες, από τις οποίες δεν μπορεί να προκύψει άμεση ή έμμεση ταυτοποίηση των ενδιαφερόμενων υποκειμένων, για τη διενέργεια στατιστικών ή επιστημονικών μελετών σχετικά με τον COVID-19.

Άρθρο 5

Διαχείριση και εποπτεία του Εθνικού Μητρώου Ασθενών που πάσχουν από COVID-19

1. Έως τη σύσταση στο Υπουργείο Υγείας Αυτοτελούς Τμήματος Θεραπευτικών Πρωτοκόλλων και Μητρώων Ασθενών, η διαχείριση του Εθνικού Μητρώου Ασθενών από COVID-19 διενεργείται προσωρινά για λογαριασμό του Υπουργείου Υγείας από την Επιτροπή Αντιμετώπισης Εκτάκτων Συμβάντων Δημόσιας Υγείας από Λοιμογόνους Παράγοντες, η οποία έχει συγκροτηθεί στο Υπουργείο Υγείας. Από τη σύσταση στο Υπουργείο Υγείας Αυτοτελούς Τμήματος Θεραπευτικών Πρωτοκόλλων και Μητρώων Ασθενών, η διαχείριση του Εθνικού Μητρώου Ασθενών από COVID-19 θα διενεργείται από το Τμήμα αυτό, υπό την επιστημονική εποπτεία της Επιτροπής Αντιμετώπισης Εκτάκτων Συμβάντων Δημόσιας Υγείας από Λοιμογόνους Παράγοντες, για την πλήρωση των σκοπών σύστασης και λειτουργίας του εν λόγω Εθνικού Μητρώου.

2. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, παρακολουθεί τη συμμόρφωση της σύστασης και λειτουργίας του Εθνικού Μητρώου Ασθενών COVID-19 προς τις διατάξεις του ΓΚΠΔ και κάθε άλλης ρύθμισης για την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων του προσωπικού χαρακτήρα, με τη συνεργασία του Υπευθύνου Προστασίας Δεδομένων (DPO) της ΗΔΙΚΑ ΑΕ, ως εκτελούσας την επεξεργασία.

Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.

Αθήνα, 10 Απριλίου 2020

Οι Υπουργοί

Υγείας ΒΑΣΙΛΕΙΟΣ ΚΙΚΙΛΙΑΣ

Επικρατείας ΚΥΡΙΑΚΟΣ ΠΙΕΡΡΑΚΑΚΗΣ