Приватность в медицине
- 12 августа, 2022
- Медицина
Ни для кого не секрет, что GDPR распространяется на различные организации, будь то банки и облачные сервисы или цветочные магазины и больницы. О последних и поговорим сегодня, ведь сектор здравоохранения постоянно имеет дело с персональными данными. Более того, с их специальными (или чувствительными) категориями: информация о состоянии здоровья, биометрические данные и пр. А они особенно сильно оберегаются Регламентом.
Содержание
Данные о здоровье – персональные данные, которые относятся к физическому или психологическому здоровью человека.
Специальные категории персональных данных – персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, генетические и биометрические данные.
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Принципы GDPR, наиболее важные для сектора здравоохранения
Прозрачность – ключевой принцип GDPR, который подразумевает, что любая информация об обработке персональных данных пациента должна быть легкодоступна и понятна. Субъектам данных (т. е. пациентам) необходимо предоставить информацию о сборе и обработке в момент их проведения.
Вся информация, которая связана с обработкой данных, должна быть отражена в политике приватности: цели, правовые основания, сроки хранения и пр.
Data Protection Commission также рекомендует отразить эти сведения на листовках и плакатах в приемных отделениях больниц. Такие уведомления должны информировать пациентов об использовании их персональных данных для таких целей, как обучение, оценка услуг и клинический аудит, а также о том, как они могут получить полный доступ к Политике приватности и к кому обращаться по любым вопросам (т.е. ДПО).
Правовое основание
Согласно GDPR, у вас должно быть основание для обработки персональных данных (тем более специальных категорий!).
Там, где согласие необходимо, оно должно быть дано свободно, информировано и недвусмысленно указывать на желание человека. Отсутствие возражения не является согласием. Кроме того, у субъектов всегда есть возможность отозвать согласие также легко, как и дать его (не забудьте проинформировать их об этом).
В соответствии с Законом о защите данных у вас должно быть правовое основание для обработки персональных данных.
В GDPR предусмотрены особые условия для обработки данных о здоровье:
- профилактическая или профессиональная медицина;
- медицинский диагноз;
- оказание медицинской помощи;
- управление системами и службами здравоохранения;
- договор с медицинским работником;
- обеспечение высоких стандартов качества медицинской помощи;
- защита жизненно важных интересов субъекта данных, т.е. защита чьей-либо жизни, когда они не в состоянии дать согласие и это невозможно сделать, является менее навязчивым способом.
Там, где используются эти правовые основы, должны быть приняты «соответствующие и конкретные меры» для защиты основных прав и свобод пациента.
Права субъектов данных
В секторе медицины особенно важны следующие права субъектов данных (т.е. пациентов):
📎 Право на доступ к информации об обработке персональных данных и к их копии. Напоминаем, контролер должен предоставить информацию, запрошенную субъектом данных, в течение одного месяца. Срок можно продлить еще на два месяца, если это необходимо (например, сложность сбора данных).
📎 Право на исправление любых неточных данных.
📎 Право на забвение, то есть контролер должен удалить данные по истечению сроков хранения информации, неактуальности цели, желанию пациента, незаконности сбора информации.
Также не забудьте о праве на возражение, ограничение обработки, переносимость данных, которые подробно описаны в 3 Главе GDPR.
Контролер и процессор
Контролер – это физическое или юридическое лицо, государственный орган или любая другая организация, которая определяет, какие данные обрабатываются, с какой целью и т.д. (то есть капитан корабля), а процессор действует по поручению и от имени контролера. Несмотря на это, защитить персональные данные обязаны оба, хоть и каждый по-своему.
Врач является контролером данных, если занимается частной практикой, а процессором – будучи в штате больницы, поликлиники или любого другого медицинского учреждения. В последнем случае контролером становится работодатель.
Как правильно передать персональные данные в другие места?
Для оказания медицинской помощи необходим сбор персональных данных (пол, возраст, имеющиеся заболевания и пр.), так как без этой информации консультация врача или лечение невозможны.
Передача данных пациентов внутренним лабораториям или другим медицинским учреждениям считается обработкой персональных данных, которую необходимо внести в Реестр и Политику приватности. А также указать правовое основание и проинформировать пациентов (и не постфактум, а до начала обработки).
При передаче персональных данных в другие мед. учреждения, контролер (т.е. больница/поликлиника или частный врач) обязан удостовериться, что соблюдены все меры по защите данных, а права субъектов не нарушены.
Когда данные попадают “в руки” другого мед. учреждения, его руководство также становится контролером данных, и обработка осуществляется уже по новым причинам (или основаниям), а не от лица исходной больницы или поликлиники.
Хоть и наличие какого-то письменного договора необязательно, лучше заключить Соглашение об обмене персональными данными (Data Sharing Agreement), которое позволит четко зафиксировать, кто за что несет ответственность и кто будет виноват в случае нарушений.
Медицинским учреждениям особенно важно внимательно относиться к соблюдению требований GDPR, так как они постоянно имеют дело не просто с персональными данными, а с их специальными категориями.
P.S. Делимся с вами полезным документом, в котором подробно рассказывается, как защитить права пациентов и не нарушить принципы GDPR.