СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-1425/2016 г.
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-1425/2016 г.
ОТНОСНО: Искане с вх.№П-1425/26.02.2016год. от д-р Глинка Комитов– управител на Националната здравноосигурителна каса, по въпроси, касаещи създаването и използването на Уникален идентификационен номер на здравноосигурените лица.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 11.03.2016г., разгледа искане с вх.№П-1425/26.02.2016год.от д-р Глинка Комитов– в качеството на управител на Националната здравноосигурителна каса (НЗОК).
В искането си до КЗЛД, д-р Комитов отбелязва, че съгласно чл.63, ал.1, т.1 от Закона за здравното осигуряване (ЗЗО), НЗОК изгражда информационна система, съдържаща съответни регистри, един от които е регистърът на здравноосигурените лица. Този регистър има нормативно определено съдържание (чл. 63, ал.1, т.1 от ЗЗО): паспортни данни; уникален идентификационен номер (УИН); основание за осигуряване по чл.33 от ЗЗО; заплатени вноски; основание за заплащане от НЗОК на оказаната медицинска помощ на осигурените лица в друга държава членка, в съответствие с правилата за координация на системата за социална сигурност.
Управителят на НЗОК посочва, че към настоящия момент регистърът по чл.63, ал.1, т.1 от ЗЗО е изграден, функционира и съдържа всички изискуеми реквизити, с изключение на УИН на здравноосигурените лица. Във връзка с това (изграждане на регистъра по чл.63, ал.1, т.1 от ЗЗО в пълнота и генериране на УИН за всяко осигурено лице), НЗОК е предприела действия по изграждане на „Регистрационна система за здравноосигурителни събития при изпълнители на медицинска помощ чрез биометрични идентификатори на пациентите“ (регистрационна система) на НЗОК.
Основната цел на въвеждане на посочената система е доказване по безспорен начин, чрез физическото присъствие в лечебните заведения на пациентите, на ползваната от тях медицинска помощ, заплащана от системата на задължителното здравно осигуряване, респективно при получаване на лекарствени продукти (ЛП), медицински изделия (МИ) и диетични храни за специални медицински цели (ДХ) за домашно лечение, заплащани напълно или частично от НЗОК. Генералната цел, посредством системата, е законосъобразното разходване на публични средства от бюджета на НЗОК, чрез осъществяването на контрол върху изпълнителите на медицинска помощ (ИМП) и превенцията на злоупотреби от тяхна страна, при които се отчита неизвършена медицинска дейност. Естествен резултат от прилагане на този оптимизиран механизъм за разходване на бюджетните средства на НЗОК е осигуряването на достъп до медицинска помощ на по-широк кръг от здравноосигурени лица (ЗОЛ).
Чрез въвеждането на системата ще се осигури възможност на ЗОЛ/приносител да удостовери реалното си физическо присъствие в лечебното заведение/аптеката, както и оказаната му медицинска помощ, респективно получените и отпуснати му ЛП, МИ и ДХ. Въвеждането на системата ще осигури и на ЗОЛ възможност да упражняват постоянен мониторинг и контрол за вида и обема на медицинската помощ, която обективно им е оказана от ИМП и заплатена от касата.
Управителят на НЗОК, в забележка към искането, уточнява кои са изпълнителите на медицинска помощ по смисъла на чл.58 от ЗЗО, а именно: лечебни заведения или техни обединения по Закона за лечебните заведения и национални центрове по проблемите на общественото здраве по Закона за здравето. В допълнение се посочва, че класификацията на видовете лечебни заведения е установена в чл.8-10 от Закона за лечебните заведения (ЗЛЗ). Лечебните заведения по чл.8-10 от ЗЛЗ, с изключение на център за спешна медицинска помощ, център за трансфузионна хематология, дом за медико-социални грижи, център за комплексно обслужване на деца с увреждания и хронични заболявания и тъканна банка, са изпълнители на медицинска помощ по договори с НЗОК по чл.59, ал.1 от ЗЗО.
