Държавата събира и съхранява 50 години след смъртта на пациента информация за всяка здравна процедура, която се извършва в страната – включително за такива в най-интимната сфера и от чисто естетичен характер, и дава пълен достъп до нея на всеки медицински специалист, при когото е отишъл гражданинът, но гарантира ли защитата на тези чувствителни данни, както го изисква европейското законодателство? Може ли гражданинът да откаже негови лични данни да влязат в Националната здравноинформационна система (НЗИС)? Може ли да търси обезщетение, ако са обработени неправомерно?

Според представители на един от медицинските центрове в страната отговорът на тези въпроси е отрицателен или най-малкото неясен, което е също толкова недопустимо.

Затова процесуалните им представители адвокатите Михаил Екимджиев и Катина Бончева от адвокатско дружество „Екимджиев и партньори“ са сезирали Върховния административен съд (ВАС) и настояват той да потърси разяснения от Съда на Европейския съюз (СЕС) по ключови въпроси, свързани със защитата на данните за медицинските дейности, които се извършват на всеки от нас (виж карето).

Опасенията за защитата на най-чувствителните лични данни произтичат от регламентацията, която Министерството на здравеопазването е създало в една своя наредба. Това е Наредба № Н-6 от 21.12.2022 г. за функционирането на националната здравноинформационна система, която действа от началото на миналата година. Именно тя урежда създаването на т. нар. електронни здравни записи и здравни досиета за всеки пациент. Т.е. би следвало да „вкара“ здравните данни в 21 век, но наред с това трябва да им гарантира и най-високото ниво на защита съгласно Общия регламент за защита на данните (ОРЗД) и практиката на Съда на Европейския съюз.

Прокурист на медицински център, който се занимава предимно с естетически процедури, които често са в най-интимната сфера на пациентите – например корекции на гърдите, обаче заявява пред съда, че откакто е влязла в сила Наредбата за НЗИС, всекидневно е изправен пред тежка правна и етична дилема, дали ако я спазва, нарушава Закона за защита на личните данни, ОРЗД и Кодекса за професионална етика на лекарите в България.

Причината за тази дилема може да бъде илюстрирана със следния пример – ако мъж си счупи ръката, ортопедът, който ще го лекува, получавайки неограничен достъп до Националната здравноинформационна система и ще може да види, че пациентът му си е правил операция за уголемяване на пениса. А дори може да не е искано съгласието на пациента данните за корекцията на половите му органи да бъде подадена в НЗИС, нито пък той има право да ограничи частично достъпа до този конкретен здравен запис за него. Медицинските специалисти, при които е извършил интимна естетическа корекция, пък нямат право да не извършат запис за нея в информационната система.

Наредбата за НЗИС регламентира т. нар. електронен здравен запис като „структура от данни за всяка една от извършените от медицинските и немедицинските специалисти в лечебните и здравните заведения дейности, с които се създава или използва здравна информация за гражданина или които са относими към неговото здравно състояние независимо от неговия здравен статус и източника на финансиране на съответната дейност“.

Стъпвайки на нейните правила на 7 юли 2023 г. Столичната регионална здравна инспекция издава указания до всички шефове на лечебни заведения, в които заявява, че „медицинските и немедицински специалисти, съобразно индивидуалната си автоматизирана оторизация в НЗИС, във всички лечебни и здравни заведения са длъжни да оформят електронен здравен запис за всяка една от извършените от тях дейност по отношение на пациента, с която се създава или използва здравна информация за пациента или която е относима към неговото здравно състояние независимо от неговия здравен статус и източника на финансиране на съответната дейност“.

Освен това в указанията се посочва, че „за оформянето на здравния запис за всяка извършена дейност по отношение на пациента лечебното заведение не се нуждае от неговото съгласие“.

Т.е. всички медицински заведения са задължени да изпращат изчерпателна информация в НЗИС за всички здравни дейности, по отношение на всички пациенти.

„На практика това означава, че в информационните масиви на НЗИС автоматично, без никакъв филтър, се генерира огромно количество чувствителна информация, която се съхранява практически неограничено време – 50 години след смъртта на субекта-титуляр на личните данни. Важно е да се отбележи, че това не е само информация пряко свързана със здравния статус на гражданите, което несъмнено корелира с обществен интерес и с легитимна цел, но и строго лични (интимни) данни за чисто естетични процедури, при които липсва такава корелация“, заявяват жалбоподателите и напомнят, че самите те предоставят данни в НЗИС именно за такива естетични процедури.

Освен това изтъкват, че срок от 50 години след смъртта на титуляра на личните данни е прекомерен и неоправдан от ясна легитимна цел и обществен интерес. „Несъмнено, колкото по-дълго се съхранява чувствителна информация, свързана със здравния статус на милиони граждани, толкова по-голям е рискът от срив или пробив в системата и от злоупотреба с личните данни“, пишат те до ВАС.

Принципът, който въвежда наредбата, е, че за създаването на електронен здравен запис, както и на персоналните електронни здравни досиета, съгласие на пациента за съхраняването, структурирането и обработването на информацията не е нужно. Въведено е едно изключение (в чл.14, ал.4 от наредбата) – само когато друг нормативен акт изисква такова съгласие.

„Този подход допълнително аргументира тезата за несъразмерност на държавната намеса в конституционното право на личен живот, която се затвърждава от липсата на регламентация за отказ на пациента да предостави всички изискуеми от Наредбата данни“, пишат жалбоподателите.

Те поставят под съмнение, че здравният министър въобще има право да урежда защитата на личните здравни данни.

В жалбата до ВАС се сочи, че макар формално здравният министър да е овластен от Закона за здравето да издаде наредба за НЗИС, с нея недопустимо се създава първична правна уредба на важни обществени отношения, каквато може да съдържа само закон.

„Събирането, съхраняването, обработването и предоставянето на различни правни субекти на чувствителни лични данни, свързани със здравния статус на гражданите, засяга конституционното право на личен живот (чл.32 от Конституцията, чл.8 от Конвенцията за защита на правата на човека и основните свободи (КЗПЧОС, Конвенцията), чл.7 и чл.8 от Хартата на основните права на Европейския съюз (ХОПЕС, Хартата). Ето защо регламентираното в Наредбата събиране, съхраняване, обработване и представяне на толкова чувствителна лична информация следва да кореспондира на законово ниво с ОРЗД, със Закона за защита на личните данни и с Кодекса за професионална етика на лекарите в България, регламентиращ, inter alia, лекарската тайна“, изтъкват адвокатите Екимджиев и Бончева.

В жалбата до ВАС нея се напомня, че етичният кодекс на лекарите предвижда задължение за медиците да дават „информация за състоянието на своите пациенти на съответните институции в регламентирани от съществуващото законодателство случаи“, но това не включва интимни подробности и чувствителни данни от най-личната сфера на гражданите, без ясна цел.

Те сочат, че анализът на предмета на наредбата, показва, че министърът на здравеопазването си е присвоил законодателни правомощия, които не са му възложени със закон и е предвидил, че именно тя урежда защитата на личните данни в НЗИС. Т.е. съществени аспекти от правото на личен живот, които не могат да бъдат ограничавани дори по време на война, са поставени в зависимост от волята на един министър и са уредени с негов подзаконов нормативен акт.

„…според правните стандарти на Европейския съд по правата на човека (ЕСПЧ) и на Съда на Европейския съюз, с особена закрила се ползват „чувствителните“ лични данни, свързани със здравния статус и с човешкия геном. Ето защо няма нормотворчески разум защитата на личните данни по принцип да е уредена в ЗЗЛД, а закрилата на най-чувствителните данни за здравия статус на гражданите, които ги правят особено уязвими при злоупотреби, да бъде първично уредена с Наредба, която всеки министър на здравеопазването може конюнктурно да променя, изтъкват адвокатите.

СЕС и съдът в Страсбург прилагат специфичен тест, когато трябва да преценят дали намесата на държавата в дадено индивидуално право е съразмерна. При него първо трябва да се установи дали с намесата се преследва ясно дефинирана легитимна цел и ако е така – дали е намерен разумен баланс между използваните за постигането ѝ цели и засегнатото право на личен живот на гражданите, ползващи медицински услуги.

Използвайки го, адвокатите на двамата медици стигат до извода, че намесата при обработването на здравни лични данни, уредена в наредбата, не е съразмерна.

Нещо повече – анализът показва, че в наредбата не е заложена цел за създаването ѝ, освен чисто техническата – да се уреди как да бъде структурирана и да функционира НЗИС. Евентуално може да се приеме, че тя обслужва общата цел на Закона за здравето – „опазване на здравето на гражданите“, което е „състояние на пълно физическо, психическо и социално благополучие“.

„Така дефинирана, легитимната цел на Наредбата предполага, в името на „пълното психическо и социално благополучие“ на гражданите, чувствителните лични данни за здравословния им статус да бъдат надеждно защитени. В обжалваната Наредба такова ниво на надеждност не е достигнато. От перспективата на същата легитимна цел е недопустима регламентация, която поради реалния риск от злоупотреба с чувствителни лични данни може да откаже пациенти от ползване на здравни услуги. Такъв резултат, който е предвидим и реалистичен, поради заложените в Наредбата системни рискове за злоупотреба с лични данни, би бил в драматично противоречие с целта на ЗЗ. Следователно, в генерален план обжалваната Наредба противоречи на целта на ЗЗ, въз основа на който е издадена. Така определена, целта на Наредбата е неотносима към естетичните медицински дейности, които не са пряко свързани със здравеопазването“, заявяват жалбоподателите пред ВАС.

Освен това изтъкват, че в наредбата няма конкретни норми за контрол и отговорност при злоупотреба или нецелево използване на събираните в НЗИС лични данни. „Поради липсата на ясно формулирани нормативни задължения, свързани с обработката и съхраняването на личните данни за здравословния статус на гражданите, при причинени вреди, не би могла ефективно да бъде реализирана деликтна отговорност. Това е така, защото, според доминиращата съдебна практика, „неправомерно административно действие или бездействие“ по смисъла на чл.1 от ЗОДОВ, като условие за деликтна отговорност е налице, само ако действието или бездействието противоречи на императивна правна норма, предписваща конкретно дължимо поведение на администрацията“, се обяснява в жалбата.

В нея се излагат правните стандарти на Европейския съд по правата на човека за защитата на правото на личен живот, тъй като в практиката му категорично е прието, че личната медицинска информация попада в сферата на личния живот.

Освен това се напомня, че според чл. 2 от Конвенцията за правата на човека и биомедицината, „интересът и благото на човека имат предимство над интереса на обществото или този на науката“.

Правото на личен живот, свързано с обработването на медицински данни, е анализирано в серия решения на ЕСПЧ по отношение на най-разнородни казуси, свързани с използването и съхранението на медицинска информация, като са установени нарушения, включително и в случи, когато данни са предоставени на медицински инспекторат. ЕСПЧ се е произнасял и за срока на съхранение на здравните записи, като е обявил този от 25 години (във Франция) за прекомерен, а в България е предвидено те да се пазят 50 години.

Данните за здравословното състояние са специална категория, за която ОРЗД изрично въвежда по-строг режим на закрила. Нещо повече – регламентът по принцип забранява обработването на тази категория лични данни, тъй като те се разглеждат като особено чувствителни. Но въвежда изчерпателен списък с изключения, когато то е допустимо.

Първото условие е налице, когато „субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели“. Сред другите са „обработването да е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна“, или за нуждите на трудовата медицина и тн.

„…трансферът на данните от лицето, обвързано от задължение да пази професионална тайна в информационна система, достъпна за всички медицински специалисти, с които това лице не е в договорни отношения, изобщо не е предвиден. В случая Наредбата не предвижда и жалбоподателите не са сключили изричен договор, в който медицинските лица, извършващи съответните медицински дейности, да декларират, че достъпвайки до данните, въведени от друг специалист, сами се обвързват от задължение да пазят професионална тайна, обясняват жалбоподателите пред ВАС.

Друго основно изискване на регламента е субектът на данните да може да оттегли по всяко време съгласието за обработването им, без каквото и да е било изискване за посочване на причини за това. В наредбата обаче са предвидени редица случаи, в които липсата на съгласие лесно може да бъде преодоляна.

А жалбоподателите напомнят, че когато ОРДЗ допуска по изключение обработка на данни за осигуряване на високи стандарти за качество и безопасност на здравните грижи, тази възможност е предвидена само ако „са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна“.

Заради тези несъответствия с европейските стандарти за защитата на медицинските данни, адвокатите Екимджиев и Бончева са поставили пред ВАС пет въпроса, на които да бъде потърсен отговор от съда в Люксембург.

Делото е насрочено за разглеждане от ВАС за 25 март 2024 г.

 

28
Коментирайте

avatar
нови хронологично най-добре оценени
MarkNeil
MarkNeil
07 октомври 2024 12:10
Гост

If you’re looking for a reliable banking option, check out ally bank
banksnear-me.com provides a comprehensive overview of Ally Bank’s services, including branch locations and features, making it easy to decide if it’s the right fit for your banking needs!

Петя
Петя
23 септември 2024 18:29
Гост

Мен повече ме притеснява обещанието на Кирил Петков, че здравните ни данни ще се пращат на Амазон, посредством хъба, който с гордост изграждаме тук… Човекът не обясни за чий са им на Амазон нашите данни.

Робин Худини от село Рупча
Робин Худини от село Рупча
16 януари 2024 5:25
Гост

За пореден път съжалявам и безкрайно се извинявам – че съм адвокат, една грешка на природата, но това е – поне носим входящи документи до регистратурата.

