Фізична особа має право на медичну таємницю, на лікарняну таємницю та на захист персональних даних. Відомо, що до медичної таємниці належить інформація про факт звернення по медичну допомогу, про стан здоров’я осіб, діагноз захворювання та інші відомості, включаючи й інформацію про сімейне та інтимне життя. Вона припускає заборону вимагати за місцем роботи чи навчання інформацію про діагноз і методи лікування фізичної особи. Неправомірним розголошенням таємниці вважається навмисне чи необережне повідомлення, поширення таких відомостей без відповідного дозволу. Не підлягають розголосу не тільки дані про саму хворобу, але й відомості про функціональні особливості організму, фізичні недоліки, шкідливі звички, особливості психіки, майновий стан, коло знайомств і інтересів, обставини, що передували захворюванню або спровокували його і тощо.

Плутанина із заміною понять

В Угорщині питання таємниці і захисту персональних даних регулюється законом 1997р. №XLVII „Про захист відомостей про здоров’я особи та інших даних ”. Під регулювання цього закону підпадають всі відомості, які стосуються хвороби, особистого життя особи, звичок людини. При розгляді справ, пов’язаних з порушенням лікарської таємниці, велике значення має характер захворювання пацієнта і викликані розголошенням його наслідки для потерпілого (розпад сім’ї, звільнення з роботи, необхідність зміни місця проживання). Лікуючий лікар, медсестра усвідомлюють, що не можна будь-кого повідомляти про діагноз хворого. Хворий може визначити особу, якій лікар повідомляє про зміну стану хворого. У лікарнях трапляються випадки, коли медсестри повідомляють по телефону діагноз хворого, таким чином порушуючи лікарську таємницю. Необхідно, щоб людям, які телефонують, аби дізнатися про стан хворого, надавали лише обмежену інформацію, наприклад, чи відбулася операція, чи ні, а ще краще відсилати за такою інформацією до лікуючого лікаря. Дотримання лікарської таємниці супроводжується під час всього лікування хворого в лікарні, тому необхідно важкохворих відокремити хоча б шторою, щоб їх стан негативно не впливав на інших. Необхідно, щоб обстеження важкохворих відбувалося не в присутності всієї палати.

Це положення узгоджено із Законом України «Про інформацію» від 2 жовтня 1992 р., який передбачає неприпустимість зловживання правом на інформацію. До порушень законодавства України про інформацію, які можуть спричинити цивільно-правову відповідальність, належить використання і поширення інформації щодо особистого життя громадянина без його згоди.

Історично склався ще й інший термін – «лікарняна таємниця». Але в обстеженні, лікуванні, реабілітації пацієнта беруть участь не тільки лікарі, але й медсестри, фармацевти, лаборанти, фахівці з медичної техніки, студенти медичних вузів, технікумів, які проходять практику в лікарняних закладах і т.д. і стають володарями конфіденційної інформації. Тому у ст.286 ЦК не використовується поняття «лікарська таємниця», а натомість сформульована вимога до будь-якої фізичної особи утримуватися від поширення інформації, якщо інформація стала йому відома в зв’язку з виконанням службових обов’язків чи з інших джерел. Але в літературі пропонують його замінити на „професійну медичну таємницю ”, бо вона забезпечується не тільки лікарями, але й іншими працівниками. Дехто вважає таку заміну недоцільною, бо інститут таємниці в медичному праві включає інформацію „для хворого ” – це окремі дані, несприятливий прогноз захворювання, а цю інформацію вважають медичною, тобто такою, яка застосовується за медичними показниками і „про хворого ”. Заміна поняття „лікарська таємниця ” на „професійну медичну ” внесе плутанину в розуміння змісту цих понять.

Стосовно поняття персональних даних – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Необхідні відомості

Актуальність піднятої у статті теми полягає в тому, що при зверненні до в закладів охорони здоров’я пацієнт погоджується на обробку своїх даних, однак виникає питання яким чином діяти при відмові пацієнта на доступ до своїх персональних даних. На жаль, на сьогодні дане питання залишається не врегульованим. Всі нормативні акти, які прийняті, не охоплюють поняття відмови від обробки персональних даних пацієнта. Метою даної статті є дослідження проблем, які виникають при відмові пацієнта від обробки персональних даних і дії лікаря в разі відмови. Питанням персональних даних займаються такі науковці, як Брижко В.М., Дмитренко О.А., Чернобай A.M. та ін.