С оглед необходимостта да бъдат анализирани всички факти и обстоятелства относно въвеждането на описаната по-горе регистрационна система, КЗЛД на заседание, проведено на 29.02.1026г. в състав Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев и Веселин Целков, взе решение да изиска допълнителна информация от НЗОК и покани на среща представители на НЗОК, на която да бъдат обсъдени следните въпроси:
1. Разясняване на процеса на последващи регистрации, след първоначалната регистрация на ЗОЛ/приносителя;
2. Разясняване на необходимостта от сканиране на произволни точки от пръст на ръка на приносителя/представителя и регистрацията им в системата, при условие че тези лица на практика не се явяват потребители на здравни услуги в конкретния случай, а само съдействат на здравноосигурено лице да получи полагащите му се по рецепта медикаменти;
3. Разясняване на термина „невъзможност за обратно възстановяване на отпечатъка на сканирания пръст“ и начина, по който ще се реализира тази невъзможност;
4. Предоставяне на информация относно алгоритъма за формиране на уникалния код, който се генерира въз основа на сканиране на произволно избрани точки от пръст на ръка;
5. Предоставяне на разяснение дали създадената „Регистрационна система за здравноосигурителни събития при изпълнители на медицинска помощ чрез биометрични идентификатори на пациентите“ ще се използва и съответно ще предоставя информация от нея на други институции, като например МВР, разследващи органи и др.;
6. Предоставяне на информация относно периода от време, в който ще се съхраняват събраните от НЗОК данни във връзка с регистрацията, а също къде и по какъв начин ще се съхраняват;
7. Разясняване на начина, по който лицата, чиито данни са били обработени във връзка със създаването на горепосочената регистрационна система, ще могат да упражнят правото си на достъп, коригиране и заличаване, гарантирано им от Закона за защита на личните данни.
Описание на механизма за изграждане на „Регистрационна система за здравноосигурителни събития при изпълнители на медицинска помощ чрез биометрични идентификатори на пациентите“ (регистрационна система) на НЗОК
Съгласно допълнително предоставената информация от НЗОК по време на работна среща между КЗЛД и представители на НЗОК, проведена на 09.03.2016г. и подробно описана в писмо от управителя на НЗОК, рег.№П-1744/11.03.2016г., регистрационната система ще се изгражда при спазване на следния механизъм:
1. За въвеждане на системата е предвиден механизъм за генериране на уникален идентификационен номер чрез сканиране на произволно избрани точки от пръст на ръка на ЗОЛ/приносителя. Предвижда се да се използва алгоритъм за генерираните биометрични кодове, базиран на утвърдени стандарти от типа на ISO 19794-2/2005 или ANSI 378.
Алгоритъмът е еднопосочен, т.е. от получения код не може да бъде възстановен отпечатъкът на сканирания пръст. Съгласно допълнително предоставената информация пръстовият отпечатък представлява „рисунък“ на епидермиса на пръста. Пръстовите отпечатъци представляват отпечатък на уникалните извивки, форма и размер на хребетите и долините на върха на всеки пръст. Повърхността на кожата на пръстите е покрита със специфични концентрични структури (шарки, шаблони). При анализ на отпечатъка се наблюдават линии или три вида микро-образувания whorl (окончание), loop (контур) и delta (раздвоение).
Линиите могат формално да се представят чрез структура, наречена карта на направленията, която е дискретна матрица, чийто елементи произлизат от ориентацията на тангентата към съответната линия в определената точка. Стъпката на дискретизация е достатъчно голяма, за да не позволи обратното възстановяване на линията от елементите на матрицата (картата на направленията), които й съответстват.
Раздвоенията, окончанията и картата на направленията-minutiae,са компоненти на кода, генериран въз основата на сканиране на произволно избрани точки от пръст на ръка.
Снемането на кода се извършва на две стъпки:
· Снемане на графично изображение на сканирания пръст с помощта на сензор и преобразуването му в цифров вид Fingerprint Image Data (FID);
· Извличането от изображението на сканирания пръст (FID) на специфични характеристики и елементи (minutiae) и създаването на Fingerprint Minutiae Data (FMD) код, генериран въз основата на сканиране на произволно избрани точки от пръст на ръка.
Процесът при създаване на FMD код от графичното изображение на сканирания пръст (FID) е еднопосочен и необратим, т.к. алгоритмите за генериране на код използват частично (не включват информация замикро-образуванията от тип контур, а само за раздвоенията и окончанията) и след модификация/формализация (в случая на карта на направленията) информацията, съдържаща се в изображението.
Предвижда се системата да не съхраняваизображения на сканираните пръсти, а да се съхраняват само FMD кодовете, генерирани въз основата на сканиране на произволно избрани точки от пръст на ръка.
