СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № зап18/ 23.04.2012 г.
гр. София, 15.05.2012 г.
ОТНОСНО: Искане с вх. №зап18/23.04.2012 г. от д-р К.П. – изпълнителен директор на "В.М.Б.А.Л.С." ЕАД за становище от Комисията за защита на личните данни (КЗЛД) по въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни в състав: Венета Шопова, Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на заседание, проведено на 15.05.2012 г., разгледа искане с вх. №зап18/23.04.2012 г. от д-р К.П. – изпълнителен директор на "В.М.Б.А.Л.С." ЕАД, в което е отправена молба за становище от Комисията за защита на личните данни на основание чл. 10, ал. 1, т. 4 от Закона за защита на личните данни.
В искането до КЗЛД на д-р К.П. – изпълнителен директор на"В.М.Б.А.Л.С." ЕАДеотправена молба за становищеотносновъзможносттаза описване, архивиранеи съхранениена медицинска документацияв хранилищена трето юридическолице, различноот лечебното заведение.В писмото е поставен въпросът относно това допустимо ли е, предвид разпоредбите на ЗЗЛДи Раздел Vна Закона за здравето, лечебно заведение- администраторна лични данни, да предостави наюридическото лице (също администратор на лични данни) извършването на услуги включващи:
1. приеманеи траспортиране на медицинска документация до хранилище, собственост на юридическото лице, находящо се извън сградатана лечебното заведение;
2.опис, архивнаобработка, индексиранеи съхранение на медицинскадокументацияот юриздическо лице в собственохранилище извънсградата на лечебното заведение.
"В.М.Б.А.Л.С." ЕАДе администратор на лични данни по смисъла на чл.3 от ЗЗЛД, вписано е в регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД на основание чл.10, ал.1, т.2 от ЗЗЛД с идентификационен номер-50570.
Предоставянето от страна на " В.М.Б.А.Л.С."ЕАД /Болницата/ на лични данни на физически лица на трето юридическо лице, различно от лечебното заведение в изложената в искането хипотезабипредставлявало“Обработване на лични данни”, което се извършва чрез предоставяне и съхранениена данните, съгласно легалната дефиниция, посочена в параграф 1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е “ е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.”.
Администраторът на лични данни може да обработва личните данни самостоятелно или чрез възлагане на обработващ данни. В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
В чл.24, ал.4 от ЗЗЛДе посочено, че отношенията между администратора и обработващия лични данни следва да се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който да се се определя обемът на задълженията, възложени от администратора на обработващия данните.
Следва да се има предвид, че за вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него. Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.
В чл.25 от ЗЗЛД е посочено също така, че след постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни администраторът е длъжен да ги унищожи, или прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
В изложения случая може да се приеме, че възможност за описване, архивиранеи съхранение на информация, съдържаща лични данни,в хранилище на трето юридическо лицеразлично от администратора би представлявало обработване на лични данни, което е възложено на обработващ. Визирното в искането трето юридическо лице ще има качеството на обработващ лични данни по смисъла на ЗЗЛД.
От друга страна съгласно чл.27, ал.1от Закона за здравето /ЗЗ/ здравна информация са личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация.
В ал.3 на чл.27 от ЗЗ е разписано, че формите и съдържанието, както и условията и редът за обработване, използване и съхраняване на медицинската документация и за обмен на медико-статистическа информация се определят с наредби на министъра на здравеопазването, съгласувани с Националния статистически институт.
В чл 28,ал. 1 от Закона за здравето е посочено, че здравна информация може да бъде предоставяна на трети лица, когато:
1. лечението на лицето продължава в друго лечебно заведение;
2. съществува заплаха за здравето или живота на други лица;
3. е необходима при идентификация на човешки труп или за установяване на причините за смъртта;
4. е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
5. е необходима за нуждите на медицинската експертиза и общественото осигуряване;
6. е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени;
7. е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.
В алинея втора на посочения чл.28от ЗЗ е разписано, че предоставянето на информация в случаите по ал. 1, т. 2 се извършва след уведомяване на съответното лице.
В закона е указано също, че лицата по чл. 27, ал. 2, каквито са лечебните заведения и в частност Болницатаса длъжни да осигурят защита на съхраняваната от тях здравна информация от неправомерен достъп.
В изложеният казус по отношение на медицинската документация, в която видно от разпоредбите на Закона за здравето се включва и здравна информация, по смисъла на чл.27,ал.1 от ЗЗ, следва да се приложи правилото Lex specialis derogat legi generali – Специалният закон дерогира общия закон. Специалният закон в случая Закона за здравето следва да дерогира общите правила, разписани в общия закон – Закона за защита на личните данни.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
Администратор на лични данни може да възложи на обработващ лични данни действия по описване, архивиране и съхранение на информация, съдържаща лични данни,в хранилище на обработващия при спазване на Закона за защита на личните данни. При възлагането следва да се отчете и разпоредбата на чл.24, ал.4 от ЗЗЛД, съгласно коятоотношенията между администратора и обработващия лични данни следва да се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който да се се определя обемът на задълженията, възложени от администратора на обработващия данните.
По отношение на формите и съдържанието, както и условията и редът за обработване, използване и съхраняване на медицинска документация следва да се спазва специалният закон, а именно Законът за здравето и подззаконовите актове по прилагането му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
