Співробітниками Секретаріату Уповноваженого Верховної Ради України з прав людини (далі — Секретаріат) розпочалася позапланова виїзна перевірка Національної служби здоров’я України (НСЗУ) стосовно дотримання прав і свобод людини і громадянина у сфері захисту персональних даних. Інформацію про це розміщено на офіційній веб-сторінці Уповноваженого Верховної Ради України з прав людини.
Мета перевірки — з’ясувати питання дотримання вимог законодавства щодо захисту персональних даних під час впровадження та функціонування електронної системи охорони здоров’я.
Окрім того, варто зазначити, що співробітниками Секретаріату проведено позапланову виїзну перевірку щодо дотримання прав і свобод людини і громадянина у сфері захисту персональних даних та соціальних прав ДП «Електронне здоров’я», що є адміністратором центральної бази даних (ЦБД) eHealth.
За результатами проведеної перевірки встановлено, що адміністратор eHealth відповідно до законодавства є розпорядником персональних даних, які обробляються в ЦБД eHealth.
Володільцем більшої частини персональних даних, які обробляються в ЦБД eHealth, є НСЗУ. Але ДП «Електронне здоров’я» знаходиться у сфері управління Міністерства охорони здоров’я України (МОЗ), тому не може бути розпорядником персональних даних, володільцем яких є НСЗУ відповідно до ч. 3 ст. 4 Закону України «Про захист персональних даних» (Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу).
Як зазначає керівництво ДП «Електронне здоров’я», державне підприємство не має доступу до ЦБД, внаслідок чого не виконує ряд функцій, покладених на нього законодавством як на адміністратора. Разом з тим ці функції здійснюються іншими суб’єктами, зокрема НСЗУ.
Недослідженим пунктом залишилося питання надання доступу до ЦБД eHealth, відповідно, і до персональних даних, які в ній обробляються, операторами після прийняття рішення про підключення електронних медичних інформаційних систем до ЦБД eHealth.
Положення договору про підключення електронної медичної інформаційної системи до ЦБД ДП «Електронне здоров’я» надає оператору електронної медичної інформаційної системи ключ до продуктивного середовища, про що складається відповідний акт.
Проте ДП «Електронне здоров’я» відмовилося надавати підтвердження того, що зазначена функція здійснюється безпосередньо цим державним підприємством, а отже, можливо, зазначену функцію здійснює стороння особа. Також під час перевірки не надано інформацію щодо того, хто саме здійснює оновлення та підтримку програмного забезпечення.
Відповідно до зазначеного вище, вбачається, що доступ до ЦБД можуть мати сторонні юридичні особи, які виконують частину функцій адміністратора eHealth.
Під час проведення перевірки встановлено, що належний рівень захисту даних, зокрема який вимагається законодавством, у ЦБД eHealth не забезпечено. За результатами перевірки наразі готується акт з вимогами та рекомендаціями.
Коментарі
Коментарі до цього матеріалу відсутні. Прокоментуйте першим