Избраните устройства MorphoSmart 1350Е извършват процеса на сканиране и извличане на FMD кодовете вътре в устройството. По този начин до работните станции, на които ще е инсталирана клиентската част на регистрационната система, няма да достига графичното изображение на сканирания пръст, а извлеченият от устройството FMD код. Той ще се предава от клиентската част в криптиран вид без възможност да бъде извлечен от ИМП/аптеката и декриптирането ще се извършва от сървърната компонента на регистрационната система, намираща се в Централното управление на НЗОК. В работните станции на ИМП/аптеката няма да се пази никаква информация, свързана с регистрационната система.
Описаният по-горе механизъм за генериране на кода се прилага само при първоначалната регистрация в системата. Първоначалната регистрация на ЗОЛ, дало съгласие да се автентификира чрез код, генериран въз основа на сканиране на произволно избрани точки от пръст на негова ръка, се извършва от ИМП, респ. от аптеките, при ползване на медицинска помощ чрез системата на задължителното здравно осигуряване или при получаване на ЛП, МИ и ДХ за домашно лечение, заплащани напълно или частично от НЗОК.
При първоначалната регистрация на ЗОЛ/приносителя (т.е. при ползването на медицинска помощ, респ. при посещение в аптека за получаване на ЛП, МИ и ДХ, за първи път след прилагане на регистрационната система) сървърната компонента комбинира ЕГН/ЛНЧ или Специален номер от регистъра на Националната агенция по приходите на ЗОЛ/приносителя и кода, генериран въз основа на сканиране на произволни точки от пръст на ръка на ЗОЛ/приносителя и създава уникалния идентификационен номер по чл.63, ал.1, т .1 от ЗЗО.
При всяко следващо ползване на медицинска помощ чрез системата на задължителното здравно осигуряване или при получаване на ЛП, МИ и ДХ за домашно лечение, заплащани напълно или частично от НЗОК, кодът, генериран въз основата на сканиране на произволно избрани точки от пръст на ръка на ЗОЛ, се сравнява с кода, запазен в сървърната част на регистрационната система и в нея се записва информация за наличието/липсата на съвпадение, без да се запазва генерираният код.
В случай на отказ на ЗОЛ да се автентификира чрез код, генериран въз основата на сканиране на произволно избрани точки от пръст на негова ръка, при ползване на медицинска помощ чрез системата на задължителното здравно осигуряване или при получаване на ЛП, МИ и ДХ за домашно лечение, заплащани напълно или частично от НЗОК, ИМП, респ. магистър-фармацевта, вписва ръчно в регистрационната система ЕГН/ЛНЧ или Специален номер от регистъра на Националната агенция по приходите, както и номера на българския му личен документ (БЛД) и му оказва медицинска помощ, респ. му предоставя ЛП, МИ и ДХ за домашно лечение, заплащани напълно или частично от НЗОК.
При ползване на медицински услуги и/или получаване на ЛП, МИ и ДХ за домашно лечение, заплащани напълно или частично от НЗОК, клиентската компонента на регистрационната система на НЗОК създава електронен документ, който съдържа минимум генерирания код, ЕГН/ЛНЧ или Специален номер от регистъра на Националната агенция по приходите, както и информация за датата и часа на регистрацията. Освен посочените данни, в електронния документ може да фигурира само информация за:
1. Типа медицинска услуга, предоставяна на ЗОЛ.
2. УИН на лицето, което може да изразява информирано съгласие за осъществяване на медицински дейности на малолетно/поставено под пълно запрещение или на непълнолетно/поставено под ограничено запрещение лице (представител), когато ЗОЛ е такова лице.
3. Изключения от нормалния работен процес на регистрационната система, като:
3.1 ЗОЛ е в животозастрашаващо състояние и не може да се установи неговата самоличност;
3.2 Четецът не успява да генерира код, генериран въз основа на сканиране на произволно избрани точки от пръст на ръка на ЗОЛ/приносител/представител;
3.3 Няма връзка със сървърната компонента на регистрационната система.
В искането за становище са разяснени механизмите за подписване на електронния документ:
1. За лечебно заведение– изпълнител на болнична медицинска помощ, се подписва от упълномощено лице, чрез валидно удостоверение за квалифициран електронен подпис по смисъла на чл.13, ал.3 от Закона за електронния документ и електронния подпис. Удостоверението следва да бъде издадено от акредитиран доставчик на удостоверителни услуги и да съдържа ЕИК по чл.23 от Закона за търговския регистър, наименование на лечебното заведение, ЕГН/ЛНЧ и трите имена на упълномощеното лице.
