Становище на КЗЛД по въпроси, касаещи приложението на ЗЗЛД във връзка със създаване на информационна система Национален скринингов регистър и система за известяване по проект BG051PO0001-5.3.02-0001-C0001 „СПРИ и се прегледай”

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и Членове: Красимир Димитров и Валентин Енев на заседание, проведено на 12.12.2012г., разгледа преписки с вх.№П-5953/12.11.2012г. (вх.№П-6099 / 19.11.2012г.) от Министерството на здравеопазването и вх.№П-6479 / 03.12.2012г. от Националната здравноосигурителна каса (НЗОК).

В искането, подадено от Министерство на здравеопазването, се посочва, че министерството е конкретен бенефициент по ос 5, област на интервенция 5.3. „Работоспособност чрез по-добро здраве”, проект BG051PO0001-5.3.02-0001-C0001 „СПРИ и се прегледай”. Целта на проекта е за първи път в България да бъде поставено начало на всеобхватна, целенасочена и организирана политика за скрининг на ракови заболявания в три направления:

– Рак на гърдата;

– Рак на маточната шийка;

– Рак на дебелото черво и ректума.

Прегледите ще бъдат извършвани на територията на цялата страна по метода за селекция на целеви групи. В рамките на проекта ще бъдат извършени определен брой прегледи поради невъзможност да бъде обхванато цялото население, но програмата за профилактика ще продължи да действа и след приключването му. Възрастовите граници, най-общо между 30 и 74-годишна възраст, за отделните локации на заболяването са съобразени с препоръките на ЕС, заложени в ПРЕПОРЪКА НА СЪВЕТА от 2 декември 2003 година относно онкологичния скрининг (2003/878/ЕО). Относно селекцията ще бъдат използвани доказани в практиката на други страни алгоритми.

Като конкретен бенефициент по проекта е посочено Министерство на здравеопазването, а Националният център по обществено здраве и анализи, като второстепенен разпоредител с бюджетни кредити към министерството ще води Националния скринингов регистър.

Посредством Националния скринингов регистър и система за известяване към него, които в момента се разработват по проекта „СПРИ и се прегледай”, ще бъде осигурена необходимата обратна връзка, стриктна отчетност и статистика, която да позволи да се вземат информирани и целенасочени решения. Наличието на данни за това колко от поканените лица се явяват на преглед, колко са положително диагностицирани от прегледаните лица, ще даде възможност на държавата адекватно да бюджетира средства, както за скрининг, така и за лечение за обхванатите ракови заболявания в бъдеще.

За целите на селекция на целевите групи и изпращане на покани за явяване на скринингов преглед Националният скринингов регистър и система за известяване е необходимо да получават данни от информационната система на Националната здравноосигурителна каса, ЕСГРАОН и Националния раков регистър. Данните, които ще са нужни са: трите имена, ЕГН, адрес, преминал/непреминал диагностично изследване по съответната локализация за период от една година, диагностициран/недиагностициран като раково болен по съответната локализация.

В искането за становище от Министерство на здравеопазването е дадена информация, че към момента се води кореспонденция относно изготвянето на споразумения между Министерство на здравеопазването, Национален център по обществено здраве и анализи, Национална здравноосигурителна каса, Министерство на регионалното развитие и благоустройството във връзка с реализирането на обмена на данни за целите на създаването на Националния скринингов регистър.

С писмо, заведено под вх.№П-6479 / 03.12.2012год. във връзка със същия проект BG051PO0001-5.3.02-0001-C0001 „СПРИ и се прегледай”, Националната здравноосигурителна каса предоставя на вниманието на Комисията проект за споразумение за предоставяне исканите лични данни между Министерство на здравеопазването като конкретен бенефициент по проекта, Национален център по обществено здраве и анализи като второстепенен разпоредител с бюджетни кредити към Министерство на здравеопазването и Националната здравноосигурителна каса. НЗОК моли за становище относно допустимостта на предоставянето на лични данни на здравноосигурени лица във връзка с разработването и поддържането на Националния скринингов регистър и система за известяване по проекта „Спри и се прегледай”, както и относно съответствието на предмета на приложения проект за споразумение със Закона за защита на личните данни. Отбелязано е, че предстои добавяне на проектния регистър към регистрите, които поддържа Националният център по обществено здраве и анализи като администратор на лични данни.

Споразумението, чийто проект е приложен към искането на Националната здравноосигурителна каса, има за предмет „предоставяне на данни от страна на НЗОК във връзка с разработването и поддържането на информационната система: Национален скринингов регистър и система за известяване по проект BG051PO0001-5.3.02-0001-C0001 „СПРИ и се прегледай””. Подробно са описани данните, които касата ще предостави на новия регистър като е предвидено ежемесечното им обновяване.

