Как GDPR ще се отрази на работата на лечебните заведения
Адвокат Мария Шаркова е създател и ръководещ съучастник в профилираното адвокатско сдружение по здравно право " Шаркова и сътрудници ". Тя е създател на книгата " Медицинският деликт ", със специализации в Съединени американски щати, Англия, Франция, Холандия. Завършила е право в Софийския университет " Св. Кл. Охридски ".
© Капитал Едва ли някой четец е пропуснал новината, че от 25 май тази година влиза в действие Регламент (ЕС) 2016/679 от 27.04.2016 година, по-известен като General Data Protection Regulation (GDPR). Комисията за персоналните данни разгласява на страницата си 10 на практика стъпки за използване на регламента, само че до този миг няма инструкции към обособените браншове във връзка с използването му.
Влизането в действие на този акт ще има съществено отражение върху работата на лечебните заведения, заради което неналичието на съответни инструкции за използването му в региона на опазването на здравето е сериозен недостиг. Още през 2016 година European Hospital and Healthcare Federation излезе със серия от рекомендации към страните членки по отношение на използването на регламента, най-важната от които е " да се обезпечат за лечебните заведения и другите лечебни заведения и организации в региона на опазването на здравето характерни за бранша препоръки и инструкции, както и образования от националния надзорен орган, които са нужни, с цел да се показва сходство с условията на регламента ".
Заедно с " Капитал Здраве " ви представяме някои от най-важните аспекти на GDPR, които могат да ви оказват помощ да придобиете визия за ролята на GDPR в работата на лечебните заведения и нужните дейности, които би трябвало да бъдат подхванати. Няма да се стопираме на общата информация за GDPR, а единствено на характерните за бранша отблясъци.
Лечебните заведения обработват специфична категория данни, които съгласно регламента се възприемат като чувствителни персонални данни, заради което обработването е позволено при спазването на следните правила: належащо е да е налице едно от изискванията за законосъобразно култивиране, посочени в член 6 от Регламента, по едно и също време с съществуването на най-малко едно особено изискване за култивиране, посочено в член 9, пар. 2.
- Кои са специфичните условия за култивиране на чувствителни персонални данни?
Наличие на категорично осведомено единодушие:
За разлика от директивата, уреждаща регулацията на персоналните данни преди влизане в действие на GDPR, последният вкарва по-строги условия за осведоменото единодушие. То би трябвало да дава отговор на няколко значими условия:
Да бъде недвусмислено, свободно и ясно изразено, а изискванията му да бъдат разбираемо и съответно отделени от друга информация. Например, в случай че изискванията на осведоменото единодушие за култивиране на персонални данни съставляват част от осведоменото единодушие за даване на здравната помощ, неговите клаузи би трябвало да са ясно отграничени от останалите.
Задължително следва да се заобикалят авансово маркирани единодушия, варианти за безмълвно единодушие и други сходни. Информираното единодушие би трябвало да дава съответна информация и опция да бъде оттеглено когато и да е. Освен това от наличието му или от изискванията, при които е предоставено, би трябвало да излиза наяве, че е обещано изцяло свободно. Предоставянето му не би трябвало да бъде предпоставено от някакви условия (например, че няма да бъде предоставена незабавна здравна помощ, в случай че липсва изразено осведомено единодушие за култивиране на персонални данни).
Необходимо е във всяко осведомено единодушие да бъдат посочени задачите, за които се обработва информацията, а ако са посочени разнообразни цели, е целесъобразно да се даде опция на субекта да изрази настрана единодушие за всяка от тях.
Липсата на съответно осведомено единодушие или непредоставянето му в планувания в регламента ред отваря вратата за съществени наказания и поврежда доверието и репутацията на лечебното заведение. Необходимо е да се одобряват съответни механизми за съхраняването на този значим документ. В умозаключение следва да се означи, че, ако админът не може да извърши някое от тези условия, е належащо да се позове на някое от другите различни специфични учредения. По-важните от тях и относими за дейностите на лечебните заведения са следните: - Обработването е належащо за задачите на осъществяването на отговорностите и упражняването на специфичните права на админа или на субекта на данните по силата на трудовото право и правото в региона на обществената сигурност и обществената протекция. Такива ще са случаите, когато данните се обработват за задачите на реализиране на правото на пациента на трансгранично здравно обслужване или за съблюдаване на здравословни и безвредни условия на труд.
