СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег.№ПНМД-01-67/2022г.
гр. София, 14.09.2022г.
ОТНОСНО: Постъпило искане за предварителна консултация по чл.36, пар.4 от Регламент (ЕС) 2016/679 във връзка с изработването на проект на Наредба за функционирането на Националната здравноинформационна система.
Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове:Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 14.09.2022г., разгледа искане с вх. №ПНМД-01-67/08.07.2022г. за предварителна консултация по чл.36, пар.4 от Регламент (ЕС) 2016/679 във връзка с изработването на проект на Наредба за функционирането на Националната здравноинформационна система (НЗИС). Същото е депозирано от министъра на здравеопазването, като към него са приложени проект на наредбата, мотиви към същия и оценка на въздействието върху защитата на данните.
В мотивите към проекта е посочено, че съгласно разпоредбите на чл.28г, ал.6 и ал.7 от Закона за здравето (ЗЗдр), министърът на здравеопазването следва да издаде наредба, с която да бъдат уредени основните въпроси във връзка с функционирането на НЗИС. Следва да се отбележи, че същата включва електронните здравни записи на физическите лица и инкорпорира нормативно определените в закона регистри, информационни бази данни и системи.
В приложените мотиви към наредбата се посочва, че съдържат подробна информация относно правилата за експлоатиране на системата, както и конкретните данни относно здравното състояние на населението. Допълнително е предоставена информация, че в наредбата са регламентирани генерирането, съдържанието и поддържането на електронния здравен запис за физическите лица. Същият е основен елемент при функционирането на НЗИС и представлява структура, съдържаща определен набор от данни за извършените от медицинските и немедицински специалисти в лечебните и здравни заведения дейности. Посоченитедейности генерират или използват здравна информация за физическите лица или са относими към тяхното здравно състояние. В допълнение към гореизложеното, КЗЛД е информирана, че са въведени и правила, съобразно които регистрите, информационните бази данни и системи (определени в нормативен акт, че се водят от Министерството на здравеопазването (МЗ) и неговите второстепенни разпоредители с бюджет, от лечебните и здравните заведения, от НЗОК и застрахователните дружества, лицензирани по т.2 или по т.1 и 2 от раздел ІІ, буква „А” на приложение №1 към Кодекса за застраховането) са интегрирани в НЗИС. За по-голяма яснота в мотивите към проекта на наредба се посочва, че са регламентирани различните взаимоотношения между използващите системата, както и осъществявания обмен от данни с други регистри.
В приложената от МЗ документация са посочени цели, които следва да бъдат постигнати чрез въвеждането и експлоатирането ѝ от оторизираните за това лица:
– спомагане за повишаване на качеството и ефективността на системата на здравеопазването чрез изграждане на интегриран здравен запис на гражданите, който включва всички медицински данни от проведени лечение, терапии, медицински изследвания, приложени лекарствени продукти и други дейности, което е предпоставка за адекватно диагностициране и ефективно лечение. Медицинските данни се въвеждат в реално време. Гражданите имат възможност за проследяване на своите данни включително и да осъществяват контрол при необходимост. Съкращава се времето за обслужване на пациентите;
– спомагане за повишаване на контрола в здравеопазването и съкращаване на финансовите разходи;
– управление и функциониране на системата на здравеопазването с помощта на НЗИС, която позволява извършването на мониторинг на процесите в здравеопазването, разходването на финансови средства и взимане на ефективни управленски решения, базирани на данни;
– възможност за повишаване на качеството на административните услуги в здравеопазването.
Вземайки предвид фактическата и правна сложност на отправеното искане, както и необходимостта от окомплектоване на административната преписка с писмо изх. №ПНМД-01-67#1/29.07.2022г. по описа на КЗЛД, от МЗ се изиска следната допълнителна информация:
1. Получените становища и коментари на заинтересованите страни в рамките на проведената от 7 април до 7 май 2022г. обществена консултация на проекта на Наредба (в частта, отнасяща се до защитата на личните данни); и
2. Становището на длъжностното лице по защита на данните (ДЛЗД) на МЗ при извършването на оценката на въздействието върху защитата на данните.
С писмо вх. №ПНМД-01-67#2/09.08.2022г. по описа на КЗЛД, МЗ изпраща изисканите становища и коментари, докато по отношение на поисканото становище на ДЛЗД информира, че такова не е изразявано от последното, тъй като е било в състава на работната група по изготвяне на проекта на наредба. Уточняват обаче, че оценката на въздействието върху защитата на данните е съгласувана с него.
Правен анализ:
Съвременните технологии в здравеопазването значително могат да подобрят качеството и достъпа до здравни грижи, но само ако тяхното въвеждане съответства на изискванията на постоянно развиващото се законодателство в тази област и при зачитане на основните права и свободи на гражданите. Очакванията са технологичното развитие и дигитализацията да подобрят отчетността на предлаганите здравни услуги, да доведат до иновативни лечения и разработване на нови медицински изделия и лекарства.
