Також перегляньте:

Правове регулювання захисту персональних даних пацієнтів

В Україні повага до інформації про особу та захист таких даних гарантуються...

Семінар «Внутрішні нормативні документи медичного закладу»

20 червня 2014 р. відбудеться семінар  «Внутрішні нормативні документи медичного закладу» Спікер семінару: Олена...

В Україні впровадять інформаційну систему «Національний реєстр донорів в Україні»

  В Україні найближчим часом буде підготовлено до затвердження концепцію інформаційної системи «Національний...

Національний реєстр пацієнтів: кому вхід заборонено?

Всеукраїнська медична газета “ВАШЕ ЗДОРОВ’Я” Газета Міністерства охорони здоров’я України та галузевої...

Європа святкує День прав пацієнтів

Комісар Європейської Комісії ЄС Тоніо Борг привітав пацієнтів з нагоди Дня прав...

Ресурси

Досліджуючи проблеми права та здоров'я, шукаючи аналітичний матеріал часто виникає проблема з...

Правова оцінка реєстру пацієнтів

3.06.2014
Скалецька Зоряна

Дана стаття не є всеохоплюючим аналізом ситуації що виникла або потенційно може виникнути при веденні електронного реєстру пацієнтів. Лише окреслює перші, найбільш очевидні аспекти.

Нормативне регулювання інформаційних систем та їх захисту

Базовими законами в питанні регулювання інформаційних систем є Закон України «Про інформацію»[1] та Закон України « Про захист інформації в інформаційно-телекомунікаційних системах»[2].  Відповідно до статті 8  Закону України « Про захист інформації в інформаційно-телекомунікаційних системах»  інформація з обмеженим доступом (конфіденційна в т.ч.) повинна оброблятися в системі із застосуванням комплексної системи захисту  інформації  з підтвердженою відповідністю (підтвердження відповідності здійснюється за результатами державної експертизи  в порядку, встановленому законодавством).  Для створення  комплексної системи захисту конфіденційної інформації згідно закону повинні використовуватися засоби захисту  інформації,  які  мають  сертифікат   відповідності   або позитивний   експертний   висновок   за   результатами   державної експертизи у  сфері  технічного  та/або  криптографічного  захисту інформації.

Захист персональних даних

Згідно статті 32 Конституції України не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту.

Закон України «Про захист персональних даних» від 1 червня 2010 року  спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних (як в паперовому, так і в електронному вигляді).

Законом визначені права особи як суб’єкта персональних даних –  зокрема, звертатися із скаргами на обробку своїх персональних даних до Уповноваженого, або до суду;  вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;  відкликати згоду на обробку персональних даних; знати механізм автоматичної обробки персональних даних тощо. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних[3].

Нормативне регулювання реєстру пацієнтів

Всі зміни, що відбуваються прийнято називати реформами. Так, згідно Указу Президента України  «Про національний план дій на 2012 рік щодо впровадження Програми економічних реформ на 2012-2014 роки «Заможне суспільство, конкурентоспроможна економіка, ефективна держава» №187/2012р від 12.03.2012 було прийнято низку актів урядом України.  Зокрема, Кабінет Міністрів України 6 червня 2012 року прийняв постанову № 546[4], якою передбачено створення електронного реєстру пацієнтів та Розпорядження № 368-р[5]  щодо його впровадження в пілотних регіонах проведення медичної реформи.  30 серпня 2012 року Міністерство охорони здоров’я видало наказ № 666 для пілотних регіонів щодо створення та запровадження електронного реєстру пацієнтів.

Відповідно до зазначеного вище наказу до електронного реєстру пацієнтів  вносяться паспортні дані (або дані з інших документів, що ідентифікують особу) та дані первинної облікової документації  закладу охорони здоров’я. Варто наголосити, що чинними правовими документами (Конституція України, Цивільний кодекс України, Закон України  «Основи законодавства України про охорону здоров’я», рішення Конституційного суду у справі Устименка[6]) визначено, що медична інформація (стан здоров’я, історія хвороб, мета запропонованих досліджень та лікувальних заходів, прогноз можливого розвитку захворювання) є конфіденційною інформацією.   А отже, до реєстру вносяться дані, що є конфіденційними, тобто інформацію з обмеженим доступом.

