Γενικός Κανονισμός Προστασίας Δεδομένων GDPR

Μια πολύ ενδιαφέρουσα ανάλυση για το μεγάλο θέμα των βιντεοσκοπήσεων από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων με ουσιαστικές προσεγγίσεις σε πολλά συνήθη ερωτήματα. Μπορεί ένας ιδιοκτήτης καταστήματος να εγκαταστήσει σύστημα επιτήρησης με βίντεο λόγω αυξημένου κινδύνου βανδαλισμών στην περιοχή του; Τι δυνατότητες βιντεοπαρακολούθησης έχει μια ιδιωτική εταιρία στάθμευσης οχημάτων σε ανοικτό χώρο; Οι ομάδες αθλητών μπορούν να βιντεοσκοπούνται κατά τη διάρκεια των προπονήσεων τους; Βίντεο που εμφανίζουν πρόσωπα που φορούν γυαλιά ή κάθονται σε αναπηρικά αμαξίδια θεωρούνται προσωπικά δεδομένα ειδικών κατηγοριών ; Η περίπτωση που ένας τουρίστας  βιντεοσκοπεί  μέσω του κινητού του τηλεφώνου  για να καταγράψει  τις διακοπές του και δείχνει το βίντεο σε φίλους και οικογένεια εντάσσεται στις περιπτώσεις οικιακής επεξεργασίας ή όχι; Κατευθυντήριες οδηγίες που οπωσδήποτε ενισχύουν στη σωστή κατεύθυνση την εμπέδωση από όλους μας της προστασίας των προσωπικών δεδομένων .

Κατευθυντήριες οδηγίες για τη σύννομη επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με τις οποίες επιχειρείται η επικαιροποίηση και η εύληπτη παρουσίαση των ρυθμίσεων της Οδηγίας 1/2010, λαμβάνοντας υπόψη τις τροποποιήσεις στο άρθρο 11 του ν. 3471/2006 που επήλθαν με το ν. 3917/2011, τις νέες τεχνολογικές εξελίξεις και κυρίως την ισχύ πλέον του Γενικού Κανονισμού (ΕΕ) 2016/679 (GDPR).

Στο κείμενο αυτό εξειδικεύονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων προς το σκοπό της πολιτικής επικοινωνίας, που πραγματοποιείται σε οποιαδήποτε χρονική περίοδο, συμπεριλαμβανομένης της προεκλογικής, από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης.

Ειδικότερα, περιγράφονται οι κανόνες για την πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση, αλλά και μέσω ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση (SMS, MMS, email, εφαρμογές ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών» όπως Viber και Whatsapp, αυτόματες τηλεφωνικές κλήσεις με προηχογραφημένα μηνύματα, καθώς και φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή). Περαιτέρω, διατυπώνονται οι νόμιμες βάσεις για την πολιτική επικοινωνία μέσω ταχυδρομείου, περιγράφονται τα χαρακτηριστικά της συγκατάθεσης του υποκειμένου των δεδομένων για πολιτική επικοινωνία και, τέλος, διατυπώνονται οι κανόνες για την επικοινωνία των πολιτικών κομμάτων με τα μέλη (και τους «φίλους», εάν και εφόσον έχουν δικαιώματα μέλους σύμφωνα με τις διατάξεις του οικείου καταστατικού) τους.

Η Αρχή επισημαίνει ότι η πολιτική επικοινωνία είναι μια θεμιτή δραστηριότητα για τη λειτουργία των πολιτικών κομμάτων και της δημοκρατίας και επιτρέπεται υπό προϋποθέσεις που διαφέρουν ανάλογα με το μέσο, ηλεκτρονικό ή μη ηλεκτρονικό (παραδοσιακό ταχυδρομείο), που επιλέγεται για την πραγματοποίηση της πολιτικής επικοινωνίας. Η τήρηση των προϋποθέσεων αυτών έχει ως στόχο τη διατήρηση της ισορροπίας ανάμεσα στο έννομο συμφέρον των πολιτικών κομμάτων και στο δικαίωμα στην προστασία των προσωπικών δεδομένων.