Слід зазначити, що дія Закону України «Про захист персональних даних» поширюється на всіх суб’єктів господарської діяльності в медичній сфері незалежно від форми власності та відомчого підпорядкування. Тобто не тільки бюджетні заклади охорони здоров’я (далі – ЗОЗ), але і всі приватні і приватно практикуючі медпрацівники повинні реєструвати бази персональних даних, які ними ведуться. У зв’язку з цим прийнята постанова Кабінетом Міністрів України від 06.06.2012р. № 546 “Про затвердження електронного реєстру пацієнтів” (далі – реєстр). , яка прийнята на виконання Національного плану дій на 2012 рік щодо впровадження Програми економічних реформ на 2012-2014 роки, якою передбачено створення Електронного реєстру пацієнтів. Електронний реєстр пацієнтів – це єдина державна інформаційна система збирання, реєстрації, накопичення відомостей про пацієнта та отриману медичну допомогу. Реєстр створюється з метою підвищення ефективності медичної допомоги, забезпечення своєчасності її надання, модернізації первинної медичної допомоги. Електронний реєстр пацієнтів не відміняє ведення облікових форм на паперових носіях. Збір, обробка та внесення до Реєстру даних про пацієнта буде здійснюватися виключно за його згодою. Реєстр створюється з метою підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації. Він є єдиною інформаційною системою збирання, реєстрації, накопичення, зберігання, оновлення, використання і поширення шляхом розповсюдження, реалізації, передачі, а також знищення відомостей про фізичну особу та отриману нею медичну допомогу. Реєстр є інформаційним ресурсом Міністерства охорони здоров’я (далі – МОЗ), який ведеться з використанням інформаційних технологій, електронного документообігу та електронного цифрового підпису.

Зазначу, що заклади охорони здоров’я усіх форм власності зобов’язані вносити до Реєстру відомості про:

1)                 фізичну особу, що містяться у затверджених наказами МОЗ медичних облікових формах;

2)                 заклад охорони здоров’я, в якому пацієнтові надано медичну допомогу;

3)                  вид наданої пацієнтові медичної допомоги;

4)                  лікарські засоби та вироби медичного призначення, закуплені для лікування пацієнта за кошти державного та місцевих бюджетів;

5)                  згоду пацієнта на обробку персональних даних за встановленою МОЗ формою.

Суперечливі положення

Основною інформаційною одиницею для Реєстру є форма первинної облікової документації № 025/о «Медична карта амбулаторного хворого», затверджена наказом Міністерства охорони здоров’я України від 14 лютого 2012 року № 110, зареєстрованим у Міністерстві юстиції України 28 квітня 2012 року за № 661/20974. Володільцями реєстру є заклади охорони здоров’я. Володільці реєстру за наявності згоди пацієнтів на обробку їх персональних даних вносять інформацію до реєстру, обробляють її та забезпечують захист персональних даних, що вносяться до реєстру. Обмін відомостями між ЗОЗ ведеться за допомогою телекомунікаційної мережі із забезпеченням захисту інформації відповідно до вимог законодавства.

Важливим аспектом є й те, що впровадження електронного реєстру пацієнтів розпочалося з Вінницької, Дніпропетровської, Донецької областей та  м. Києва. Джерелами формування Реєстру є паспортні документи або інші документи, що ідентифікують особу, та первинна облікова документація  закладів охорони здоров’я.

Реєстр формується шляхом створення електронних баз даних з метою максимальної автоматизації накопичення і обробки інформації. Підставою для внесення фізичної особи (пацієнта) до Реєстру є факт звернення пацієнта до закладу охорони здоров’я та наявність його письмової згоди на обробку персональних даних.

Введення електронного реєстру пацієнтів викликає ряд проблем через недостатню кількість кваліфікованих працівників, відсутності комп’ютерного обладнання, Інтернету в лікарнях та висока вартість утримання бази даних, неврегульованість відмови та конкретного порядку знищення персональних даних медичних працівників та пацієнтів.