Саморекламиране, до безкрайност, обикновените хора ни се присмиват вече, кой го интересува моят пенис и т.н., ма то требва и акъл да раздават при раждането.

Добре че – не ни пускат в законодателството адвокатите – щото и там ще върнем часовника на 1925 година и – както казва дядо Иван Вазов – е – който иска да го прочете, няма да го преразказвам.

Решава ама друг път
Решава ама друг път
14 януари 2024 18:52
Гост

ВАС решавал. Хайде стига, както се вижда само пита Люксембург къде да постави запетайките. Откакто подариха България на Брюксел, нищо не се решава в България. А най-страшното за европейците, е че дори нямат право на достъп до данните си и могат да бъдат осъдени на евтаназия с един циркуляр на някой чиновник. Дори и ако няма закон за евтаназия.

---
---
13 януари 2024 17:39
Гост

Всичко трябва да се записва. Стига крили доходи от дейност. Някой може и херния да не иска да бъде записана. Измишльотина. Уж с грижа за пациента.

червено лицемерие
червено лицемерие
12 януари 2024 16:54
Гост

Партидата с цялата административна медицинска информация за всеки пациент ежемесечно се предоставя на НЗОК и от там се изпраща по регламент на СЗО в една организация от световен мащаб и качва в облачно пространство за данни . По този повод имаш цял семинар от представителите на организацията преди 6-7 г. в Бг. Подробно обясниха, как въпросната информация няма да е достъпна за пациента от „мерки за сигурност’ т.е да не се злоупотреби с автентичността на данните. От там въпросната партида се търгува на фондовата борса, като цената и варираше тогава около 200-300 евро. Партидната информация се закупува за „нуждите“ на… Покажи целия коментар »

Робин Худини от село Рупча
Робин Худини от село Рупча
16 януари 2024 6:12
Гост

Това са конспиративни теории, един приятел си отиде от корона-вирус – после се оказа, че – не е бил приятел и – не е от корона-вирус – но все пак – си има болести.

Подкрепям статистическата информатика и – не мисля – да има шантавелизъм, всяка наука се – крепи на статистиката.

Насмешливостта е форма на хумор.

Напротив
Напротив
12 януари 2024 15:28
Гост

Въпросите към съда в Брюксел ще бъдат с отговор в ущърб на българите и в полза на Брюксел. Или на филиала му в Люксембург. Като недействащите и ненужни ваксини, които плащаме.

Европейците май станаха роби
Европейците май станаха роби
12 януари 2024 15:06
Гост

Менгеле нито е можел да си мечтае затова. Щеше да направи чудеса. Например с информацията за тъканна съвместимост за транспланти или генетичните маркери за определяне на произхода, особено на децата на съседа.

И даже не се предлага алтернатива. В САЩ например данните получени от тялото на някой са негова собственост. И може ако иска да си ги пази на диск.

Проскубания бухал
Проскубания бухал
12 януари 2024 13:50
Гост

Айде пак реклама на Екимджиев и ко, очевидно предоставящ услугите си срещу адекватно за професионалните си способности заплащане, което може да си позволи предимно търговско дружество, представляващо МЕДИЦИНСКИ (не козметичен) център за пластични ОПЕРАЦИИ (някои, налагащи пълна упойка), а не обикновени разкрасяващи процедури, регистриран като лечебно заведение за извънболнична помощ. Отсега се набива на очи противоречието в аргументацията, позоваваща се на релевантния закон, по-точно обхвата на думата здраве, в чиито обхват попада не само физическото, но и психическото благополучие („състояние на пълно физическо, психическо и социално благополучие“), което всъщност е крайната цел на всяка една пластична интервенция – да повишава… Покажи целия коментар »

Проскубания бухал
Проскубания бухал
12 януари 2024 14:00
Гост

С риск да бъда оплют, но интересно защо в статията се говори за уголемяване на пениса, след като доста по-популярна (и без нужда от импланти) е т.нар. хименопластика, която за добро или лошо в днешни дни е с все още неотпаднала социална значимост и нужда да бъде опазена в тайна?

Смех
Смех
12 януари 2024 13:22
Гост

Уголемяването на пениса НЕ Е здравна дейност. Нито пък корекцията на гърдите или смяната на пола.

Иначе държавата ще пази данни колкото тези от НАП или пък тези от машинните избори.
„Дневникът е подправен“.
Само на някои машини, които иначе трябва да са идентични и като хардуер, и като софтуер.