Εξάλλου, ενόψει των εκλογών για το Ευρωπαϊκό Κοινοβούλιο, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB – European Data Protection Board) εξέδωσε τη Δήλωση 2/2019 σχετικά με τη χρήση δεδομένων προσωπικού χαρακτήρα κατά τη διάρκεια πολιτικών εκστρατειών, στην οποία υπογραμμίζει ορισμένα βασικά σημεία που πρέπει να τηρούνται όταν τα πολιτικά κόμματα επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των εκλογικών τους δραστηριοτήτων:

1. Τα δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν πολιτικές γνώμες αποτελούν ειδική κατηγορία δεδομένων στο πλαίσιο του ΓΚΠΔ. Ως γενική αρχή, η επεξεργασία των εν λόγω δεδομένων απαγορεύεται ή υπόκειται σε ορισμένους αυστηρούς όρους, όπως τη ρητή, ειδική, πλήρως ενημερωμένη και ελεύθερη συγκατάθεση των φυσικών προσώπων.

2. Δεδομένα προσωπικού χαρακτήρα που έχουν δημοσιοποιηθεί ή έχουν κοινοποιηθεί με άλλο τρόπο από μεμονωμένους ψηφοφόρους, ακόμη και αν δεν είναι δεδομένα που αποκαλύπτουν πολιτικές απόψεις, εξακολουθούν να υπόκεινται στο δίκαιο της ΕΕ για την προστασία των δεδομένων και να προστατεύονται από αυτό. Για παράδειγμα, η χρήση δεδομένων προσωπικού χαρακτήρα που συλλέγονται από τα μέσα κοινωνικής δικτύωσης δεν μπορεί να πραγματοποιηθεί χωρίς να τηρούνται οι υποχρεώσεις σχετικά με τη διαφάνεια, την εξειδίκευση του σκοπού και τη νομιμότητα.

3. Ακόμη και στην περίπτωση κατά την οποία η επεξεργασία είναι νόμιμη, οι οργανισμοί πρέπει να εκπληρώνουν τα λοιπά καθήκοντά τους σύμφωνα με τον ΓΚΠΔ, συμπεριλαμβανομένης της υποχρέωσης διαφάνειας και επαρκούς πληροφόρησης των ατόμων που αναλύονται και των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, ανεξάρτητα από το αν τα δεδομένα έχουν αποκτηθεί με άμεσο ή έμμεσο τρόπο. Τα πολιτικά κόμματα και οι υποψήφιοι πρέπει να είναι σε θέση να αποδείξουν με ποιον τρόπο έχουν συμμορφωθεί με τις αρχές της προστασίας δεδομένων, ιδίως τις αρχές της νομιμότητας, της αντικειμενικότητας και της διαφάνειας.

4. Η αποκλειστικά αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, είναι περιορισμένη, εφόσον η απόφαση επηρεάζει νομικά ή εξίσου σημαντικά το άτομο που αποτελεί αντικείμενό της. Η κατάρτιση προφίλ που συνδέεται με τη στοχευμένη μαζική αποστολή μηνυμάτων μπορεί σε ορισμένες περιπτώσεις να προκαλέσει «εξίσου σημαντικές επιπτώσεις» και κατ’ αρχήν είναι νόμιμη μόνο με την έγκυρη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

5. Σε περίπτωση στόχευσης, θα πρέπει να παρέχονται στους ψηφοφόρους επαρκείς πληροφορίες ως προς τους λόγους για τους οποίους λαμβάνουν ένα συγκεκριμένο μήνυμα, ποιος είναι υπεύθυνος γι’ αυτό και πώς μπορούν να ασκήσουν τα δικαιώματά τους ως υποκείμενα των δεδομένων. Επιπλέον, το Συμβούλιο σημειώνει ότι, σύμφωνα με το δίκαιο ορισμένων κρατών μελών, υπάρχει απαίτηση διαφάνειας όσον αφορά τις πληρωμές για την πολιτική διαφήμιση.

