Захист персональних даних у сфері охорони здоров’я: Ірина Сенюта розповіла про дієві інструменти в роботі адвоката

Ірина Сенюта, д.ю.н., професор, голова Комітету медичного і фармацевтичного права та біоетики НААУ, керівник Центру медичного права ВША НААУ, керуючий партнер АО «MedLex», член Правління Європейської асоціації медичного права провела у Вищій школі адвокатури НААУ вебінар на тему: Захист персональних даних у сфері охорони здоров’я: інструменти для адвоката.

Чинним законодавством станом на сьогодні пропонуються наступні визначення медичної інформації:

  1. Медична інформація – інформація про медичне обслуговування особи або його результати, викладена в уніфікованій формі відповідно до вимог, встановлених законодавством, у тому числі інформація про стан здоров’я, діагнози та будь-які документи, що стосуються здоров’я та обмеження повсякденного функціонування/життєдіяльності людини (ст. 3 Закону Україну “Основи законодавства України про охорону здоров’я”);
  2. Медична інформація – інформація про стан здоров’я пацієнта, його діагноз, відомості, одержані під час медичного обстеження, зокрема відповідні медичні документи, що стосуються здоров’я пацієнта ( п. 2 Порядку функціонування електронної системи охорони здоров’я, затвердженого постановою КМУ «Деякі питання електронної системи охорони здоров’я» від 25.04.2018 № 411).

Ірина Сенюта зазначає, що інформація, пов’язана з наданням медичної допомоги поділяється на:

І. Медичні відомості/дані

1) стан здоров’я особи – тобто медична інформація про особу, що містить не лише свідчення про стан здоров’я, а й про історію її хвороби, про запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, зокрема й про наявність ризику для життя і здоров’я (виняток становлять медичні довідки, листи працездатності тощо, які обробляються володільцем при реалізації трудових відносин)

2) генетичні відомості/дані – інформація, що стосується всіх даних щодо спадкових властивостей особи або щодо способу успадкування характеристик у межах відповідної групи людей, також це стосується всіх даних про утримання будь-якої генетичної інформації.

ІІ. Інформація немедичного характеру

  1. інформація, тісно пов’язана з наданням медичної допомоги:

а) статеве життя – будь-яка інформація про особу, що стосується її вибору та поведінки у статевих відносинах (зокрема й інформація про сексуальну орієнтацію особи);

б) біометричні відомості/дані – сукупність даних про особу, зібраних на основі фіксації її характеристик, що мають достатню стабільність та істотно відрізняються від аналогічних параметрів інших осіб (наприклад відцифрований підпис особи, відцифрований образ обличчя особи, відцифровані відбитки пальців рук, відцифрований малюнок сітківки ока тощо).

  1. інформація, тісно пов’язана із приватним та сімейним життям:
  • інформація про немайновий та майновий характер, обставини, події, стосунки тощо, пов’язані з особою та членами її сім’ї, за винятком передбаченої законами інформації, що стосується здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

Вимоги до обробки персональних даних визначені Законом «Про захист персональних даних». Так, згідно зі статтею 7 Закону згода на обробку персональних даних не потрібна, якщо така обробка необхідна в цілях охорони здоров’я для:

  1. встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, моніторингу відповідності встановленим умовам надання таких послуг (у тому числі умовам договорів про медичне обслуговування населення та договорів про реімбурсацію за програмою медичних гарантій), функціонування електронної системи охорони здоров’я за умови, що такі дані обробляються медичним працівником, фахівцем з реабілітації або іншою особою закладу охорони здоров’я, реабілітаційного закладу чи фізичною особою-підприємцем, яка одержала ліцензію на провадження господарської діяльності з медичної практики, та її працівниками, на яких покладено обов’язки щодо забезпечення захисту персональних даних та поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, працівниками закладу, що здійснює державний санітарно-епідеміологічний нагляд та діяльність у галузі громадського здоров’я, який одержав ліцензію на провадження господарської діяльності з медичної практики, на яких покладено обов’язки щодо забезпечення захисту персональних даних;
  2. контролю якості надання медичних послуг за умови, що такі дані обробляються працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері контролю якості надання медичних послуг (набирає чинності з 01.01.2023);
  3. обміну інформацією про фінансування медичних послуг та послуг у сфері охорони здоров’я за умови, що такі дані обробляються працівниками Фонду соціального страхування України, Пенсійного фонду України, Фонду соціального захисту осіб з інвалідністю, центрального органу виконавчої влади, що забезпечує формування та реалізує державну фінансову та бюджетну політику, на яких покладено обов’язки щодо забезпечення захисту персональних даних.