- За отбрана на жизненоважните ползи на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически некадърен да даде своето единодушие. Например, когато пациентът се намира в незабавно положение и не може да изрази своето единодушие, тъй като е в безсъзнание.
- Обработването е належащо за определяне, практикуване или отбрана на правни искания или постоянно, когато съдилищата действат в качеството си на правораздаващи органи. Такива ще са случаите, когато с съответен правосъден акт се изисква информация за здравословното положение на пациент от съда.
- Обработването е належащо по аргументи от значим публичен интерес на съображение правото на съюза или правото на страна членка, което е съразмерно на преследваната цел, зачита същността на правото на отбрана на данните и планува подобаващи и съответни ограничения за отбрана на главните права и ползите на субекта на данните. Все още липсват инструкции за използването на тази наредба и разбирането на понятието за публичен интерес. Препоръчвам да се заобикаля използването на тази уговорка поради неразбираемата й дефиниция и разногласията, които може да се породят от това събитие.
- Обработването е належащо за задачите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, здравната диагноза, обезпечаването на здравни или обществени грижи или лекуване, или за задачите на ръководството на услугите и системите за опазване на здравето или обществени грижи въз основа на правото на съюза или правото на страна членка, или според контракт с здравно лице и при изискване че въпросните данни се обработват от или под управлението на професионален служащ, привързан от задължението за професионална тайна по силата на правото на съюза или правото на страната членка или разпоредбите, открити от националните способени органи, или от друго лице, също обвързано от обвързване за тайна по силата на правото на съюза или правото на страната членка, или разпоредбите, открити от националните способени органи.
Тази уговорка ще бъде най-често използваната в работата на лечебните заведения, защото дава опция при съществуване на предпоставките, посочени в член 6, да бъде включена като особено изискване за култивиране на персонални данни, без да е нужно осведомено единодушие. Всяка информация, която е нужна за задачите на отчитането пред НЗОК, документирането на данни за здравословното положение, нужни за осъществяване на диагностично-лечебния развой и обезпечаване на здравни грижи, може да бъде обработвана на това съображение. Това обаче следва да се реализира единствено от лица, които са задължени да съблюдават професионална загадка (например лекари и медицински сестри по силата на съответните кодекси за професионална етика), както и при съблюдаване на правилото за пропорция при обработването. - Обработването е належащо от съображения от публичен интерес в региона на публичното здраве като отбраната против съществени трансгранични закани за здравето или обезпечаването на високи стандарти за качество и сигурност на здравните грижи и лекарствените артикули или медицинските произведения, въз основа на правото на съюза или правото на страна членка, в което са планувани подобаващи и съответни ограничения за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна. Това съображение ще бъде налице в случаи на епидемии или други съществени общественоздравни проблеми.
- Обработването е належащо за задачите на архивирането в публичен интерес, за научни или исторически проучвания или за статистически цели според член 89, параграф 1, на съображение правото на съюза или правото на страна членка, което е съразмерно на преследваната цел, зачита същността на правото на отбрана на данните и планува подобаващи и съответни ограничения за отбрана на главните права и ползите на субекта на данните. Лечебните заведения могат да се базират на това съображение в случаите, когато се организират научни проучвания по смисъла на член 197, алинея 1 от Закона за здравето или клинични изпитвания по реда на ЗЛПХМ или ЗМИ.
- Каква документи следва да поддържа лечебното заведение?
Регламентът задължава всеки, който обработва персонални данни, да поддържа указател със наличие, в детайли разказано в член 30 от регламента. Изискването за съществуване на указател се отнася даже за лечебните заведения с по-малко от 250 чиновници, тъй като обработват специфична категория данни.
- Имат ли потребност лечебните заведения от длъжностно лице по отбрана на персоналните данни ( Data Protection Officer)?