Категориите данни, предмет на споразумението за обмен са:

1. Данни за пролежалите в болница лица с ракови заболявания по класификацията на МКБ-10:

o ЕГН на болния от рак гражданин

o МКБ код на болестта

2. Oтчетени от изпълнители на медикодиагностична дейност в извънболничната специализирана медицинска помощ изследвания по три локализации рак (на гърдата – С50, на шийката на матката – С53, на дебелото черво и ректума – С18 и С20:

o ЕГН на гражданина, преминал изследването;

o МКБ код на болестта;

o Код на изследването;

o Дата на изследването.

3. Данни за общопрактикуващите лекари (ОПЛ) – данните ще се използват с цел изпращане до ОПЛ на списъци с пациентите от листата на съответния ОПЛ, които са попаднали в скрининговия процес. ОПЛ ще имат възможност да въвеждат информация за изследванията на пациентите си, извършени в рамките на програмата:

o ЕГН на ОПЛ;

o УИН на ОПЛ;

o ЕИК на ОПЛ;

o Трите имена на ОПЛ;

o Обединение от адресите на практиките на ОПЛ;

o E-mail адрес на ОПЛ, ако има информация за него;

o Телефонен номер на ОПЛ, ако има информация за него.

4. Данни за пациентите на ОПЛ – данните ще се използват с цел допускане на ОПЛ до възможност за въвеждане на информация за изследванията на пациентите си, извършени в рамките на програмата:

o ЕГН на пациета (гражданина);

o УИН на ОПЛ;

o Генериране по един запис за всеки гражданин;

o Генериране на записи за всеки ОПЛ в зависимост от броя пациенти.

Ще се въведе специална защита чрез съвместно изграждане на защитен канал и използване на квалифицирани електронни подписи за достъп, издадени в съответствие с изискванията на Закона за електронния документ и електронния подпис (ЗЕДЕП). Националният център по обществено здраве и анализи, подписвайки споразумението, се задължава да определи служителите с достъп, да ги опише в приложение и своевременно да уведомява НЗОК за настъпили проблеми. За нерегламентиран достъп ще се търси отговорност.

На база гореизложеното, отправена е молба от институциите, ангажирани с проекта, до Комисията за защита на личните данни за изразяване на становище относно:

1.Необходимостта от предприемане на допълнителни действия от страна на Министерство на здравеопазването и в частност от Националния център по обществено здраве и анализи, във връзка със защитата на личните данни на населението при създаването и поддържането на Националния скринингов регистър и система за известяване по проекта „Спри и се прегледай”.

2.Допустимостта на предоставянето на лични данни на здравноосигурени лица от Националната здравноосигурителна каса във връзка с разработването и поддържането на Националния скринингов регистър и система за известяване по проекта „Спри и се прегледай”.

3.Предмета на приложения проект за споразумение за предоставяне на лични данни на здравноосигурени лица от страна на НЗОК и съответствието му със Закона за защита на личните данни.

При извършване на служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, се установява следното:

Министерство на здравеопазването БУЛСТАТ 000695317 е регистриран администратор на лични данни в регистъра към КЗЛД под идентификационен №5068. Поддържа 23 броя регистри, някои от които съдържат лични данни, отнасящи се до здравословното състояние.

Националният център по обществено здраве и анализи БУЛСТАТ 176094665 е регистриран в същия регистър под идентификационен №326148. Поддържа 9 броя регистри и към настоящия момент обработва лични данни, отнасящи се до здравословното състояние.

Националната здравноосигурителна каса с БУЛСТАТ 121858220 е вписана в регистъра на администраторите на лични данни към Комисията за защита на личните данни с идентификационен №52412. Поддържа пет броя регистри, един от които е регистър „Задължително здравноосигурени лица”, съдържащ лични данни, които са предмет на приложеното споразумение за обмен. Нивото на защита на данните от този регистър съгласно Наредба №1 от 7 февруари 2007г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни е високо, като са взети и специални мерки за защита чрез криптиране и електронен подпис.

По повод осъществяването на дейности по здравеопазване, посочените администратори са длъжни да спазват разпоредбите на Закона за защита на личните данни във връзка с чл.27 от Закона за здравето (ЗЗ), който гласи, че здравната информация представлява личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация (чл. 27, ал.1 от ЗЗ), а лечебните и здравните заведения, регионалните здравни инспекции, лекарите, лекарите по дентална медицина, фармацевтите и другите медицински специалисти, както и немедицинските специалисти с висше немедицинско образование, работещи в националната система за здравеопазване, събират, обработват, използват и съхраняват здравна информация (чл.27, ал.2 от ЗЗ).

