Співробітники Секретаріату Уповноваженого Верховної Ради України з прав людини (далі — Секретаріат омбудсмена) здійснили позапланову виїзну перевірку дотримання прав і свобод людини і громадянина у сфері захисту персональних даних та соціальних прав ДП «Електронне здоров’я», яке є адміністратором центральної бази даних електронної системи охорони здоров’я (eHealth).
Повідомляється, що це перша перевірка додержання законодавства у сфері захисту персональних даних під час функціонування eHealth.
Перевіркою встановлено, що ДП «Електронне здоров’я» відповідно до законодавства є розпорядником персональних даних, які обробляються в центральній базі даних eHealth, а володільцем більшої їх частини — Національна служба здоров’я України (НСЗУ).
Відмічається, що оскільки ДП «Електронне здоров’я» знаходиться у сфері управління МОЗ України, воно не може бути розпорядником персональних даних, володільцем яких є НСЗУ, відповідно до ч. 3 ст. 4 Закону України «Про захист персональних даних».
Як зазначено керівництвом ДП «Електронне здоров’я», підприємство не має доступу до центральної бази даних, внаслідок чого не виконує ряд функцій, покладених законодавством на нього як на адміністратора. Разом з тим ці функції здійснюються іншими суб’єктами, зокрема НСЗУ.
Повідомляється, що під час проведення перевірки недослідженим залишилось питання щодо надання доступу до центральної бази даних eHealth, а отже, і до персональних даних, які в ній обробляються, операторами медичних інформаційних систем (МІС) після прийняття рішення про підключення МІС до центральної бази даних eHealth.
З огляду на положення договору про підключення МІС до центральної бази даних, ДП «Електронне здоров’я» надає оператору МІС ключ до продуктивного середовища, про що складається відповідний акт. Проте ДП «Електронне здоров’я» відмовилося надавати підтвердження того, що зазначена функція здійснюється безпосередньо цим державним підприємством, а отже, можливо, зазначену функцію здійснює стороння особа.
Також ДП «Електронне здоров’я» під час перевірки не надано інформації щодо того, хто саме здійснює оновлення та підтримку програмного забезпечення.
У зв’язку із цим у Секретаріаті омбудсмена вбачають, що доступ до центральної бази даних можуть мати сторонні юридичні особи, які виконують частину функцій адміністратора eHealth. Тому під час наступних перевірок у разі встановлення такого факту досліджуватиметься питання правомірності та доцільності надання доступу до центральної бази даних eHealth таким юридичним особам. Також перевірятимуться питання додержання вимог, зокрема, щодо захисту персональних даних, які містяться в центральній базі даних eHealth, іншими суб’єктами, які мають до них доступ.
Окрім цього, перевіркою встановлено, що належний рівень захисту даних, зокрема який вимагається законодавством, у центральній базі даних eHealth не забезпечено.
За результатами перевірки наразі готується акт з вимогами та рекомендаціями.
Коментарі
Коментарі до цього матеріалу відсутні. Прокоментуйте першим