2. За лечебно заведение – изпълнител на извънболнична медицинска помощ, се подписва от ръководителя на лечебното заведение или от упълномощено от изпълнителя на извънболнична медицинска помощ лице, чрез валидно удостоверение за квалифициран електронен подпис по смисъла на чл.13, ал.3 от Закона за електронния документ и електронния подпис. Удостоверението следва да бъде издадено от акредитиран доставчик на удостоверителни услуги и да съдържа минимум ЕГН/ЛНЧ и трите имена на ръководителя/упълномощеното лице.
3. За притежатели на разрешение за търговия на дребно с лекарствени продукти в аптека, се подписва от ръководителя на аптеката или от упълномощено от него лице с валидно удостоверение за квалифициран електронен подпис по смисъла на чл.13, ал.3 от Закона за електронния документ и електронния подпис. Удостоверението следва да бъде издадено от акредитиран доставчик на удостоверителни услуги и да съдържа минимум ЕИК по чл.23 от Закона за търговския регистър на притежателя на разрешението за търговия на дребно с лекарствени продукти в аптека, ЕГН/ЛНЧ и трите имена на ръководителя/упълномощеното лице.
Клиентската компонента криптира електронния документ и го изпраща на сървърната част на регистрационната система (сървърната компонента), който се намира на територията на Централното управление на НЗОК и физически е позициониран отделно. Самата система ще бъде собственост единствено и само на Националната здравноосигурителна каса.
Управителят на НЗОК подчертава, че служители на НЗОК, в чиито длъжностни характеристики са установени правомощия да събират, обработват и съхраняват данни от регистъра на осигурените лица по чл.63, ал.1, т.1 от ЗЗО, с изрична заповед на управителя на НЗОК ще имат достъп до данните от електронните документи, както и до УИН, съхранявани в сървърната компонента. Достъпът ще изключва модификацията на данните и УИН.
Не се предвижда изграждане на интерфейси за предоставяне на информация на други институции.
В искането за становище се посочва, че така описаната регистрационна система за здравноосигурителни събития ще бъде въвеждана в експлоатация поетапно, както следва:
1. В Техническото задание на обявената от НЗОК процедура за възлагане на обществена поръчка е предвидено да бъде осъществено пилотно внедряване в 5 ИМП/аптеки по време на Етап 2: Изграждане и пилотно внедряване.
2. След успешно приключване на изпълнението на договора за възлагане на обществена поръчка НЗОК ще уведоми Български лекарски съюз (БЛС) за реализираната техническа възможност за използване на регистрационната система.
3. Лечебните заведения– изпълнители на болнична медицинска помощ и аптеките, в срок до 3 месеца от уведомяването по т.2 ще са задължени да:
3.1 въведат и тестват регистрационната система;
3.2 да подпишат съответни допълнителни споразумения към сключените с НЗОК договори по чл.59, ал.1 от ЗЗО за задължително прилагане на регистрационната система от деня, следващ изтичането на 3 месеца от уведомяването по т.2.
4. Представителите на БЛС по чл.54, ал.1 от ЗЗО ще тестват регистрационната система за прилагането й в извънболничната медицинска помощ за срок от 3 месеца от уведомяването по т.2.
5. След реализирано успешно тестване по реда на т.4, на основание чл.53, ал.2 от ЗЗО, страните по националния рамков договор (НРД) за 2016 година ще го актуализират по реда на приемането му.
6. Изпълнителите на извънболнична медицинска помощ ще са длъжни да въведат регистрационната система и да подпишат съответни допълнителни споразумения към сключените с НЗОК договори по чл.59, ал.1 от ЗЗО за задължително прилагане на регистрационната система в срок от 3 месеца от актуализирането на НРД по т.5.
Управителят на НЗОК информира, че във връзка с разработването и предстоящото прилагане на „Регистрационна система за здравноосигурителни събития при изпълнители на медицинска помощ чрез биометрични идентификатори на пациентите, НЗОК ще предприеме следните организационни и технически мерки, свързани със защита на кода:
1. Заложено изискване в работната станция на ИМП/аптека, на която е извършена регистрацията, да не се съхранява нито електронния документ, нито части от него.
2. Изпълнителите на медицинска помощ и аптеките не създават и не поддържат регистър на ЗОЛ със създаден от системата на НЗОК уникален идентификационен номер и/или неговите компоненти.
