СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №НДМСПО-01-230/05.06.2019г.
гр. София, 24.06.2019г.
ОТНОСНО: Предоставяне на лични данни от община К. на „Център за психично здраве– П.” ЕООД
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и Членове: Цветелин Софрониев и Веселин Целков, на заседание, проведено на 19.06.2019г., разгледа искане за становище с вх. №НДМСПО-01-230/05.06.2019г. от г-жа Д.Т., длъжностно лице по защита на данните в община К., във връзка с получено от „Център за психично здраве– П.” ЕООД уведомление.
Последното е във връзка с необходимостта от контакт на лечебното заведение с близки на пациентите, които са подложени на лечение. Управителят на „ЦПЗ П.” ЕООД, г-жа М.Г., описва процедурите и етапите от лечението на пациентите, в които е обусловена горепосочената необходимост. Изискуемият обем от данни на близки на пациентите е следния: три имена, ЕГН, адрес и телефон за връзка.
Обработването на личните данни от страна на „ЦПЗ П.” ЕООД е необходимо, за да бъдат защитени жизненоважни интереси на субектите на лични данни (чл. 6, ал.1, б.„г” от Регламент(ЕС) 2016/679). То е с оглед изпълнението на основното предназначение на лечебното заведение– осъществяване на болнична помощ и се явява дейност в обществен интерес. Данните, които се събират и съхраняват, са с оглед обезпечаването на здравноосигурителните права на пациентите. Г-жа М.Г. пояснява, че в лечебното заведение е внедрена криптираща и DLP система за защита на личните данни. Разработени са вътрешни правила и политики, образци и процедури.
Въз основа на гореизложената фактическа обстановка, длъжностното лице по защита на данните на община К. поставя следните въпроси:
1. Налице ли е основание община К., бидейки администратор на лични данни, да предостави личните данни на близките на пациентите на лечебното заведение, в обем три имена, ЕГН, адрес и телефон за връзка;
2. При наличието на основание, необходимо ли е преди предоставянето на данните да бъде изискано съгласието на близките.
Правен анализ
Законът за лечебните заведения (ЗЛЗ) е нормативният акт, регулиращ устройството и дейността на лечебните заведения в Република България. Същият в чл.26 разписва подробно какви дейности извършват центровете за психично здраве и какви са техните звена. Съгласно нормата на чл.6, ал.1 от ЗЛЗ, дейността на лечебните заведения и на медицинските и другите специалисти, които работят в тях, се осъществява при спазване на медицинските стандарти за качество на оказваната медицинска помощ и осигуряване защита на правата на пациента. Медицинските стандарти се утвърждават с наредба на министъра на здравеопазването.
С оглед на конкретния казус, кореспондиращият подзаконов акт е Наредба№24 от 07.07.2004г. за утвърждаване на медицинския стандарт „Психиатрия”, съдържаща различните видове процедури и дейности, изпълнявани спрямо пациентите. Основните принципи при лечението на лица с психични разстройства са минимално ограничаване на личната свобода и зачитане на техните права; намаляване на институционалната им зависимост; интегрираност и равнопоставеност на психиатричната помощ с останалите медицински направления; спазване на хуманитарните принципи и норми при осъществяване на лечебния процес, както и социална адаптация и стимулиране на самопомощта и осигуряване на активна професионална подкрепа.
Безспорен е фактът, че с оглед на изключителната специфичност на назначеното лечение и извършваните процедури, е обусловена необходимостта от съгласието на пациента, респективно на неговите близки при обективна неспособност от негова страна даго даде лично.
Правните основания, на които лечебното заведение се позовава, за да обоснове необходимостта от получаване на данни за близки на своите пациенти, включват ситуации, в които обективно информираното съгласие на пациента (по смисъла на Закона за здравето) не може да бъде получено. Така например, съгласно т.2.3.2 от Наредба№24 от 07.07.2004г., при извършването на първоначална оценка на лице, прието за лечение в съответното лечебно заведение, са предвидени срещи с близки. В буква„в” на същата точка е наблегнато върху необходимостта от интервю с близък, с оглед отчитане на същността на връзката му с пациента и включването му в лечебния план.
В допълнение на горепосоченото, наредбата изрично предвижда, че при извършването на електроконвулсивна терапия (т.3.8) се изисква съгласие на пациента, а при невъзможност от негова страна– на негов близък или законен представител, като то се документира. Резултатите от проведеното лечение се обсъждат с близките на пациента. Аналогични са и случаите при невропсихологичната оценка (т.3.10.1 от наредбата), която се извършва при когнитивни и поведенчески разстройства, както и при обслужването на рискови пациенти, което се провежда в психиатричен стационар, като в случая лекарите биха могли да проведат лечение единствено след получаването наинформираното съгласие на пациента (т.5 от наредбата).
