Нова регулация променя режима за защита на личните данни – бъдете подготвени!
Адв. д-р Мария Петрова е единственият юрист – адвокат у нас и сред малцината в Европа със завършено образование по хуманна медицина и право. Потърсихме я за интервю по темата за защитата на личните данни в здравната сфера, тъй като наближава срокът, в който ще влезе в сила нова регулация – европейският Регламент GDRP или Общ регламент за защитата на данни, който термин е възприет у нас. Какво означават понятията „лични данни“ и „чувствителни лични данни“? Как ще се промени правният режим и как тази промяна ще се отрази върху работата на лечебните заведения? Какви препоръки отправи по този повод Комисията за защита на личните данни (КЗД) и защо е важно гражданите, медицинските специалисти и ръководствата на лечебните заведения да се запознаят с тях още сега? С тези въпроси се обърнахме към адв. д-р Мария Петрова. Ето отговорите, които тя даде специално за читателите на Redmedia.
Адв. Петрова, Регламент GDRP (ЕС 2016/679) или както е възприето названието у нас – Общ регламент относно защитата на данни, е факт и се очаква той да влезе в сила в края на май 2018 г. Съвсем обяснимо, промените в начина на регулиране на защитата на личните данни предизвикват нарастващ интерес през последните месеци. Какви са предизвикателствата пред доставчиците на здравни услуги в сферата на защита на личните данни във връзка с тези промени?
– Факт е, че през последните няколко месеца се наблюдава повишен интерес, което обаче поражда и немалко спекулации по темата. Проблемът „защита на лични данни и здравна информация“ стои на дневен ред не от скоро. Законът въвежда като правило забрана за обработването на определени специални категории лични данни. Тяхното обработване е възможно само при изчерпателно изброени изключения. Такива специални, „чувствителни“ категории лични данни включват, наред с други неща, генетични данни и данни за здравословното състояние. Макар данните, отнасящи се до здравето, да са защитени като специална категория данни и спрямо досегашния режим, Общият регламент относно защитата на данни за първи път дефинира тези две понятия. „Данни за здравословното състояние“ са лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние, а понятието „генетични данни“ включват лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице. В допълнение, налице е и дефиниция за „биометрични данни“ – лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни. „Чувствителността“ на тези категории данни се крие например във възможността дадено лице да бъде уникално идентифицирано на база на тези данни или пък да бъде подложено на дискриминация. Ето защо ограниченията и изискванията на регламента са ключови за дейността на организациите в секторите медицина и фармация от гледна точка на това, че събират и използват големи количества чувствителни данни, свързани със здравето, по отношение на живи индивиди – пациенти и субекти на клинични изпитвания. В този смисъл новите изисквания за защита на данните ще бъдат от особено голямо значение за тяхната дейност.
Ако законът забранява обработването на данни за здравословното състояние и медицински данни, как работят болничните заведения и частните практики в рамките на тази забрана?
– Организациите, които събират или използват данни, свързани със здравето, генетичните данни или други видове чувствителни лични данни – каквито са лечебните заведения, (независимо дали са болници, медицински центрове, индивидуални практики, лаборатории), ще трябва да гарантират, че попадат в едно от изключителните обстоятелства, които допускат законосъобразно обработване на чувствителни лични данни. Именно такива са случаите на обработка на лични данни за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи. В тази категория изключения попадат още ситуации от вида „на живот или смърт“, при опасения от сериозни трансгранични заплахи за здравето или при сериозен обществен интерес за осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия. Разбира се, при всеки случай, когато организациите разполагат с изричното съгласие на пациента за конкретната цел, за която се обработват данните, тогава тяхната обработка също е разрешена.
Основанието за обработване обаче, е само едно от изискванията за законосъобразност. Наред с това, всяка организация трябва да дефинира конкретни цели; да използва данните само и единствено за тези цели и само в обема, необходим за постигането им; да ги обработва само за срока, необходим за постигане на съответните цели; да предвиди адекватни технически и организационни мерки и т.н. Това са т.нар. принципи за защита на личните данни, които стоят в основата на режима на защита на лични данни. В този смисъл определянето на това, кой и дали може да обработва данните и на какво основание, е само първата стъпка. Следва да се вземат предвид редица особености, свързани с промени в процеса на работа и гарантиране правата на пациентите.
Като практикуващ юрист познавате добре трудностите в здравеопазването. Ето защо Ви моля да очертаете най-често срещаните проблеми по отношение защитата на личните данни в този сектор.
