Адвокат Шаркова:  Комисията за защита на личните данни трябва да коментира въпроса за сигурността на личните ни данни в електронното пациентско досие

Адвокатът по медицинско право Мария Шаркова написа в сайта си на 22 април:  През миналата седмица сезирах Комисията за защита на личните данни, тъй като съм сериозно обезпокоена за сигурността на личните данни за здравословното ни състояние, съдържащи се в електронното пациентско досие. Държа да подчертая, че съм сезирала КЗЛД с искане да даде указания и да осъществи правомощията си по надзор за спазване на Общия регламент за личните данни, а не да санкционира администраторите на лични данни, тъй като подобна санкция в крайна сметка ще бъде платена от всички данъкоплатци.

С нейно разрешение публикувам текста:

„През миналата седмица сезирах Комисията за защита на личните данни, тъй като съм сериозно обезпокоена за сигурността на личните данни за здравословното ни състояние, съдържащи се в електронното пациентско досие. Държа да подчертая, че съм сезирала КЗЛД с искане да даде указания и да осъществи правомощията си по надзор за спазване на Общия регламент за личните данни, а не да санкционира администраторите на лични данни, тъй като подобна санкция в крайна сметка ще бъде платена от всички данъкоплатци.

Преставям Ви текста на писмото, изпратено до КЗЛД: 

Обръщам се към Вас в качеството си на адвокат, предоставящ правни услуги в областта на здравеопазването, както и в качеството на субект на лични данни за здравословното ми състояние (чувствителни лични данни), които се съдържат в електронното ми медицинско досие, достъпно чрез националната здравноинформационна система (НЗИС) на следния уеб сайт: https://www.his.bg.

На посочения сайт е достъпно електронно медицинско досие (ЕМД), като всеки субект на личните данни може да достъпи същото чрез квалифициран електронен подпис (КЕП). На електронната страница на НЗИС не епубликувана информация, касаеща правилата за достъп до електронното медицинско досие, достъпът на трети лица до данните, съдържащи се в него, както и други правила, свързани с реализиране на правата на субекта на личните данни, съгласно действащата позитивноправна уредба в страната и на територията на държавите – членки на ЕС.

При осъществен достъп до личното ми досие установих, че в него се съдържат множество данни за здравословното ми състояние, включително диагнози, лечение, ваксинации и прочее, които са от кръга на данните по чл. 9 от ОРЗЛД. Нямам представа по какъв начин създателят на електронното пациентско досие е получил тази информация и на какво основание я обработва. Не е ясно и кой е администратор на тези лични данни, както и при споделяне на данни от един орган към друг (например от НЗОК към МЗ) в какви отношения са органите и дали са съвместни администратори. Такава информация не е публикувана в НЗИС.

Освен това беше обявено публично от Министъра на здравеопазването[1], че чрез достъп до ЕМД, всеки пациент, притежаващ КЕП, може да генерира и разпечата сертификат за извършена имунизация с ваксини против COVID-19, а ако не притежава КЕП, може да се обърне към своя общопрактикуващ лекар (ОПЛ) или към служител от центрове за ваксинация, създадени към лечебни заведения или Регионални здравни инспекции (РЗИ). Тук е мястото да отбележа, че липсва установен ред за издаване на посочения сертификат, както и за обработване на лични данни във връзка с неговото издаване.

Съгласно чл. 28г от Закона за здравето (ЗЗ) се предвижда създаването на Национална здравноинформационна система, която се администрира и поддържа от Министерството на здравеопазването.Създаването и поддържането на Националната здравноинформационна система се извършва въз основа на следните принципи:

  • гарантиране на актуалност и точност на предоставените и съхраняваните данни;
  • осигуряване на подходяща среда за обмен на данни;
  • гарантиране на регламентиран достъп до данните в електронната информационна система при спазване изискванията на закона;
  • осигуряване на оперативна съвместимост и информационна сигурност.

Видно от същия чл. 28 г. от ЗЗ, НЗИС се събира, обработва и съхранява информация за здравното състояние на населението чрез създаване и поддържане на електронен здравен запис на всеки гражданин.

Съгласно посочената нормативна уредба НЗИС включва електронните здравни записи на гражданите и всички регистри, информационни бази от данни и системи, за които е предвидено в наредбата по ал. 6 (чл. 28 г., ал. 6 – бел. моя) или в друг нормативен акт, че се водят от Министерството на здравеопазването и неговите второстепенни разпоредители с бюджет, от лечебни и здравни заведения, от Националната здравноосигурителна каса и от застрахователните дружества, лицензирани по т. 2 или по т. 1 и 2 от раздел ІІ, буква „А“ на приложение № 1 към Кодекса за застраховането.

Предвидено е още, че за създаването и поддържането на електронните здравни записи на гражданите лечебните и здравните заведения подават информация в Министерството на здравеопазването, като видът на информацията, начинът на нейното предоставяне, както и условията и редът за предоставянето и се определят с наредба на министъра на здравеопазването. С тази наредба се определят и условията и редът за водене на регистрите, информационните бази от данни и системи, включени в Националната здравноинформационна система.

В чл. 28д е посочено, че право на безвъзмезден достъп до НЗИС имат следните субекти:

  • гражданинът – до информацията в неговия електронен здравен запис;
  • лечебните и здравните заведения и Националната здравноосигурителна каса при и по повод осъществяване на функциите си;
  • застрахователните дружества, лицензирани по т. 2 или по т. 1 и 2 от раздел ІІ, буква „А“ на приложение № 1 към Кодекса за застраховането;
  • държавни органи, за които е предвиден в закон достъп до регистри с национално значение.