3. Заложено изискване електронните документи и УИН да се съхраняват от сървърната компонента, физически отделно от останалата изискуема, съгласно чл.63, ал.1, т.1 от ЗЗО и съхранявана от НЗОК информация.
4. Заложено изискване за криптиране на електронните документи от клиентската компонента.
5. Заложено изискване електронните документи да бъдат подписани с удостоверение за квалифициран електронен подпис по смисъла на чл.13, ал.3 от Закона за електронния документ и електронния подпис.
В системата за задължителното здравно осигуряване, УИН ще се използва наред с единния граждански номер (ЕГН), респективно личен номер на чужденец (ЛНЧ). Основанията и аргументите за това са следните:
1. Съгласно чл.63, ал.1, т.1 от ЗЗО, в регистъра на осигурените лица следва да се съдържат както паспортни данни (основната част, от които е ЕГН/ЛНЧ), така и УИН-т.е. законодателят изисква кумулативно поддържане на двата вида данни;
2. Единният граждански номер (респ. ЛНЧ) и УИН имат различни функции и приложения:
2.1 ЕГН/ЛНЧ се използва за целите на обмен на данни и информация между НЗОК и:
2.1.1. Министерството на здравеопазването;
2.1.2. МТСП, Министерството на финансите и др. министерства;
2.1.3. Определени в закона институции– ГРАО, НАП, МВР, НОИ, АСП, ДАНС, органи на съдебната система.
2.2 УИН се прилага за целите на:
2.2.1. Осъществяването на достъп на ЗОЛ до медицинска помощ, гарантирана от бюджета на НЗОК, както и до ЛП, МД и ДХ за домашно лечение, заплащани напълно или частично от НЗОК;
2.2.2 Регистрирането от ЗОЛ на ползваните от него медицински дейности, от пакета от здравни дейности, гарантирани от бюджета на НЗОК, както и на получаването на ЛП, МД и ДХ за домашно лечение, заплащани напълно или частично от НЗОК;
2.2.3. Осъществяването на контролната дейност от НЗОК по изпълнение на договорите по чл.59, ал.1 от ЗЗО с изпълнителите на медицинска помощ, както и на договорите по чл.45, ал.15 от ЗЗО за отпускане на ЛП, МД и ДХ за домашно лечение, заплащани напълно или частично от НЗОК.
Анализ на съответствието на „Регистрационна система за здравноосигурителни събития при изпълнители на медицинска помощ чрез биометрични идентификатори на пациентите“ с нормите и целите на Закона за защита на личните данни
Изложеният по-долу анализ отчита обхвата на компетентност на Комисията за защита на личните данни като национален надзорен орган в областта на неприкосновеността и защитата на личните данни и се ограничава в рамките на нормативните изисквания, стандарти и принципи в тази област.
От гледна точка на защитата на личните данни, лични данни по смисъла на чл.2, ал.1 от ЗЗЛД са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Действията по събирането, записването, организирането на данни в електронен вид, съхранението им, употребата им съставляват действия по обработване на лични данни съгласно легалната дефиниция на §1, т.1 от Допълнителните разпоредби на ЗЗЛД. За да бъде законосъобразно обработването на лични данни, то следва да отговаря на чл.4, ал.1 от ЗЗЛД, който урежда алтернативни условия за допустимост на обработването. В конкретния случай НЗОК обработва лични данни в изпълнение на нормативно установено задължение на администратора на лични данни (чл.63, ал.1, т.1 от ЗЗО), за което е приложима хипотезата на чл.4, ал.1, т.1 от ЗЗЛД. В изпълнение на същата тази разпоредба от специалния закон (ЗЗО) в НЗОК е изграден и функционира регистър на осигурените лица, който съдържа всички изискуеми реквизити по чл.63, ал.1, т.1 от ЗЗО, с изключение на УИН на осигурените лица. Част от законово изискуемите реквизити на регистъра е събирането и съхраняването на паспортни данни на осигурените лица. При анализ на информацията, която се съдържа в този регистър, се установява, че тази част от регистъра (паспортни данни) съставлява лични данни по смисъла на чл.2, ал.1 от ЗЗЛД.
Всеки субект, независимо от правно-организационната му форма, е длъжен да подаде пред КЗЛД заявление за регистрация като администратор на лични данни преди да започне обработването на данните. Служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри на лични данни показва, че Националната здравноосигурителна каса е изпълнила задължението си за регистрация в КЗЛД и е вписана в регистъра с идент. №52412.