От друга страна, усилията за дигитализиране в областта на здравеопазването ще допринесат физическите лица да могат лесно да упражняват контрол върху своите електронни здравни данни, както и ефективно да упражняват правата си, свързани със защитата на техните лични данни.
Общи положения:
Процедурата по предварителна консултация с надзорния орган– КЗЛД, е особено производство, което се развива по реда и условията на чл.36 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД).
По общо правило, за да се подобри спазването на нормативните изисквания за защита на личните данни, когато има вероятност операциите по обработването да доведат до висок риск за правата и свободите на физическите лица, администраторът е длъжен да изготви т.нар. оценка на въздействието върху защитата на данните, за да се оценят по-специално произходът, естеството, спецификата и степента на този риск. Резултатите от извършената оценка следва да бъдат взети предвид, когато се определят съответните мерки, за да се докаже, че обработването на лични данни отговаря на нормативните изисквания. Когато в оценката на въздействието върху защитата на данните е указано, че операциите по обработването водят до висок риск, който администраторът не може да ограничи с подходящи мерки от гледна точка на налични технологии и разходи за прилагане, преди началото на обработването той следва да осъществи консултация с надзорния орган.
Предварителна консултация обаче се извършва и при особените хипотези на чл.36, пар.4 и пар.5 от ОРЗД, а именно когато:
• се изготвя законодателна или регулаторна мярка, която предвижда обработване на лични данни, за да се гарантира, че планираното обработване отговаря на изискванията за защита на личните данни, и по-специално за да се ограничат рисковете, свързани със субекта на данни; както и когато
• националното законодателство изисква от администраторите да се консултират с надзорния орган и да получат предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от него в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве (именно тази хипотеза е предвидена в чл.12, ал.2 на Закона за защита на личните данни).
В настоящия случай са приложими и двете специални хипотези, които изискват МЗ да се консултира предварително с КЗЛД.
Видно от правната уредба предварителната консултация следва да се инициира преди започване обработването на лични данни, докато в настоящия случай данните вече се обработват, тъй като Националната здравноинформационна система (НЗИС) функционира повече от година и половина. В случая липсва и задължителното предварително разрешение от КЗЛД, което е нормативна предпоставка за фактическото пускане в експлоатация на подобни информационни системи. Тези обстоятелства налагат заключението, че Министерството на здравеопазването (МЗ), в качеството си на администратор на лични данни, не е спазило изначално нормативните изисквания за защита на личните данни, произтичащи от ОРЗД и ЗЗЛД.
|
Настоящото становище се базира единствено на посочените в искането обстоятелства и поради това не следва да се разбира като изчерпателно и всеобхватно. То не ограничава КЗЛД да разгледа всяка жалба или сигнал, свързани с предмета му, като в по-широк смисъл не засяга задачите и правомощията ѝ по надзор върху дейността на администраторите и обработващите лични данни.
Съгласно ОРЗД администраторът на лични данни сам или съвместно с друг администратор определя правилата и процедурите за обработване на данни, които трябва да съответстват на законодателството за защита на личните данни. Той трябва да е в състояние да докаже това. За предприетите от администратора, съвместните администратори или обработващия действия по обработване на данните, се прилагат както правилата на отчетност, прозрачност и добросъвестност, така и нормите, отнасящи се до ангажиране на административнонаказателна отговорност по отношение на законосъобразността на осъществяваните от него/тях дейности по обработване на лични данни.
|
По тези съображения и на основание чл.58, пар.3, б. а) във вр. с чл.36 от Регламент (ЕС) 2016/679 във вр. с чл.12, ал.2 от Закона за защита на личните данни, Комисията за защита на личните данни изрази следното
СТАНОВИЩЕ:
I. Принципни бележки:
1. Проектът за наредба не описва изчерпателно целите, които се преследват с въвеждането на НЗИС, което е предизвикателство пред ясното, изчерпателно и точно определяне на необходимите за обработване категории данни. Не са диференцирани цели за първичното обработване на данните, необходими за предоставянето на здравни услуги (оценка, поддържане или възстановяване на здравословното състояние на физическото лице), медицински предписания, отпускане и предоставяне на лекарствени продукти и медицински изделия, включително осигуряването на социалноосигурителни и административни услуги или услуги за възстановяване на разходи. Проектът на наредбата не посочва и дали НЗИС се използва за целите на последващото обработване на лични данни, като например: изследване на данни и фактори, влияещи на здравето; електронни данни на лица, генерирани във връзка с използването на медицински изделия или приложения; специални регистри, свързани например с конкретно заболяване; изследвания, въпросници и проучвания, свързани със здравето и т.н. КЗЛД има информация за използването на НЗИС за такива цели от други преписки, постъпвали през последните 2 години. Неясното дефиниране на целите е предпоставка за изкривяване на оценката във връзка с ролите и функциите на участниците в системата. Препоръчваме да се изредят изчерпателно целите на системата, като се дефинират ясно и целите на последващото обработване на данни, като се гарантират правата на субектите на данни.