Πάνος Κοσμίδης

Mια ενδιαφέρουσα καταγγελία απασχόλησε την Αρχή Προστασίας Δεδομένων  η οποία έκρινε σχετικά με βάση τόσο τις διατάξεις  του ν. 2472/1997 όσο και τις διατάξεις του Γενικού Κανονισµού για την προστασία των προσωπικών δεδοµένων δεδοµένου ότι η καταγγελλόµενη επεξεργασία πραγµατοποιήθηκε µετά την θέση σε ισχύ του ΓΚΠ∆.   Ο  καταγγέλλων µε  αιτήσεις του ,µε αποστολή αντίστοιχων e-mails, προς  τον Πολιτιστικό Σύλλογο του οποίου ήταν μέλος  ζήτησε α) τη διαγραφή του από τον κατάλογο των µελών αλλά και από κάθε άλλο έγγραφο που αναφέρει τα προσωπικά στοιχεία του ιδίου και της συζύγου του  β) την επιστροφή των πρωτότυπων αιτήσεων εγγραφής τους στο σύλλογο καθώς και κάθε πρωτότυπου εγγράφου που ανέφερε τα προσωπικά του δεδοµένα και το οποίο έφερε την υπογραφή του, γ) τη διαγραφή των διευθύνσεων του ηλεκτρονικού ταχυδροµείου τόσο του ιδίου όσο και της συζύγου του από όλες τις λίστες ενηµέρωσης και καταλόγους του Συλλόγου και δ) τη χορήγηση γραπτής βεβαίωσης από το ∆.Σ. του Συλλόγου περί διαγραφής όλων των προσωπικών τους δεδοµένων από τα αρχεία του Συλλόγου.  Ο  Σύλλογος δεν ικανοποίησε το αίτηµα του.

Η Αρχή  έκρινε ότι ο Σύλλογος νοµίµως δεν διέγραψε τον καταγγέλλοντα και τη σύζυγό του από το αρχείο των µελών του Συλλόγου παρά την υποβολή σχετικής αίτησης διαγραφής του από µέλος του Συλλόγου µε την αποστολή δύο ηλεκτρονικών µηνυµάτων, καθόσον βάσει του καταστατικού απαιτείτο ενυπόγραφη αίτηση παραίτησης του µέλους προς το ∆.Σ. του Συλλόγου.  Όσον αφορά το αίτηµα του καταγγέλλοντος για διαγραφή των προσωπικών δεδοµένων του ιδίου και της συζύγου του από όλα τα αρχεία του Συλλόγου, αυτό κρίθηκε ότι  νοµίµως δεν µπορεί να ικανοποιηθεί, διότι τα προσωπικά τους δεδοµένα αποτελούν αναπόσπαστο µέρος των αρχείων, πράξεων και αρχαιρεσιών του Συλλόγου και της  συνέχειας της διοίκησης. Το αίτηµά του για την επιστροφή των πρωτότυπων  αιτήσεων εγγραφής τους στο σύλλογο καθώς και κάθε πρωτότυπου εγγράφου που αναφέρει τα προσωπικά του δεδοµένα και το οποίο φέρει την υπογραφή τους, επίσης κρίθηκε ότι  δεν µπορεί να γίνει δεκτό διότι από τα έγγραφα αυτά προκύπτει ότι η εγγραφή τους στο σωµατείο έγινε µε δική τους πρωτοβουλία και δεν ήταν µονοµερής και αυθαίρετη ενέργεια της διοίκησης αυτού.

Πηγή : www.dpa.gr

ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΑΞΙΟΠΙΣΤΗ ΤΕΧΝΗΤΗ ΝΟΗΜΟΣΥΝΗ

Οι κατευθυντήριες γραμμές δεοντολογίας για την αξιόπιστη Tεχνητή Nοημοσύνη  ( TN)  –Αrtificial Intelligence (AI) είναι ένα ιδιαιτέρως σημαντικό  έγγραφο που εκπόνησε και παρουσίασε μόλις πρόσφατα η Ομάδα Εμπειρογνωμόνων Υψηλού Επιπέδου για την Τεχνητή Νοημοσύνη (AI HLEG). Αυτή η ανεξάρτητη ομάδα εμπειρογνωμόνων συστάθηκε από την Ευρωπαϊκή Επιτροπή τον Ιούνιο του 2018 . Στόχος των κατευθυντήριων αυτών γραμμών είναι η   εξασφάλιση ανθρωποκεντρικής ΤΝ: η ΤΝ θα πρέπει να αναπτύσσεται, να εγκαθίσταται και να χρησιμοποιείται με «δεοντολογικό σκοπό», ο οποίος βασίζεται και αντικατοπτρίζει θεμελιώδη δικαιώματα, κοινωνικές αξίες και τις δεοντολογικές αρχές της ωφέλιμης δράσης  (ωφελείν), της αποτροπής ζημιών (μη βλάπτειν), της ανθρώπινης αυτονομίας, της δικαιοσύνης και της επεξηγησιμότητας. Αυτό το  συγκεκριμένο χαρακτηριστικό ,της ανθρωποκεντρικής προσέγγισης ,   έχει καίρια σημασία για την επίτευξη αξιόπιστης ΤΝ.  Απαιτείται για το σκοπό αυτό, η εφαρμογή  θεμελιωδών δικαιωμάτων και η χρήση δεοντολογικών αρχών και αξιών ως βάση για τη διερευνητική εκτίμηση πιθανών επιπτώσεων της ΤΝ στον άνθρωπο και το κοινό καλό. Ιδιαίτερη προσοχή πρέπει να δίνεται σε καταστάσεις που αφορούν περισσότερο ευάλωτες ομάδες, όπως παιδιά, άτομα με αναπηρίες ή μειονότητες, ή σε καταστάσεις όπου επικρατούν ασυμμετρίες εξουσίας ή πληροφόρησης, όπως μεταξύ εργοδοτών και εργαζομένων ή μεταξύ επιχειρήσεων και καταναλωτών. 