При цьому суб’єкт персональних даних має право:

  • знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом
  • на доступ до своїх персональних даних (стаття 8 Закону «Про захист персональних даних»).

З цього приводу лекторка наводить релевантну практику Верховного Суду.

Так, у Постанові Верховного Суду від 11.11.2020 у справі № 442/4791/17 (провадження № 61-37882св18) йшлося про те, що ОСОБА_1 мала право у відповідності до вимог статті 285 ЦК України, статей 21, 23 Закону України «Про інформацію», статей 39, 39-1 Закону «№ 2801-XII», статей 2, 4 Закону України «Про захист персональних даних» отримати медичну інформацію стосовно себе (копію медичної карти стоматологічного хворого ОСОБА_1) та інформацію про прізвище, ім’я та по батькові лікаря, його кваліфікаційний рівень, документацію, що стосується письмової угоди з лікарнею на отримання медичних послуг, виконаних робіт, оплати та сертифікатів якості встановлених імплантантів, тобто інформацію, про яку відповідач як надавач послуг повинен був повідомити споживача стоматологічних послуг, тобто ОСОБА_1. Отже, правильними є висновки судів попередніх інстанцій у тій частині, що своєю відмовою ПП «Стоматологічний центр» порушив права клієнта ОСОБА_1 на отримання інформації відносно себе, зокрема медичної інформації.

Ірина Сенюта звертає увагу на правила, якими мають керуватися розпорядники персональних даних у сфері охорони здоров’я, зокрема:

  • У закладі охорони здоров’я повинен бути розроблений Порядок обробки персональних даних.
  • Медичний працівник повинен дати письмове зобов’язання про нерозголошення персональних даних, які йому було довірено або які стали йому відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
  • Заклад охорони здоров’я повинен повідомитиУповноваженого ВРУ з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднити вказану інформацію.
  • Заклад охорони здоров’я повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані.
  • Заклад охорони здоров’я повинен створити структурний підрозділ, або визначити відповідальну особу, які організовуватимуть роботу, пов’язану із захистом персональних даних при їх обробці.
  • Заклад охорони здоров’я повинен вести облік операцій, пов’язаних з обробкою персональних даних суб’єкта, та доступом до них.
  • Пацієнт повинен надати згоду на доступ до його даних в ЕСОЗ.

Що стосується особливостей ведення обліку медичних даних в Електронній системі охорони здоров’я (ЕСОЗ), слід пам’ятати, що без згоди доступ до відомостей про пацієнта можливий лише за наявності трьох умов:

  • за наявності ознак прямої загрози життю пацієнта;
  • у разі неможливості отримання згоди такого пацієнта чи його законного представника (до часу, коли отримання згоди стане можливим);
  • за рішенням суду.

Окремо лекторка зупинилася на такому чутливому питанні, як фотографування пацієнта.

З цього приводу відзначена позиція Індустріального районного суду м. Дніпропетровська 22.05.2015 справа № 202/2249/15-ц, згідно якої«зовнішність є невідчужуваним нематеріальним благом, що належить фізичній особі від народження. У зміст цього правового блага входять можливість фізичної особи формувати свою зовнішність за своїм розсудом, зберігати і змінювати її, визначати коло осіб, яким фізична особа надає можливість огляду своєї зовнішності, фіксувати або дозволяти фіксацію своєї зовнішності в певний момент часу, наприклад фотографуванням, відеозйомкою і т.п.

Хоча зовнішність громадянина прямо не згадана в статті 270 ЦК України, за своїми ознаками вона входить у відкритий перелік тих нематеріальних благ, про якій йде мова в цій нормі. Зовнішність є індивідуалізуючим фізичну особу в суспільстві елементом її особистості. Саме тому опис зовнішності фізичної особи або її зображення являють собою частину відомостей про її особистість.

Крім того, зовнішність як елемент особистості фізичної особи, зафіксована в її зображення і в певний час, може складати його особисту таємницю. Більш того, будь-яке не оприлюднене самою фізичною особою власне зображення слід припускати як бажання зберегти його в таємниці від третіх осіб. Представляється, що саме таємниця зовнішнього вигляду фізичної особи і є тим нематеріальним благом, на охорону якого направлено положення статті 308 ЦК України. Тому не дозволене фізичною особою оприлюднення її зображення слід розглядати як незаконне розголошення її особистої таємниці, за винятком випадків, коли таке оприлюднення прямо дозволено законом.