2. Неясното дефиниране на целите за обработване в проекта за наредба води до липса на ясна регламентация относно ролите и функциите на участниците, обработващи данни чрез системата (администратори, обработващи, получатели на данни и т.н.). Тяхното неправилно определяне от своя страна, обуславя неизпълнение на задълженията, свързани с обработването на лични данни, като например предоставянето на информация, гарантиране правата на субектите на данни, гарантиране сигурността на данните, извършването на оценка на риска и оценка на въздействието върху защитата на данните, уведомяването при нарушение на сигурността на данните и т.н. Сложността и всеобхватността на системата и нейните цели изключва един единствен администратор да носи отговорност за обработването на лични данни в съответствие с изискванията на Регламент (ЕС) 2016/679.
3. Проектът на наредба не дефинира начините и средствата за предоставяне на информация и осигуряването на прозрачност при обработването на лични данни чрез системата в съответствие с чл.12, 13 и 14 от Регламент (ЕС) 2016/679, като се има предвид, че въпросната информация е различна от тази, която се предоставя във връзка с предоставянето на здравни грижи и медицинска помощ. Информацията следва да включва и реда и условията за последващото обработване на данните в НЗИС. Следва да се дефинира стандарт за предоставянето на информация, съгласно изискванията на чл.12, 13 и 14 от Регламент (ЕС) 2016/679 за всяка конкретна цел на обработване, както и за последващото упражняване на правата от страна на субектите на данни.
4. Проектът за наредба следва да отчита действието на Акта за управление на данните (в сила), както и дискусията по редица други европейски нормативни актове в процес на създаване, като Акта за изкуствения интелект, Регламента относно европейското пространство на здравни данни и др.
5. Гарантирането на правата на субектите на данни е основен проблем на предложението за наредба. Препращането към общия режим на Регламент (ЕС) 2016/679 за упражняване на правата не отчита спецификата, целите и сложността на системата.
6. Проектът за наредба не отчита изискванията за защита на данните при проектиране и по подразбиране, доколкото нормативната уредба се разработва при вече действаща информационна система.
7. Проектът за наредба не предвижда мерки и правила, които да уреждат реда и задълженията на администраторите за поддържане точността и пълнотата на данните в съответствие с принципите, прогласени в чл.5 от Регламент (ЕС) 2016/679. Не е изяснено и кое е водещото– данните от НЗИС или данни от хартиени досиета. Това рефлектира и върху упражняването на правата от субектите на данни.
8. Проектът за наредба не урежда необходимостта и възможностите за трансфер на данните в трети държави или международни организации, както и условията за това. В контекста на трансферите на данни следва да се има предвид и съхранението на данните от системата. С оглед особената чувствителност и големия обем от данни, както и във връзка с целта субектът на данни да упражнява по-строг контрол върху собствените си данни, може да се предвиди, че данните от НЗИС се съхраняват само в ЕИП. По принцип липсата на такова изискване занижава контрола.
9. Проектът за наредба не урежда изчерпателно правилата за оперативна съвместимост с други регистри и бази данни, с които НЗИС е свързана. Същите не са посочени изрично и изчерпателно.
10. В допълнение следва да се отбележи, че приемливата оценка на въздействието върху защитата на личните данни по Регламент (ЕС) 2016/679 следва да съдържа:
• систематично описание на обработването (член 35, пар.7, буква а)): взема се под внимание характерът, обхватът, контекстът и целите на обработката (съображение 90); личните данни, получателите и периодът, за който ще се съхраняват личните данни, се записват; функционално описание на операцията по обработване; идентифициране на активите, на които разчитат личните данни (хардуер, софтуер, мрежи, хора, хартия); отчита се евентуално спазването на одобрените кодекси за поведение (член 35, параграф 8);
• описание на техническите средства, с които се извършва обработването на лични данни– това е абсолютно необходимо при извършването на оценката на въздействието, като е свързано и с „мобилното приложение– мобилното здравно досие“;
• необходимост и пропорционалност на обработването (член 35, параграф 7, буква б)): определени са мерките, предвидени за спазване на регламента (член 35, параграф 7, буква г) и съображение 90, като се вземат предвид: мерките, допринасящи за пропорционалност и необходимост на обработването на базата на: [] конкретни, изрични и законни цели (член 5, параграф 1, буква б); [] законосъобразност на обработването (член 6); [] адекватни, уместни и ограничени до необходимите данни (член 5, параграф 1, буква в); [] ограничена продължителност на съхранение (член 5, параграф 1, буква д)); [] мерки, допринасящи за правата на субектите на данни: [] информация, предоставена на субекта на данни (членове 12, 13 и 14); [] право на достъп и преносимост (членове 15 и 20); [] право на поправяне, заличаване, възражение, ограничаване на обработването (членове 16-19 и 21); [] получатели; [] обработващ (и) (член 28); [] гаранции, свързани с международния (те) трансфер (Глава V); [] предварително консултиране (член 36).
• управление на рисковете за правата и свободите на субектите на данни (член 35, параграф 7, буква в)): произходът, характерът, особеностите и тежестта на рисковете се оценяват (виж съображение 84) или по-конкретно за всеки риск (неправомерен достъп, нежелано изменение и изчезване на данни) от гледна точка на субектите на данни: [] вземат се предвид източниците на рискове (съображение 90); [] потенциалните въздействия върху правата и свободите на субектите на данни са идентифицирани в случай на незаконен достъп, нежелано изменение и изчезване на данни; [] заплахи, които могат да доведат до нелегален достъп, идентифициране на нежелани модификации и изчезване на данни; [] оценка на вероятността и тежестта (съображение 90); [] определят се мерките, предвидени за третиране на тези рискове (член 35, параграф 7, буква г) и съображение 90);
• участие на заинтересовани страни: консултация с длъжностното лице по защита на данните (член 35, параграф 2); иска се становището на субектите на данните или на техните представители (член 35, параграф 9).
II. Бележки по същество:
1. В чл.1, т.2 и т.3 от проекта за наредба се посочва, че с нея се урежда съдържанието и друга информация по отношение на електронния здравен запис на „гражданите”. Считаме, че с оглед на правната яснота във връзка с приложението ѝ, следва да бъде изрично разписано дали става въпрос само за български граждани или и за чуждестранни такива.
2. Съгласно чл.2 от проекта за наредба НЗИС „може да бъде използвана за предоставянето на административни услуги“. Именно предмет на наредбата трябва да бъде тяхното изчерпателно уреждане, доколкото това ще съответства на принципа за ограничаване на целите (чл. 5 от Регламент (ЕС) 2016/679).
3. Съгласно чл.6, ал.1 от проекта „модулът за поддържане на единна среда за обмен на данни … въвежда … правила …”. Следва да се има предвид, че технологичното решение следва да изпълнява правилата, въведени с нормативната база.
4. В контекста на чл.9 от предложението следва да се отбележи, че не е предвиден реда и условията за водене на публични и служебни електронни регистри, включени в НЗИС.
5. От текста на чл.10 на предложението не става ясно как се гарантира, че в системата се въвеждат всички данни с високо ниво на точност и пълнота.
6. По отношение на чл.11 следва да се уредят изчерпателно всички вътрешно-административни услуги.
7. По смисъла на чл.12 следва да се направи бележка, че системните модули трябва да функционират въз основа на нормативните изисквания, а не въз основа на технически спецификации. Това е пряка последица от неприлагането на принципите за защита на данните при проектиране и по подразбиране (чл. 25 от Регламент (ЕС) 2016/679).
8. По отношение на индивидуалната оторизация, цитирана в чл.13, ал.2, не става ясно въз основа на какъв документ (въвеждащ съответните правила), се извършва индивидуалната оторизация на конкретните лица.
9. В чл.13, ал.3 от проекта се използва понятието „медицинска документация”, като не става ясно дали то е тъждествено на термина „здравна документация“, чиято легална дефиниция е дадена в §1, т.1 от ДР на ЗЗдр.
10. В чл.13, ал.4 от проекта се предвижда, че „Към електронния здравен запис се прилагат и електронни образи на резултати от образни изследвания, които се съхраняват отделно и се достъпват по предварителна заявка”.
От така предложения текст липсва яснота за това кой, при какви условия и по какъв ред ще може да достъпва съответните електронни образи на резултати от образни изследвания.
11. В алинея 5 на чл.13 от проекта се говори за „съгласия на лицето”, като не е ясно дали тези съгласия представляват „информирано съгласие” по смисъла на §1, т.15 от ДР на ЗЗдр или по чл.28д, ал.2 от ЗЗдр. В края на същата разпоредба се предвижда, че в НЗИС ще се събират и съхраняват „и други неструктурирани данни по изключение”. Липсва яснота кои са тези изключения, какви са предпоставките за тяхното реализиране, както и ще съдържат ли т.нар. „неструктурирани данни” и лични данни.
12. Из целия текст на проекта впечатление прави използването на различни понятия (напр. гражданин/пациент/лице/физическо лице), с които обаче се цели да се визира едно и също нещо. Предвид необходимостта от постигането на правна сигурност и предвидимост, е препоръчително да се съгласува използваната терминология.