С цел изграждане на регистъра по чл.63, ал.1, т.1 от ЗЗО в пълнота и генериране на нормативно изискуемия УИН за всяко осигурено лице, НЗОК е предприела изграждане на „Регистрационна система за здравноосигурителни събития при изпълнители на медицинска помощ чрез биометрични идентификатори на пациентите”. Предвидената от НЗОК регистрационна система се отнася до здравноосигурени лица, чиито лични данни НЗОК вече е събрала и съхранява на нормативно основание – в изпълнение на разпоредбите на чл.63, ал.1, т.1 от ЗЗО. Обработването на тези данни НЗОК е заявила при регистрацията си в регистъра на КЗЛД и при последващата й актуализация в регистър с наименование „Задължително здравноосигурени лица”, като е посочила обработването на следните категории лични данни: име, ЕГН, паспортни данни, адрес, телефон, здравноосигурителен статус, диагнози по МКБ, дактилоскопски отпечатъци, данни относно здравето.
Уникалният идентификационен номер, който се предвижда да бъде създаден в изпълнение на изискванията на чл.чл. 63, ал.1, т.1 от ЗЗО, представлява комбиниране на уникалния идентификатор на ЗОЛ/приносителя (а именно: ЕГН/ЛНЧ или специален номер от регистъра на НАП) и код, генериран въз основа на сканиране на произволни точки от пръст на ръка на ЗОЛ/приносителя. Именно с цел генериране на код въз основа на сканиране на произволни точки от пръст на ръка се предвижда да бъде изградена описаната по-горе регистрационна система.
След анализ на предоставената информация относно техническите спецификации на планираната регистрационна система се установява следното:
Механизмът за генериране на кода е еднопосочен и необратим.Генерираният код съдържа само частична информация, а не цялостно изображение на пръстов отпечатък. Частичната информация се получава въз основа на сканиране на произволно избрани точки от пръст на ръка. Допълнителна гаранция е предвидената функционалност за модификация/формализация на информацията, съдържаща се в изображението. Предвидените устройства за сканиране на изображението на пръста извличат автоматично генерирания код. До работните станции на ИМП/аптеките, на които е инсталирана клиентската част на регистрационната система, не достига графичното изображение на сканирания пръст, а само извлечения от устройството частичен цифров код. В работните станции не се съхранява информация, свързана със снетия код.
Генерираните кодове ще се използват единствено за автентификация на съответното физическо лице при ползване на медицински услуги и получаване на ЛП, МИ и ДХ, а не за идентификация по смисъла на ЗЗЛД. Резултатът от сканирането на произволно избрани точки от пръст на ръка не позволява възстановяването на цялото изображение на пръстовия отпечатък на съответното физическо лице, което налага извода, че изображението под формата на частичен цифров код не съставлява лични данни съгласно легалната дефиниция на понятието по чл.2, ал.2 от ЗЗЛД.
Базата данни на генерираните кодове ще се съхранява отделно от обработваната към момента база данни, съдържаща нормативно изискуемата и вече събрана от НЗОК информация за здравно осигурените лица. С оглед на това, че достъпът до самия цифров код не допуска свързването му с конкретно физическо лице, за което НЗОК вече е събрала и обработва данни в регистъра „Задължително здравноосигурени лица“, може да се приеме, че в случая не е налице идентификация на дадено физическо лице по смисъла на ЗЗЛД.
Предложената регистрационна система, предвид дефинираните цели на контрол върху ползваните медицински услуги и получаване на ЛП, МИ и ДХ, регистрира и отчита, освен предоставената медицинска услуга, единствено наличието на съвпадения, респ. липсата на съвпадения между генерираните кодове с последващите случаи на автентификация с УИН на здравно осигурените лица, без да позволява събирането на допълнителни лични данни към вече събраните по реда и условията на ЗЗО и без да се запазва генерираният код.
Видно от представената в искането за становище информация, предвидени са алтернативни варианти на задължителната регистрацияна категориите субекти с цел контрол върху оказаната медицинска помощ, респ. получените ЛП, МИ и ДХ, които са финансирани напълно или частично от НЗОК. Категориите субекти са два вида:
· Здравноосигурени лица, които ползват медицинска помощ и/или ЛП, МИ и ДХ;
· Приносители (в т.ч. и законни представители) на рецепти за получаване на ЛП, МИ и ДХ. Последните могат да бъдат здравноосигурени лица на собствено основание или да не са здравноосигурени.