Малките лечебни заведения (амбулатории за извъболнична медицинска/дентална помощ, ДКЦ и други) няма да бъдат задължени да назначават DPO. Изискването за назначението му важи за всички обществени органи или когато се прави огромно култивиране на специфична категория персонални данни, измежду които са и тези за здравословното положение. По-големите структури, осъществяващи действия в опазването на здравето, е належащо да проучват активността си и да преценяват дали не е налице изискването за огромно култивиране на чувствителни персонални данни, тъй като тогава назначението на DPO ще бъде наложително.
- Какви права имат пациентите при култивиране на персоналните им данни?
Пациентите имат право на информация по отношение на активността на обработващите персоналните данни: данните, които ги разпознават и координатите за връзка с тях, координатите за връзка с длъжностното лице по отбрана на данните (ако е приложимо), задачите на обработването, за което персоналните данни са предопределени, както и правното съображение за обработването; в случай че обработването се прави при съществуване на легален интерес (legitimate interest), е редно същият да се посочи; дава се информация и за получателите или категориите получатели на персоналните данни, в случай че има такива и други значими условия. Необходимо е субектите да бъдат осведомени и за метода на осъществяване на обособени техни права: да вземем за пример по какъв метод могат да изискат персоналните им данни да бъдат поправени или изтрити; по какъв начин може да се отдръпна осведоменото единодушие и опциите за подаване на тъжби.
За разлика от някои други браншове, в които
правото да бъдеш пропуснат
ще бъде постоянно използвано, в опазването на здравето пациентът мъчно ще има сходна опция. Налице е сериозна илюзия, че пациентите могат да заявят пред лечебното заведение предпочитание за заличаване на данните им и това да бъде осъществено. Правото е използвано единствено доколкото същото не влиза в спор с някое от рестриктивните мерки в член 17, пар. 3 от регламента и единствено доколкото дава отговор на условията в пар. 1. Например, в случай че персоналните данни са нужни за задачите, за които са били събрани или обработвани по различен метод, изтриването е неприемливо. Така, в случай че пациентът е диспансеризиран и е належащо непрестанно следене на положението му, персоналните му данни не могат просто да бъдат изтрити.
Освен това обработването на персонални данни в опазването на здравето е обвързвано със спазването на редица нормативни актове, които задължават лечебните заведения да съхраняват съответна информация за избран интервал от време. В този случай правото на пациента да бъде пропуснат няма да може да се осъществя, тъй като обработването на тези данни е належащо за съблюдаване на правно обвързване, което изисква култивиране, планувано в правото на съюза или правото на страната членка, което се ползва по отношение на админа или за осъществяването на задача от публичен интерес или при упражняването на публични пълномощия, които са предоставени на админа. Например такова ще бъде задължението на Главния откривател да съхранява документите от обещано клинично изпитване по силата на Регламент (ЕС) 536/2014 година за период от 25 година
Правото да бъдеш пропуснат няма да е използвано и в случаите, когато информацията следва да се обработва по
аргументи от публичен интерес в региона на публичното здраве.
Такива са да вземем за пример данни за сложени имунизации на пациенти, обработвани от общопрактикуващия доктор, или данни за донори на кръв и съответните резултати от проучвания на дарената кръв.
В умозаключение следва да се означи, че се чака лечебните заведения да срещнат усложнения при осъществяване на новите регулации в региона на отбрана на персоналните данни. Това най-много се отнася за огромните лечебни заведения, през които годишно минават десетки хиляди пациенти. Действащото законодателство в страната не регламентира ясно и поредно типовете документи, които се сформират в хода на оказване на здравна помощ на пациентите, периодите за тяхното предпазване и съответните отговорности. Уредбата е разпръсната в Националните рамкови контракти и приложенията им, медицинските стандарти, Закона за здравето, Закона за здравното обезпечаване и голям брой подзаконови нормативни актове. Липсата на електронно опазване на здравето и поддържане на голям брой хартиена документи основава спомагателни опасности за вярното й и законосъобразно култивиране. Следва да се обърне внимание и на събитието, че глобите за нарушавания на регламента са извънредно високи, а множеството чиновници, които обработват персонални данни по силата на контракт или акт на админа, дават отговор лимитирано по смисъла на Кодекса на труда.
Необходимо е да се подхващат своевременни организационни и механически ограничения, които да показват спазването на регламента, които включват образование на личния състав, вътрешни одити и обзор на вътрешните правила и стандарти, настоящи до този миг. Една от най-важните ограничения в региона на опазването на здравето е разясняването на значимостта от отбрана на сензитивните персонални данни и виновното отношение към обработването им.
