СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
с рег. № ЗАП-212/2016 г.
гр. София, 13.10.2016 г.
ОТНОСНО: Използване на амбулаторните листове от личните лекари за извиняване на отсъствията на учениците.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и Членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на неприсъствено заседание, проведено на 10.10.2016г., разгледа преписка относно изнесена информация за изявление на заместник-министъра на образованието и науката г-н Диян Стаматов, в което се разяснява, че „занапред амбулаторните листове от личните лекари ще служат като извинителна бележка в училище“. Причината да се стигне до тази идея е все по-честото фалшифициране на медицинските бележки, които служат за извиняване на отсъствията в училище. Информация за намерението на заместник-министъра има, както на сайта на Министерство на образованието и науката, така и в новинарски емисии на Българската национална телевизия.
В същото време в Комисията за защита на личните данни, като реакция на обявените мерки, се получи запитване по електронната поща с вх.№ЗАП-212/29.09.2016г. от госпожа А.Д., която се интересува кой има право на достъп до здравните данни на децата.
По информация в медиите, на 04.10.2016г. Националното сдружение на общопрактикуващите лекари в България (НСОПЛБ) изрази официално становище, по повод идеята на Министерството на образованието и науката, отсъствията на учениците да се извиняват с амбулаторен лист, в което се заявява, „че исканата от МОН мярка е незаконосъобразна и представлява грубо нарушение на конфиденциалността, която е неразделна част от добрата медицинска практика и изконно право на всеки пациент“.
Правен анализ:
Предоставянето на лични данни от един на друг администратор безспорно представлява обработване на лични данни, съгласно легалната дефиниция на понятието, заложена в §1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Предоставянето,от страна на лекарите, на амбулаторни листи за извършен медицински преглед на училищните власти, с цел извиняване на отсъствията по болест на учениците, безспорно представлява действие по обработване на лични данни.
С оглед изясняването на законосъобразното обработване на информация, съдържаща лични данни, следвада се разгледа приложимото законодателство. Законът за защита на личните данни (ЗЗЛД) урежда защита на правата на физическите лица при обработване на личните им данни, с цел да се гарантира неприкосновеността на личността и личния живот чрез осигуряване на необходимата защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
Съгласно чл.2, ал.1 от ЗЗЛД, информацията, която се съдържа в амбулаторните листи, които са предмет на настоящия анализ, съставлява лични данни, тъй като същата е в обем, позволяващ идентификацията на конкретното физическо лице. Още повече, данните, които се съдържат във въпросния медицински документ, е от типа на така наречените „специално защитени данни” по смисъла на чл.5, ал.1 от ЗЗЛД – данни, които разкриват расов или етнически произход; политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели; или такива, които се отнасят до здравето, сексуалния живот или до човешкия геном. Със същата разпоредба е въведена и забрана за обработването на такива данни.
В чл.5, ал.2 законът изчерпателно изрежда изключенията от забранителния режим, както следва:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;
2. физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:
а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;
7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.
Внимателен анализ на изчерпателно изброените изключения от общата забрана за обработване на т.нар. чувствителни данни показва, че действията по предоставяне на амбулаторен лист с цел извиняване на отсъствия, не е сред допустимите от закона хипотези.
В същото време чл.27, ал.1 от Закона за здравето посочва, че здравна информация са личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация. Следователно, видно и от бланката на амбулаторния лист, наред с безспорно идентифициращите данни като име и ЕГН, в него се съдържа подробна здравна информация относно здравния статус на лицата към момента на извършване на медицинския преглед, история на заболяването, оплакванията на пациента, резултати от назначените изследвания, диагноза, придружаващи заболявания, назначено лечение и т.н.
Доколкото ЗЗЛД е общ, при разглеждането на конкретния казус трябва да се вземе предвид и чл.28, ал.1 от специалния, в случая, Закон за здравето, съгласно който здравна информация може да бъде предоставяна на трети лица, когато:
1. лечението на лицето продължава в друго лечебно заведение;
2. съществува заплаха за здравето или живота на други лица;
3. е необходима при идентификация на човешки труп или за установяване на причините за смъртта;
4. е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
5. е необходима за нуждите на медицинската експертиза и общественото осигуряване;
6. е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени;
7. е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.
8. е необходима за нуждите на застраховател, лицензиран по т.2 или по т.1 и 2 от раздел ІІ, буква "А" на приложение №1 към Кодекса за застраховането.
В чл.28в от Закона за здравето е разписано, че медицинските специалисти и служители в лечебните заведения нямат право да разгласяват информация за пациента, която е получена при изпълнение на служебните им задължения.
Посочените аргументи показват, че планираната мярка за контрол на отсъствията е несъвместима както с условията за предоставяне на здравна информация, регламентирани с разпоредбите на специалния закон- чл.28, ал.1 от Закона за здравето относно защита правата на пациентите, така и с общите норми на Закона за защита на личните данни.
От особено значение в случая е, че във всеки конкретен случай предоставянето на информация, съдържаща лични данни, следва да е законосъобразно, а самата информация пропорционална, т.е. свързана и ненадхвърляща целите, за които се обработва. Всеки администратор на лични данни при обработването на лични данни следва да спазва принципите, заложени в чл.2, ал.2 от ЗЗЛД, а именно личните данни трябва да се обработват законосъобразно и добросъвестно, да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели, да бъдат съотносими, свързани и ненадхвърлящи целите, за които се обработват, както и да се заличават и коригират в случай на непропорционалност по отношение на целите, за които се обработват. Използването на амбулаторен лист за извиняване на отсъствия в училище в значителна степен противоречи на основните принципи за обработване на лични данни, а в конкретния случай става въпрос на данни от категорията на данни под особена защита (чувствителни данни за физическото лице).
На първо място, предложената мярка може да бъде определена като незаконосъобразна, тъй като противоречи на специалните норми за обработването на здравна информация, разписани в Закона за здравето, а в същото време липсва и правно основание за нейното обработване от училищните власти. Анализът на въздействието от обработването на здравните данни в конкретния случай навежда също на мисълта, че неоторизираният достъп до въпросните медицински документи може да създаде условия за нерегламентирано използване на съдържащата се в тях информация.
На второ място, предложението за използване наамбулаторен лист за извиняване на отсъствия в училище е нецелесъобразно и непропорционално. Амбулаторният лист не би могъл да удостовери продължителността на лечението и свързания с това период за отсъствие от училище, тъй като по своята същност той отразява осъществения амбулаторен преглед на конкретна дата и час, посочени в него и необходимостта от преглед при специалист, ако се налага. В него не винаги се посочва определения от лекуващия лекар режим и продължителност на лечение, за разлика от болничния лист например. В амбулаторния лист не се посочва къде, как и за какъв период пациентът следва да проведе лечението си, т.е. дали е необходимо са се лекува в домашни условия или лечението не изисква отделяне от учебния процес. Отделно, училищните власти не разполагат със специални медицински познания за подобна преценка на описаната в амбулаторния лист диагноза.
От друга страна, съдържащата се в амбулаторния лист информация, освен че не е относима към целта, за която ще се използва, същата е и в обем, който значително надхвърля необходимия за нейното изпълнение, а именно- извинение за периода на отсъствието от училище.
В допълнение следва да се отбележи, че по силата на чл.17 от ЗЗЛД, учебните заведения, които ще обработват в качеството си на администратори чувствителни данни, каквито са данните за здравето на ученика в амбулаторния лист, подлежат на задължителна предварителна проверка от КЗЛД за начина и условията за защита на въпросната лична информация.
Не следва да се пренебрегват и изискванията относно обработването на данни за здравето, които налага Наредба №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Големият обем от данни, който се съдържа в разглеждания медицински документ, подлежи на по-специална защита, която следва да бъде осигурена от училищните власти в тяхното качество на администратори на лични данни. Предприемането на подходящите технически и организационни мерки, като едно от най-важните задължения на администраторите на лични данни, е дейност която се свързва с изразходването на ресурси, които трябва да съответстват на поставените цели. Липсата на необходима техническа и организационна защита при обработването на чувствителни данни ще доведе до неправомерно разпространение и санкциониране на тези администратори за неизпълнение на задълженията им по ЗЗЛД.За целта детските градини, основните, средните училища и университетите, в качеството си на администратори, следва да повишат нивото на защита на обработвани чувствителни лични данни и да бъдат проверени от КЗЛД за въвеждане и спазване на тези нови изисквания на закона, преди да започнат обработването на лични данни. Това налага осигуряването и инвестирането в кратък срок на значителни човешки, финансови и технически ресурси.В този контекст следва да се отчита обстоятелството, че броят на училищата и висшите учебни заведения в системата на МОН, в които би била въведена тази мярка, е около 2600.
В изложения казус следва да се има предвид и целта на Закона за защита на личните данни, която е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни. Въпреки, че защитата на личната неприкосновеност чрез законосъобразното обработване на лични данни, не е от категорията на абсолютните права, конкретно разглеждания случай заслужава особено внимание, тъй като обработването засяга правата на особена категория субекти на данни, каквито са децата. КЗЛД вече е имала възможност да изрази мотивите си относно необходимостта от по-засилена защита на тази категория лица по повод заличаването на данните за ЕГН от съдържанието на ученическите бележници и ученическите лични карти. В този смисъл, развиващото се законодателство в областта на защитата на личните данни, с приемането на Общия регламент за защита на данните (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО), за първи път в нормативен акт, отчита особеностите на децата като субекти на данни. Регламентът, който има пряко действие в страните-членки на Европейския съюз, е вече в сила, а прилагането му започва от 25 май 2018г. Периодът до тази дата е необходим за администраторите на лични данни, за да могат да приведат вътрешните си правила за обработване на лични данни в съответствие с новата правна рамка, която се налага.
Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
Предприемането на подходящи мерки за засилен контрол върху участието на учениците в учебния процес е обществено значим въпрос, чието решение обаче не следва да бъде в противоречие с правилата за защита на личните данни.
Липсва правно основание за разкриването на данни за здравето на учениците в обема, определен от бланката на амбулаторния лист за посочените цели – извиняване на отсъствия.
Използването на амбулаторни листове за извиняване на отсъствията на учениците би представлявало незаконосъобразна мярка, която ще бъде в противоречие с основните принципи за обработването на лични данни.
Въпросното предложение би било също така нецелесъобразно и непропорционално,предвид необходимостта от осигуряване и инвестиране от всички учебни заведения на значителни човешки, финансови и технически ресурси за гарантиране на изискуемото ниво на защита на чувствителните лични данни, които се съдържат в амбулаторния лист.
Становището следва да бъде изпратено на Министерство на образованието и науката, Министерство на здравеопазването, както и на всички заинтересовани лица.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