За разлика от първата категория субекти, които са реални потребители на съответната медицинска помощ и/или ЛП, МИ и ДХ, приносителите нямат това качество, а само съдействат на друго здравноосигурено лице да получи полагащите му се по рецепта медикаменти. Затова на тях не следва да бъде вменявано като задължение сканирането на произволни точки от пръст на ръка с цел получаване на ЛП, МИ и ДХ за друго здравноосигурено лице, респ. отказът от автентификиране чрез УИН не следва да води до отказ от приемане на рецептата от съответната аптека и от предоставяне на ЛП, МИ и ДХ.
Както беше посочено по-горе, регистърът по чл.63, ал.1, т.1 от ЗЗО, се изгражда на нормативно основание със задължителни реквизити, като УИН е част от тях. Законът предоставя на НЗОК, която администрира регистъра, свобода за избор на конкретно технологично решение за изграждането на този УИН. В конкретния случай, елемент от изграждането на УИН е генерирането на цифров код, което обаче не изключва възможността да се прилагат и други алтернативни варианти за регистрация на ползваната медицинска помощ и получаване на ЛП, МИ и ДХ. В този смисъл може да бъде подкрепен подходът, избран от НЗОК, съгласно който с цел винаги да бъде оказвана медицинска помощ или да бъдат предоставяни ЛП, МИ и ДХ, съществуват алтернативни методи за регистрация, както на здравноосигурените лица, така и на приносителите на рецепти, а именно:
· Автентификация с УИН;
· В случай на отказ от автентификация с УИН или при липса на здравноосигурителен статус, ръчно вписване в регистрационната система на ЕГН/ЛНЧ или Специален номер от регистъра на Националната агенция по приходите на ЗОЛ, както и номера на съответния български личен документ на физическото лице.
Осигуряването на алтернативни методи за регистрация и по-конкретно възможността за избор на един от тях може да се приеме за съгласие по смисъла на чл.4, ал.1, т.2 от ЗЗЛД, което се извършва чрез конклудентни действия от съответните физически лица.
Тук е важно да се отбележи, че предложените алтернативни варианти за регистрация не се отнасят до здравноосигурени лица, които са избрали да ползват медицинска помощ или ЛП, МИ и ДХ със собствени средства, а не по линия на тези, които се заплащат напълно или частично от НЗОК. Това напълно кореспондира на целите на предлаганата регистрация, а именно контрол върху законосъобразното разходване на публични средства от бюджета на НЗОК и превенция на злоупотреби, при които се отчита неизвършена медицинска дейност или предоставени ЛП, МИ и ДХ.
Предвижда се изграденият УИН и данните във връзка с регистрацията на лицата да се съхраняват за период от 5 години след прекратяване на здравното осигуряване на лицето. Така предвидената продължителност на срока произтича от разпоредбата на чл.64, ал.1 от ЗОО, която регламентира правото на всяко осигурено лице да получава от НЗОК наличната информация за ползваната от него през последните пет години медицинска помощ и нейната цена. За да гарантира това право на осигурените лица, НЗОК следва да осигури съхранението на информацията в този нормативно определен срок.
На основание чл.23 от ЗЗЛД администраторът на лични данни НЗОК е длъжен да предприеме технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Мерките следва да са съобразени със съвременните технологични постижения и да осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. В тази връзка, видно от информацията в искането за становище, НЗОК е предприела следните технически и организационни мерки за защита на данните:
· използване на квалифициран електронен подпис;
· криптиран електронен документ; предвиденият алгоритъм за генериране на кода от произволно избрани точки от пръста на ЗОЛ/приносителя, който е еднопосочен и не позволява последващо възстановяване на отпечатъка на сканирания пръст;
· оторизираните служители за достъп до данните на ЗОЛ/приносителя нямат права за модификация на данните и УИН;
· в работните станции на изпълнителите на медицинска помощ не се съхранява електронният документ или части от него, създаден при сканирането на произволни точки от пръст на ръка на ЗОЛ/приносителя;
· електронните документи и УИН се съхраняват на сървър в НЗОК, физически отделно от останалата изискуема, съгласно чл.63, ал.1, т.1 от ЗЗО, информация за ЗОЛ/приносителя.
Предвидените за прилагане мерки, посочени по-горе, са в съответствие с разпоредбите на Закона за защита на личните данни и Наредба №1 за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни и определеното от НЗОК „Изключително високо ниво на защита“ на личните данни, обработвани в регистър „Задължително здравноосигурени лица“.
