24 листопада 2021, 18:03

Захищені та здорові: як регламентується захист персональних даних пацієнтів в Україні

Опубліковано в №23 (753)

Оксана Духовна
Оксана Духовна «INPRAXI LAW» партнер, к.ю.н., адвокат

Охорона здоров’я України цілеспрямовано і вже не перший рік покладається на інформаційні технології. Початок цих процесів стартував ще в далекому 2016 р. з Концепції реформи фінансування системи охорони здоров’я, де закладено, що електронна система дозволить реалізувати принцип «гроші ходять за пацієнтом».


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Надалі було схвалено Концепцію розвитку електронної охорони здоров’я, затверджену розпорядженням Кабінету Міністрів України від 28.12.2020 р. №1671-р, відповідно до якої електронна система охорони здоров’я eHealth – інформаційно-телекомунікаційна система, що забезпечує автоматизацію ведення обліку медичних послуг та управління медичною інформацією в електронному вигляді та надає можливість кожному пацієнту швидко отримати свою медичну інформацію, а лікарям – правильно ставити діагноз, враховуючи цілісну картину здоров’я пацієнта, виписувати електронні рецепти.

В межах роботи системи eHealth відбувається акумулювання величезної кількості персональних даних громадян, що регулюється Законом України «Про захист персональних даних», Законом України «Про державні фінансові гарантії медичного обслуговування населення», Постановою Кабінету Міністрів України «Деякі питання електронної системи охорони здоров’я» від 25.04.2018 р. №411.

З чого ж починається збір персональних даних пацієнтів? Звичайно, з підписання декларації про вибір лікаря первинної медичної допомоги, що наразі врегульовано наказом Міністерства охорони здоров’я №503 від 19.03.2018 р. «Про затвердження Порядку вибору лікаря, який надає первинну медичну допомогу, та форми декларації про вибір лікаря, який надає первинну медичну допомогу». Декларація про вибір лікаря первинної медичної допомоги є документом, який підтверджує вибір сімейного лікаря, та з моменту підписання декларації обома сторонами вважається, що медичний персонал отримує доступ до персональних даних пацієнтів.

Відповідно до Закону України «Про захист персональних даних», персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Тобто до персональних даних належить вся інформація, що підлягає внесенню в декларацію про вибір лікаря первинної медичної допомоги, а саме: прізвище, ім’я, по батькові, дата народження, РНОКПП, дані документа, що посвідчує особу, адреса проживання, засоби зв’язку.

На підставі вказаних документів та інформації, наданих пацієнтом, заповнюється декларація в електронній формі, а її роздрукований екземпляр надається пацієнту, що також вважається згодою на обробку персональних даних лікарем, з яким підписана декларація, та лікарями, до яких він буде звертатися за медичною допомогою за направленням свого лікаря.

Концепція розвитку електронної охорони здоров’я містить положення щодо забезпечення доступу пацієнтів до своїх персональних даних та інших функціональних можливостей електронної системи охорони здоров’я через електронний кабінет пацієнта. Згідно з твердженнями МОЗ України, медичні дані, що зберігаються в електронній системі охорони здоров’я, є більш захищеними у порівнянні з картками пацієнтів на паперових носіях у закладах охорони здоров’я. eHealth – одна з небагатьох систем в Україні, в якій реалізовані найсучасніші засоби захисту: використання користувачами кваліфікованих електронних підписів (КЕР), відокремлене зберігання медичних та персональних даних, алгоритми, що забезпечують цілісність даних. До того ж система має атестат відповідності КСЗІ (Норми комплексної системи захисту інформації) державним вимогам захисту інформації.

Українське законодавство також містить положення про відповідальність за порушення вимог роботи з персональними даними пацієнтів. Мова йде про адміністративну та кримінальну відповідальність. Наразі функції контролю за виконанням законодавства у сфері захисту персональних даних належать Уповноваженому Верховної Ради України з прав людини, в межах Секретаріату якого створений Департамент у сфері захисту персональних даних. При цьому багато хто наголошує на необхідності створення окремого незалежного контролюючого органу влади з контролю за дотриманням прав на захист персональних даних та права на доступ до публічної інформації.

На думку законодавця, таким органом має стати Національна комісія з питань захисту персональних даних та доступу до публічної інформації, створення якої передбачається проєктом Закону України №6177, зареєстрованим у Верховній Раді України в кінці жовтня цього року. Законопроєкт №6177 передбачає, що Національна комісія з питань захисту персональних даних та доступу до публічної інформації буде перевіряти та штрафувати як фізичних осіб (від 20 до 100 тис. грн), так і бізнес (від 0,5% до 1% загального річного обігу), що одразу призвело до критики вказаного законопроєкту з вказівкою на його «токсичність» для громадян та бізнесу, дублювання повноважень з наявними державними органами, а також через необхідність витрат значних бюджетних коштів на утримання цього органу (понад 224 млн грн на рік).