Також нормативними документами щодо створення реєстру пацієнтів передбачено реєстрацію бази персональних даних, якщо раніше це не було зроблено.

Проблеми, що можуть виникнути

В наказі № 666 МОЗ країни передбачає застосування для ведення реєстру пацієнтів програмного забезпечення – «УкрМедСофт: Стаціонар» та «УкрМедСофт: Поліклініка».  Наразі в доступних інформаційних джерелах немає інформації щодо можливостей даних програм.  Однак і  в нормативних актах не встановлено вимог до програм, що використовуються. Критичними для дотримання законодавства при веденні реєстру повинні бути чітко визначені можливості щодо пересилання інформації з реєстру, можливостей роздрукувати, записати на зовнішній носій.  Нормативне регулювання визначає коло осіб, які мають право користуватись реєстром – виключно медичні працівники та інші особи закладу охорони здоров’я, яким згідно законодавства та посадових обов’язків надано право на обробку медичної документації (інформації) чи обов’язки забезпечення захисту персональних даних.  Однак ця норма не є інноваційною, а лише підтверджує існуючий стан на сьогодні, коли згідно права доступ до медичної документації має лише лікуючий лікар, а на справді кожен медичний працівник (має можливість заглянути до медичних документів). Впровадження програмного забезпечення на сьогодні не відрізняється кращим захистом конфіденційної інформації, хоча має всі можливості. Програму досить легко можна налаштувати на доступ визначеного кола медичних працівників закладу. Наприклад, до даних пацієнта вноситься інформація щодо лікуючого лікаря (і в разі необхідності додаються ще прізвища тих хто долучився) і лише він матиме доступ до інформації.

Сучасні можливості створення аналогічних реєстрів надають можливість надавати доступ до ознайомлення в межах системи лише обраним працівникам, яким підтверджено право на ознайомлення з інформацією конкретного пацієнта. Нажаль вимога щодо визначення рівня доступу покладається на керівників структурних підрозділів без рекомендацій як доцільно це організувати.

Аналогічним є регулювання баз даних власності нерухомого майна, до яких мають доступ нотаріуси. Однак в даній ситуації є досить важлива відмінність. Наприклад в європейських країнах  такі реєстри власності є відкритими для населення. Згідно ситуації в Україні , навіть якщо нотаріус прогляне дані на всіх своїх сусідів, він можливо порушить порядок роботи з реєстром, але це не буде таким серйозним порушенням як перегляд лікарем інформації в реєстрі пацієнтів щодо тих ж самих своїх сусідів.

Недавній скандал щодо баз даних власників нерухомого майна Міністерства юстиції України, наштовхує на думку що всі наступні державні бази даних повинні бути належним чином або навіть краще захищені. Однак враховуючи специфічність та особливу цінність інформації внесеної з первинної облікової документації до реєстру пацієнтів просто лише копіювати системи інших державних реєстрів неможна. Медична інформація пацієнта потребує такого ж особливого захисту як банківська інформація. Без кілька рівневого захисту, з чітким усвідомленням ризиків в разі витоку інформації, такий реєстр пацієнтів є небезпечним.

Законодавством, наприклад, передбачено досить детальний порядок зберігання  лікарських препаратів, що містять наркотичні речовини. Хоча шкоди від порушення порядку ведення реєстру пацієнтів порівняно не менше, а й більше може бути. Однак  законодавець чи профільне міністерство не створили жодних вимог щодо зберігання комп’ютерної техніки, серверів, каналів зв’язку в закладах охорони здоров’я.  Тобто викрасти такий комп’ютер чи сервер з інформацією на тисячі пацієнтів (як звітують окремо пілотні області це вже десятки тисяч) можна і відповідальність буде як просто за викрадення майна.

Оскільки ведення реєстру покладається переважно на працівників реєстратури, то виникає ще одна досить очевидна проблема. Працівниками реєстратур досить часто є особи пенсійного та перед пенсійного віку, яким оволодіння програмним забезпеченням та й взагалі комп’ютерною технікою видається досить складним і може спричинити якщо не звільнення (що ускладнить і так існуючу проблему кадрів), то помилки у введенні даних до системи, якщо не скорочення працівників (адже тепер машина може більше), то тривале очкування інших пацієнтів (через повільну роботу з програмою).

