Марафон роз’яснень від Офісу Уповноваженого Верховної Ради України з прав людини щодо обробки персональних даних, зокрема медичних, все більше породжує невизначеність. На офіційній сторінці (URL: https://www.facebook.com/office.ombudsman.ua/) 19 серпня 2020 було розміщено пост з назвою «Ненадання пацієнтом згоди на обробку його персональних даних не може бути підставою для відмови у наданні медичних послуг» (далі – Роз’яснення).
Зокрема, в Роз’ясненні йдеться: «Надання необхідних пацієнтам послуг з медичного обслуговування (медичних послуг) та лікарських засобів належної якості за рахунок коштів Державного бюджету України за програмою медичних гарантій врегульовано Законом України «Про державні фінансові гарантії медичного обслуговування населення». Підставами для обробки персональних даних в рамках реалізації положень Закону України «Про державні фінансові гарантії медичного обслуговування населення» та функціонування електронної системи охорони здоров’я, буде дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень (зокрема, для суб’єктів владних повноважень) та/або необхідність виконання обов’язку володільця персональних даних, який передбачений законом (зокрема, обов’язок щодо надання медичної допомоги)».
З огляду на наведене, сфокусуємось на кількох заувагах щодо обробки персональних даних при наданні медичної допомоги:
1. У ст. 7 Закону України «Про державні фінансові гарантії медичного обслуговування населення» зазначено, що обробка персональних даних пацієнтів здійснюється з дотриманням вимог Закону України «Про захист персональних даних». Згідно з п. 6 ч. 2 ст. 7 Закону України «Про захист персональних даних», обробка персональних даних, у т. ч. медичних, здійснюється відповідно до закону з метою охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, функціонування електронної системи охорони здоров’я за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я чи фізичною особою – підприємцем, яка одержала ліцензію на провадження господарської діяльності з медичної практики, та її працівниками, на яких покладено обов’язки щодо забезпечення захисту персональних даних та на яких поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення (Національна служба здоров’я України – І.С.), на яких покладено обов’язки щодо забезпечення захисту персональних даних. Відтак, згоди на обробку даних за таких умов і з такою метою суб’єктом персональних даних не надається.
2. Умовою для отримання послуг за програмою медичних гарантій є підписання декларації про вибір лікаря, який надає первинну медичну допомогу, про що йдеться і в Роз’ясненні. Проте є чимало нормативних контроверзій, пов’язаних з обробкою персональних даних.
3. Вважаємо за доцільне звернути увагу на обробку персональних даних, пов’язану з Декларацією, форма якої затверджена Наказом МОЗ України «Про затвердження Порядку вибору лікаря, який надає первинну медичну допомогу, та форми декларації про вибір лікаря, який надає первинну медичну допомогу» від 19.03.2018 р. № 503 (далі – Наказ № 503). Позитивним видається те, що відбулось ґрунтовне доопрацювання нормотворцем змісту Декларації в аспекті обробки персональних даних у Наказі №1023 порівняно з первинною редакцією Наказу №503. Зокрема: 1) вилучено п. 5 «Збір і обробка персональних даних», в якому пацієнт надавав згоду на обробку персональних даних. Відповідно до п. 5 Декларації у новій редакції, пацієнт, зокрема, підтверджує, що його повідомлено про права відповідно до Закону України «Про захист персональних даних», про мету збирання та обробки його персональних даних, зазначених в Декларації. Вважаємо, що внесені зміни відповідають вимогам чинного національного законодавства, а саме п. 6 ч. 2 ст. 7 Закону України «Про захист персональних даних». Відповідно до Закону України «Про захист персональних даних», з метою виконання подання Уповноваженого Верховної Ради України з прав людини від 02.06.2014 р. № 1-1014/14-105, МОЗ України скасувало форму «Інформована добровільна згода пацієнта на обробку персональних даних» (Наказ від 08.08.2014 р. № 549), зазначивши, що персональні дані, які містяться у формах первинної облікової документації, затверджених Наказом МОЗ України від 14.02.2012 р. № 110, обробляються відповідно до вимог Закону України «Про захист персональних даних»; 2) вилучено пролонгований ефект згоди на обробку даних, а саме те, що підписавши декларацію, фізична особа надала згоду на доступ до персональних даних: а) лікарю, який надає первинну медичну допомогу; б) лікарям, які надаватимуть медичну допомогу в майбутньому, тобто невизначеному колу суб’єктів, зі встановленням меж: необхідність пов’язана з наданням медичної допомоги пацієнту. Не може згода фізичної особи покрити волевиявлення пацієнта щодо майбутніх інформаційних правовідносин, які виникатимуть у зв’язку з наданням медичної допомоги.
Проте в ч. 3 ст. 11 Закону України «Про державні фінансові гарантії медичного обслуговування населення» зазначено, що підписуючи декларацію про вибір лікаря, який надає первинну медичну допомогу, пацієнт (його законний представник) надає згоду на доступ до даних про нього, що містяться в електронній системі охорони здоров’я, такому лікарю, а також іншим лікарям за його направленням у межах, необхідних для надання медичних послуг такими лікарями. Схожий за змістом текст був у первинній редакції Декларації (URL: https://moz.gov.ua/uploads/0/4206-dn_20180319_503_dod_2.pdf). Отож, між формулюванням обов’язку в чинній редакції Декларації, а саме особу повідомляють про обробку даних, без надання нею такої на обробку, та в Законі України «Про державні фінансові гарантії медичного обслуговування населення», що закріплює обов’язок надання згоди особи на обробку даних, є суттєва різниця. Звичайно, що за принципом юридичної сили нормативних актів, в ієрархії перевагу матиме закон. У Листі Міністерства юстиції України від 30.01.2009 № Н-35267-18 зазначено: «Отже, у випадку суперечності норм підзаконного акта нормам закону слід застосовувати норми закону, оскільки він має вищу юридичну силу». Знову ж наголосимо, що згода особи на обробку її персональних даних з метою, яка встановлена п. 6 ч. 2 ст. 7 Закону України «Про захист персональних даних», не потрібна.