– Повече от година Европейският институт по медицинско право, здравен мениджмънт и обществено здраве, съвместно с кантора LexMedica и Фондация „ЛИБРе“, работим в посока разясняване на това какво се променя, как ще се отрази на работата на лечебните заведения и какви мерки следва да предприемат работещите в сектора – не само администратори и медицински специалисти, но също и журналисти, комуникационни експерти, представители на пациентски организации, компании, които имат активност в областта на здравеопазването. За нас най-сложният проблем, с който се сблъскваме, е колко далечна е темата за защита на личните данни за тези групи хора. Което е отчасти разбираемо – техен приоритет е здравето на пациентите и особено при натоварването, на което са подложени болничните лечебни заведения, съчетано с липсата на кадри, това не е приоритет. В същото време новите технологии навлизат все по-сериозно в дейността на медицинските специалисти – от мобилни приложения, които биха се квалифицирали като обработващи данни за здравословното състояние, но в чиито общи условия се твърди, че не са, през преносимите устройства като фитнес гривни, до медицинските изделия в областта на телемедицината – всяко едно от тях обработва изключително голям обем от данни с огромно значение за здравето на пациентите, в случай че с тях се злоупотреби. Практиката показва, че дори интернет сайтовете, продаващи хранителни добавки или помощни медицински изделия, не се съобразяват с изискванията на закона и често пъти дават възможност за разкриване на чувствителни данни за потребителите, закупили техни изделия. Нещо повече, специализираният език и понятия, които се използват в тази сфера, препятстват работещите в сектор „Здравеопазване“ да се запознаят в детайли и адекватно да разберат какво предстои и какво трябва да се промени. Това от своя страна създава възможност за спекулации и вече имаме случаи на „опарени“, които са дали немалки суми за консултации, без да разбират резултата, който са получили, или да могат да го оценят или да си създадат реалистична преценка за цените на тези услуги. Наплашени са от санкциите и глобите по новия регламент, а никой не им е обяснил как ще се прилагат и че на практика сумите надали ще достигнат до 20 000 000 евро или до 4% от годишния оборот с оглед на извършваните от тях дейности, мащаба на обработка и спецификите на дейността им.
Тази липса на култура и разбиране на проблемите в областта на защита на личните данни пролича изключително ясно от секторната планова проверка на Комисия по защита на личните данни (КЗД) . Получихме десетки обаждания от колеги – лекари, болнични администратори, зъболекари, които задаваха основно въпроси, свързани с тематиката, но също така питаха защо им се изпращат тези въпросници и какви глоби следват, ако не отговорят. Всичко това ни даде ясна представа за цялостното непознаване на задълженията и проблемите, през които преминават тези администратори на лични данни.
Оттам насетне се нареждат и по-специфични проблеми – как да се направи оценка на въздействието с оглед на рисковете от обработване, как да се получи изричното съгласие на пациентите, когато това се налага, каква е отговорността на администраторите, липсата на времеви и финансови ресурси за работата по привеждане в съответствие с регламента и др.
Да разбираме ли, че няма универсално решение в тази ситуация?
– Ключовото обстоятелство е промяната режима за защита на личните данни – от уведомителен режим към режим на отчетност. Досега регистрацията на поддържаните от Комисия за защита на личните данни регистри беше достатъчна, като разрешение се изискваше само за организациите, които са заявили, че ще обработват специални категории данни, а проверката на първоначална регистрация и промени на регистрацията се правеше основно по документи. Оттук насетне процесът се обръща – организациите трябва да са в готовност да докажат законосъобразна дейност във всеки един момент, независимо дали искането идва от Комисия за защита на личните данни (КЗД) или трето лице, например доставчик, пациент, и т.н. Това създава необходимост от реорганизация на процесите по управление на дейността и определяне на длъжностно лице по защита на данните, което да се грижи за процедурите, документите и дейностите, изискуеми по новия регламент. Реално обаче спецификите на сектора не позволява автоматично прилагане на шаблони или процедури от други сектори – изисква се познаване на тези специфики и най-вече разбиране на основните проблеми на медицинското обслужване. Нещо повече, наемането на адвокат или IT специалист за тази позиция само по себе си няма да реши проблемите на организациите предвид комплексната експертиза, която се изисква от длъжностните лица.
Проблемът не е само при нас. Не случайно в началото на декември в Истанбул се проведе двудневен международен симпозиум, посветен единствено и само на проблемите по защита на личните данни в областта на здравеопазването, на търсенето на възможните решения за прилагане на регламента. Участвах като лектор, имаше и колеги от Германия, Австрия, Франция, Белгия, Гърция. Това показва колко голям е интересът към темата по принцип.
Какво ще посъветвате специалистите от системата на здравеопазването – откъде трябва да започнат и какви стъпки следва да предприемат, за да са изрядни пред новите изисквания?
– На 21 ноември 2017 г. Комисията по защита на личните данни (КЗД) публикува десет практически стъпки за прилагане на Общия регламент относно защита на данните. От този текст организациите могат да почерпят информация за това как биха могли да се справят сами или по какви критерии да оценяват офертите, които получават от различни консултанти. Важно е да се разбере, че това не е правен или ИТ проблем, а изисква комплексни знания и съществено участие на представители на администраторите на лични данни, тъй като това са хората, които най-добре познават собствените продукти, услуги или организация на работа.
Препоръката ми е да се запознаят с основните изисквания на законодателството – най-евтиният за тях начин е да прочетат публичната информацията, предоставена от самата комисия; след което да изготвят план за действия, като го съобразят със сроковете по прилагане на регламента – 25 май 2018 г.. Освен това те трябва да обмислят как е най-подходящо да въведат всички тези процедурни изменения и технологични и организационни мерки за защита на данните в тяхната организация. Процесът не бива да се подценява като мащаб и сложност, а да се подходи към него с разбиране и с желание да се подобри работата с пациентите и да се защитят техните права, а не само като към поредната административна тежест, която им се стоварва „отгоре“. Това е и лайтмотивът на новия регламент – защитата на личните данни не е тежест и риск, а отговорност и възможност за създаване и предоставяне на нови и по-добри продукти и услуги за крайния потребител.
Невена ПОПОВА
Redmedi
https://www.youtube.com/watch?v=Wb1x0z7tlPk