С цел защита на правата на здравноосигурените лица в областта на защитата на личните данни, НЗОК следва да проведе всеобхватна информационна кампания, чрез която по достъпен и разбираем начин да бъдат разяснени:
– Целите на въвеждането на уникалния идентификационен номер при изграждането на регистъра на осигурените лица по чл.63, ал.1, т.1 от ЗЗО;
– Ролите и отговорностите на всички участници в процеса по генериране на цифровия код чрез сканиране на произволно избрани точки от пръст на ръка;
– Информация относно нормативно задължителния характер на изграждането на уникалния идентификационен номер съгласно чл.63, ал.1, т.1 от ЗЗО;
– Информация относно алтернативните методи за регистрация с цел контрол върху законосъобразното разходване на средства от бюджета на НЗОК и превенция на злоупотреби, при които се отчита неизвършена медицинска дейност или предоставени ЛП, МИ и ДХ;
– Информация относно механизма, по който физическите лица ще могат да упражняват правото си на достъп, коригиране и заличаване на личните данни, които се обработват във връзка с регистрацията.
С оглед гарантиране на информираността на пациентите НЗОК следва да предприеме мерки, чрез които по достъпен и разбираем начин на здравноосигурените лица и приносителите да бъдат разяснени алтернативните възможности за регистриране чрез УИН или ръчно вписване на ЕГН/ЛНЧ или специален номер от регистъра на НАП, както и на номера на българския личен документ на лицето. Тази информация следва да е налична при всеки ИМП, респ. аптека, която ще извършва първоначалната регистрация и последващата автентификация.
Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни с три гласа „за” (В. Караджов, Ц. Цолов, В. Целков) и един глас „против” (М. Матева)изразява следното
СТАНОВИЩЕ:
1. Изграждането от страна на Националната здравноосигурителна каса (НЗОК) на уникален идентификационен номер (УИН) като задължителен реквизит на регистъра на осигурените лица се извършва на нормативно основание, съгласно чл.63, ал.1, т.1 от Закона за здравното осигуряване. Законът предоставя на НЗОК свобода за избор на конкретно технологично решение за изграждането на този УИН.
2. При условие, че резултатът от сканирането на произволно избрани точки от пръст на ръка не позволява възстановяването на цялото изображение на пръстовия отпечатък на съответното физическо лице, изображението под формата на частичен цифров код не съставлява лични данни, съгласно легалната дефиниция на понятието по чл.2, ал.2 от ЗЗЛД.
3. При условие, че достъпът до самия цифров код не допуска обратното му свързване с конкретно физическо лице, за което НЗОК вече е събрала и обработва лични данни в регистъра „Задължително здравноосигурени лица“, не е налице идентификация на физическо лице по смисъла на ЗЗЛД.
4. Осигуряването на алтернативни методи за регистрация и по-конкретно възможността за избор на един от тях може да се приеме за съгласие по смисъла на чл.4, ал.1, т.2 от ЗЗЛД, което се извършва чрез конклудентни действия от съответните физически лица.
5. Националната здравноосигурителна каса следва да предприеме технически и организационни мерки за изграждане на регистрационната система и нейното поддържане, които да съответстват на разпоредбите на Закона за защита на личните данни и Наредба №1 за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни и определеното от НЗОК „Изключително високо ниво на защита“ на личните данни, обработвани в регистър „Задължително здравноосигурени лица“.
6. С цел гарантиране на правата на здравноосигурените лица в областта на защитата на личните данни, НЗОК следва да проведе всеобхватна информационна кампания, съобразно указанията на КЗЛД, изложени в мотивите на настоящото становище.
7. С цел гарантиране на информираността на пациентите, НЗОК следва да предприеме мерки, чрез които по достъпен и разбираем начин, на здравноосигурените лица и приносителите, да бъдат разяснени алтернативните възможности за регистриране чрез УИН или ръчно вписване на ЕГН/ЛНЧ или специален номер от регистъра на НАП, както и на номера на българския личен документ на лицето. Тази информация следва да е налична при всеки ИМП, респ. аптека, която ще извършва първоначалната регистрация и последващата автентификация.
8. С цел недопускане на разнопосочна практика в процеса по регистрация и последваща автентификация, НЗОК следва да предприеме действия за иницииране на нормативни промени, които да уредят така описания в искането за становище механизъм за регистрация и автентификация.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