Το AI HLEG υπέβαλε ένα πρώτο σχέδιο κατευθυντήριων γραμμών τον Δεκέμβριο του 2018. Και ήδη ,μετά από περαιτέρω συζητήσεις της ομάδας και  συναντήσεις με εκπροσώπους των κρατών μελών, οι κατευθυντήριες γραμμές αναθεωρήθηκαν και δημοσιεύθηκαν τον Απρίλιο του 2019, Παράλληλα, η AI HLEG ετοίμασε επίσης ένα αναθεωρημένο έγγραφο το οποίο αναπτύσσει έναν ορισμό της Τεχνητής Νοημοσύνης που χρησιμοποιείται για τους σκοπούς των παραδοτέων του.

Στις κατευθυντήριες γραμμές της AI HLEG  αναγνωρίζεται το γεγονός  ότι η ΤΝ, ενώ αποφέρει ουσιαστικά οφέλη για τους πολίτες και την κοινωνία, μπορεί να έχει επίσης αρνητικές επιπτώσεις και για το λόγο αυτό απαιτείται εγρήγορση  ιδίως σε κρίσιμους προβληματικούς τομείς

Με βάση τα θεμελιώδη δικαιώματα και τις δεοντολογικές αρχές, οι κατευθυντήριες γραμμές απαριθμούν επτά βασικές απαιτήσεις που πρέπει να πληρούν τα συστήματα AI για να είναι αξιόπιστα:

1. Ανθρώπινη διοίκηση και εποπτεία
2. Τεχνική ευρωστία και ασφάλεια
3. Προστασία απορρήτου και δεδομένων
4. Διαφάνεια
5. Διαφορετικότητα, μη διάκριση και δικαιοσύνη
6. Κοινωνική και περιβαλλοντική ευημερία
7. Ευθύνη

Προκειμένου να υλοποιήσουν αυτές τις απαιτήσεις, οι κατευθυντήριες γραμμές παρουσιάζουν έναν κατάλογο αξιολόγησης που παρέχει καθοδήγηση σχετικά με την πρακτική εφαρμογή κάθε απαίτησης. Αυτός ο κατάλογος αξιολόγησης θα υποβληθεί σε διαδικασία πιλοτικής εφαρμογής, στην οποία θα μπορούν να συμμετέχουν όλοι οι ενδιαφερόμενοι φορείς, προκειμένου να συγκεντρωθούν ανατροφοδότηση για τη βελτίωσή του. Επιπλέον, δημιουργήθηκε ένα φόρουμ για την ανταλλαγή βέλτιστων πρακτικών για την εφαρμογή του Trustworthy AI.

Στην ανθρωποκεντρική προσέγγιση της Επιτροπής, όπως διατυπώνεται στην ανακοίνωσή της της 8ης Απριλίου 2019, η ΑΙ θεωρείται ως εργαλείο που λειτουργεί στην υπηρεσία της ανθρωπότητας και του δημόσιου συμφέροντος, με στόχο την αύξηση της ατομικής και συλλογικής ευημερίας των ανθρώπων. Δεδομένου ότι οι άνθρωποι θα μπορούν μόνο να απολαμβάνουν με σιγουριά τα οφέλη μιας τεχνολογίας που μπορούν να εμπιστευτούν, πρέπει να διασφαλιστεί η αξιοπιστία της AI.

