Чутливі дані в медицині та їх захист. Персональні дані пацієнта: захист персональних даних

Словосполучення “персональні дані” ми часто чуємо і зустрічаємо у нашому повсякденному житті. Жоден застосунок у нашому смартфоні не починає свою роботу без нашого дозволу на збір і обробку персональних даних, жодна заява чи анкета не проходить без запиту про персональні дані.

Захист персональних даних гарантує нам Конституція України та Конвенція про захист прав людини і основоположних свобод.

Якщо ви працюєте в царині медичного бізнесу, то захист персональних даних пацієнтів є одним із найголовніших пріоритетів. Це не тільки про прізвище, ім’я та по-батькові, податковий номер і адресу проживання, це про медичні дані, які до речі досить чітко захищаються нашим законодавством.

Нормативні акти, які сьогодні забезпечують захист чутливих персональних даних в Україні дещо суперечать один одному, і вступають у взаємний конфлікт. Проте все ж таки дають можливість виокремити певний алгоритм дій при захисті і обробці чутливих персональних даних.

Чутливі дані пацієнта - це вся інформація, що міститься в базах даних МЦ про стан здоров’я, історію хвороби, дослідження, лікування, генетичні дані, тощо. Їх захист має бути особливим. Адже розголошення чутливих даних пацієнта - це те саме, що ви будете ходити з табличкою, що у вашого сусіда ВІЧ/СНІД. 

Наше законодавство передбачає чітку відповідальність за недотримання вимог про захист персональних даних або їх розголошення.

Недотримання вимог захисту чутливих даних - це в першу чергу репутаційні втрати, адже жоден пацієнт не буде мати бажання звертатись до МЦ, який не забезпечує збереження персональних даних своїх пацієнтів. 

Ба більше, кожен пацієнт має право на звернення до Уповноваженого про захист своїх порушених прав. Уповноважений в свою чергу має право провести перевірку МЦ, на підставі якої скласти Акт про дотримання або недотримання вимог законодавства у сфері захисту персональних даних. У випадку, якщо уповноважений з’ясує недотримання умов захисту персональних даних він на підставі Акту готує припис про усунення порушень законодавства, для яких дається 30 календарних днів.

Якщо МЦ не виконує вимоги припису, Уповноважений має право застосувати штрафні санкції передбачені Кодексом про Адміністративні правопорушення України.

Цікаво: Відкрити медичний заклад: ФОП чи ТОВ?

Які документи потрібно мати медичному центру стосовно персональних даних? 

Кожен медичний центр повинен мати внутрішні документи в своїй роботі, для того щоб бути впевненим, що його бази даних мають захист.

Перше і основне, що повинен зробити керівник МЦ - це визначити відповідальну особу, або створити відповідний підрозділ, який буде відповідати за організацію роботи по збору, обробку та захист чутливих персональних даних. 

В свою чергу відповідальна особа або підрозділ, повинні розробити і подати на погодження керівнику Положення про порядок обробки персональних даних пацієнтів в медичному закладі, подати до Уповноваженого відповідні заяви, визначити коло осіб які мають доступ до бази персональних даних.

Наша команда допомагає у підготовці повного пакету документів, який буде в себе включати: 

• Положення про порядок обробки персональних даних пацієнтів у МЦ; 
• Наказ про призначення відповідальної особи, або Наказ про затвердження положення про підрозділ, відповідальний за персональні дані; 
• форми заяв до Уповноваженого тощо.

Після погодження Положення потрібно повідомити Уповноваженого Верховної Ради України з прав людини про те, що МЦ здійснює обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних. Уповноваженого також потрібно проінформувати про створення структурного підрозділу, або визначення відповідальної особи. Вся інформація, що надсилається МЦ щодо персональних даних, розміщується на офіційному веб-сайті Уповноваженого ВРУ з прав людини.

До речі, після того, як МЦ приймає рішення про припинення своєї роботи, він повинен повідомити Уповноваженого відповідною заявою про припинення збору і обробки персональних даних. Всі наші клієнти, які працюють з нами, не мають порушень у цій царині.

Важливо! При будь-яких конфліктних ситуаціях МЦ з пацієнтом, якщо останній напише скаргу до Уповноваженого, а Уповноважений виявить відсутність повідомлення про збір і обробку чутливих даних від МЦ, це відразу прямий шлях до позапланової виїзної перевірки Уповноваженим МЦ, приписів і навіть штрафів.

Цікаво: Алгоритм дій, якщо прийшов невдоволений пацієнт

Як повідомити пацієнта про обробку його персональних даних?

Окремим документом, який має бути постійно в роботі вашого МЦ - є Повідомлення пацієнта про збір і обробку його персональних даних. 

Таке повідомлення розробляється з обов’язковим зазначенням можливості видалення цих даних, або отримання їх самим пацієнтом, адже згоду на збір і обробку персональних даних закон скасував, ще в 2014 році. Така можливість затверджується окремо, або разом із порядком у вигляді додатку.

Положення про порядок обробки персональних даних пацієнтів в МЦ, має містити такі обов’язкові розділи:

• Склад персональних даних у базі персональних даних;
• Повноваження керівника МЦ та відповідальної особи за організацію роботи, пов'язаної із захистом персональних даних;
• Права пацієнта як суб'єкта персональних даних;
• Обов'язки працівників Товариства та його структурних підрозділів, які здійснюють обробку та використовують персональні дані;
• Порядок обробки персональних даних у Медичному центрі;
• Передавання персональних даних;
• Захист персональних даних при їх обробці.

Станом на сьогодні МЦ має можливість вести всю документацію двома шляхами: 

• в паперовому вигляді (картотеки);
• в електронному форматі (МІС). 

МОЗ своїми наказами зобов’язує всі заклади охорони здоров’я, не залежно від форми власності, переходити в електронний формат, адже така форма зберігання даних, як загальних, так і спеціальних (чутливих), дає можливість іншим спеціалістам, до яких звертається пацієнт, мати доступ до його історії хвороби. А це полегшує надання медичної допомоги, та зменшує ризики лікарських помилок, у зв’язку із відсутністю всієї інформації про анамнез пацієнта. 

Сьогодні такий режим згоди/повідомлення існує тільки в системі eHeаlth. Тобто пацієнт підписуючи декларацію з лікарем надає згоду на обробку і збір його персональних даних не тільки сімейним лікарем, а і суміжними спеціалістами. Але не кожен МЦ має бажання підписувати угоди на співпрацю і працювати в системі eHeаlth, адже там є свої особливості, переваги та недоліки.

Тому для своїх клієнтів ми розробили форму Повідомлення відповідно до Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верхов­ної Ради з прав людини «Про затвердження документів у сфері захисту персональних даних» від 08.01.2014 р. № 1/02-14. Ця форма містить наступну інформацію для пацієнта: 

• про те, що МЦ повідомляє його про збір і обробку його даних; 
• про те, що він має право на отримання цієї інформації; 
• про те, що він має право зобов'язати МЦ знищити цю інформацію. 

Пам'ятайте, захист персональних даних, а особливо чутливих - це не тільки про виконання вимог закону, це про вашу персональну відповідальність за ту інформацію, власником якої ви стали у зв'язку із наданням медичних послуг. 

Якщо ви вже працюєте, або тільки маєте бажання почати медичний бізнес, наша команда вам допоможе у цьому. Ми надамо необхідні консультації з питань захисту персональних даних, допоможемо у підготовці, формуванні пакету документів та подачі його у відповідні органи. 

Все це є частиною нашої послуги з надання обслуговування медичним закладам в Україні.

Вартість та умови отримання послуги дізнавайтесь тут.