13. В чл.14, ал.4 от проекта за наредба не става ясно дали пациентът изразява съгласие или удостоверява с подписа си. Следва да се направи ясно разграничение на двете понятия, доколкото съгласието има преки последици за правата и свободите на субекта на данни и не може да се отъждествява с удостоверяването.
14. В чл.15, ал.2 от проекта се предвижда, че НЗИС ще генерира „уникален личен идентификационен код (ЛИК) на лицето във формат, недопускащ извличането на лични данни от него”. Следва да се има предвид, че по дефиниция, уникалните идентификатори, свързани с физическите лица, сами по себе си представляват лични данни, тъй като чрез тях може да се идентифицира пряко или косвено конкретно лице.
В допълнение към гореизложеното по отношение на чл.15, ал.2, с оглед на правната сигурност считаме, че в текста следва да се посочи изрично какъв точно е форматът.
15. По отношение на чл.15, ал.3, т.1 от проекта на наредба би следвало „идентификационните данни” да бъдат конкретизирани.
16. В чл.15, ал.4, т.9 от проекта се предвижда, че електронното здравно досие на пациента ще съдържа и „данни за контакти с близки”, които да могат да се достъпват при спешни състояния, но липсва описание на категориите и видове данни (напр. име, телефонен номер и пр.). В този смисъл е препоръчително същите да се предвидят изчерпателно с оглед постигането на правна сигурност и прозрачност при тяхното събиране и съхранение.
17. Считаме, че формулировката по отношение текста на чл.16, ал.1 от проекта би породила неяснота чрез използването на израза „само при”. С оглед на нейното прецизиране предлагаме следния текст: „След създаването им, поддържането на електронните здравни досието на гражданите в актуален вид се извършва чрез: …..”.
18. В чл.16, ал.3 от проекта се предвижда, че записите в електронното здравно досие ще могат да се коригират от лечебното или здравното заведение, извършило записа или от лицето, за което се отнася той, чрез искане отправено до администратора на системата, в случая– МЗ. Включват се и „определени случаи”, при които „до 7 дни след генерирането на здравния запис е допустимо коригирането му от лечебното или здравното заведение, което го е извършило, по негова инициатива или по искане на лицето, за което се отнася”, без обаче да се посочва кои са те. Такава формулировка води до липсата на яснота и прозрачност за лицата по отношение на правото им на коригиране.
В последното изречение на чл.16, ал.4 от проекта се сочи, че процедурата за коригиране на здравните записи ще се утвърждава със заповед на министъра на здравеопазването, която ще се публикува в здравноинформационния уеб портал на системата www.his.bg.
Предвид факта, че процедурата за коригиране е ключова за гарантиране на правата и свободите на субектите на данни, същата трябва да е неразделна част от наредбата. Към момента тя не може да бъде анализирана в рамките на инициираната предварителна консултация с КЗЛД, което само по себе си поставя под въпрос ефективното упражняване на правата на субектите на данни.
19. В чл.17 предложеният текст „петдесет годишен срок от датата на смъртта на лицето” за съхраняване на електронното здравно досие е изключително дълъг и необоснован. Освен това, срокът за съхранение следва да е определен в Закона за здравето, по аналогия със сроковете определени в Закона за счетоводството, Данъчно-осигурителния процесуален кодекс, Кодекса на труда и др. чл.17, ал.2 във връзка с ал.3 от проекта на наредба – така представената формулировка не дава яснота дали е предвидено въобще унищожаване на данните в определен момент и при какви условия. Определянето на срокове засъхранение и средствата за защита на данните е извън предметната област на компетентност на КЗЛД. По общо правило, същите се определят от администратора на лични данни или от нормативен акт. Тъй като се предвиждат значително дълги срокове за съхранение на данните, МЗ, като компетентен орган, който предлага и приема наредбата, следва да извърши анализ на обществения интерес, вследствие, на който да се определят подходящите, необходими и пропорционални срокове и механизми за защита на данните, съответстващи на преследваните цели, като например псевдонимизация, анонимизация, криптиране и пр.
20. В чл.18, ал.5 от проекта, формулировката „предвиден в закон достъп до регистри с национално значение” е твърде обща и неясна. Дори да е предвиден такъв достъп по закон, в контекста на НЗИС не се отчита спецификата на обработваните данни и нивата на пропорционален достъп до такива регистри. Следва тези въпроси да са изрично уредени. В допълнение се използва „определен” служебен достъп до НЗИС. Считаме, че е необходимо да се конкретизират рамките на този достъп, тъй като думата „определен” предполага голяма степен на условност.
21. В чл.19 от проекта се използва понятието „здравни данни” вместо предвидения в ЗЗдр легален термин „здравна информация”.