4. Закон України «Про державні фінансові гарантії медичного обслуговування населення» містить внутрішній дисонанс, у ст. 7 якого зазначено, що обробка персональних даних пацієнтів здійснюється з дотриманням вимог Закону України «Про захист персональних даних», а вже в ст. 11 цього ж Закону передбачено, що доступ до даних про пацієнта, що містяться в електронній системі охорони здоров’я, можливий лише за умови отримання згоди такого пацієнта (його законного представника). Постає запитання до законодавця: що робити при правореалізації та правозастосуванні, якщо згоди пацієнта (його законного представника) не потрібно за Законом України «Про захист персональних даних» за нормативно окреслених умов, а за Законом України «Про державні фінансові гарантії медичного обслуговування населення» така згода необхідна? Як видається, для цих правовідносин спеціальним буде саме Закон України «Про захист персональних даних», отож, і алгоритм дій має бути вироблений саме на підставі цього акта. А спеціальним він буде тому, що на нього є пряма законодавча вказівка у ст. 7 Закону України «Про державні фінансові гарантії медичного обслуговування населення».
5. Ще привертає увагу пп. 5 п. 8 Порядку функціонування електронної системи охорони здоров’я, затвердженої Постановою Кабінету Міністрів України від 25.04.2018 №411, в якому йдеться про те, що функціональні можливості електронної системи охорони здоров’я повинні забезпечувати можливість надання пацієнтами (їх законними представниками) згоди у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди, на доступ до даних про себе (про пацієнта для законних представників), що міститься в електронній системі охорони здоров’я, лікарям, третім особам. Отож, знову йдеться про згоду особи для медичних працівників на обробку даних, що не корелює з п. 6 ч. 2 ст. 7 Закону України «Про захист персональних даних». Хоча в ч. 1 ст. 11 Закону України «Про державні фінансові гарантії медичного обслуговування населення» зазначено, що порядок функціонування електронної системи охорони здоров’я затверджується Кабінетом Міністрів України з урахуванням вимог законодавства про захист персональних даних.
6. Привертають увагу ще два «казуси» Закону України «Про державні фінансові гарантії медичного обслуговування населення»: а) відповідно до ст. 2 Закону України «Про захист персональних даних», обробка персональних даних включає збирання, отож, некоректно у ст. 7 досліджуваного Закону, як і в п. 5 Декларації, вказувати отримання чи збір поряд з обробкою; б) відповідно до Наказу Уповноваженого Верховної Ради України з прав людини «Про затвердження документів у сфері захисту персональних даних» від 08.01.2014 р. № 1/02-14, одним з видів персональних даних є персональні дані про стан здоров’я (медичні дані), відтак, розмежування у ст. 7 аналізованого Закону на персональні дані та іншу інформацію про пацієнтів (у тому числі інформацію про стан здоров’я, діагноз, відомості, одержані під час медичного обстеження пацієнтів) є некоректним.
Висновки:
1. Декларація у редакції Наказу МОЗ України №1023 в аспекті отримання згоди на обробку персональних даних суперечить Закону України «Про державні фінансові гарантії медичного обслуговування населення», який не узгоджується з національною концепцією обробки персональних даних, зокрема медичних, за п. 6 ч. 2 ст. 7 Закону України «Про захист персональних даних».
2. Не зрозумілим є положення в Роз’ясненні, а саме «Наголошуємо, що пацієнт не може бути примушений до надання згоди на обробку його персональних даних для отримання послуг за програмою медичних гарантій», адже надавати згоди таки не потрібно. Важлива правильна і послідовна аргументація, аби запроваджена концепція обробки персональних даних за умов, що визначені в п. 6 ч. 2 ст. 7 Закону України «Про захист персональних даних», була усталеною, а права пацієнтів при наданні їм медичної допомоги дотримувались.
3. Видається спірним акцент на тому, що обробка персональних даних при наданні медичних послуг за програмою медичних гарантій здійснюється з дотриманням підстав Закону України «Про державні фінансові гарантії медичного обслуговування населення» при наявності прямої вказівки в тому ж законі, що обробка даних здійснюється відповідно до Закону України «Про захист персональних даних». Необхідно максимально швидко усунути законодавчі колізії і, звичайно, не шляхом роз’яснень, які поглиблюють нормативні конфлікти.
PS При такому змістовому наповненні Роз’яснення не може не виникнути запитання: чому при обробці персональних даних за програмою медичних гарантій визначальним є Закон України «Про державні фінансові гарантії медичного обслуговування населення», при прямій вказівці в ньому ж на регламент обробки даних за Законом України «Про захист персональних даних», а адвокатський запит про отримання персональних даних, у т. ч. медичних, про свого клієнта повинен відповідати Закону України «Про захист персональних даних» при наявності спеціального закону – Закону України «Про адвокатуру та адвокатську діяльність»