Три становища на КЗЛД, свързани със здравеопазването

Комисията за защита на личните данни последните 30 дни даде три становища, свързани със здравеопазването –  за предоставяне на лични данни от община на Център за психично здраве, за определяне на фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания и за формата на упълномощаване при упражняване на права на субект на данни

Длъжностното лице по защита на данните в община К се е обърнало към КЗЛД със следните въпроси:

  1. Налице ли е основание община К., бидейки администратор на лични данни, да предостави личните данни на близките на пациентите на лечебното заведение, в обем три имена, ЕГН, адрес и телефон за връзка;
  2. При наличието на основание, необходимо ли е преди предоставянето на данните да бъде изискано съгласието на близките.

КЗЛД отговаря, че „ЦПЗ П.” ЕООД желае да получи от община К. данни на близки на пациенти на лечебното заведение в следния обем: три имена, ЕГН, адрес и телефон за връзка, но е достатъчно представянето на данни в следния обем – три имена, адрес и телефон за връзка, което ще бъде в съответствие с принципа за свеждане на данните до минимум, визиран в чл. 5, пар. 1, буква „в” от Общия регламент.

СТАНОВИЩЕ:

  1. На основание чл. 6, параграф 1, букви „в” и „г” от Регламент (ЕС) 2016/679, във връзка с чл. 6, ал. 1 от Закона за лечебните заведения и Наредба № 24 от 07.07.2004 г. за утвърждаване на медицинския стандарт „Психиатрия”, община К., в качеството си на администратор на лични данни, може да предостави на „Център за психично здраве – П.” лични данни на близки на пациенти на лечебното заведение.
  2. Данните могат да бъдат предоставени в следния обем: три имена, адрес и телефон за връзка, съгласно принципа за „свеждане на данните до минимум”, визиран в чл. 5, пар. 1, буква „в” от Регламент (ЕС) 2016/679.

Становището на КЗЛД относно определяне на фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания е по повод искането на   „С.Б.” ЕООД. Дружеството поставя следните въпроси:

  1. Дали при извършване на клиничното изпитване лечебното заведение обработва лични данни на участниците в клиничното проучване за целите на изпитването.
  2. В случай, че лечебното заведение обработва лични данни на участниците в клиничното проучване, в какво качество (администратор или обработващ) лечебното заведение обработва личните данни за целите на провеждане на клиничното изпитване.
  3. Счита ли се за обработване на лични данни, както от възложителя, така и от лечебното заведение действието, при което възложителят информира лечебното заведение относно изследователите и техните екипи, включени в изследването, доколкото същите са служители на лечебното заведение и същото вече разполага с техните лични данни.

КЗЛД отговаря, че в конкретния казус са налице доводи за разглеждане на фигурата на съвместни администратори, съгласно която когато двама или повече администратори съвместно определят целите и средствата на обработването, те се считат за съвместни. Те следва да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си, по-специално що се отнася до упражняването на правата на субектите на данни и съответните им задължения за предоставяне на информацията, посочена в членове 13 и 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо тях. Наред с това за субекта на данни е предвидена възможност за упражняване на своите права по отношение на всеки и срещу всеки от администраторите (чл. 26, § 3 от Общия регламент)

Нещо повече, в Становище 1/2010 на Работната група по чл. 29 (сега Европейски комитет по защита на данните) относно понятията „администратор“ и „обработващ” е посочено изрично, че при провеждане на клинични изпитвания участниците обработват лични данни в качеството на съвместни администратори, за което е даден и нагледен пример (стр. 30 на Становището).

С оглед на гореизложеното и на основание чл. 58, § 3, б. „б” от Регламент (ЕС) 2016/679, Комисията за защита на личните данни изразява следното

СТАНОВИЩЕ:

  1. При провежданетo на клинични изпитвания лечебните заведения обработват личните данни на участниците в тях за целите на съответните клинични изпитвания. В тези случаи лечебните заведения и възложителят на клиничното изпитване имат качеството на съвместни администратори по смисъла на чл. 26 от Регламент (ЕС) 2016/679.
  2. Всички действия на възложителя и на лечебното заведение, свързани с провеждането на клинично изпитване, включително обмена на информация между тях, се явяват обработване за тази конкретна цел.

Становището на КЗЛД относно формата на упълномощаване при упражняване на права на субект на данни пред лечебните заведения е по запитване от проф. Г.Н. д.м.н., в качеството му на изпълнителен директор на УМБАЛ „С.Е.” относно необходимостта от нотариална заверка на пълномощното на представителя на субекта на данни.

КЗЛД казва в становището си, че нито в Закона за здравето, като специален закон, нито в разпоредбите на Общия регламент и на Закона за защита на личните данни е предвидено изискване за нотариална форма на упълномощаване в хипотезата на упражняване на права от физическо лице – субект на данни/пациент. Следователно лечебните заведения нямат правно основание да изискват нотариална заверка на пълномощно при упражняване на права на физическите лица по чл. 15-22 от Общия регламент относно защитата на данните.

Във връзка с горното и на основание чл. 58, ал. 3 от Общия регламент за защита на данните, Комисията за защита на лични данни изрази следното

СТАНОВИЩЕ:

Лечебните заведения, в качеството им на администратори на лични данни, нямат правно основание да изискват нотариална заверка на подписа при упълномощаване на друго лице да упражни правата на субекта на данни по чл. 15-22 от Регламент (ЕС) 2016/679, а именно право на достъп до лични данни, право на коригиране на непълни или неточни данни, право на изтриване на данните („право да бъдеш забравен”), право на ограничаване на обработката на данни, право на преносимост на данните, право на възражение срещу обработването на данните.

Можете да споделите: