4. Τα ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19 τυγχάνουν επεξεργασίας σύμφωνα με το άρθρο 9 του ΓΚΠΔ και το άρθρο 22 του ν. 4624/2019 (Α΄ 137), ιδίως δε εφόσον:
α) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή εθνικών ρυθμίσεων ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παρ. 3 του άρθρου 9 του ΓΚΠΔ,
β) η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η ασφάλεια της υγειονομικής περίθαλψης και των φαρμάκων ή η προστασία του πληθυσμού από τη διάδοση της νόσου, βάσει του ενωσιακού δικαίου ή εθνικών ρυθμίσεων που προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου.
5. Ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας για τη σύσταση και λειτουργία του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19 ορίζεται η Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης (ΗΔΙΚΑ) ΑΕ, η οποία αναλαμβάνει τον σχεδιασμό, την υλοποίηση και την οργάνωση της μετάπτωσης των δεδομένων προσωπικού χαρακτήρα και άλλων δεδομένων, καθώς και την τήρηση υπό συνθήκες που διασφαλίζουν την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των δεδομένων και κάθε άλλο ζήτημα που αφορά στην ομαλή λειτουργία του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19, τηρώντας τις διατάξεις της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα και, ιδίως, τις θεμελιώδεις αρχές, που θέτουν για τη νομιμότητα κάθε επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι διατάξεις του άρθρου 5 του ΓΚΠΔ. Στο πλαίσιο της εν λόγω εκτέλεσης επεξεργασίας για λογαριασμό του Υπουργείου Υγείας, η ΗΔΙΚΑ ΑΕ επιφορτίζεται με όλες τις υποχρεώσεις που θέτουν για τον εκτελούντα την επεξεργασία οι διατάξεις του ΓΚΠΔ. Οι υποχρεώσεις τόσο του Υπουργείου Υγείας όσο και της ΗΔΙΚΑ ΑΕ προσδιορίζονται στη σύμβαση που καταρτίζεται μεταξύ τους, σύμφωνα με το άρθρο 28 του ΓΚΠΔ. Η ΗΔΙΚΑ ΑΕ ιδίως:
α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του ενωσιακού δικαίου ή βάσει εθνικών ρυθμίσεων. Σε αυτήν την περίπτωση, η ΗΔΙΚΑ ΑΕ ενημερώνει το Υπουργείο Υγείας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία,
β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
γ) λαμβάνει όλα τα απαιτούμενα μέτρα για τη διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας δυνάμει του άρθρου 32 του ΓΚΠΔ,
δ) τηρεί τους όρους που αναφέρονται στις παρ. 2 και 4 του άρθρου 28 του ΓΚΠΔ σχετικά με την πρόσληψη άλλου εκτελούντος την επεξεργασία,
ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί το Υπουργείο Υγείας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο Κεφάλαιο III του ΓΚΠΔ δικαιωμάτων του υποκειμένου των δεδομένων,
στ) συνδράμει το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 34 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει η ΗΔΙΚΑ ΑΕ,
ζ) θέτει στη διάθεση του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 του ΓΚΠΔ, επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, ιδίως μέσω του Υπευθύνου Προστασίας Δεδομένων και υπαλλήλων της Διεύθυνσης Ηλεκτρονικής Διακυβέρνησης του Υπουργείου Υγείας, ή από άλλον ελεγκτή εντεταλμένο από το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας.
6. Τα πρόσωπα, τα οποία, υπό την άμεση εποπτεία του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, ή της ΗΔΙΚΑ ΑΕ, ως εκτελούσας την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, που περιέχονται στο Εθνικό Μητρώο Ασθενών από τον κορωνοϊό COVID-19, δεσμεύονται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των εν λόγω καθηκόντων τους, σύμφωνα με τις οικείες διατάξεις, ιδίως του Κώδικα Ιατρικής Δεοντολογίας, του Υπαλληλικού Κώδικα και του Ποινικού Κώδικα.
7. Τα πρόσωπα, των οποίων δεδομένα προσωπικού χαρακτήρα τυγχάνουν επεξεργασίας στο πλαίσιο του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19, έχουν δικαίωμα πρόσβασης στις πληροφορίες που περιέχονται σε αυτό, σύμφωνα με τα οριζόμενα στο άρθρο 15 του ΓΚΠΔ. Επιπλέον, τα υποκείμενα των δεδομένων έχουν, ως προς τα δεδομένα τους προσωπικού χαρακτήρα που έχουν καταχωριστεί στο σύστημα αρχειοθέτησης Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19, τα δικαιώματα εκείνα, που τους αναγνωρίζει ο ΓΚΠΔ και κάθε άλλη ρύθμιση για την προστασία δεδομένων προσωπικού χαρακτήρα που τηρούνται σε ιατρικά αρχεία και ισχύουν για το Σύστημα Ηλεκτρονικής Συνταγογράφησης. Στους αποδέκτες των δεδομένων του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό
