Що потрібно знати пацієнту медичних закладів стосовно безпеки персональних даних?
При заповнені декларації про вибір лікаря, пацієнт передає медичному закладу ряд персональних даних, таких як прізвище, ім’я, по-батькові, реєстраційний номер облікової картки платника податків, номер та серію паспорту або інших документів, що посвідчують особу, адресу проживання та інші дані, за якими можна ідентифікувати пацієнта. Також пацієнт надає згоду про збір та обробку персональних даних.
Чи може після цього пацієнт медичного закладу бути впевненим в тому, що його персональні дані не попадуть в руки сторонніх осіб? Яким чином відбувається подальша обробка та збереження персональних даних стосовно пацієнтів?
Для пацієнта важливо розуміти хто саме в медичному закладі має право на обробку персональних даних. В першу чергу, це сімейний лікар, з яким пацієнт підписав декларацію про вибір лікаря. Також персональні дані можуть обробляти інші лікарі, до яких звертається пацієнт для отримання медичної допомоги. Крім того, в медичному закладі може бути визначена конкретна особа, яка відповідає за обробку персональних даних. Така особа попереджається про заборону поширення персональних даних пацієнтів, які їй стали відомі. Це означає, що інші лікарі чи працівники медичного закладу не мають право на доступ до персональних даних в будь-якому випадку.
Тривалий час вся інформація стосовно пацієнтів зберігалася в паперовому вигляді. Більш того, частина персональних даних – прізвище, ім’я, по-батькові, адреса реєстрації – взагалі зазначалася на титульній сторінці медичної карточки. Це сприяло тому, що відбувалися випадки незаконного поширення персональних даних без згоди пацієнта. Така інформація могла стати відомою не лише медичному персоналу закладу, але і іншим пацієнтам.
Проте на даний час альтернативою паперовій формі зберігання інформації являється електронна система охорони здоров’я (eHealth).
Відповідно до Закону України «Про державні фінансові гарантії медичного обслуговування населення»:
електронна система охорони здоров’я – інформаційно-телекомунікаційна система, що забезпечує автоматизацію ведення обліку медичних послуг та управління медичною інформацією шляхом створення, розміщення, оприлюднення та обміну інформацією, даними і документами в електронному вигляді, до складу якої входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматичний обмін інформацією, даними та документами через відкритий програмний інтерфейс (АРI).
Завданням електронної системи охорони здоров’я є:
– забезпечення можливості використання пацієнтами електронних сервісів для реалізації їх прав за програмою державних гарантій медичного обслуговування населення,
– автоматизація ведення обліку медичних послуг і управління медичною інформацією,
– запровадження електронного документообігу у сфері медичного обслуговування населення за програмою медичних гарантій.
Система eHealth складається з центральної бази даних та електронних медичних інформаційних систем, між якими забезпечено автоматизований обмін інформацією, даними та документами через відкритий програмний інтерфейс (АРI).
Чи буде зазначена система більш ефективною для захисту персональних даних пацієнтів?
Відповідно до заяви МОЗ: «Центральна база даних eHealth знаходиться в захищеному датацентрі в м. Києві, який також має комплексну систему захисту інформації з підтвердженою відповідністю. Раніше була проведена величезна робота з побудови систем захисту даних. Важливими її етапами були експертні дослідження та отримання експертних висновків про відповідність програмного забезпечення центральної бази даних, засобів криптографічного захисту, розробка та затвердження разом з ДССЗЗІ вимог до електронних медичних інформаційних систем».
Закон України «Про державні фінансові гарантії медичного обслуговування населення» гарантує, що доступ до даних про пацієнта, що містяться в електронній системі охорони здоров’я, можливий лише у разі отримання згоди такого пацієнта (його законного представника) у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Без згоди доступ до інформації про пацієнта можливий у випадках:
- наявності ознак прямої загрози життю пацієнта;
- за умови неможливості отримання згоди такого пацієнта чи його законних представників (до часу, коли отримання згоди стане можливим);
- за рішенням суду.
Також треба мати на увазі, що пацієнт (його законний представник) може подати заяву про відкликання заяви про надання згоди на обробку персональних даних або про надання доступу третім особам до інформації, що міститься у центральній базі даних. Така заява повинна бути опрацьована протягом трьох робочих днів (Постанова Кабінету Міністрів України від 25.04.2018 р. № 411 «Деякі питання електронної системи охорони здоров’я»).
Таким чином, вбачається, що електрона форма зберігання інформації може бути більш ефективною для захисту персональних даних пацієнтів, ніж паперова форма. В той же час, система еHealth ще розробляється і доповнюється. Вона знаходиться в стадії впровадження та доопрацювання. Отже, можливі як і випадки несанкціонованого вторгнення в систему, так і помилки осіб, які обробляють персональні дані пацієнтів. Виражаємо сподівання, що скоро система еHealth стане надійним способом зберігання персональних даних пацієнтів.
Автор: Ольга Семенюк, юристка та правозахисниця.
Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» в рамках спільної ініціативи «EU4USociety». Матеріал відображає позицію авторів і не обов’язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу».