Захист персональних даних пацієнтів – сьогодні це актуально як ніколи!

Однією з найбільш конвертованих валют у сучасному світі є персональні дані. Ми отримуємо велику кількість послуг не витрачаючи гроші, натомість розплачуємось за них інформацією про себе. Так, ми користуємось соціальними мережами та завантажуємо мобільні додатки, читаємо тексти, слухаємо музику та дивимось відео онлайн тощо. В обмін на все це постачальники цих послуг отримують певну кількість інформації про нас.

Впровадження конкретизованих прав людини щодо захисту її персональних даних, гарантованих Конституцією, закріплюється в Законі України «Про захист персональних даних» (далі — Закон), який регулює правові відносини, пов’язані із захистом та обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини та громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.
Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені для внесення до картотеки, із застосуванням неавтоматизованих засобів (статті 1, 2 Закону).

Одним із найактуальніших і найпоширеніших питань в ході медичної реформи є захист персональних даних пацієнтів, які звертаються до лікарів для отримання медичних послуг. Слід наголосити, що стаття 32 Конституції України проголошує право людини на невтручання в її особисте і сімейне життя, крім випадків, передбачених Конституцією України, а також не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Сьогодні важливиим чинником впровадження медичної реформи є електронна система охорони здоров’я (E-Health). Для того щоб підписати договір з НСЗУ, заклад охорони здоров’я має бути зареєстрований у цій системі. А для того, щоб виконувати договір з НСЗУ головні лікарі та медичні працівники мають мати власні кваліфіковані електронні підписи (КЕП).

E-Health складається з двох взаємопов’язаних частин, одну з яких — центральну базу даних (ЦБД) — контролюватиме держава. Заклади отримають доступ до неї через другу частину — медичні інформаційні системи (МІС), розроблені приватно.

Медичні заклади можуть обирати будь-яку МІС з-поміж тих, які пройшли перевірку та підключилися до центрального компонента електронної системи охорони здоров’я.

Від розробників МІС вимагається суворе дотримання вимог щодо надійності, безпеки та конфіденційності даних, якими їхні системи обмінюватимуться з центральною базою даних (ЦБД).

Електронна системи охорони здоров’я E-Health складається з центрального компонента, що відповідає за централізоване зберігання та обробку інформації, та медичних інформаційних систем (МІС), які підключаються до центрального компонента після проходження перевірки на дотримання встановлених стандартів обміну даними. Відповідність МІСів вимогам щодо надійності, безпеки та конфіденційності персональних даних підлягає сертифікації з боку Державної служби спеціального зв’язку та захисту інформації України.

Загальний регламент захисту даних (General Data Protection Regulation)

У 2016 році у країнах ЄС набув чинності Загальний регламент захисту даних, General Data Protection Regulation (Регламент), яким було запроваджено нові принципи обробки персональних даних і встановлено нові гарантії їх захисту. Відповідно до Угоди про асоціацію з ЄС Україна взяла на себе зобов’язання привести своє національне законодавство у відповідність до вимог GDPR. Частина вимог GDPR в тій чи іншій мірі вже фігурує в українських законах, проте вони є не чітко визначеними та потребують уточнень. У той же час, окремі положення GDPR є докорінно новими та лише мають знайти відображення у вітчизняному законодавстві.

Так, GDPR встановлює більш суворі правила до згоди на опрацювання персональних даних: обов’язок довести її наявність прямо покладається на того, хто їх збирає. Також посилено критерії до поінформованості суб’єктів персональних даних, встановлено, що інформація про те, як дані збираються та використовуються, має надаватись у стислій, прозорій, доступній для розуміння та легко доступній формі, з використанням чітких і простих формулювань. Обов’язок доводити факт дотримання ключових вимог щодо опрацювання персональних даних покладається на суб’єкта, який їх збирає (тобто можна сказати, що діє презумпція вини порушника). У свою чергу максимальний розмір санкцій, передбачений Регламентом за порушення, є вкрай відчутним для будь-яких великих компаній – 20000000 € або, у випадку підприємства, до 4% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою.

Крім того, GDPR передбачає створення незалежних публічних органів, відповідальних за моніторинг застосування Регламенту. Такі органи повинні мати слідчі повноваження, а також право накладати санкції. У більшості країн Європейського Союзу такі органи вже створені, при цьому вони є вузькоспеціалізованими (тобто займаються виключно питаннями інформації та персональних даних).

У сучасному світі захист персональних даних людини є важливим правом, реалізацією якого повинні піклуватись як владні структури, так і безпосередньо суб`єкти, які обробляють та певним чином використовують персональні дані людей. Звідси й формується довіра суспільства до влади, яка зобов`язана робити все можливе для захисту прав людини, та довіра всередині суспільства, що в кінцевому підсумку примножує відчуття захищеності та благополуччя кожної людини.

А як в Україні?