Στην
εκδήλωση παρευρέθηκαν ως ομιλητές ο Ιωάννης Ματσάκης, CEO της Telemedicine
Technologies S.A και Treasurer & Co-chairman του Ευρωπαϊκού Συλλόγου των
CROs EUCROF, ο Γεώργιος Λουκέρης, Δικηγόρος LLM eur. και τ. ειδικός
επιστήμονας νομικός ελεγκτής της Αρχής Προστασίας Προσωπικών Δεδομένων, ο Ιωάννης Γιαννακάκης, Δικηγόρος FIP, CIPM, CIPP/E. CIPP/US, CFE, Cert. GDPR P.
καθώς και η Αργυρώ Χατζοπούλου, Διευθύντρια Εταιρικής Διακυβέρνησης TÜV
AUSTRIA HELLAS.
Με αφορμή την εφαρμογή του νέου ευρωπαϊκού κανονισμού προστασίας προσωπικών δεδομένων GDPR, ο Σύλλογος αποτύπωσε τον σημαντικό βαθμό ευθύνης που αποδίδεται πλέον στους κατ' ανάθεση οργανισμούς έρευνας (CROs) -ως εκτελούντες την επεξεργασία- αναφορικά με την προστασία των ευαίσθητων προσωπικών δεδομένων των ασθενών.
Μιλώντας εκ
μέρους της Διοίκησης του HACRO, η πρόεδρος Ευαγγελία Κοράκη επεσήμανε πως «τα
μέλη του Συλλόγου, παρόλο που ήδη λειτουργούν σε ένα πλαίσιο προστασίας των
προσωπικών δεδομένων των ασθενών, έχουν πάντα ως κύριο μέλημα την συνεχή
επιμόρφωσή τους με σκοπό την πλήρη εναρμόνισή τους με τη Νομοθεσία και τη
διαμόρφωση ενός ασφαλούς περιβάλλοντος διεξαγωγής κλινικών ερευνών».
Στη συνέχεια
των ομιλιών, ο Ι. Ματσάκης, ο οποίος απασχολείται και ως μέλος της ομάδας
εργασίας για τον κώδικα δεοντολογίας του EUCROF, τόνισε ότι ο Ευρωπαϊκός
Σύλλογος εργάζεται για τη δημιουργία ενός κώδικα δεοντολογίας που θα έχει υψηλή
προστιθέμενη αξία στον εφαρμοστέο νόμο για την προστασία των δεδομένων GDPR,
εξειδικεύοντας τις προβλεπόμενες διαδικασίες εφαρμογής της νέας Νομοθεσίας αλλά
και συμβάλλοντας στην πιστοποίηση των μελών του. Στόχος του Ευρωπαϊκού Συλλόγου
είναι να ενθαρρύνει την ολοένα και μεγαλύτερη διαβούλευση με άλλους
ενδιαφερόμενους φορείς όπως η ευρωπαϊκή συνομοσπονδία φαρμακευτικών εταιρειών
και ενώσεων EFPIA, οι ενώσεις ασθενών, τα ερευνητικά κέντρα και οι φορείς
πιστοποίησης.
Ένα ιδιαίτερα ενδιαφέρον ζήτημα αναδείχθηκε και από τον Γ. Λουκέρη ο οποίος, αναφερόμενος στη διάκριση μεταξύ εκτελούντος και υπευθύνου επεξεργασίας, τόνισε πως ο βαθμός ελευθερίας δράσης του εργολάβου είναι αυτός που ουσιαστικά καθορίζει τον βαθμό ευθύνης στην επεξεργασία των προσωπικών δεδομένων. Στο πλαίσιο αυτό ανέφερε πως, «ως προς την προστασία των προσωπικών δεδομένων, τα διάφορα μοντέλα outsourcing δύναται να λειτουργήσουν ως μέσα μετακύλισης της ευθύνης, απαλλάσσοντας μερικώς ή πλήρως τον Κάτοχο 'Aδειας Κυκλοφορίας (Χορηγό) από την αντίστοιχη ευθύνη ή αποδίδοντας σημαντικό μέρος αυτής στα CROs και καθιστώντας τα με αυτόν τον τρόπο συνυπεύθυνα επεξεργασίας.
Την επιτακτική ανάγκη λήψης αυξημένων μέτρων ασφαλείας από τις επιχειρήσεις που επεξεργάζονται «δεδομένα υγείας» υπογράμμισε ο Ι. Γιαννακάκης, αναλύοντας την έννοια του «security of processing». Σύμφωνα με τον ίδιο, σημαντική είναι η εκπαίδευση του ανθρώπινου δυναμικού στις εταιρικές πολιτικές και σε πρακτικές κυβερνοασφάλειας καθώς και η σαφής κατανομή ρόλων, αρμοδιοτήτων και ευθυνών εντός της επιχείρησης. Όπως εξήγησε, παρόλο που η συμμόρφωση μιας επιχείρησης με τον GDPR είναι μια σχετικά απλή διαδικασία -εκτελούμενη σε 12 βήματα τα οποία και ανέλυσε- ο κλάδος της υγείας έχει μια ακόμα μεγάλη πρόκληση να αντιμετωπίσει που αφορά στην αργοπορημένη -σε σύγκριση με άλλους κλάδους- υιοθέτηση εφαρμογών ψηφιοποίησης.
Ολοκληρώνοντας,
τον λόγο πήρε η κα Α. Χατζοπούλου η οποία επικεντρώθηκε στον εξέχοντα ρόλο του
Υπευθύνου Προστασίας Προσωπικών Δεδομένων (DPO) στην διαδικασία εναρμόνισης των
επιχειρήσεων και τήρησης των μέτρων του Κανονισμού. Δεν παρέλειψε μάλιστα να
επισημάνει τη μεγάλη πρόκληση που αποτελεί για μια επιχείρηση η ανάδειξη του
κατάλληλου προσώπου για τη θέση του DPO καθώς το άτομο αυτό πρέπει από τη μια
να κατέχει πλήρη γνώση της επιχείρησης και των δραστηριοτήτων της και από την
άλλη να είναι απαλλαγμένο από κάθε ενδεχομένη σύγκρουση συμφερόντων ή επιβολή
«κυρώσεων» που θα μπορούσε να διαβάλλει την ακεραιότητα του έργου του.