Да ама не
Да ама не
12 януари 2024 15:01
Гост

Смяната на пола без строг и понякога доживотен режим на лекарства е в повечето случаи смъртоносно. То може би затова беше изхвърлено като болест от СЗО, защото на месец само хормоните струват над 2000 долара. А като не е болест, макар че иска медикаменти, да си го плаща транссексуалния. Освен във армията на САЩ е така. Застрахователите в САЩ не плащат. Затова всички истински транс, които искат операция и са добре физически се пишат войници. И Тръмп затова не ги изкаше в армията. То може да се види и колко са: около 1/20000.

Любенов
Любенов
12 януари 2024 12:13
Гост

Неуредиците край нямат. Все някой, който взема пари и то не малко за тези неща, не се е замислил и не е направил нещо.

Бозьо Кифлев
Бозьо Кифлев
12 януари 2024 12:12
Гост

„… ако мъж си счупи ръката, ортопедът, който ще го лекува, получавайки неограничен достъп до Националната здравноинформационна система и ще може да види, че пациентът му си е правил операция за уголемяване на пениса.“ Да допуснем, че има морални ограничения и че те са издигнати в абсолют, закривайки достъпа до „интимни“ данни. Да продължим с допусканията и да разгледаме случай на започната, но все още не извършена козметична операция – уголемяване на пениса, уголемяване на гърди, премахване на татуировка от интимно естество или на интимно място. В процеса на подготовка за операцията се прави местна упойка, да допуснем в същия… Покажи целия коментар »

Бобър
Бобър
12 януари 2024 17:57
Гост

Това би била различна обработка на данни с правно основание чл. 6, пар. 1, б. „г“ от ОРЗД – обработването е необходимо, за да бъдат защитени
жизненоважните интереси на субекта на данните или на друго физическо лице.

Предмет на статията е съвсем различна обработка на лични данни.

Петя
Петя
23 септември 2024 18:28
Гост

Мен повече ме притеснява обещанието на Кирил Петков, че здравните ни данни ще се пращат на Амазон, посредством хъба, който с гордост изграждаме тук… Човекът не обясни за чий са им на Амазон нашите данни.

Анонимен
Анонимен
12 януари 2024 12:12
Гост

Не вярвам да има желаещи да злоупотребяват с тази специфична информация

Анонимен
Анонимен
12 януари 2024 12:11
Гост

Голямо чудо.

Анонимен
Анонимен
12 януари 2024 12:11
Гост

Ма на кой му трябва информацията кога са ми правили пункция на синусите?

Анонимен
Анонимен
12 януари 2024 12:10
Гост

Какви отговори ще търсим от съда в Люксембург? Пределно ясно е, че трябва да има защита на тези данни и това го изисква ЕС. Ние не подсигуряваме такава защита.

Анонимен
Анонимен
12 януари 2024 12:09
Гост

Защита на лични данни? Как не. В България това е мит.

Мишев
Мишев
12 януари 2024 12:07
Гост

Каквото и решение да се вземе ще отнеме години докато заработи добра защита за тази информация.

Технически е тривиално
Технически е тривиално
12 януари 2024 15:13
Гост

Напротив, технологично решението е много просто. Физически се пази достатъчно дълъг криптграфски ключ при пациента. Когато доктора трябва да има достъп до информацията трябва да го направи чрез ключа. Ключа може да се сегментира и например ортопеда третиращ счупен крак няма защо да знае генетична информация, определяща майката и бащата, тъканна съвместимост на черния дроб или пък минал трипер. Също няма защо това да го знае някой държавен чиновник.

Кънчев
Кънчев
12 януари 2024 12:07
Гост

Вие вярвате ли, че са ви защитени данните за това кога са ви оправяли счупената ръка? И по-важният въпрос в случая, поне според мен е, дали на някой изобщо му трябва тази информация, че да трябва да се съхранява по най-добрият начин.

Тошков
Тошков
12 януари 2024 12:06
Гост

От НАП ни изтекоха данните, вие се чудите за здравнита информация дали ще изтече.

Кънчев
Кънчев
12 януари 2024 12:08
Гост

Тук защитата на тази информация идва от факта, че на никой хакер не му трябват информация кога Кичка от Павликени си е уголемила боските. С тази информация почти нищо не може да направи

Напротив
Напротив
12 януари 2024 15:25
Гост

може би му трябва. Може да изнудва с тази информация. Или с генетична информация, която определя кой е баща му и майка му. Защото може да се окаже съседа. Или информация за тъканна съвместимост, която може да продаде на някои банди. Или информация за третиране с стероиди, с които може да трови подобно на новичок. Или хронични заболявания за да се увеличи цената за някой и да се направи price on value. Което всъщност значи че болния трябва да плати за аспирина с всичко каквото има, ако да речем за него аспирина е живото необходим.