22. Чл. 20, ал.1 от проекта гласи, че „В НЗИС се поддържат валидни, качествени и актуални данни”. Отчитайки прогласения в чл.5, пар.1, б. „г” от ОРЗД принцип за точност при обработването на лични данни, валидността и качеството на данните са характеристики, свързани пряко и поставени в зависимост от тяхната актуалност. В този смисъл щом данните са актуални, те следва да са и валидни, и качествени, поради което предлагаме да отпаднат последните две характеристики.
23. В контекста на чл.22 с наредбата за НЗИС следва да се гарантира наличност, цялостност и поверителност на данните, обработвани чрез системата.
24. В чл.23, ал.1 от проекта за Наредба трябва да се добави нова т.2 в следния смисъл: „поддържане на непрекъснатостта на работния цикъл на системата”;
25. По отношение на чл.24, ал.2 от проекта трябва да се има предвид, че използваните софтуерни продукти също подлежат на оценка от съответните администратори, като се следи и за наличието на трансфер на лични данни чрез тях. Възникват въпроси за наличието на множество обработващи лични данни и подизпълнители, които следва да бъдат описани изчерпателно при предоставянето на информацията по чл.12, 13 и 14 от Регламент (ЕС) 2016/679.
26. В чл.25, ал.1 от проекта се предвижда, че НЗИС „осигурява достъп на лицето до данните в електронните здравни записи в неговото електронно здравно досие…”. Тук следва да се има предвид, че в чл.28д, ал.1, т.1 от ЗЗдр се говори за достъп до информация, а не до данни. Поради тази причина насърчаваме да се направи терминологично съгласуване с понятията, използвани на равнище закон.
27. Член 25, ал.3 въвежда понятието „служебен достъп” (в чл.28 се посочват „служебни цели”), за което няма дефиниция. Видно от разпоредбата, на застрахователните дружества се предоставя такъв достъп, който е в противоречие със съображение (54) от Регламент (ЕС) 2016/679, както и със съображение (19) от Акта за управление на данните.Отново се използва общия израз „предвиден в закон достъп до регистри с национално значение”, който създава условия за занижаване стандартите на защита по отношение на специалните категории данни, които се обработват чрез НЗИС. В тази връзка не са предвидени правила за отчетност, като например поддържането на лог-файлове е регламентирано в чл.30, ал.10 от проекта, но не са предвидени сроковете за тяхното съхранение, предназначение и контрол. Въпросите, свързани с лог-файловете имат пряко отношение със справедливото упражняване на правата от страна на субектите на данни и отговорността за отчетност на администратора.
28. В чл.26, ал.3 от проекта се посочва, че се предоставя достъп и чрез мобилно приложение „Мобилно здравно досие”, което е още една функционалност на системата, която следва да има изрично дефинирани правила за обработването на лични данни, които следва да отчитат нейната специфика, както и допълнителни участници като магазини за приложения, софтуер и операционни системи на мобилните устройства, проследяващи технологии, например за местоположение и т.н.
В допълнение считаме, че следва да бъде по-подробно разписано какви средства за безспорната идентификация на физическите лица, използващи приложението „Мобилно здравно досие”, са предвидени.
29. В чл.26, ал.4 от проекта следва да се уточни дали се обхващат само непълнолетните лица (които по смисъла на Закона за лицата и семейството са лицата от 14 години до навършване на 18-годишна възраст) или се обхващат и малолетните (ненавършили 14 години). В случай че се обхващат и двете категории лица, терминът „непълнолетни” трябва да се замени с „не навършили пълнолетие”, който е традиционно използваният в българската правна традиция.
30. Използването на съгласието на физическото лице, като предпоставка за осъществяване на служебен достъп (напр. от НЗОК и държавните органи, за които е предвиден в закон достъп до регистри с национално значение1) до неговото електронно здравно досие, повдига въпроса как тези органи и институциите ще упражняват своите задачи и правомощия при липсата или при оттеглено съгласие от лицето.
В допълнение чл.18, ал.5 и чл.25, ал.3, т.3 предвиждат, че достъп до електронните здравни записи за служебни цели имат и държавните органи, за които е предвиден в закон достъп до регистри с национално значение. Това означава, че имат право на достъп на съответно нормативно основание– чл.6, пар.1, буква в) от ОРЗД „обработването е необходимо за спазване на законово задължение, което се прилага спрямо администратора”. Следователно администраторът– МЗ има законово задължение да осигури достъп до НЗИС на държавните органи, на които съответният закон им дава право на достъп до регистри с национално значение. Във връзка с посоченото изискването за предоставяне на съгласие като основание за обработване на лични данни за служебни цели на съответните държавни органи изпада в противоречие с разпоредбите на ОРЗД.
Забележките важат и за нормите, разписани в чл.28, ал.3 от проекта на наредба.