Водночас прийняття відповідного закону про регулятора відбувається з орієнтиром на нову редакцію Закону про захист персональних даних, який був зареєстрований в середині 2021 р. у Верховній Раді України за №5628. Законопроєкт №5628 має оновити застаріле національне законодавство у сфері захисту персональних даних та однозначно є давно необхідним для інтеграції України до Єдиного цифрового ринку ЄС.

Гармонізація українського законодавства до європейських стандартів у сфері захисту персональних даних шляхом імплементації Регламенту Європейського Парламенту та Ради про захист фізичних осіб у зв’язку з обробкою персональних даних і про вільний рух таких даних 2016/679 (Загальний регламент про захист персональних даних) є одним із ключових завдань України відповідно п. 11 Плану заходів з виконання Угоди про асоціацію, затвердженого постановою Кабінету Міністрів України від 25.10.2017 р. №1106, яке досі залишається невиконаним.

Чому це також важливо для медичної сфери та захисту персональних даних пацієнтів? Річ у тім, що український медичний бізнес, який пропонує послуги (товари) резидентам ЄС або здійснює моніторинг поведінки суб’єктів даних, розташованих в ЄС, автоматично потрапляє до сфери дії Загального регламенту про захист даних №2016/679, або GDPR (далі – GDPR, Регламент). Багато іноземців надають перевагу, наприклад, українському медичному туризму, зокрема, через приємні ціни (ледь не вдвічі нижча вартість, ніж у європейських країнах) та високу якість надання медичних послуг. У медичному туризмі України лідирують такі галузі як стоматологія, офтальмологія, репродукція, неврологія, кардіологія, клітинна терапія, реабілітація.

GDPR передбачає можливість для контролюючих органів у сфері захисту персональних даних країн-членів ЄС накладати санкції екстериторіально, в тому числі на території України. Таким чином, правозастосування GDPR є неминучим.

Регламент передбачає фундаментальні зміни щодо збору, обробки, володіння та передачі даних про здоров’я. Тепер пацієнти повинні надати згоду на використання своїх даних про стан здоров’я та можуть її відкликати, коли це необхідно, або навіть видалити. Насправді це є новелою у світі, адже, наприклад, у США давно поширеною була практика медичних організацій зберігати дані пацієнтів на невизначений термін. Відповідно до GDPR, громадянин ЄС може попросити заклад охорони здоров’я видалити медичні записи про себе за певних обставин, а йому не можуть в цьому відмовити.

Існують три типи персональних даних, які особливо актуальні для галузі охорони здоров’я:

  • дані, що стосуються здоров’я відповідно до GDPR – це будь-які дані, які стосуються фізичного чи психічного здоров’я людини, що включає також будь-яку інформацію, пов’язану з типом допомоги, яку отримав пацієнт;
  • генетичні дані – це будь-які дані (характеристики), які можуть виявити деталі фізіології або здоров’я пацієнта, а також будь-які результати лабораторних досліджень;
  • біометричні дані – це будь-які дані, пов’язані з певними фізичними або поведінковими характеристиками людини (наприклад, зображення обличчя, відбитки пальців, риси ходи тощо), які можна використати для ідентифікації конкретної особи.

 Тобто ще раз варто підкреслити, що GDPR встановлює значно вищі стандарти стосовно інформованої згоди пацієнта, яка має містити тип персональних даних, які збиратимуться, пояснювати, як вони будуть використовуватися (пацієнта потрібно інформувати про можливі ризики збору даних «у зрозумілій та легкодоступній формі, чіткою та зрозумілою мовою»), а також включати поле для підтвердження або відмови пацієнта.

Згідно з GDPR, є дві особи, відповідальні за обробку персональних даних – контролер та процесор. Контролером називають особу (фізичну чи юридичну) або орган державної влади, які визначають ціль та мету обробки персональних даних. Процесором є особа чи орган державної влади, що здійснює обробку персональних даних відповідно до мети та цілей, встановлених контролером. Наприклад, лікарня, яка збирає інформацію – це контролер, а власник програмного продукту, в якому зберігаються та обробляються дані, медпрацівники, які технічно вносять дані в електронну систему – це процесори (обробники) даних.

Саме контролер і процесор несуть солідарну відповідальність у випадку порушень GDPR та зобов’язані повідомляти контролюючі органи, а в окремих випадках і суб’єктів даних, про будь-які порушення (витік, викрадення, несанкціонований доступ тощо), пов’язані з персональними даними, протягом 72 годин після встановлення такого порушення.

Регламент набув чинності у травні 2018 р., а вже восени був зафіксований один з перших прецедентів: португальський наглядовий орган (CNPD) оштрафував місцеву клініку на загальну суму 400 тис. євро за доступ працівників клініки до персональних даних пацієнтів через фальшиві облікові записи.

Таким чином, необхідність дотримання українськими медичними установами положень GDPR у найближчому майбутньому є неминучою. Тому вже сьогодні потрібно готуватися до більш жорстких та високих вимог щодо захисту такої чутливої категорії персональних даних як інформація про здоров’я.

0
0

Додати коментар

Відмінити Опублікувати