Захист персональних даних у системі eHealth: Секретаріатом Уповноваженого з прав людини виявлено порушення

27 Грудня 2019 10:40 Поділитися

Департаментом у сфері захисту персональних даних Секретаріа­ту Уповноваженого Верховної Ради України з прав людини проводиться низка перевірок дотримання вимог захисту персональних даних під час функціонування електронної системи охорони здоров’я (далі — система eHealth).

Зокрема, перевірено Національну службу охорони здоров’я України, ДП «Електронне здоров’я», ТОВ «ХЕЛСІ ЮА», КНП «Центр первинної медико-санітарної допомоги Печерського району», КНП «Центр первинної медико-санітарної допомоги «Русанівка» Дніпровського району м. Києва».

Перевірками встановлено, що під час функціонування системи eHealth неправильно застосовується законодавство у сфері захисту персональних даних.

Так, власники електронних медичних інформаційних систем (МІС) збирають персональні дані пацієнтів, у тому числі медичні дані, відбираючи можливість у пацієнтів надавати або не надавати згоду на обробку персональних даних. Вона відбирається під час звернення суб’єкта персональних даних до закладу охорони здоров’я та укладання декларації з лікарем, або під час реєстрації в МІС, зокрема для того, щоб записатися на прийом до лікаря.

У першому випадку згода надається шляхом проставляння відмітки в електрон­ній формі під час підписання декларації. Як встановлено під час перевірок вищеза­значених закладів охорони здоров’я, у них не завжди повідомляли про надання згоди суб’єкта персональних даних, проставляючи згоду самостійно замість пацієнта і без його відома. Крім того, у такому разі пацієнту не повідом­лялося, хто буде володільцем його персональних даних, склад та зміст зібраних персональних даних, його права, визначені Законом України «Про захист персональних даних», мету збору та осіб, яким вони передаються. Таким чином, пацієнт позбавлявся можливості реалізації та захисту своїх прав як суб’єкта персональних даних.

У другому випадку згода надається безпосередньо під час реєстрації суб’єкта персональних даних у системі eHealth. У такому разі надання згоди є обов’язковим, що не відповідає вимогам законодавства. Під час надання згоди суб’єкту персональних даних слід повідомляти про мету збору персональних даних. Проте під час проведення перевірок встановлено, що деякі власники МІС неправильно визначають мету обробки персональних даних та відносини із закладами охорони здоров’я щодо обробки персональних даних пацієнтів.

Так, власник МІС має обробляти персональні дані пацієнта для закладу охорони здоров’я і виступати в такому разі розпорядником персональних даних, на що згода суб’єкта персональних даних не потрібна. Однак власники МІС приймали згоду пацієнтів на обробку персональних даних для закладу охорони здоров’я, а свою власну мету обробки персональних даних зазначали занадто загально. Унаслідок цього пацієнт, надаючи згоду на обробку персональних даних, не знає, на що він фактично погоджується.

За результатами перевірок Національній службі здоров’я України рекомендовано до­опрацювати технічні вимоги до МІС для їх підключення до центральної бази даних системи eHealth, затверджені наказом НСЗУ від 06.02.2019 р. № 28. Також рекомендовано доопрацювати документи та привести у відповідність із законодавством у сфері захисту персональних даних відносини ТОВ «ХЕЛСІ ЮА» як розпорядника персональних даних пацієнтів закладів охорони здоров’я із закладами охорони здоров’я та припинити отримувати згоду суб’єктів персональних даних на обробку персональних даних, володільцем яких є заклад охорони здоров’я.

З метою з’ясування усіх обставин обробки персональних даних власниками МІС планується провести додаткові перевірки.

За матеріалами www.ombudsman.gov.ua

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Інші статті розділу


Останні новини та статті