• Едва ли някой читател е пропуснал новината, че от 25 май тази година влиза в сила Регламент (ЕС) 2016/679 от 27.04.2016 г., по-известен като General Data Protection Regulation (GDPR). Комисията за личните данни публикува на страницата си 10 практически стъпки за прилагане на регламента, но до този момент няма указания към отделните сектори по отношение на прилагането му.
• Влизането в сила на този акт ще има сериозно отражение върху работата на лечебните заведения, поради което липсата на конкретни указания за прилагането му в областта на здравеопазването е сериозен дефицит. Още през 2016 г. European Hospital and Healthcare Federation излезе със серия от препоръки към държавите членки във връзка с прилагането на регламента, най-важната от които е "да се осигурят за болниците и другите лечебни заведения и организации в областта на здравеопазването специфични за сектора съвети и указания, както и обучения от националния контролен орган, които са необходими, за да се демонстрира съответствие с изискванията на регламента".
• Заедно с "Капитал Здраве" ви представяме някои от най-важните аспекти на GDPR, които могат да ви помогнат да придобиете представа за ролята на GDPR в работата на лечебните заведения и необходимите действия, които трябва да бъдат предприети. Няма да се спираме на общата информация за GDPR, а само на специфичните за сектора отражения.
• Лечебните заведения обработват специална категория данни, които според регламента се възприемат като чувствителни лични данни, поради което обработването е разрешено при спазването на следните правила: необходимо е да е налице едно от условията за законосъобразно обработване, посочени в чл. 6 от Регламента, едновременно с наличието на поне едно специално условие за обработване, посочено в чл. 9, пар. 2.
• Кои са специалните условия за обработване на чувствителни лични данни?
  Наличие на изрично информирано съгласие:
  За разлика от директивата, уреждаща регулацията на личните данни преди влизане в сила на GDPR, последният въвежда по-строги изисквания за информираното съгласие. То трябва да отговаря на няколко важни условия:
  Да бъде недвусмислено, свободно и ясно изразено, а условията му да бъдат разбираемо и конкретно отделени от друга информация. Например, ако условията на информираното съгласие за обработване на лични данни представляват част от информираното съгласие за предоставяне на медицинската помощ, неговите клаузи трябва да са ясно отграничени от останалите.
• Задължително следва да се избягват предварително маркирани съгласия, опции за мълчаливо съгласие и други подобни. Информираното съгласие трябва да предоставя конкретна информация и възможност да бъде оттеглено по всяко време. Освен това от съдържанието му или от условията, при които е предоставено, трябва да става ясно, че е дадено напълно свободно. Предоставянето му не трябва да бъде предпоставено от някакви условия (например, че няма да бъде предоставена спешна медицинска помощ, ако липсва изразено информирано съгласие за обработване на лични данни).
• Необходимо е във всяко информирано съгласие да бъдат посочени целите, за които се обработва информацията, а в случай че са посочени различни цели, е препоръчително да се предостави възможност на субекта да изрази отделно съгласие за всяка от тях. Липсата на адекватно информирано съгласие или непредоставянето му в предвидения в регламента ред отваря вратата за сериозни санкции и уврежда доверието и репутацията на лечебното заведение. Необходимо е да се приемат адекватни механизми за съхраняването на този важен документ. В заключение следва да се отбележи, че, в случай че администраторът не може да изпълни някое от тези изисквания, е необходимо да се позове на някое от другите алтернативни специални основания. По-важните от тях и относими за дейностите на лечебните заведения са следните:
• - Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила. Такива ще са случаите, когато данните се обработват за целите на осъществяване на правото на пациента на трансгранично здравно обслужване или за спазване на здравословни и безопасни условия на труд.
• - За защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие. Например, когато пациентът се намира в спешно състояние и не може да изрази своето съгласие, защото е в безсъзнание.
• - Обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи. Такива ще са случаите, когато с конкретен съдебен акт се изисква информация за здравословното състояние на пациент от съда.
• - Обработването е необходимо по причини от важен обществен интерес на основание правото на съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните. Все още липсват указания за прилагането на тази разпоредба и разбирането на понятието за обществен интерес. Препоръчвам да се избягва прилагането на тази клауза заради неясната й формулировка и споровете, които може да се породят от това обстоятелство.
• - Обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на съюза или правото на държава членка, или съгласно договор с медицинско лице и при условие че въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на съюза или правото на държавата членка или правилата, установени от националните компетентни органи, или от друго лице, също обвързано от задължение за тайна по силата на правото на съюза или правото на държавата членка, или правилата, установени от националните компетентни органи.
• Тази клауза ще бъде най-често приложимата в работата на лечебните заведения, тъй като дава възможност при наличие на предпоставките, посочени в чл. 6, да бъде включена като специално условие за обработване на лични данни, без да е нужно информирано съгласие. Всяка информация, която е необходима за целите на отчитането пред НЗОК, документирането на данни за здравословното състояние, необходими за провеждане на диагностично-лечебния процес и осигуряване на здравни грижи, може да бъде обработвана на това основание. Това обаче следва да се осъществява само от лица, които са задължени да спазват професионална тайна (например лекари и медицински сестри по силата на съответните кодекси за професионална етика), както и при спазване на принципа за пропорционалност при обработването.
• - Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна. Това основание ще бъде налице в случаи на епидемии или други сериозни общественоздравни проблеми.
• Каква документация следва да поддържа лечебното заведение?
  Регламентът задължава всеки, който обработва лични данни, да поддържа регистър със съдържание, подробно описано в чл. 30 от регламента. Изискването за наличие на регистър се отнася дори за лечебните заведения с по-малко от 250 служители, защото обработват специална категория данни.
• Имат ли нужда лечебните заведения от длъжностно лице по защита на личните данни (Data Protection Officer)?
  Малките лечебни заведения (амбулатории за извъболнична медицинска/дентална помощ, ДКЦ и други) няма да бъдат задължени да назначават DPO. Изискването за назначаването му важи за всички публични органи или когато се извършва мащабно обработване на специална категория лични данни, сред които са и тези за здравословното състояние. По-големите структури, осъществяващи дейности в здравеопазването, е необходимо да анализират дейността си и да преценят дали не е налице условието за мащабно обработване на чувствителни лични данни, защото тогава назначаването на DPO ще бъде задължително.
• Какви права имат пациентите при обработване на личните им данни?
  Пациентите имат право на информация относно дейността на обработващите личните данни: данните, които ги идентифицират и координатите за връзка с тях, координатите за връзка с длъжностното лице по защита на данните (ако е приложимо), целите на обработването, за което личните данни са предназначени, както и правното основание за обработването; ако обработването се извършва при наличие на законен интерес (legitimate interest), е редно същият да се посочи; предоставя се информация и за получателите или категориите получатели на личните данни, ако има такива и други важни обстоятелства. Необходимо е субектите да бъдат информирани и за начина на реализиране на отделни техни права: например по какъв начин могат да поискат личните им данни да бъдат коригирани или изтрити; как може да се оттегли информираното съгласие и възможностите за подаване на жалби.
• За разлика от някои други сектори, в които правото да бъдеш забравен ще бъде често приложимо, в здравеопазването пациентът трудно ще има подобна възможност. Налице е сериозна заблуда, че пациентите могат да заявят пред лечебното заведение желание за изтриване на данните им и това да бъде осъществено. Правото е приложимо само доколкото същото не влиза в конфликт с някое от ограниченията в чл. 17, пар. 3 от регламента и само доколкото отговаря на изискванията в пар. 1. Например, ако личните данни са необходими за целите, за които са били събрани или обработвани по друг начин, изтриването е недопустимо. Така, ако пациентът е диспансеризиран и е необходимо непрекъснато проследяване на състоянието му, личните му данни не могат просто да бъдат изтрити.
• Освен това обработването на лични данни в здравеопазването е свързано със спазването на редица нормативни актове, които задължават лечебните заведения да съхраняват конкретна информация за определен период от време. В този случай правото на пациента да бъде забравен няма да може да се реализира, защото обработването на тези данни е необходимо за спазване на правно задължение, което изисква обработване, предвидено в правото на съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Например такова ще бъде задължението на Главния изследовател да съхранява документацията от дадено клинично изпитване по силата на Регламент (ЕС) 536/2014 г. за срок от 25 г.
• Правото да бъдеш забравен няма да е приложимо и в случаите, когато информацията следва да се обработва по причини от обществен интерес в областта на общественото здраве. Такива са например данни за поставени имунизации на пациенти, обработвани от общопрактикуващия лекар, или данни за донори на кръв и съответните резултати от изследвания на дарената кръв.
• В заключение следва да се отбележи, че се очаква лечебните заведения да срещнат затруднения при изпълнение на новите регулации в областта на защита на личните данни. Това най-вече се отнася за големите лечебни заведения, през които годишно преминават десетки хиляди пациенти. Действащото законодателство в страната не регламентира ясно и последователно видовете документи, които се съставят в хода на оказване на медицинска помощ на пациентите, сроковете за тяхното съхранение и конкретните отговорности. Уредбата е разпръсната в Националните рамкови договори и приложенията им, медицинските стандарти, Закона за здравето, Закона за здравното осигуряване и множество подзаконови нормативни актове. Липсата на електронно здравеопазване и поддържане на огромен брой хартиена документация създава допълнителни рискове за правилното й и законосъобразно обработване. Следва да се обърне внимание и на обстоятелството, че санкциите за нарушения на регламента са изключително високи, а повечето служители, които обработват лични данни по силата на договор или акт на администратора, отговарят ограничено по смисъла на Кодекса на труда.
• Необходимо е да се предприемат своевременни организационни и технически мерки, които да демонстрират спазването на регламента, които включват обучение на персонала, вътрешни одити и преглед на вътрешните правила и стандарти, действащи до този момент. Една от най-важните мерки в областта на здравеопазването е разясняването на важността от защита на чувствителните лични данни и отговорното отношение към обработването им.

Виж източник