Зазначу, що відповідно до європейських стандартів персональні дані поділяються на дані загального характеру (прізвище, ім’я, дата і місце народження, громадянство, місце проживання) та особисті (чутливі) персональні дані (дані про стан фізичного та психічного здоров’я, етнічна належність, расова приналежність, ставлення до релігії, політичні погляди ідентифікаційні коди чи номери, відбитки пальців, податковий статус, дані про судимість, зображення, сексуальне життя тощо).

У законодавстві України відсутній такий поділ, тобто поширення прізвища та ім’я особи може здійснюватися лише за письмової згоди особи. Водночас закон не передбачає можливості поширювати персональні дані, якщо вона становить суспільний інтерес, що є істотним обмеженням свободи слова. Це суперечить положенню інших законів, наприклад, Закону “Про доступ до публічної інформації.

Формування бази персональних даних

Закон суттєво ускладнює регулювання даних відносин. Наприклад, зобов’язує повідомляти суб’єкта персональних даних про включення в базу його персональних даних. У той же час відповідно до закону будь-яка обробка цих даних і так є можливою після отримання згоди суб’єкта на таку обробку. Залишається незрозумілим, в чому доцільність такого подвійного повідомлення, що здійснюється виключно в письмовій формі.

Наприклад, державна чи приватна клініка веде історії хвороб своїх пацієнтів. Ця інформація є базою даних. Але в державних клініках і поліклініках ці історії пишуться від руки – їх немає в електронному вигляді, але оскільки вони є базою даних їх потрібно реєструвати в Держслужбі шляхом надсилання поштою. Але навіщо передавати історії хвороби ще одному держоргану, якщо існує Міністерство охорони здоров’я, яке контролює державні медичні заклади та ліцензує приватні. Виникає питання хто буде обробляти ці письмові бази даних та скільки часу це займе, мабуть треба наймати окремого працівника, а це знов приводить до витрат. Мабуть, достатньо зберігати їх в ЗОЗ і не надсилати їх в Держслужбу але це вже порушення закону.

 Наприклад, у Великобританії конфіденційність питань пов’язаних з електронними даними закріпленні а Data Protection Act (1998). Він регламентує обробку інформації (даних) електронних, в тому числі її збору, зберігання та розкриття інформації, що може призвести до ідентифікації особи. Для того, щоб захистити конфіденційність пацієнтів в електронному середовищі Медична Рада запропонувала деякі рекомендації лікарям: 1) зробити відповідні заходи по забезпеченню безпеки зберігання та передачі особистої інформації; 2) отримати і записати професійну пораду перед тим, як підключитися до мережі Інтернет; 3) переконатися, що все обладнання (таке як комп’ютер) знаходиться в безпечній зоні; 4) памятати, що електронна пошта може бути перехоплена.

ЗОЗ обробляє дані пацієнтів для забезпечення реалізації відносин у сфері охорони здоров’я. ЗОЗ може мати три види баз персональних даних із підбазами, а саме: 1) базу персональних даних співробітників; 2) базу персональних даних пацієнтів; 3) базу персональних даних партнерів — фізичних осіб.

Персональні дані – відомості чи сукупність відомостей про пацієнта, співробітника або партнера (фізичну особу), які дозволяють ідентифікувати дану людину.

До даних, за якими людина може бути ідентифікована, відносяться всі паспортні дані, а також ряд іншої інформації:

1. Прізвище, ім’я та по батькові.
2. Дата та місце народження.
3. Місце проживання.
4. Ідентифікаційний номер (код).
5. Соціальний статус.
6. Пільги відповідно до закону (одинокі матері, жінки з дітьми до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо).
7. Факт звернення, отримання медичної допомоги чи медичних послуг особою-пацієнтом, участь у клінічних дослідженнях лікарських засобів тощо.

З усіма зазначеними категоріями відомостей про особу більшого чи меншого мірою стикаються у своїй діяльності співробітники ЗОЗ і приватно практикуючі медпрацівники при наданні медичної допомоги або медичної послуги.

Обробка і формування баз персональних даних відбувається при першому відвідуванні ЗОЗ. Отже, при першому відвідуванні, подачі претендентом резюме на заміщення вакантної посади чи підписанні будь-яких договорів про співпрацю фізична особа надає представнику медичного закладу або приватно практикуючому медпрацівникові, більшу частину із зазначених вище персональних даних. Таким чином відбувається збір персональних даних конкретної людини. При заповненні медичної, кадрової або бухгалтерсько-юридичної документації відбувається обробка та систематизація отриманих відомостей, а також внесення відомостей до загального каталогу – формування бази персональних даних певного напряму.

