Как здравният сектор трябва да управлява пациентската информация?

На 25 май 2018 година ГДПР ще влезе в сила в целия Европейски Съюз. Регламентът въвежда значителни промени в съществуващото българско законодателство относно защитата на лични данни.

ГДПР ще се прилага ли и в моята медицинска практика?

Освен за държавните и частните болници, ГДПР ще се прилага и за всички останали доставчици на здравни услуги, като частните домове за възратни хора, медицинските лаборатории, хосписите, очните и дентални клиники, физиотерапевти, джипита и всички други здравни работници,  които  работят с голям обем чувствителна информация, отнасящи се до техните пациенти, лицата, които се грижат за тях и семействата им, включително потенциално-уязвими физически лица, които не са в състояние да дават съгласие от свое име.

В тази статия, ще подчертаем основните аспекти, които засягат Здравния сектор

Разширяване компетентността на Комисията за защита на личните данни

На националния орган за защита на личните данни са предоставени широкообхватни правомощия за контрол и санкциониране. Комисията за защита на личните данни ще осъществява надзор и ще следи дали ГДПР  е се прилага стриктно от здравните работници или са налице нарушения, като ще осъществява проверки както по собствена инициатива, така и след оплакване/сигнал. Ако констатира нарушение,  Комисията за защита на личните данн, ще предприема действия по отстраняване на нарушението, както и налагане на глоби по административен ред.  Тези глоби могат да бъдат в размер до 20  милиона евро или 4% от общия годишен световен оборот на изминалата финансова година.

Промяна  в тежестта на доказване

ГДПР променя тежестта на доказване – носи я Администраторът (тоест лицето или организацията, които определят целите и средствата за обработка на личните данни) или Обработващият (лицето, което обработва данните от името на администратора). Това означава, че Администраторът на данни или Обработващият, трябва да докажат, че извършват дейността си , съгласно ГДПР. Обратно на повечето административни процедури, където регулиращият орган трябва първо да установи и докаже, че е извършено нарушение.

Активно съгласие

Личните данни могат да бъдат обработвани само при наличие на правно основание. Ако  то се основава на съгласието на лицето, чиито лични данни се обработват, ГДПР изисква това съгласие да бъде дадено свободно, конкретно, информирано и недвусмислено.

За целите на доказването, препоръчваме  да получите такова съгласие в писмена форма. В случай, че използвате електронна форма за събиране на съгласието, то не трябва да използвате предварително отметнато поле, без то да е маркирано от субекта на данните. Мълчанието, бездействието или липсата на активно маркиране на полето не представляват валидно съгласие съгласно ГДПР.

Права на пациентите

ГДПР предоставя набор от права на субекта на данните , повечето от които вече съществуват в действащото българско законодателство за защита на  личните данни. Правата включват – право на информираност, право на достъп , на коригиране и заличаване („правото да бъдеш забравен”) на информацията, право на преносимост на данните (ново), ограничаване, възражение срещу обработването, оттегляне на съгласието, право да подадат жалба до Комисията за защита на личните данни и други.

Длъжностно лице по защита на данните (ДЛЗД)

Длъжностното лице по защита на данните е част от персонала на здравното заведение или е външнен експерт, който следи за спазването на ГДПР.

ДЛЗД трябва да има експертни познания в областта  законодателството и практиката по защита на личните данни, да докладва на най-високо управленско равнище и да може да изпълнява задачите си самостоятелно.

ДЛЗД следва надлежно да отчита риска, свързан с операциите по обработване, като взема предвид естеството, обхвата, контекста и целите на обработването.

Задължително е да се назначат длъжностни лица по защита на данните към:

• всички публични органи и организации;
• във всички организации, чиято основна дейност е свързана с редовно и систематично наблюдаване на голям брой физически лица;
• и организации, които обработват голям брой специални категории данни съгласно чл. 9 от ГДПР

Ние смятаме, че болниците и повечето здравни заведения ще трябва да назначават ДЛЗД, тъй като попадат в категория III.

Повече информация за практическите критерии за назначаване на ДЛЗД може да намерите в :
Насоките за длъжностните лица по защита на данните („ДЛЗД“), приети на 13.12.2016 г. от Работна група за защита на данните по член 29 от ГДПР

Регистър на дейностите по обработка

Съгласно чл.30 от ГДПР, определени организации трябва да поддържат регистри за дейностите по обработване  (регистри на данните), който представляват структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии. Те съдържат името и данните за контакт на администратора, вида на данните, които се обработват, целта на обработката, правното основание за обработката на личните данни и др.