Изброеното по-горе показва, че законодателят изрично е предвидил включването на близките/семейството на пациента в цялостния процес на неговото лечение– от приемането му до неговото изписване. Това има терапевтична цел, спомага за по-лекото протичане на лечението и оздравителния процес на пациента. Не без значение са предвидените различни форми на консултации с близките на пациента (например при шизофренни разстройства– т.3.10.3 от наредбата) или етапът на планиране на неговото изписване и подготовка, който се извършва изключително с тяхно съдействие (т.3.13 от наредбата).
Регламент(ЕС) 2016/679 (Общ регламент относно защитата на данните), който се прилага от 25 май 2018г., е нормативният акт, определящ правилата, свързани със защитата на личните данни на физическите лица при тяхното обработване. Общият регламент надгражда предишния режим за защита на данните, въведен от Директива95/46/ЕО, транспонирана в българския Закон за защита на личните данни от 2002г., като в същото време отчита динамиката на развитието на новите технологии и на дейностите по обработка на лични данни. По смисъла на чл.4, т.1 от Общия регламент „лични данни” е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко.
Предоставянето на информацията, изискана от „ЦПЗ – П.” ЕООД, от страна на община К., съставлява действие по обработване на лични данни по смисъла на легалната дефиниция, посочена в чл.4, т.2 от Общия регламент. Законосъобразното обработване на лични данни за определена цел изисква наличието на поне едно от изчерпателно изброените алтернативни основания в чл.6, пар. 1, както и спазването на принципите за обработване на лични данни, визирани в чл.5 на ОРЗД.
Наредба№24 от 07.07.2004г. по своя характер е подзаконов нормативен акт, който се издава за прилагането на отделни разпоредби или подразделения на нормативен акт от по-висока степен, който има действие на територията на цялата страна.
Видно от изложеното по-горе, може да се направи обоснован извод за наличие на спазване на нормативно установено задължение за лечебните заведения, в частност „ЦПЗ П.” ЕООД, като същото е основание за законосъобразност на обработването по смисъла на чл.6, пар.1, буква„в” от Общия регламент.
С оглед на конкретния казус, също така е приложима и хипотезата на чл.6, пар.1, буква„г” от регламента, а именно– обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице. Безспорно с оглед на специфичността на назначеното лечение, извършваните процедури и оздравителния процес, контактът с близките на пациента е не само препоръчителен, но и задължителен в някои случаи, като е налице и хипотезата за невъзможност за назначаване на необходимото лечение без знанието и съгласието на роднини на пациента.
Трябва да се подчертае, че администраторът на лични данни обработва данни в съответния обем, в зависимост от специалното законодателство, регламентиращо неговата дейност. Когато това не е регламентирано, преценката се извършва от него, при отчитане на спецификата на дейността, която извършва и задълженията, вменени му в закона. В конкретния случай, „ЦПЗ П.” ЕООД желае да получи от община К. данни на близки на пациенти на лечебното заведение в следния обем: три имена, ЕГН, адрес и телефон за връзка. Считаме, че с оглед постигането на посочените цели, достатъчно е представянето на данни в следния обем три имена, адрес и телефон за връзка. Последното ще бъде всъответствие с принципа за свеждане на данните до минимум, визиран в чл.5, пар.1, буква„в” от Общия регламент.
Във всички случаи, администраторът на лични данни трябва да предприеме подходящи технически и организационни мерки, отчитайки техническия прогрес, обхватът, контекстът и целите на обработването, както и рисковете, които могат да произтекат. „ЦПЗ П.” ЕООД твърди, че в рамките на лечебното заведение е въведена система за защита при обработване на личните данни. Администраторът следва също така да е в състояние да докаже, че обработването е в съответствие с Общия регламент.
С оглед на гореизложеното и на основание чл.58, параграф3, буква„б” от Регламент(ЕС) 2016/679, Комисията за защита на лични данни прие следното
СТАНОВИЩЕ
1. На основание чл.6, параграф1, букви„в” и „г” от Регламент(ЕС) 2016/679, във връзка с чл.6, ал.1 от Закона за лечебните заведения и Наредба№24 от 07.07.2004г. за утвърждаване на медицинския стандарт „Психиатрия”, община К., в качеството си на администратор на лични данни, може да предостави на „Център за психично здраве – П.” лични данни на близки на пациенти на лечебното заведение.
2. Данните могат да бъдат предоставени в следния обем: три имена, адрес и телефон за връзка, съгласно принципа за „свеждане на данните до минимум”, визиран в чл.5, пар.1, буква„в” от Регламент(ЕС) 2016/679.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цветелин Софрониев /п/ | |
| Веселин Целков /п/ |