Щодо даних, які передбачено вносити до реєстру є достатньо колізій та питань. Якщо особа згідна внести дані до реєстру пацієнтів, то чи є в неї право не надавати окрему інформацію? А якщо дані помінялися, який порядок внесення змін? Так, наприклад, пункт 5 Наказу МОЗ № 666 визначає, що джерелами формування Реєстру є паспортні документи або інші документи, що ідентифікують особу (свідоцтво про народження, вид на проживання, посвідчення біженця тощо), та первинна облікова документація  закладів охорони здоров’я. А вже в в п. 10 передбачає внесення до реєстру зайвих даних, які раніше не акумульовувались в закладах охорони здоров’я – відомості про місце народження особи (ж); реєстраційний  номер облікової картки платника податків (ї). Невідомо як ці дані сприятимуть меті створення реєстру –  підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації, яка визначена в постанові КМУ № 546.

Не варто заперечувати зручності та мобільності електронного реєстру пацієнтів, якби не кілька зауваг. Оскільки лікарі досить консервативні в своїх підходах у лікуванні, завжди мають контроль над паперовою медичною документацією пацієнта, технічного забезпечення по комп’ютеру (а краще планшету) на лікаря немає, то реєстр пацієнтів має всі шанси залишитися лише на  рівні списку пацієнтів прикріплених або що обслуговуються (обслуговувались) в закладі охорони здоров’я.

Ще один аспект не описаний в нормативних актах, це питання хто адмініструє з технічної сторони реєстр закладу. Адже така особа теж матиме фактично доступ до даних, при цьому в штатних нормативах для пілотів такого фахівця не передбачено, та й коштів теж.  А навіть якщо і в закладі буде системний адміністратор, то його доступ до персональних даних повинен бути обмеженим.

Насторожують ще два моменти. Перший виникає з тлумачення п. 6.3.5.2. Типового положення в якому зазначено, що ідентифікаційні дані для входу в автоматизовану систему можуть бути відомі іншим особам, тобто це не є електронний ключ, а лише пароль. Така система захисту не вважається надійною. Для доступу до державних реєстрів нерухомості наприклад, система захисту складається з трьох елементів – безпосередньо комп’ютер на який встановлено програмне забезпечення, електронний ключ (флешка – простою мовою) та паролі.  І навіть викрадений електронний ключ з паролем не будуть достатніми для незаконного отримання інформації. Інша справа пароль, який досить легко отримати скориставшись відповідною програмою зчитування.

Ще одна проблема проглядається в змісті п. 6.3.6. цього ж положення, де зазначено, що при звільнені  з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівником Закладу, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків. Тобто з електронного реєстру пацієнтів існує можливість копіювати  інформацію на окремі носії (диск, флешка тощо). Такої можливості не мають вже згадані вище реєстри Мінюсту. А також потреби в такому копіюванні досить сумнівні, а водночас досить небезпечні з точки зору безпеки персональних даних пацієнта.

Відповідальність за порушення законодавства при веденні реєстру пацієнтів

В нормативному регулюванні  щодо електронного реєстру пацієнтів не зазначається необхідності попереджати про можливу відповідальність (кримінальну, цивільну) осіб, які мають доступ до реєстру пацієнтів. Цього немає і в Методичних рекомендаціях «Створення електронного реєстру пацієнтів»[7]. Особам передбачено розповідати технічну сторону користування програмним забезпеченням, однак не правових аспектів. Так, якщо особа не повідомлена про кримінальну відповідальність згідно статті 145 Кримінального кодексу України щодо розголошення лікарської таємниці в аспекті ведення чи доступу до електронного реєстру пацієнтів, то виникає питання чи можна вважати безпечною таку роботу з базою даних. Аналогічна проблема щодо відсутності правової обізнаності щодо відшкодування моральної шкоди за розголошення медичної інформації чи за розголошення персональних даних.

Так, стаття 182 Кримінального кодексу України, що передбачає кримінальну відповідальність за “незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації”. За такі дії законодавець передбачив покарання у вигляді штрафу у розмірі не менше 50 неоподатковуваних мінімумів доходів громадян або виправних робіт на строк до двох років, або арешту на строк до шести місяців, або обмеження волі на строк до трьох років.