Законът за защита на личните данни (ЗЗЛД) урежда защита на правата на физическите лица при обработване на личните им данни, за да се гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. По смисъла на чл.2, ал.1 от ЗЗЛД минимално необходимата информация, която ще бъде обработвана за осъществяване на посочените в искането намерения, съставлява лични данни, тъй като същата е в обем, позволяващ идентификацията на конкретното физическо лице.

Събирането на информация, отнасяща се до лични данни на физически лица в Националния скринингов регистър и система за известяване, представлява “Обработване на лични данни”, съгласно легалната дефиниция, посочена в параграф1, т.1 от Допълнителните разпоредби на ЗЗЛД. Обработването на лични данни във всички случаи следва да бъде законосъобразно,както и да бъдат спазвани принципите, посочени в чл.2, ал.2 от ЗЗЛД.

Изложеният по-долу в становището анализ на нормативната уредба изследва законовите предпоставки за обработване на личните данни на лицата, които ще участват в целевите групи по проекта.

Нормативното основание за създаване на Националния скринингов регистър е посочено в Наредба №39 от 2004 година за профилактичните прегледи и диспансеризацията, издадена на основание чл.30, ал.3, чл.123, ал.2 и чл.127, ал.2, т.5 от Закона за здравето. С измененията на Наредба №39, публикувани в Държавен вестник бр.58 от 2011г., в сила от 01.07.2011г. се създава нов РазделIV.
Скрининг (чл. 20 – 24).

Според чл.20 от Наредбата, скринингът е профилактичен метод за установяване разпространението на определен признак, симптом или заболяване сред групи от здравото население и може да бъде осъществен в случай, че са изпълнени следните изисквания:

1. скринираното заболяване представлява значим обществен и здравен проблем;

2. съществуват утвърдени средства и методи за диагностика и лечение по отношение на признака/симптома/заболяването, обект на скрининга;

3. заболяването може да бъде открито в клинично неизявен (латентно протичащ) или ранен стадий;

4. съществува установен механизъм за по-нататъшно диагностично уточняване и ефективно лечение на изследваните лица;

5. използваните скринингови методи, тестове и/или изследвания са лесно приложими и безопасни за населението;

6. провеждането на скрининга е икономически ефективно.

Чл. 21, ал.1 допълва, че всеки скрининг се извършва по определена програма или проект и задължително включва:

1. определяне на целевите групи;

2. предоставяне на съвети, информация и/или насоки за участие в скрининга;

3. изпълнение и анализиране на скрининговите тестове и/или изследвания;

4. предоставяне на препоръки до участниците за последващи прегледи и необходими медицински услуги и организирането им;

5. обработване и анализиране на обратна информация.

Член 22, 23 и 24 от Наредба №39 (Нови- ДВ, бр.58 от 2011г., в сила от 01.07.2012г.) регламентират създаването, целите и дейността на Националния скринингов регистър.

Националният скринингов регистър се води от Националния център по обществено здраве и анализи и съдържа:

1. лични данни на скринираните лица (имена, ЕГН, постоянен и настоящ адрес и др.);

2. данни за лечебните заведения, регистрирали се за извършване на конкретен скрининг – наименование и регистрационен номер на лечебното заведение; имена, ЕГН и УИН код на представляващия; звена и налична апаратура (включително лабораторна) на лечебното заведение; имена, ЕГН и УИН код на конкретните специалисти, които ще извършват скрининга; електронен (e-mail) адрес за кореспонденция, други средства за кореспонденция (телефон и др.); други необходими данни;

3. резултати от проведените изследвания на явилите се за скрининг лица;

4. други необходими данни.

Регистърът задължително предоставя възможност за обособяване на скринирани групи и за регистрация на явилите се за преглед и изследване скринирани лица, както и създава и води електронно досие на всеки член на скринирана група.

Регистърът работи с актуални данни от регистрите на населението.

Относно достъпа до данни, които ще се събират в регистъра, трябва да се има предвид и разпоредбата на чл.28а от Закона за здравето, в която е посочено, че министърът на здравеопазването, второстепенните разпоредители с бюджетни кредити към него и лечебните заведения, към които по силата на нормативен акт е създаден регистър с национално значение, при и по повод осъществяване на функциите имат право на безвъзмезден достъп до информационните регистри, изграждани и поддържани с бюджетни средства. В тази връзка допустимостта на предоставянето на данни от страна на НЗОК е отразена в чл.68, ал.4 от Закона за здравното осигуряване (ЗЗО) – Националната здравноосигурителна каса може да предостави данни на държавни органи за личността на осигурено лице или за изпълнител, ако това е предвидено със закон, а текстът на чл.68, ал.7 от ЗЗО задължава Националната здравноосигурителна каса и РЗОК да предоставят исканата от Министерството на здравеопазването информация.

На база извършения правен анализ и на основание чл.4, ал.1 от ЗЗЛД, може да се направи извод, че обработването на лични данни в случая ще е допустимо, тъй като се касае за:

-обработване, което е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни (чл.4, ал.1, т.1 от ЗЗЛД);

-обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните (чл.4, ал.1, т.4 от ЗЗЛД);

-обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес (чл.4, ал.1, т.5 от ЗЗЛД);

В чл.5, ал.1 от ЗЗЛД е въведена принципна забрана за обработването на лични данни, които се отнасят до здравето на лицата, като в чл.5, ал.2 са допуснати изключения от общото правило. От направения анализ на правната рамка във връзка с конкретното искане, администраторът може да събира и обработва така наречените „чувствителни данни” поради това, че обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна (чл.5, ал.2, т.6 от ЗЗЛД).

Като се отчете спецификата на личните данни в изложения казус, по отношение законосъобразните условия на тяхното обработване следва да намерят приложение разпоредбите на чл.4, ал.1, т.1, 4 и 5 и чл.5, ал.2, т.6 от ЗЗЛД.

Особено внимание трябва да се обърне на въпроса за съгласието на лицата, чиито данни ще бъдат обработвани. Все по-често се дискутира по тази тема, като една от бъдещите промени в Европейската правна рамка се очаква да бъде именно по отношение на формата и начина на доказване, че едно лице действително е дало съгласието си по своя воля. В чл.5, ал.2, т.2 от ЗЗЛД се допуска възможността за обработване на чувствителни данни, в случай, че физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго. В параграф1, т.13 от Допълнителните разпоредби на ЗЗЛД е легалното определение на „Съгласие на физическото лице” – всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.

В това отношение Законът за здравето, като специален въвежда понятието „информирано съгласие”. В параграф1, т.15 от Допълнителните разпоредби на ЗЗтози термин е намерил своето легално определение- съгласие, предоставено доброволно след запознаване с определена информация. В чл.87, ал.1 от ЗЗ е указано, че медицинските дейности се осъществяват след изразено информирано съгласие от пациента.За получаване на информирано съгласие лекуващият лекар, уведомява пациента или съответно неговия родител, настойник или попечител, както и други лица, които според закона имат прово на това, относно:

1. диагнозата и характера на заболяването;

2. описание на целите и естеството на лечението, разумните алтернативи, очакваните резултати и прогнозата;

3. потенциалните рискове, свързани с предлаганите диагностично-лечебни методи, включително страничните ефекти и нежеланите лекарствени реакции, болка и други неудобства;

4. вероятността за благоприятно повлияване, риска за здравето при прилагане на други методи на лечение или при отказ от лечение.

С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното

1. Националният център по обществено здраве и анализи може да обработва лични данни, получени от НЗОК, ЕСГРАОН и Националния раков регистър, след като заяви за вписване в Регистъра на администраторите на лични данни създаването на Национален скринингов регистър и система за известяване и премине успешно предварителна проверка по чл.17б от Закона за защита на личните данни. Администраторът не може да започне обработване на данните, преди да е вписан в регистъра по чл.10, ал.1, т.2 или преди да изпълни задължителните предписания на комисията в резултат на направената предварителна проверка.

2. На основание чл.68, ал.4 и ал.7 от Закона за здравното осигуряване и чл.28а от Закона за здравето във връзка с чл.4, ал.1, т.1, 4 и 5 и чл.5, ал.2, т.6 от ЗЗЛД, предоставянето на лични данни на здравноосигурени лица от Националната здравноосигурителна каса на Националния център по обществено здраве и анализи за целите на изграждането и поддържането на Национален скринингов регистър и система за известяване по проект BG051PO0001-5.3.02-0001-C0001 „СПРИ и се прегледай” е допустимо и законосъобразно. Съгласно чл.5, ал.2, т.2 от ЗЗЛД и във връзка с чл.87, ал.1 от ЗЗ, администраторът трябва да подбере подходяща форма за предоставяне на информация във връзка с целите на проекта на лицата, чиито данни ще обработва, както и да им предостави възможност за изразят своето съгласие.

3. Предметът на приложения проект за споразумението за предоставяне на данни съответства на изискванията на Закона за защита на личните данни.