31. В първото изречение на чл.29 от проекта се предвижда, че съгласието може да се променя или оттегля. Доколкото това съгласие е тъждествено със съгласието като основание за обработване на лични данни по смисъла на ОРЗД, следва да се има предвид, че съгласието по ОРЗД може да се дава или оттегля. Неговото „променяне” не е термин, който се използва в ОРЗД и поради тази причина (в случай че е приложимо) предлагаме да се направи терминологична съгласуваност с понятията, използвани в ОРЗД.
32. От текста на чл.29, изр. 3 от проекта е видно, че няма данни да са приложени принципите за защита на данните при проектирането и по подразбиране (чл. 25 от ОРЗД). Тези принципи са основополагащи при разработването и функционирането на информационни системи и бази данни от подобен вид, каквато е именно НЗИС. В този смисъл липсват механизми, които изначално да препятстват възможността от неправомерно съхранение на копия от здравните записи на пациентите (като напр. забрани за копиране, правене на екранни снимки и пр.). Липсата на такива механизми поражда изключително високи рискове за правата, свободите и интересите на субектите на данни.
33. В чл.30 от предложението за Наредба трябва да се добави нова т.2, която да предвижда информираност на физическите лица за осъществения достъп по ал.1 на същия член. В чл.30, ал.10 от проекта е предвидено, че НЗИС ще осигурява проследимост (одитен дневник) на действията на всеки потребител, като се изброява минимума на реквизитите, които ще се запазват: дата/час на действието; модул на системата, в който се извършва действието; действие; обект, над който е извършено действието; допълнителна информация и IP адрес.
От изброените реквизити се повдига въпрос относно т.нар. „допълнителна информация” – каква е тя и включва ли лични данни. Елемент, който трябва да се преосмисли. Наред с това се визира, че ще се запазват и IP адреси на потребителите, които по дефиниция попадат в обхвата на понятието лични данни. Като администратор на НЗИС, МЗ трябва да въведе подходящи срокове за тяхното съхранение. В случай че тези срокове не бъдат предвидени в наредбата, същите трябва да се уредят във вътрешните правила и процедури на МЗ за обработване на лични данни.
34. В чл.31, ал.2 от проекта е използван терминът „анонимизират”. Следва да се направи разграничение в кои случаи данните се анонимизират, псевдонимизират или ограничават.
В допълнение, от така представената формулировка, може да се направи заключение, че могат да се обменят и не анонимизирани данни, които следва да се ограничат до „необходимите”. Да се дефинира какво по-точно се разбира под „необходимите”.
35. В чл.32, ал.4 относно достъпа до Регистъра на населението– Национална база данни „Население” следва да се посочат изчерпателно категориите данни, които е необходимо да се обменят. В ал.6 на същия член притеснение буди обменът на данни с МВР „при липса на законови пречки за това”. Следва да се има предвид, че обработването на специални категории данни налага завишена защита и законът изрично трябва да изисква или предвижда такова обработване.
36. Систематичното място на разпоредбата на чл.33 не следва да бъде в раздел VII– Обмен на данни.
Смущаващото в този текст, а и в други подобни от проекта е, че се използва лексика, която не съответства на Закона за нормативните актове и Указ №883 от 24.04.1974г. за неговото прилагане. В конкретния случай, изразът „В системата може да бъде изграден функционален модул за събиране на информация от…” е пример за лошата практика по нормативна регламентация на вече функционираща информационна система.
37. В чл.34, ал.1 от проекта се посочва, че личните данни „се обработват от НЗИС…”, докато в ал.2 се предвижда, че администратор на личните данни в системата е МЗ. По своето естество НЗИС представлява средство за обработване на данните, така че коректната формулировка в случая ще е: „се обработват чрез НЗИС”. По смисъла на чл.28г, ал.1 от ЗЗдр МЗ създава, администрира и поддържа НЗИС (предоставя средството за обработване на данни), но не може да се направи заключението, че е единственият администратор на лични данни в системата. Това се потвърждава и от ал.3 на чл.34 от проекта, съгласно който лечебните и здравните заведения, които въвеждат, достъпват или по друг начин обработват лични данни в НЗИС, са самостоятелни администратори на лични данни. Администратори на лични данни са и органите, които водят регистри, информационни бази от данни и системи, включени в НЗИС ако събират такива данни.
Гореизложеното налага извода, че МЗ управлява системата, но не е единственият администратор на лични данни в нея. Т.е. следва да се прави разграничение между администратор на системата и администратор на лични данни.
В чл.34, ал.3 е необходимо да се прецизира формулировката на второто изречение. Настоящата формулировка навежда на заключението, че органите, които водят регистри, са администратори само и единствено ако събират лични данни в контекста на наредбата, а не по принцип.
38. Според ал.4 на чл.34 от проекта „При събирането и съхраняването на данни в НЗИС се съобразява политиката за поверителност при обработване на лични данни на Министерство на здравеопазването, която за целите на тази наредба е публикувана на интернет сайта на министерството и на здравноинформационния уеб портал на системата www.his.bg”.
Политиката за поверителност на МЗ не може да е обвързваща за останалите администратори на лични данни в системата, доколко същите не се явяват съвместни администратори с МЗ. Специфичните правила за обработването на лични данни чрез НЗИС трябва да са предмет на уреждане от самата наредба по отношение на всички участници.
39. Анализът на ал.5 на чл.34 от проекта, налага извода, че предвиденият режим за упражняване на правата на субектите на данни индикира за наличието на фигурата на съвместни администратори по чл.26 от ОРЗД, в хипотезата когато съответните отговорности на администраторите са определени в законодателството (вж. чл.26, изр. 2 от ОРЗД).
Прилагането на конвенционалния режим за упражняване на правата, предвиден в чл.37б, ал.1 от ЗЗЛД (чрез подаването на писмено заявление до администратора), повдига сериозни въпроси доколко администраторите ще могат да осигурят ефективното упражняване на правата на субектите на данни, отчитайки факта, че НЗИС има милиони потребители. В този смисъл достиженията на техническия прогрес позволяват упражняването на правата да се реализира чрез действия в потребителския интерфейс на системата (вж. чл.37б, ал.3 от ЗЗЛД), което способства за ефективното упражняване на правата именно в случаите на функциониране на подобни мащабни информационни системи.
40. В чл.36, ал.1 от проекта на наредба е необходимо да се конкретизира кой и как определя необходимите професионални качества (трудова характеристика, заповед на висшестоящ и др.).
41. С оглед постигането на по-голяма яснота и в съответствие с изискванията за защита на личните данни, препоръчваме текстът на чл.36, ал.2 от проекта да се измени така:
„Лицата и органите по чл.13, ал.1 и чл.18 нямат право да достъпват и да използват здравна информация за физическите лица от електронните здравни записи и от регистрите, информационните бази от данни и системи, включени в НЗИС, за цели, извън посочените в тази наредба.”
42. В текста на чл.40 от проекта следва да се предвидят срокове за съхранение на данните, записвани в т.нар. системен журнал (приложим е коментарът по т.26).
43. По отношение на предложения текст на чл.41 от проекта следва да се има предвид следното:
Задължението за поддържане на регистър на дейностите по обработване по чл.30 от ОРЗД е на администратора или обработващия лични данни. В този смисъл „системата” не може да поддържа визираните регистри. Регистърът на дейностите по обработване служи за отчетността на администратора и/или обработващия и информацията, която трябва да съдържа е изчерпателно посочена в чл.30, пар.1 и пар.2 от ОРЗД. Поддържането на регистър на дейностите по обработване не е тъждествено с воденето на системен журнал (log) на извършените от потребителите действия в информационната система.
44. След чл.41 и преди Допълнителните разпоредби трябва да се предвиди отделен раздел за това кой извършва контрола по тази Наредба и начина на извършването му.
45. В §1, т.1 от ДР на проекта е предвидена легална дефиниция на понятието „анонимизирани” данни, която предлагаме да се измени и допълни, както следва:
„Анонимизирани” означава технически обработени данни с цел окончателно и необратимо елиминиране на възможността за идентифициране на субекта, за който се отнасят.
46. С §2 от Преходните и Заключителните разпоредби от проекта се предвижда да се даде обратно действие (ex tunc) на правилата за съхранение, достъп и поддържане на електронните здравни записи, генерирани в НЗИС преди влизане на наредбата в сила.
Всеизвестно е, че по принцип общите правни норми, в това число и законовите правни норми, действат за напред (ex nunc). В съвременните правни системи това принципно положение се разглежда като гаранция за предвидимост на правния ред и като елемент от правната сигурност. Заложената в него идея е ясна– адресатите на новоприетите правни норми да могат да се запознаят с тях и да съобразят своето поведение с моделите на поведение, които те установяват. В юриспруденцията е залегнало трайното разбиране, че ретроактивното действие на правните норми влияе негативно на правната сигурност. В тази връзка Законът за нормативните актове (ЗНА) въвежда изрични правила за това при какви условия може да се дава обратна сила на нормативните актове. В конкретния случай предложеното в проекта на наредба обратно действие е в разрез с правилото на чл.14, ал.2 от ЗНА, според който обратна сила на нормативен акт, издаден въз основа на друг нормативен акт, може да се даде само ако такава сила има актът, въз основа на който той е издаден. Законът за здравето, като акт въз основа на който се издава наредбата за функциониране на НЗИС, не дава така обратна сила, следователно е недопустимо последната да има такава сила.
47. От предложения текст на §3 от Преходните и Заключителните разпоредби на проекта не е ясно дали в НЗИС ще се въвежда здравна документация/информация, изготвена преди влизането в сила на наредбата, нито от кой период назад във времето.
___________
1 Вж. хипотезата на чл. 28д от ЗЗдр
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