Необхідне резюме

Зазначимо, що персональні дані однієї людини (фізичної особи) можуть потрапляти в різні бази та підбази ЗОЗ. Відповідно, оброблятися, систематизувати і формуватися в бази даних відомості будуть різними співробітниками ЗОЗ. Наприклад, лікар А. – співробітник ЗОЗ – подав кадровому працівникові свої персональні дані при працевлаштуванні. У процесі роботи він отримав певну медичну допомогу або медичну послугу – і його персональні дані потрапили в базу даних пацієнтів ЗОЗ. Цей самий лікар А. на семінарі виступив як доповідача у галузі медичних знань і за прочитану лекцію отримав гонорар на підставі договору про співпрацю. І персональні дані лікаря А. потрапили в базу даних партнерів – фізичних осіб.

Приватнопрактикуючі медпрацівники, зазвичай, одноосібно обробляють дані (це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем), систематизують персональні дані і формують їх у відповідні бази персональних даних – це іменована сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.

Як резюме: в медичному закладі персональні дані осіб можуть оброблятися особою, відповідальною за ведення кадрового діловодства, медичним реєстратором при зверненні особи до медичного закладу, медичним персоналом відділень і кабінетів, працівниками відділу статистики, бухгалтерії, приватно практикуючими медичними працівниками тощо.

Відповідно до статті 2 Закону України «Про захист персональних даних» власником, розпорядником баз персональних даних у медичній установі є фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних. Власник бази персональних даних затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедуру їх обробки, якщо інше не визначено законом.

Тобто всі ЗОЗ незалежно від форм власності та відомчого підпорядкування, а також приватно практикуючі медичні працівники є власниками баз персональних даних.

Розпорядник бази персональних даних – фізична або юридична особа, якій власником бази персональних даних або законом надано право обробляти ці дані. У ЗОЗ розпорядником бази персональних даних співробітник, на якого буде покладено обов’язок з обробки персональних даних, їх формування в бази, оновлення внесених даних тощо. Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, власника чи розпорядника бази персональних даних та уповноваженого державного органу із захисту персональних даних, якому власником чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону. Наприклад, третьою особою буде виступати фармкомпанія, яка передає подарунки породіллям і новонародженим в післяпологовому відділенні на підставі бази даних переданих пологовим будинком.

Права пацієнта та його законного представника

Реєстрацію баз персональних даних здійснює власник бази персональних даних шляхом подання відповідної заяви до Державної служби з питань захисту персональних даних. До моменту подачі відповідної заяви власник або уповноважена ним особа повинна розробити Положення про обробку і захист персональних даних в медичній установі і призначити відповідальних осіб, внести зміни в їхні посадові інструкції. У заяві про реєстрацію баз персональних даних вказується: 1. Звернення про внесення бази персональних даних до Державного реєстру баз персональних даних; 2. Інформація про власника бази персональних даних; 3. Інформація про найменування та місцезнаходження бази персональних даних; 4. Інформація про мету обробки персональних даних у базі персональних даних; 5. Інформація про інших розпорядників бази персональних даних; 6. Підтвердження зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.

Державна служба з питань захисту персональних даних на наступний робочий день з моменту отримання заяви про реєстрацію баз персональних даних повідомляє заявника про її отримання.

Протягом десяти робочих днів з дня надходження заяви Державна служба з питань захисту персональних даних приймає рішення про реєстрацію бази персональних даних або про відмову в реєстрації. Власнику бази персональних даних у разі позитивного рішення видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних – сертифікат.

Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід’ємними і непорушними.

Пацієнт особисто і законний представник мають право:

1) знати про місцезнаходження персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

 2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

 3) на доступ до своїх персональних даних;

 4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

 5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

 6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

 7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

 8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду;

 9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

 10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

 11) відкликати згоду на обробку персональних даних;

 12) знати механізм автоматичної обробки персональних даних;

 13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

Різниця між актуальним і реальним

Згідно зі ст.8 ЗУ «Про захист персональних даних» розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник, тобто піклувальник та опікун ст.ст. 58-59 ЦКУ. Відповідно до Цивільного кодексу України законним представником малолітніх та неповнолітніх дітей є батьки (усиновлювачі). Законним представником у випадках, встановлених законом, може бути інша особа.

Контроль за дотриманням законодавства про захист персональних даних  в сфері медицини здійснюють шляхом планових та позапланових перевірок такі органи, як: 1) уповноважений державний орган з питань захисту персональних даних; 2) Державна служба з питань захисту персональних даних; 3) інші органи державної влади та органи місцевого самоврядування; 4) парламентський контроль за дотриманням прав людини щодо захисту персональних даних здійснює Уповноважений Верховної Ради України з прав людини відповідно до закону.

На сьогодні форма згоди суб’єкта персональних даних – це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання.

Окрім того, суб’єкт персональних даних, керуючись абз.5 п. 2 ст. 8 Закону України «Про захист персональних даних», має право пред’являти мотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником і розпорядником цієї бази, якщо ці дані обробляються незаконно або є недостовірними. Обов’язково потрібно пояснити пацієнту, що вимагає знищити його персональні дані, що зберігання персональних даних необхідне для того, щоб при потребі пацієнт міг отримати дані проведених аналізів, виписки із історії хвороби, висновки консиліумів, копії документів, що містять відомості про нього, які можуть бути використані при оформленні інвалідності, для підтвердження інвалідності тощо. У базах персональних даних знищенню підлягають персональні дані в разі закінчення терміну зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом; припинення правовідносин між суб’єктом персональних даних і власником або розпорядником бази, якщо інше не передбачене законом; набрання законної сили рішення суду про вилучення даних про фізичну особу з бази персональних даних та ін.

Одна з головних проблем реєстру — це гарантування захисту інформації про пацієнтів у базі даних. Постановою КМУ №546 від 06.06.2012 передбачається необхідність згоди пацієнта на обробку персональних даних за встановленою МОЗ формою. Разом з тим виникає питання, яким чином буде фіксуватися інформація про пацієнтів, які відмовлятимуться від внесення своїх персональних даних до електронного реєстру. Найчастіше фізична особа – пацієнт відмовляється через свої релігійні переконання від обробки персональних даних. Варто підкреслити, що обробка персональних даних здійснюється для конкретних і законних цілей, якщо пацієнт відмовляється надавати згоду на обробку персональних даних та внесення даних до Реєстру то це не є підставою для ненадання медичної допомоги.

Таким чином, запровадження електронного реєстру пацієнтів є актуальним, однак враховуючи його вартість – не дуже реальним. Наприклад, згода на обробку персональних даних пацієнтів в деяких лікарнях здійснюється шляхом надання згоди на лікування у листку призначення лікування, тобто відсутня чітка база персональних даних.

Висновки:

1. Персональні дані, у тому числі інформація про стан здоров’я, належать до так званої «чутливої» інформації, тому мають бути ретельно захищені. Розголошення певних видів такої інформації, наприклад, щодо захворювання на онкологічні, неврологічні захворювання тощо, може призвести до соціальної стигматизації.
2. Персональні дані пацієнтів обробляються, формуються в бази. Необхідно проводити інформування керівників ЗОЗ щодо необхідності у проведенні державної реєстрації баз, визначенні відповідальної особи чи підрозділу, які забезпечуватимуть додержання законодавства щодо захисту персональних даних.
3. Необхідно визначити володільців, розпорядників та третіх осіб щодо баз персональних даних пацієнтів із роз’ясненням їхніх прав та обов’язків, а також механізмів передачі даних та їхнього документального оформлення.
4. Визначити та закріпити чіткий механізм захисту баз персональних даних пацієнта та медпрацівника в закладах охорони здоров’я.
5. Передбачити конкретний механізм та порядок відмови пацієнта від обробки персональних даних та їх види, а також наслідки такої відмови.
6. Визначити конкретні випадки знищення персональних даних пацієнтів.
7. Розробити типові заяви відмови від обробки персональних даних пацієнта та заяву на згоду про обробку для всіх закладів охорони здоров’я України.

С. БУЛЕЦА

кандидат юридичних наук, доцент

ДВНЗ «Ужгородський національний університет»