Предоставянето на достъп до информацията в електронния здравен запис на гражданите и на лицата по ал. 1, т. 2, 3 и 4 се извършва само след изрично писмено съгласие при условия и по ред, определени с наредбата по чл. 28г, ал. 6.

Видно от изложената на кратко нормативна уредба на НЗИС и в частност на електронния здравен запис, най-важните и съществени въпроси, свързани със защитата от неправомерно обработване на чувствителни лични данни, са делегирани на Министъра на здравеопазването, който е длъжен да приеме наредба, с която да уреди тези въпроси. Такава наредба не е приета до този момент, като не съм запозната да е обявен и проект на същата, който да бъде подложен на обществено обсъждане.

В тази връзка в качеството си на адвокат, предоставящ правни услуги в областта на здравеопазването, в това число на физически лица – пациенти, чиято защита на личните данни за здравословното състояние е особено важна, както и в лично качество – като субект на лични данни, съдържащи се в електронното медицинско досие (ЕМД), бих желала да получа гаранции, че чувствителните лични данни са защитени в съответствие с изискванията на Общия регламент за личните данни и, че се обработват само в изрично предвидените случаи. Освен това бих искала да се уверя, че са гарантирани в пълен обем правата на всеки един субект на тези чувствителни лични данни, в това число да узнаят кой е имал достъп до тях, на какво основание и каква е защитата на субектите в тези случаи.

В тази връзка представям на Вашето внимание само един от примерите за функционирането на ЕМД, който буди притеснение у мен:

Както вече обясних по-горе, публично е известно (от съобщение на МЗ, към което съм реферирала), че всеки имунизиран гражданин може да получи сертификат за имунизация чрез достъп до ЕМД. Това може да стане лично, чрез използване на КЕП или с чрез предоставяне на тази услуга от трети лица. В тази връзка на 02.04.2021 г. беше приет Договор № РД-НС-01-4-10 от 01.04.2021 г. за изменение и допълнение на Националния рамковдоговор за медицинските дейности между Националната здравноосигурителна каса и Българския лекарски съюз за 2020 – 2022 г. В него е посочено следното: §3 от ПЗР: Изпълнителите на първична извънболнична медицинска помощ, специализирана извънболнична медицинска помощ и болнична медицинска помощ, определени със заповед на министъра на здравеопазването, получават сума в размер на 10 лв. за поставена доза на препоръчителна ваксина срещу COVID-19, в която се включва и издаване на документ/и за поставянето, например сертификат за ваксинация срещу COVID-19, отговарящ на изискванията на държавите – членки на Европейския съюз.

Видно от цитираната разпоредба, в нея не са уредени редът и условията за достъп до ЕМД на всеки отделен пациент от трети лица – служители на посочените лечебни заведения, които ще издават тези сертификати, в случай, че пациентът не притежава КЕП.

Във връзка с изложеното по-горе, за мен оставят неизяснени следните въпроси:

  1. ЕМД представлява ли „електронен здравен запис“ по смисъла на чл. 28 г от ЗЗ? Ако между двете има пълно съвпадение, защо не е използван точният термин, предвиден в закона? Ако не е налице идентичност – какво е правното основание за създаването му, съответно за обработването на особена категория лични данни?
  2. Налице ли са гаранции и какви за спазване на правата на субектите на чувствителните лични данни, съдържащи се в ЕМД?
  3. По какъв начин е регламентиран редът за обработване на личните данни от МЗ във връзка с ЕМД?
  4. Кои администратори или обработващи лични данни и при какви условия имат право да обработват личните ми данни, в какъв срок и обем?
  5. Ако даден субект може да достъпи ЕМД (например с цел да разпечата сертификат за проведена имунизация), значи ли това, че ще има достъп до целия обем от лични данни или само до данните, съдържащи се в сертификата при спазване на изискванията за пропорционалност? В какъв срок ще има достъп и дали след издаване на сертификата този достъп ще бъде преустановен?
  6. Ако ОПЛ има достъп до личните ми данни и избера друг ОПЛ, в чиято листа да бъда включена, какъв е редът за ограничаване на достъпа до личните ми данни от предишния ОПЛ?
  7. Имам ли право да поискам изтриване на ЕМД или на отделни данни от него, какъв е редът за това?
  8. Ако посетя лечебно заведение и в тази връзка служителите му получат достъп до ЕМД, по какъв начин се гарантира спазването на принципа за пропорционалност? В какъв срок и обем ще имат достъп до личните ми данни тези служители?
  9. По какъв начин МЗ гарантира обработването на личните ми данни при спазване на принципите, установени чл. 5 от ОРЗЛД

Очаквам и моля да осъществите Вашите правомощия по чл. 10, ал. 1 (осъществяване на цялостен надзор по спазването на ОРЗЛД) и правомощията си по чл. 10а, ал. 2, т. 2 от ЗЗЛД, като издадете съответните указания или препоръки, гарантиращи правото на защита на личните данни за здравословното състояние на всички български граждани.

[1] Например тук: https://www.mh.government.bg/bg/novini/aktualno/izdavaneto-na-sertifikat-za-vaksinaciya-sreshu-cov/

 

Аз съм писала по темата на 5 март 2021 година – Информационно обслужване пак се изложи

и на 7 март – Какви са проблемите на Националната здравно-информационна система със защитата на личните данни?

 

Можете да споделите: