Приватность в медицине
- 12 августа, 2022
- Медицина
Ни для кого не секрет, что GDPR распространяется на различные организации, будь то банки и облачные сервисы или цветочные магазины и больницы. О последних и поговорим сегодня, ведь сектор здравоохранения постоянно имеет дело с персональными данными. Более того, с их специальными (или чувствительными) категориями: информация о состоянии здоровья, биометрические данные и пр. А они особенно сильно оберегаются Регламентом.
Данные о здоровье – персональные данные, которые относятся к физическому или психологическому здоровью человека.
Специальные категории персональных данных – персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, генетические и биометрические данные.
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Принципы GDPR, наиболее важные для сектора здравоохранения
Прозрачность – ключевой принцип GDPR, который подразумевает, что любая информация об обработке персональных данных пациента должна быть легкодоступна и понятна. Субъектам данных (т. е. пациентам) необходимо предоставить информацию о сборе и обработке в момент их проведения.
Вся информация, которая связана с обработкой данных, должна быть отражена в политике приватности: цели, правовые основания, сроки хранения и пр.
Data Protection Commission также рекомендует отразить эти сведения на листовках и плакатах в приемных отделениях больниц. Такие уведомления должны информировать пациентов об использовании их персональных данных для таких целей, как обучение, оценка услуг и клинический аудит, а также о том, как они могут получить полный доступ к Политике приватности и к кому обращаться по любым вопросам (т.е. ДПО).
Правовое основание
Согласно GDPR, у вас должно быть основание для обработки персональных данных (тем более специальных категорий!).
Там, где согласие необходимо, оно должно быть дано свободно, информировано и недвусмысленно указывать на желание человека. Отсутствие возражения не является согласием. Кроме того, у субъектов всегда есть возможность отозвать согласие также легко, как и дать его (не забудьте проинформировать их об этом).
В соответствии с Законом о защите данных у вас должно быть правовое основание для обработки персональных данных.
В GDPR предусмотрены особые условия для обработки данных о здоровье:
- профилактическая или профессиональная медицина;
- медицинский диагноз;
- оказание медицинской помощи;
- управление системами и службами здравоохранения;
- договор с медицинским работником;
- обеспечение высоких стандартов качества медицинской помощи;
- защита жизненно важных интересов субъекта данных, т.е. защита чьей-либо жизни, когда они не в состоянии дать согласие и это невозможно сделать, является менее навязчивым способом.
Там, где используются эти правовые основы, должны быть приняты «соответствующие и конкретные меры» для защиты основных прав и свобод пациента.
Права субъектов данных
В секторе медицины особенно важны следующие права субъектов данных (т.е. пациентов):
Право на доступ к информации об обработке персональных данных и к их копии. Напоминаем, контролер должен предоставить информацию, запрошенную субъектом данных, в течение одного месяца. Срок можно продлить еще на два месяца, если это необходимо (например, сложность сбора данных).
Право на исправление любых неточных данных.
Право на забвение, то есть контролер должен удалить данные по истечению сроков хранения информации, неактуальности цели, желанию пациента, незаконности сбора информации.
Также не забудьте о праве на возражение, ограничение обработки, переносимость данных, которые подробно описаны в 3 Главе GDPR.
Контролер и процессор
Контролер – это физическое или юридическое лицо, государственный орган или любая другая организация, которая определяет, какие данные обрабатываются, с какой целью и т.д. (то есть капитан корабля), а процессор действует по поручению и от имени контролера. Несмотря на это, защитить персональные данные обязаны оба, хоть и каждый по-своему.
Врач является контролером данных, если занимается частной практикой, а процессором – будучи в штате больницы, поликлиники или любого другого медицинского учреждения. В последнем случае контролером становится работодатель.
Как правильно передать персональные данные в другие места?
Для оказания медицинской помощи необходим сбор персональных данных (пол, возраст, имеющиеся заболевания и пр.), так как без этой информации консультация врача или лечение невозможны.
Передача данных пациентов внутренним лабораториям или другим медицинским учреждениям считается обработкой персональных данных, которую необходимо внести в Реестр и Политику приватности. А также указать правовое основание и проинформировать пациентов (и не постфактум, а до начала обработки).
При передаче персональных данных в другие мед. учреждения, контролер (т.е. больница/поликлиника или частный врач) обязан удостовериться, что соблюдены все меры по защите данных, а права субъектов не нарушены.
Когда данные попадают “в руки” другого мед. учреждения, его руководство также становится контролером данных, и обработка осуществляется уже по новым причинам (или основаниям), а не от лица исходной больницы или поликлиники.
Хоть и наличие какого-то письменного договора необязательно, лучше заключить Соглашение об обмене персональными данными (Data Sharing Agreement), которое позволит четко зафиксировать, кто за что несет ответственность и кто будет виноват в случае нарушений.
Медицинским учреждениям особенно важно внимательно относиться к соблюдению требований GDPR, так как они постоянно имеют дело не просто с персональными данными, а с их специальными категориями.
P.S. Делимся с вами полезным документом, в котором подробно рассказывается, как защитить права пациентов и не нарушить принципы GDPR.