© Капитал Едва ли някой четец е пропуснал новината, че от 25 май тази година влиза в действие Регламент (ЕС) 2016/679 от 27.04.2016 година, по-известен като General Data Protection Regulation (GDPR). Комисията за персоналните данни разгласява на страницата си 10 на практика стъпки за използване на регламента, само че до този миг няма инструкции към обособените браншове във връзка с използването му.
Влизането в действие на този акт ще има съществено отражение върху работата на лечебните заведения, заради което неналичието на съответни инструкции за използването му в региона на опазването на здравето е сериозен недостиг. Още през 2016 година European Hospital and Healthcare Federation излезе със серия от рекомендации към страните членки по отношение на използването на регламента, най-важната от които е " да се обезпечат за лечебните заведения и другите лечебни заведения и организации в региона на опазването на здравето характерни за бранша препоръки и инструкции, както и образования от националния надзорен орган, които са нужни, с цел да се показва сходство с условията на регламента ".
Заедно с " Капитал Здраве " ви представяме някои от най-важните аспекти на GDPR, които могат да ви оказват помощ да придобиете визия за ролята на GDPR в работата на лечебните заведения и нужните дейности, които би трябвало да бъдат подхванати. Няма да се стопираме на общата информация за GDPR, а единствено на характерните за бранша отблясъци.
Лечебните заведения обработват специфична категория данни, които съгласно регламента се възприемат като чувствителни персонални данни, заради което обработването е позволено при спазването на следните правила: належащо е да е налице едно от изискванията за законосъобразно култивиране, посочени в член 6 от Регламента, по едно и също време с съществуването на най-малко едно особено изискване за култивиране, посочено в член 9, пар. 2.
- Кои са специфичните условия за култивиране на чувствителни персонални данни?
Наличие на категорично осведомено единодушие:
За разлика от директивата, уреждаща регулацията на персоналните данни преди влизане в действие на GDPR, последният вкарва по-строги условия за осведоменото единодушие. То би трябвало да дава отговор на няколко значими условия:
Да бъде недвусмислено, свободно и ясно изразено, а изискванията му да бъдат разбираемо и съответно отделени от друга информация. Например, в случай че изискванията на осведоменото единодушие за култивиране на персонални данни съставляват част от осведоменото единодушие за даване на здравната помощ, неговите клаузи би трябвало да са ясно отграничени от останалите.
Задължително следва да се заобикалят авансово маркирани единодушия, варианти за безмълвно единодушие и други сходни. Информираното единодушие би трябвало да дава съответна информация и опция да бъде оттеглено когато и да е. Освен това от наличието му или от изискванията, при които е предоставено, би трябвало да излиза наяве, че е обещано изцяло свободно. Предоставянето му не би трябвало да бъде предпоставено от някакви условия (например, че няма да бъде предоставена незабавна здравна помощ, в случай че липсва изразено осведомено единодушие за култивиране на персонални данни).
Необходимо е във всяко осведомено единодушие да бъдат посочени задачите, за които се обработва информацията, а ако са посочени разнообразни цели, е целесъобразно да се даде опция на субекта да изрази настрана единодушие за всяка от тях.
Липсата на съответно осведомено единодушие или непредоставянето му в планувания в регламента ред отваря вратата за съществени наказания и поврежда доверието и репутацията на лечебното заведение. Необходимо е да се одобряват съответни механизми за съхраняването на този значим документ. В умозаключение следва да се означи, че, ако админът не може да извърши някое от тези условия, е належащо да се позове на някое от другите различни специфични учредения. По-важните от тях и относими за дейностите на лечебните заведения са следните: - Обработването е належащо за задачите на осъществяването на отговорностите и упражняването на специфичните права на админа или на субекта на данните по силата на трудовото право и правото в региона на обществената сигурност и обществената протекция. Такива ще са случаите, когато данните се обработват за задачите на реализиране на правото на пациента на трансгранично здравно обслужване или за съблюдаване на здравословни и безвредни условия на труд.