Також відповідальність за порушення законодавства щодо захисту персональних даних передбачено Кодексом про адміністративні правопорушення  – статті 188-39, 188-40.  Зокрема за незаконний доступ до реєстру пацієнтів або порушення прав суб’єкта персональних даних передбачений штраф для посадових осіб – від 182 700 грн до 609 000 грн.

Рекомендації

Звичайно всі проблеми дана стаття вирішити не в змозі, однак кілька порад для медичних працівників та керівників закладів охорони здоров’я.

Щодо документів як необхідно прийняти в закладі охорони  здоров’я

Оскільки наведене Положення про порядок обробки та захисту персональних даних у базі персональних даних «Електронний реєстр пацієнтів» є типовим варто то нього внести кілька правок.  Так до п.1.11. додати речення що Порядок обмеження доступу до комп’ютера (сервера) визначається Керівником закладу (відповідальна особа, сигналізація, опечатування кімнати тощо).

Оскільки законодавство ще формується, прийняти власний документ, який передбачатиме порядок видалення інформації на вимогу пацієнта щодо нього з електронного реєстру пацієнтів. Оскільки в вищезазначених рекомендаціях міститься лише питання видалення інформації щодо пацієнта в разі порушень, варто передбачити також порядок видалення даних пацієнта без порушень зі сторони закладу. Особа яка дала згоду на обробку даних, має право відкликати свою згоду без пояснень причин, оскільки лише вона уповноважена приймати рішення щодо обігу персональних даних.

Досить уважно слід вносити зміни до посадових інструкцій, оскільки більшість з них потребує на сьогодні доповнень у світлі впровадження електронного реєстру. Детальне визначення, дотримання та контроль виконання обов’язків, слугуватиме гарантією ретельного дотримання прав пацієнта на конфіденційність інформації.

Відповідно до п.6.2.6. Типового Положення про порядок обробки та захисту персональних даних у базі персональних даних «Електронний реєстр пацієнтів»  керівник структурного підрозділу у межах своїх повноважень, визначених посадовою інструкцією та даним Положенням, несе відповідальність за порядок використання персональних даних у підрозділі, унеможливлює доступ сторонніх осіб до бази персональних даних та несанкціонований виток інформації.  А отже варто прийняти документи, які деталізують порядок унеможливлення сторонніх осіб доступу до бази, а також витоку інформації. Це наприклад щотижнева зміна паролів, в окремих випадках вхід через два паролі двох окремих працівників тощо.

Щодо того як діяти лікарям

Слід пам’ятати, що ведення Реєстру не замінює паперові медичні картки. Дотримання законодавства щодо ведення медичної документації ніхто не відміняв. Також рішення пацієнта про внесення до Реєстру даних є його правом,  яке він повинен реалізувати без жодного тиску чи шантажу. В разі якщо особа під тиском без власної волі надала згоду, така згода немає юридичної сили. А отже і зберігання та використання її персональних даних буде правопорушенням з відповідною відповідальністю.



[1] Закон України «Про інформацію» від 02.10.1992

[2] Закон України « Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 року

[3]  Наказ  Уповноваженого Верховної Ради України з прав людини від 8 січня 2014 року № 1/02-14 «Про затвердження документів у сфері захисту персональних даних»

[4] Постанова Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» №546 від 06.06.2012

[5] Розпорядження Кабінету Міністрів України «Про затвердження плану заходів щодо створення електронного реєстру пацієнтів Вінницької, Дніпропетровської, Донецької областей та м. Києва»  № 368-р від 06.06.2012

[6] Рішення Конституційного Суду України у справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України “Про інформацію” та статті 12 Закону України “Про прокуратуру” (справа К.Г.Устименка)від 30 жовтня 1997 року

 [7] Створення електронного реєстру пацієнтів Вінницької, Дніпропетровської, Донецької областей та м. Києва (Короткий опис проекту.  Методичні рекомендації) (автори: Олексюк Л.В.,перший заступник Голови Державної служби України з питань захисту персональних даних, Голубчиков М. В., Начальник Державного закладу « Центр медичної статистики МОЗ України», Пустовойтова А. Л.,директор Державного підприємства «Реєстр медичних, фармацевтичних та науково-педагогічних працівників сфери управління МОЗ України»)


Напишіть відгук

Ваша пошт@ не публікуватиметься. Обов’язкові поля позначені *

Можна використовувати XHTML теґи та атрибути: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>