Вече втора седмица лекарите в CredoWeb имат уникалната възможност да участват в  дискусия за новите изисквания, свързани с Общия европейски регламент за защита на личните данни (GDPR). Повод за това е фактът, че 6 месеца след влизането в сила на GDPR лечебните заведения и лекарите са объркани и всеки тълкува общия регламент по различен начин.

За да елиминира объркването и хаоса в очакване на новото национално законодателство, CredoWeb покани двама от най-добрите специалисти по медицинско право у нас – адв. Мария Радева и адв. Мария Петрова, за да отговорят на всички Ваши въпроси.

Лекарите питат – адвокатите по медицинско право отговарят

ВЪПРОСИ от специалисти и ОПЛ: Необходимо ли е да изискваме от пациентите си декларация за съгласие за обработка на лични данни?

ОТГОВОР на адв. Радева: Това е една масова, но лишена от правен смисъл практика. Всичко започна с това, че разработчиците на медицински софтуер вложиха тази декларация в програмния продукт. Това е когато се прави нещо механично, без да се разбира същността му. Лечебните заведения обработват личните данни на пациентите НЕ на основание съгласие, а на друго правно основание. И КЗЛД излезе със становище, че в сферата на здравеопазването администраторите на лични данни НЕ следва да искат съгласие от лицето чиито данни ще се обработват.

ВЪПРОС от ОПЛ: Трябва ли досиетата на пациентите да бъдат в шкаф под ключ, или е достатъчно да са подредени така, че да не се виждат лични данни - например в класьори на открит стелаж?

ОТГОВОР на адв. Радева: Подобни технически мерки за защита бяха предвидени в едноименната наредба, която е отменена. Това не прави отговорът по-лесен и еднозначен, защото мерките за защита са предвидени общо в регламента, а конкретните мерки остават отговорност на всеки администратор. Шкафът с ключ не е само техническо изискване, така се ограничава достъпът до личните данни. Ако в лечебното заведение имате нает персонал (който също има съответните задължения относно личните данни) ключалките са начинът, по който ограничавате контролирате неправомерния достъп до лични данни.

ВЪПРОС от ОПЛ: Как се осъществява "забравянето на пациента" и необходимостта от съхранението на документацията определени години?

ОТГОВОР на адв. Радева: "Правото да бъдеш забравен" представлява изтриване на личните данни. Субектът на данните може да поиска изтриване, ако е налице едно от следните условия:

• Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
• Субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
• Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
• Личните данни са били обработвани незаконосъобразно;
• Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
• Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.

В поставения от Вас въпрос, нито едно от тези основания не е налице, следователно пациентът не може да поиска да бъде "забравен" от лечебното заведение.

ВЪПРОС от ОПЛ: Трябва ли да дадем на персонала си да подпише документ за това, че счетоводителят ни обработва личните им данни и има ли готови бланки за това?

ОТГОВОР на адв. Радева: Въпросът Ви е свързан с това, че следва да уведомите лицата, чиито лични данни предоставяте на трето лице - в случая за нуждите да обработката на трудовите възнаграждения и управление на трудовите правоотношения. Смятам, че следва да уведомите тези лица. Уведомяването е конкретно за всеки отделен случай.

Вашите въпроси, свързани с GDPR в лекарската практика, можете да задавате в дискусията:

КАК УСПЕШНО ДА СЕ СПРАВИМ С ПРЕДИЗВИКАТЕЛСТВОТО GDPR>>>