νει αμελλητί το μητρώο και τον Ε.Ο.Δ.Υ. και μόνο στην περίπτωση που η καταγραφή μέσω του μητρώου δεν καθίσταται εφικτή, ενημερώνει με κάθε άλλο πρόσφορο διαθέσιμο μέσο και ιδίως με ηλεκτρονική αλληλογραφία, με τηλεομοιοτυπία, με τηλεγράφημα και με τηλεφωνική επικοινωνία, για κάθε κρούσμα νοσήματος της παρ. 1 που υποπίπτει στην αντίληψή του. Κάθε παράλειψη εκπλήρωσης της υποχρέωσης του προηγούμενου εδαφίου επιφέρει διοικητική ποινή προσωρινής αναστολής της άδειας λειτουργίας νομικού προσώπου ιδιωτικού φορέα υπηρεσιών υγείας για χρονικό διάστημα έως έξι (6) μηνών και, σε περίπτωση υποτροπής, έως οριστική ανάκληση της άδειας λειτουργίας. Αντίστοιχη παράλειψη ιδιώτη ιατρού επιστημονικά υπευθύνου ιατρείου συνιστά το πειθαρχικό παράπτωμα των περ. γ΄ και δ΄ της παρ. 1 του άρθρου 319 του ν. 4512/2018 (Α΄ 5).
3. Κατά τη σύσταση και λειτουργία του Μητρώου από το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, πρέπει πάντοτε να διασφαλίζεται η προστασία των ανθρώπινων δικαιωμάτων, της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 9Α του Συντάγματος, την κείμενη νομοθεσία και, ιδίως, σύμφωνα με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, ΕΕ L 119 [ΓΚΠΔ]). Κατά την επεξεργασία των δεδομένων λαμβάνονται τα απαραίτητα τεχνικά και οργανωτικά μέτρα ασφάλειας των δεδομένων. Η πρόσβαση στα δεδομένα και η επεξεργασία επιτρέπονται μόνο με χρήση κατάλληλων διαπιστευτηρίων από προσωπικό που έχει τις κατάλληλες εξουσιοδοτήσεις. Οι διαβιβάσεις δεδομένων πραγματοποιούνται με κρυπτογράφηση. Ο κάθε χρήστης φορέας του συστήματος δεν έχει δικαίωμα πρόσβασης στα λοιπά δεδομένα του συστήματος.
4. Τα ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19 τυγχάνουν επεξεργασίας σύμφωνα με το άρθρο 9 του ΓΚΠΔ και το άρθρο 22 του ν. 4624/2019 (Α΄ 137), ιδίως δε εφόσον:
α) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή εθνικών ρυθμίσεων ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παρ. 3 του άρθρου 9 του ΓΚΠΔ,
β) η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η ασφάλεια της υγειονομικής περίθαλψης και των φαρμάκων ή η προστασία του πληθυσμού από τη διάδοση της νόσου, βάσει του ενωσιακού δικαίου ή εθνικών ρυθμίσεων που προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου.
5. Ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας για τη σύσταση και λειτουργία του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19 ορίζεται η Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης (ΗΔΙΚΑ) ΑΕ, η οποία αναλαμβάνει τον σχεδιασμό, την υλοποίηση και την οργάνωση της μετάπτωσης των δεδομένων προσωπικού χαρακτήρα και άλλων δεδομένων, καθώς και την τήρηση υπό συνθήκες που διασφαλίζουν την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των δεδομένων και κάθε άλλο ζήτημα που αφορά στην ομαλή λειτουργία του συστήματος αρχειοθέτησης του Εθνικού Μητρώου Ασθενών από τον κορωνοϊό COVID-19, τηρώντας τις διατάξεις της νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα και, ιδίως, τις θεμελιώδεις αρχές, που θέτουν για τη νομιμότητα κάθε επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι διατάξεις του άρθρου 5 του ΓΚΠΔ. Στο πλαίσιο της εν λόγω εκτέλεσης επεξεργασίας για λογαριασμό του Υπουργείου Υγείας, η ΗΔΙΚΑ ΑΕ επιφορτίζεται με όλες τις υποχρεώσεις που θέτουν για τον εκτελούντα την επεξεργασία οι διατάξεις του ΓΚΠΔ. Οι υποχρεώσεις τόσο του Υπουργείου Υγείας όσο και της ΗΔΙΚΑ ΑΕ προσδιορίζονται στη σύμβαση που καταρτίζεται μεταξύ τους, σύμφωνα με το άρθρο 28 του ΓΚΠΔ. Η ΗΔΙΚΑ ΑΕ ιδίως:
α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του ενωσιακού δικαίου ή βάσει εθνικών ρυθμίσεων. Σε αυτήν την περίπτωση, η ΗΔΙΚΑ ΑΕ ενημερώνει το Υπουργείο Υγείας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία,
β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
γ) λαμβάνει όλα τα απαιτούμενα μέτρα για τη διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας δυνάμει του άρθρου 32 του ΓΚΠΔ,
δ) τηρεί τους όρους που αναφέρονται στις παρ. 2 και 4 του άρθρου 28 του ΓΚΠΔ σχετικά με την πρόσληψη άλλου εκτελούντος την επεξεργασία,
ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί το Υπουργείο Υγείας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του Υπουργείου Υγείας, ως υπευθύνου επεξεργασίας, να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο Κεφάλαιο III του ΓΚΠΔ δικαιωμάτων του υποκειμένου των δεδομένων,
στ) συνδράμει το Υπουργείο Υγείας, ως υπεύθυνο επεξεργασίας, στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 34 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει η ΗΔΙΚΑ ΑΕ,
