Публикация

Адвокат д-р Мария Петрова: Новият GDPR регламент засяга всички лекари и лечебни заведения

Адвокат д-р Мария Петрова: Новият GDPR регламент засяга всички лекари и лечебни заведения

Пациентът вече ще има правото да бъде „забравен“

В последните дни все повече и по-тревожно се говори за новия GDPR регламент, който влиза в сила от 25 май 2018г. Засяга ли новата регулация българските медици, лечебни заведения и как? С този въпрос се обърнахме към Адвокат д-р Мария Петрова, специалист по медицинско право и сред малцината специалисти в Европа, притежаващи магистърска степен по хуманна медицина, право и здравен мениджмънт.

Какво е важно да знае българският лекар относно т.нар. GDPR? Кого засяга?

Всъщност за General Data Protection Regulation или Общ регламент относно защитата на данните се знае още от 2016 г., но с наближаването на крайния срок започна да се „шуми“ по-активно. Новият регламент засяга всяка една организация или бизнес, които събират, обработват и съхраняват лични данни в рамките на ЕС, в т.ч. и лечебни заведения, аптеки, фармацевтични компании, застрахователни компании, осигурители ( медицинските лица и структури). GDPR изисква от българския лекар да се запознае с няколко неща: със здравната информация по закона за Здравната информация; със Закона за защита на личните данни и не на последно място - със самия регламент. До този момент не сме имали конкретна регламентация на „чувствителна здравна информация“, докато с новия регламент това нещо бива въведено. Въвежда се и правото на пациентите да бъдат забравени, както и правото да знаят за какво се ползва тяхната информация. Цялата регулация, която GDPR налага пряко и непосредствено налага касае всеки един лекар, всяко едно лечебно заведение, всяка една фармацевтична и застрахователна компания, генетични лаборатории, всички, които имат отношение към съхраняването на т.нар „чувствителна здравна информация“.

 

Коя здравна информация може да бъде определена като чувствителна?

Всяка една здравна информация, която  в съчетание с личните данни може да позволи идентифицирането на лицето/ пациента, към тази информация спадат – лабораторни изследвания, генетични изследвания, анамнеза, статус, всичко което носи информация за пациента и неговото здраве. Важно е да се знае, че няма някакъв общ шаблон, който може да бъде наложен. От ключово значение е лекарите да познават какви са методите на работа в тяхната практика/ лечебно заведение и какви са мерките, които трябва да предприемат, конкретно. Защото наложените в един медицински център мерки, няма да работят за една болница или за една индивидуална практика.

 

Какви са санкциите при несъобразяване с изискванията на GDPR?

Санкциите са до 20 млн. евро или 4%от годишната печалба, в зависимост от това коя цифра е по-високата, тя е тази, която се взима. Трябва да подчертая, че това не са измислени цифри, тези санкции са напълно реални и приложими. Друг е въпросът до каква степен Комисията за Защита на личните данни (КЗЛД) ще може да упражнява ефективен контрол. За сравнение –миналата година  КЗЛД направи секторна проверка „Здравеопазване“ и това, което се установи  е, че в сектора „Здравеопазване“ има изначално непознаване на правилата за защита на личните данни и конкретно – непознаване на правилата за „чувствителна здравна информация“ и никакви мерки по отношение на нейната защита. Затова се взе решение тази проверката да продължи в сектор „Здравеопазване“. Това крие сериозни рискове за всички, които упражняват медицинската професия, защото тяхната практика е неминуемо свързана със събиране, анализиране и обработване именно на чувствителна здравна информация.

Вероятно има лекари, които смятат, че покриват изискванията на регламента?

Много е вероятно голяма част от лекарите, лечебните заведения, аптеките, да има регистрация по Закона за личните данни. Това обаче не означава, че са адекватни и правилни и отговарят на изискванията на GDPR. Дори да имат регистрация, е препоръчително да се консултират, за да разберат дали покриват необходимото ниво на сигурност, което изисква новият регламент. Важно е да се знае, че с новия Регламент режимът се променя, и от режим на регистрация минаваме в режим на отчетност. т.е не е само важно да са регистрирани веднъж и да могат да покрият ниво на сигурност,  а да могат да го покриват във всеки един момент. Защото, ако до момента КЗЛД проверява и евентуално налага някакви санкции, в момента, в който режимът се обръща – Администраторът на лични данни, какъвто се явява всеки един лекар или всяко едно лечебно заведение, трябва във всеки един момент да може да докаже, че е администрирал правилно и личните данни, и чувствителната здравна информация. Например: ако аз, като пациент, се обърна към лечебно заведение, в което съм се лекувала и кажа „Аз съм била Ваш пациент преди три години, но желая да заличите всичката ми здравна информация“, те трябва да имат алгоритъм, правила, по които това да се случи. Да имат яснота, коя здравна информация по смисъла на какво и колко време се пази. И ако аз, след един месец, отправя ново запитване „Заличихте ли ми информацията?“, те не само да имат формален отговор за това, но да са предприели практически мерки по заличаване и да могат да докажат, че са отговорили на правото ми личните данни, които съм им предоставила, да бъдат заличени. Ако не са заличили всичко, да се обосноват много точно защо го правят. Това е валидно не само за примерния случай, а за всеки един случай и за всеки един пациент.

Проблемът касае както лекарската тайна, така и здравната информация по закона за здравето, личните данни по ЗЛД, информационната сигурност в лечебните заведения, системните администратори, IT специалистите, счетоводителите и всички фирми, доставчици, които по някакъв начин имат достъп до събираната информация и данни, които ползва едно лечебно заведение и лекар. Всички тези администратори  трябва да работят като един добре хармонично свирещ оркестър,  за да могат да се защитят личните данни на пациента. Тази защита трябва да стане и по начин, по който лечебните заведения и лекарите да не са уязвими в качеството им на администратори и не на последно място, като  не им отнема време и внимание от основната им дейност – лечението на пациентите.

 

Крайният срок е 25 май 2018г.

Може ли да се очаква удължаване или някакъв гратисен период?

Регламентът е приет през 2016 г., т.е. имали сме на разположение близо две години, за да съобразим процесите на работа с новите законови изисквания. Отлагане категорично няма да има. Ако има администратори, които разчитат на това е добре да предприемат мерки, преди за тях да са настъпили по-сериозни последици.

 

Адвокат д-р Мария Петрова е основател на LexMedica BG - единствената профилирана в сферата на здравеопазването кантора.

 

Коментари

Без магнитна здравна карта е немислимо да се разрешава на пациент да бъде "забравен".Това е в негова вреда,а и .ще губи времето на лекаря за повтарящи се анамнези.Пък няма и гаранция,че пациентът ще помни всичко и всякога за себе си

По искане на пациент, не може да бъде изтривана или заличавана информация свързана с неговото здравно състояние.
Член 17. 1 . Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне. 3.   Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо : по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3; з) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, ...; Следователно конкретно в нашата работа, която е в областта на общественото здраве, нито пациентът има право да иска да изтриваме данни свързани с неговото здравословно състояние, нито ние имаме право да трием данни.

xbx

8 май 2018 08:12
Анонимен
8 май 2018 08:12

Този коментар беше изтрит от администратор

8 май 2018 08:36

Интересно къде отиват парите от санкциите?