Такъв регистър е задължителен за организации с персонал от 250 или повече служители; както и за всички организации, които обработват данни регулярно, това обработване може да породи риск правата и свободите на субектите; и когато съответното обработване включва специални категории лични данни.

Регистрите могат да бъдат водени както на хартиен, така и на електронен носител. Пример за хартиени носители на лични данни: журнал от амбулаторно преминали пациенти; журнал от новопостъпили болни; журнал болнични листи; пациентско досие и прочие.

Отново от съдебната практика , ще определи как ще се прилагат тези критерии, но повечето здравни заведения трябва да поддържат такива регистри.

Как трябва да реагират здравните заведения при нарушаване на сигурността на личните данни?

Нарушаване на сигурността на личните данни означава такова такова нарушаване водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване на или достъп до лични данни, предавани, съхранявани или обработвани по друг начин от Администратора.

Принципът е, че администраторите уведомяват Комисията за защита на личните данни при наличие на нарушения, докато тези, които обработват личните данни, уведомяват администратора. Това трябва да се направи незабавно, когато е възможно, не по-късно от 72 часа след узнаване. В определени случаи засегнатите субекти на данни също трябва да бъдат уведомени за нарушението.

Практически въпроси за работещите в Здравния сектор

Какви са последствията от ГДПР и  българското законодателство за защита на личните данни във връзка с вашата ежедневна работа?

Ще преминем към най-често задаваните въпроси.

Кой следва да бъде разглеждан като администратор на лични данни?

В контекста на здравно заведение това може да се окаже сложен въпрос.  Разграничение  може да се прави между медицинското досие и всички други лични данни (адрес, телефон, данни за фактура и др.). Що се отнася до медицинското досие , главният лекар се счита за администратор. А за всички други лични данни – здравното заведение.

Кой следва да бъде разглеждан като Обработващ?

Обработващи могат да бъдат:

В зависимост от отношенията между здравното заведение и здравните работници, последните могат да изпълняват функциите на обработващи (лекари, физиотерапевти и т.н) ; външни за здравното заведение доставчизи на здравни услуги като медицински лаборатории; джипита; други здравни заведения и специалисти извършващи диагностични изследвания; софтуерни компании, когато личните данни не се съхраняват на собствен сървър; охранителни фирми, ако им е възложено видеонаблюдение на помещенията и др.

Какви са последствията от обработката на данни съдържащи се в медицинска документация?

ГДПР предвижда по-строги правила, при обработването на такъв тип данни (чувствителни данни съгласно чл. 9 от Регламента), като например:

• Правните основания за обработване на личните данни са по-ограничени. В повечето случаи ще се прилага едно от следните правни основание:  активно съгласие (пациентът се съгласява с определена процедура; за целите осъществяване на професионална медицинска услуга или на превантивната или трудовата медицина (напр. оценка на работоспособността на служителя), или жизненоважен интерес (напр. пациент в безсъзнание се нуждае от спешна медицинска помощ).
• Регистри на дейностите по обработване са задължителни
• Оценката за въздействието върху защитата на личните данни е задължителна;
• Длъжностно лице по защита на данните е задължилен;

Имам ли възможност да прехвърля данни съдържащи се в медицинска документация или да получа такива данни от други болници или лекари?

Отговорът е „ДА”, ако пациентът се е съгласил активно, да му бъде проведена определена медицинска процедура, която може да се осъществи само в друга болница или от друг лекар. В такъв случай, то той се съгласява също, че медицинската му информация, необходима за процедурата , ще бъде прехвърлена, ако има жизненоважен интерес за пациента и/или за целите на осъществяване на съответните здравни услуги.

Мога ли да прехвърля лични данни в мрежата от болници, от която съм част?

Ако болниците са различни юридически лица в рамките на една и съща болнична мрежа, ще се считат за трети страни един към друг в светлината на законодателството за защита на личните данни. В следствие на това личните данни могат да се прехвърлят, само ако се прилага едно от правните основания, посочени в ГДПР (виж по-нагоре).

Мога ли да прехвърля данни , които са анонимни?

Прехвърлянето на анонимни лични данни не е предмет на ГДПР. Прехвърлянето  на такива данни, следователно, е разрешено и не подлежи на нито едно от гореспоменатите правни основания.

Мога ли да правя копие на лична карта?

 По принцип искането на копие от лична карта, получаването на такива копия по електронен път, не е разрешено.

