Електронна система охорони здоров’я: а що з персональними даними?

January 17, 2022

15 грудня 2021 року народні депутати підтримали проект Закону України “Про внесення змін до деяких законодавчих актів України щодо удосконалення системи управління сферою охорони здоров’я та забезпечення медичного обслуговування населення”. Прийняті зміни набрали чинності 12 січня 2022 року та покликані удосконалити управління сферою охорони здоров’я і покращити медичне обслуговування населення. Для цього Закон передбачає роботу електронної системи охорони здоров’я – спеціальної системи, що забезпечить автоматизований облік медичних послуг та управління інформацією про охорону здоров’я, у тому числі медичною інформацією (інформація про стан здоров’я, діагнози та будь-які документи, що стосуються здоров’я).

Саме регулювання роботи електронної системи охорони здоров’я має низку особливостей, пов’язаних із захистом і обробкою персональних даних.  Передбачається, що “підписуючи декларацію про вибір лікаря, який надає первинну медичну допомогу, пацієнт (його законний представник) надає згоду на доступ до відомостей про нього, що містяться в електронній системі охорони здоров’я, такому лікарю, а також іншим лікарям за його направленням у межах, необхідних для надання медичних послуг такими лікарями.”

Такі норми закріплюють не право, а обов’язок пацієнта надавати зазначену згоду на доступ до даних про нього. Вони також не встановлюють чітко зміст та обсяг інформації, розпорядником якої буде Національна служба здоров’я України (далі – НСЗУ) та яку отримуватимуть лікарі, щоб надавати медичні послуги пацієнтам.

Зокрема, Регламент Європейського парламенту і Ради (ЄС) 2016/679 визначає згоду як вільно надане, конкретне, поінформоване та однозначне свідчення погодження від суб’єкта даних на опрацювання його персональних даних. Згода повинна поширюватися на всі види опрацювання даних, яке здійснюють для однакової цілі або цілей. У разі, якщо опрацювання передбачає кілька цілей, згода потрібна для кожної з них. Закон “Про захист персональних даних” також вказує, що згода суб’єкта персональних даних – це добровільне волевиявлення щодо надання дозволу на обробку його персональних даних відповідно до сформульованої мети їх обробки.

Прийнятий Закон встановлює, що НСЗУ, яка забезпечує роботу електронної системи охорони здоров’я, здійснює “обмін необхідною для діяльності інформацією” із закладом охорони здоров’я, з Фондом соціального страхування, Пенсійним фондом, Фондом соціального захисту осіб з інвалідністю та Мінфіном. Обробка персональних даних тепер може здійснюватися в цілях охорони здоров’я коли це необхідно для обміну інформацією про фінансування медичних послуг та послуг у сфері охорони здоров’я. Однак є умова: такі дані мають обробляти працівники, на яких покладені обов’язки забезпечення захисту персональних даних.

Водночас закон не деталізує ані межі “необхідної для діяльності інформації”, ані змісту інформації про фінансування медичних послуг, обмін якої передбачається Законом. У НСЗУ зауважили, що невизначеність мети, конкретного обсягу (переліку) персональних даних і відсутність порядку доступу до системи породжує ризики щодо захисту персональних даних. Пенсійний фонд також звертав увагу, що зміни суперечать законодавству та не дозволять працівникам, на яких покладено обов’язки щодо забезпечення захисту персональних даних, “з достатньою чіткістю передбачити свою поведінку”.

Таким чином, робота електронної системи охорони здоров’я, до складу якої входять центральна база даних та електронні медичні інформаційні системи, може створювати ризики порушення права пацієнта на таємницю відомостей про стан його здоров’я, факт звернення за медичною допомогою і діагноз – а це особливо чутлива інформація – а також про дані, одержані при медичному обстеженні.

*****

ЦЕДЕМ раніше розглядав інші законодавчі нововведення у медійній сфері, які набувають чинності у січні 2022 року.