Ως μέσο δημιουργίας ενός κλίματος εμπιστοσύνης για την επιτυχή ανάπτυξη, ανάπτυξη και χρήση της ΑΠ, η Επιτροπή ενθάρρυνε όλους τους ενδιαφερόμενους να εφαρμόσουν τις επτά βασικές απαιτήσεις των κατευθυντήριων γραμμών. Τέλος , η Επιτροπή θα φέρει την ανθρωποκεντρική προσέγγιση της Ένωσης στην παγκόσμια σκηνή και θα επιδιώξει την οικοδόμηση μιας διεθνούς συναίνεσης σχετικά με τις κατευθυντήριες γραμμές δεοντολογίας του AI.

Mαρούσα Πρωτοπαπαδάκη

Η Aρχή προστασίας των προσωπικών δεδομένων στην Αγγλία, η ICO(Information Commissioner’s Office)έθεσε σε διαβούλευση ένα Κώδικα Πρακτικής για την προστασία των παιδιών στο διαδίκτυο παρουσιάζοντας συγκεκριμένα πρότυπα που πρέπει να πληρούν οι ηλεκτρονικές υπηρεσίες για την προστασία της ιδιωτικής ζωής των παιδιών. Όταν ολοκληρωθεί, θα είναι το πρώτο του είδους και θα αποτελέσει διεθνές σημείο αναφοράς. Η Επίτροπος δήλωσε σχετικά : "Αυτή είναι μια συνδεδεμένη γενιά. Το Διαδίκτυο και όλα τα θαύματα του είναι συνδεδεμένα με την καθημερινότητά τους. Δεν πρέπει να εμποδίζουμε τα παιδιά μας να το χρησιμοποιούν, αλλά πρέπει να απαιτήσουμε να προστατεύονται όταν το κάνουν. Ο κώδικας το κάνει αυτό. "

Πηγή :www.ico.org.uk

Το 2013 η Αρχή Προστασίας Προσωπικών Δεδομένων είχε επιβάλει το μεγαλύτερο προβλεπόμενο κατά την τότε ισχύουσα νομοθεσία πρόστιμο, ύψους 150.000€ ,στη Γενική Γραμματεία Πληροφοριακών Συστημάτων(ΓΓΠΣ) για παραβίαση λήψης κατάλληλων μέτρων ασφάλειας που οδήγησε τότε σε διαρροή δεδομένων που αφορούσαν στο σύνολο σχεδόν των φορολογούμενων στην Ελλάδα. Το ΣτΕ με την απόφαση υπ’ αριθμ. 339/2019 του απέρριψε πρόσφατα την αίτηση ακύρωσης του Υπουργού Οικονομικών κατά της παραπάνω απόφασης της Αρχής κρίνοντας την νόμιμη και επαρκώς δικαιολογημένη Με αφορμή την έκδοση της ανωτέρω απόφασης του ΣτΕ, η Αρχή επισημαίνει ότι ειδικά για τον δημόσιο τομέα η διαφάνεια κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, όπως με την ορθή και σε απλή γλώσσα ενημέρωση για τον τρόπο με τον οποίο οι Δημόσιες Αρχές επεξεργάζονται τα δεδομένα των πολιτών για την άσκηση των αρμοδιοτήτων τους, θα οδηγήσει σε αύξηση της εμπιστοσύνης των πολιτών στη Δημόσια Διοίκηση. Ιδιαιτέρως χρήσιμη η τελευταία επισήμανση .

Με τα άρθρα  84 επομ του ν. 4600/9.3.2019(ΦΕΚ Τεύχος Α’ 43/09.03.2019)  «Εκσυγχρονισμός και Αναμόρφωση Θεσμικού Πλαισίου Ιδιωτικών Κλινικών, Σύσταση Εθνικού Οργανισμού Δημόσιας Υγείας, Σύσταση Εθνικού Ινστιτούτου Νεοπλασιών και λοιπές διατάξεις» επαναρυθμίστηκαν τα ζητήματα που αφορούν τον Ατομικό Ηλεκτρονικό Φάκελο υγείας (Α.Η.Φ.Υ) , ως το αναγκαίο και ικανό εκείνο ηλεκτρονικό εργαλείο, το οποίο θα διασφαλίσει τη συνέχεια στη φροντίδα, ενώ παράλληλα αποτελεί προαπαιτούμενο της ορθής και αποτελεσματικής εφαρμογής της παραπομπής. Σύμφωνα με την αιτιολογική έκθεση η προσδοκώμενη παρακολούθηση της υγείας του πληθυσμού ευθύνης υλοποιείται μόνο με τον Α.Η.Φ.Υ., ο οποίος οφείλει να αποτελεί ένα φιλικό στο χρήστη, ασφαλές, σύγχρονο, διαδραστικό και διασυνδεόμενο περιβάλλον. Με τις προτεινόμενες ρυθμίσεις για την αντικατάσταση του άρθρου 21 του ν. 4486/2017 σχετικά με τον Α.Η.Φ.Υ. επιδιώκεται η ενίσχυση της αναγκαιότητας και προσφορότητας του Α.Η.Φ.Υ. ως απαραίτητης προϋπόθεσης της μεταρρύθμισης της Πρωτοβάθμιας Φροντίδας Υγείας. Ειδικότερα, οι νέες ρυθμίσεις αυτές κρίθηκαν αναγκαίες ενόψει της θέσης σε εφαρμογή, από τις 25.5.2018, του Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικού Κανονισμού για την Προστασία Δεδομένων) και της ενίσχυσης της προστασίας των δεδομένων προσωπικού χαρακτήρα, που ο εν λόγω Κανονισμός επιφέρει. Το Υπουργείο Υγείας έχει ήδη ξεκινήσει μία εντατική προσπάθεια για τη συντονισμένη οργάνωση και προετοιμασία του συνόλου των εποπτευόμενων φορέων, καθώς επίσης, και των ιδιωτικών φορέων παροχής υπηρεσιών υγείας, σχετικά με την ανάγκη συμμόρφωσης προς το ΓΚΠΔ. Έχει, ιδίως, ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO), ο οποίος έχει αναλάβει, μεταξύ άλλων, και το έργο της συνδρομής και του συντονισμού των Υπεύθυνων Προστασίας Δεδομένων, τους οποίους ορίζουν οι εποπτευόμενοι φορείς, όσον αφορά τις απαιτήσεις γενικής συμμόρφωσης προς τις διατάξεις του ΓΚΠΔ, και έχει  εκδώσει Εγκύκλιο/ Οδηγό για τη συμμόρφωση προς το Γενικό Κανονισμό Προστασίας Δεδομένων, η οποία έχει αναρτηθεί στο διαδικτυακό του τόπο  και η οποία απευθύνεται προς παρόχους υπηρεσιών υγείας τόσο του δημόσιου όσο και του ιδιωτικού τομέα. Στο πλαίσιο αυτό, κρίθηκε αναγκαία η αντικατάσταση των ρυθμίσεων σχετικά με τον Α.Η.Φ.Υ. για τον σκοπό της πλήρους συμμόρφωσης προς τις νέες διατάξεις του ΓΚΠΔ. Με τις νέες ρυθμίσεις, ιδίως επαναδιατυπώνονται οι σκοποί επεξεργασίας και οι νομικές βάσεις των επεξεργασιών στον Α.Η.Φ.Υ., ως σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, διατυπώνονται με σαφήνεια οι αρμοδιότητες του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, και της ΗΔΙΚΑ Α.Ε., ως εκτελούσας την επεξεργασία, κατοχυρώνονται τα δικαιώματα των υποκειμένων των δεδομένων, επιτρέπεται στο Υπουργείο Υγείας η συλλογή και περαιτέρω επεξεργασία στατιστικών στοιχείων από το σύστημα αρχειοθέτησης του Α.Η.Φ.Υ., παρέχεται εξουσιοδότηση στον Υπουργό Υγείας για την έκδοση υπουργικής απόφασης με σκοπό τη ρύθμιση  κάθε ειδικότερου θέματος σχετικά με το  σύστημα αρχειοθέτησης του Α.Η.Φ.Υ. και θεσπίζονται αυστηρές ποινικές κυρώσεις για την παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα, που τηρούνται στα συστήματα αρχειοθέτησης του Α.Η.Φ.Υ., του Συστήματος Ηλεκτρονικής Συνταγογράφησης (Σ.Η.Σ.)και του ηλεκτρονικού φακέλου δαπάνης ασφάλισης υγείας δικαιούχου, που δημιουργήθηκε και τηρείται στον Ε.Ο.Π.Υ.Υ