Комисията за защита на личните данни не веднъж вече е санкционирала организации, които имат практика да събират копия от лични карти на своите служители или клиенти. Копирането на лична карта, при която е изтрита нерелевантна информация, като напр. височина, цвят на очи, националност, дата на раждане и др., би могло да бъде прието като законосъобразно. Истината е, че съгласно принципът за ограничаване на данните до минимум, трябва да обработвате и съхранявате само тези данни, които са ви необходими за изпълнение на конкретната цел. Специални закони могат да предвиждат изключения от общото правило.

Мога ли да получа достъп до имейлите на моите служители?

Да, но само при определени обстоятелства, тоест с определена цел:  да се поддържа приемственост в случай, че служителят отсъства; да се поддържат икономическите интереси на организацията; да се поддържа безопасност на компютърните системи; да се наблюдава трудовата дисциплина.  Служителите, обаче трябва предварително да бъдат информирани за мониторинга на техните служебни имейли, в правилника за вътрешния трудов ред и да подпишат отделна декларация, че са информирани, прочели са правилника и се съгласяват с неговото съдържание.

Мога ли да искам свидетелство за съдимост при интервю за работа?

Не,  освен ако такива данни не се изискват да бъдат представени по закон или са от съществено значение за изпълнение на съответната длъжност (например за материално-отчетническа позиция).

Как да се подготвим за ГДПР?

Остват още няколко седмици до датата на влизане в сила на Общия Регламент, и е важно вече да сте започнали приспособяването на вашата организация и вашия екип към изискванията на ГДПР. По-долу изброяваме основните действия, които трябва да бъдат предприети.

Политика за защита на личните данни

Информирайте ключови лица и служители във вашата организация за ГДПР. Създайте насоки, практически правила, процедури, организирайте обучения за повишаване на осведомеността относно предстоящите промени.

Одит на настоящото ниво на защита на данните

Определете дали обработката на лични данни във вашата организация, понастоящем е в съответствие с ГДПР. При проверката обърнете внимание на следните параметри:

• Какви лични данни обработваме?
• Как сме получили тези лични данни (директно от субекта или непряко, чрез трета страна)?
• На кого прехвърляме тези лични данни?
• Имаме ли правно основание за обработката на личните данни (съгласие, договор, законно задължение, обществен интерес)?
• Ако правното основание е съгласие, субектът на данните, дал ли го е активно, съгласно разпоредбите на ГДПР?
• Ако правното основание е сключен договор, то обработваме ли личните данни, съобразно първоначалната воля, изложена в договора?
• Колко дълго съхраняваме личните данни?
• Личните данни актуални ли са все още?

Тази проверка не се извършва еднократно. Тя трябва да се извършва периодично, за да се спазят разпоредбите на ГДПР. Несъответствията следва да бъдат преодолени чрез конкретни и непосредствени действия и последващи проверки.

Екип за защита на данните и длъжностно лице по защита на данните

Проверете дали сте длъжни да назначите ДЗЛД. Сформирайте екип за защита на данните (за предпочитане е да се състои от служители от различни области – ИТ, юристи, финансисти, HR). Този екип ще отговаря за имплементирането на  ГДПР, спазването му и разпределянето на бюджета, свързан с ГДПР.

Регистри на дейностите по обработване

Дори да не е задължително, създайте регистри на дейностите по обработване. Това ще ви помогне да докажете, че спазвате принципа на отчетност, в случай на оплаквания или разследване от Комисията за защита на личните данни.

Политика за поверителност

Прегледайте политиката за поверителност, и ако е необходимо я актуализирайте.  Субектите трябва да бъдат информирани за правата си и да им се предостави, цялата информация, свързана с обработването на личните им данни, на ясен и разбираем език. Информацията трябва да е лесно достъпна. Осигурете механизъм , който осигурява отчетност (напр. включете поле с връзка към Декларацията за поверителност, при завършване на онлайн формуляра за достъп).

Съгласие за обработване

Прегледайте споразуменията с организациите, обработващи данните и тези, от които получавате лични данни. Вижте дали са в съответствие с ГДПР и добавете необходимото съдържание в анекси към договорите с тях.

Технически мерки за гарантиране нивото на сигурност

Включете специални мерки за защита, когато обработвате данни по електронен път.

• Компютърните операционни системи да използват високо ниво на защита (напр. Windows 10).
• Осигурете правила и системи за редовно архивиране на личните данни, активна защитна стена и деинсталирани комуникатори, осигуряващи достъп извън рамките на компютърната мрежа и създаващи предпоставки за идентифициране на IP адреса на потребителя.
• Достъпът до компютърната мрежа и до софтуера за работа с лични данни да се осъществява само от служители със лични кодове за достъп.

Ако имате някакви въпроси или ви е нужна правна помощ, относно спазването на ГДПР, моля не се колебайте да се свържете с нас.