- За отбрана на жизненоважните ползи на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически некадърен да даде своето единодушие. Например, когато пациентът се намира в незабавно положение и не може да изрази своето единодушие, тъй като е в безсъзнание.
- Обработването е належащо за определяне, практикуване или отбрана на правни искания или постоянно, когато съдилищата действат в качеството си на правораздаващи органи. Такива ще са случаите, когато с съответен правосъден акт се изисква информация за здравословното положение на пациент от съда.
- Обработването е належащо по аргументи от значим публичен интерес на съображение правото на съюза или правото на страна членка, което е съразмерно на преследваната цел, зачита същността на правото на отбрана на данните и планува подобаващи и съответни ограничения за отбрана на главните права и ползите на субекта на данните. Все още липсват инструкции за използването на тази наредба и разбирането на понятието за публичен интерес. Препоръчвам да се заобикаля използването на тази уговорка поради неразбираемата й дефиниция и разногласията, които може да се породят от това събитие.
- Обработването е належащо за задачите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, здравната диагноза, обезпечаването на здравни или обществени грижи или лекуване, или за задачите на ръководството на услугите и системите за опазване на здравето или обществени грижи въз основа на правото на съюза или правото на страна членка, или според контракт с здравно лице и при изискване че въпросните данни се обработват от или под управлението на професионален служащ, привързан от задължението за професионална тайна по силата на правото на съюза или правото на страната членка или разпоредбите, открити от националните способени органи, или от друго лице, също обвързано от обвързване за тайна по силата на правото на съюза или правото на страната членка, или разпоредбите, открити от националните способени органи.
Тази уговорка ще бъде най-често използваната в работата на лечебните заведения, защото дава опция при съществуване на предпоставките, посочени в член 6, да бъде включена като особено изискване за култивиране на персонални данни, без да е нужно осведомено единодушие. Всяка информация, която е нужна за задачите на отчитането пред НЗОК, документирането на данни за здравословното положение, нужни за осъществяване на диагностично-лечебния развой и обезпечаване на здравни грижи, може да бъде обработвана на това съображение. Това обаче следва да се реализира единствено от лица, които са задължени да съблюдават професионална загадка (например лекари и медицински сестри по силата на съответните кодекси за професионална етика), както и при съблюдаване на правилото за пропорция при обработването. - Обработването е належащо от съображения от публичен интерес в региона на публичното здраве като отбраната против съществени трансгранични закани за здравето или обезпечаването на високи стандарти за качество и сигурност на здравните грижи и лекарствените артикули или медицинските произведения, въз основа на правото на съюза или правото на страна членка, в което са планувани подобаващи и съответни ограничения за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна. Това съображение ще бъде налице в случаи на епидемии или други съществени общественоздравни проблеми.
- Обработването е належащо за задачите на архивирането в публичен интерес, за научни или исторически проучвания или за статистически цели според член 89, параграф 1, на съображение правото на съюза или правото на страна членка, което е съразмерно на преследваната цел, зачита същността на правото на отбрана на данните и планува подобаващи и съответни ограничения за отбрана на главните права и ползите на субекта на данните. Лечебните заведения могат да се базират на това съображение в случаите, когато се организират научни проучвания по смисъла на член 197, алинея 1 от Закона за здравето или клинични изпитвания по реда на ЗЛПХМ или ЗМИ.
- Каква документи следва да поддържа лечебното заведение?
Регламентът задължава всеки, който обработва персонални данни, да поддържа указател със наличие, в детайли разказано в член 30 от регламента. Изискването за съществуване на указател се отнася даже за лечебните заведения с по-малко от 250 чиновници, тъй като обработват специфична категория данни.
- Имат ли потребност лечебните заведения от длъжностно лице по отбрана на персоналните данни ( Data Protection Officer)?
Малките лечебни заведения (амбулатории за извъболнична медицинска/дентална помощ, ДКЦ и други) няма да бъдат задължени да назначават DPO. Изискването за назначението му важи за всички обществени органи или когато се прави огромно култивиране на специфична категория персонални данни, измежду които са и тези за здравословното положение. По-големите структури, осъществяващи действия в опазването на здравето, е належащо да проучват активността си и да преценяват дали не е налице изискването за огромно култивиране на чувствителни персонални данни, тъй като тогава назначението на DPO ще бъде наложително.
- Какви права имат пациентите при култивиране на персоналните им данни?
Пациентите имат право на информация по отношение на активността на обработващите персоналните данни: данните, които ги разпознават и координатите за връзка с тях, координатите за връзка с длъжностното лице по отбрана на данните (ако е приложимо), задачите на обработването, за което персоналните данни са предопределени, както и правното съображение за обработването; в случай че обработването се прави при съществуване на легален интерес (legitimate interest), е редно същият да се посочи; дава се информация и за получателите или категориите получатели на персоналните данни, в случай че има такива и други значими условия. Необходимо е субектите да бъдат осведомени и за метода на осъществяване на обособени техни права: да вземем за пример по какъв метод могат да изискат персоналните им данни да бъдат поправени или изтрити; по какъв начин може да се отдръпна осведоменото единодушие и опциите за подаване на тъжби.
За разлика от някои други браншове, в които
правото да бъдеш пропуснат
ще бъде постоянно използвано, в опазването на здравето пациентът мъчно ще има сходна опция. Налице е сериозна илюзия, че пациентите могат да заявят пред лечебното заведение предпочитание за заличаване на данните им и това да бъде осъществено. Правото е използвано единствено доколкото същото не влиза в спор с някое от рестриктивните мерки в член 17, пар. 3 от регламента и единствено доколкото дава отговор на условията в пар. 1. Например, в случай че персоналните данни са нужни за задачите, за които са били събрани или обработвани по различен метод, изтриването е неприемливо. Така, в случай че пациентът е диспансеризиран и е належащо непрестанно следене на положението му, персоналните му данни не могат просто да бъдат изтрити.
Освен това обработването на персонални данни в опазването на здравето е обвързвано със спазването на редица нормативни актове, които задължават лечебните заведения да съхраняват съответна информация за избран интервал от време. В този случай правото на пациента да бъде пропуснат няма да може да се осъществя, тъй като обработването на тези данни е належащо за съблюдаване на правно обвързване, което изисква култивиране, планувано в правото на съюза или правото на страната членка, което се ползва по отношение на админа или за осъществяването на задача от публичен интерес или при упражняването на публични пълномощия, които са предоставени на админа. Например такова ще бъде задължението на Главния откривател да съхранява документите от обещано клинично изпитване по силата на Регламент (ЕС) 536/2014 година за период от 25 година
Правото да бъдеш пропуснат няма да е използвано и в случаите, когато информацията следва да се обработва по
аргументи от публичен интерес в региона на публичното здраве.
Такива са да вземем за пример данни за сложени имунизации на пациенти, обработвани от общопрактикуващия доктор, или данни за донори на кръв и съответните резултати от проучвания на дарената кръв.
В умозаключение следва да се означи, че се чака лечебните заведения да срещнат усложнения при осъществяване на новите регулации в региона на отбрана на персоналните данни. Това най-много се отнася за огромните лечебни заведения, през които годишно минават десетки хиляди пациенти. Действащото законодателство в страната не регламентира ясно и поредно типовете документи, които се сформират в хода на оказване на здравна помощ на пациентите, периодите за тяхното предпазване и съответните отговорности. Уредбата е разпръсната в Националните рамкови контракти и приложенията им, медицинските стандарти, Закона за здравето, Закона за здравното обезпечаване и голям брой подзаконови нормативни актове. Липсата на електронно опазване на здравето и поддържане на голям брой хартиена документи основава спомагателни опасности за вярното й и законосъобразно култивиране. Следва да се обърне внимание и на събитието, че глобите за нарушавания на регламента са извънредно високи, а множеството чиновници, които обработват персонални данни по силата на контракт или акт на админа, дават отговор лимитирано по смисъла на Кодекса на труда.
Необходимо е да се подхващат своевременни организационни и механически ограничения, които да показват спазването на регламента, които включват образование на личния състав, вътрешни одити и обзор на вътрешните правила и стандарти, настоящи до този миг. Една от най-важните ограничения в региона на опазването на здравето е разясняването на значимостта от отбрана на сензитивните персонални данни и виновното отношение към обработването им.
Източник: capital.bg
КОМЕНТАРИ