Роль, яку виконують медичні лабораторії, передбачає визначення як мети обробки (проведення діагностичного дослідження), так і обсягу персональних даних, необхідних для досягнення такої мети.
Для надання медичних послуг з лабораторної діагностики щодня обробляються значні обсяги персональних даних,зокрема про здоров’я особи, які чинне законодавство відносить до категорії чутливих персональних даних. У зв’язку з пандемією COVID-19 обсяг даних, які обробляють лабораторії, суттєво зріс. Ймовірно, саме тому Уповноважений ВРУ з прав людини (Уповноважений) визначив серед пріоритетних заходів на минулий 2020 рік моніторинг дотримання лабораторіями законодавства у сфері захисту персональних даних та провести перевірки декількох медичних лабораторій.
Результати проведених перевірок вкотре порушують питання щодо достатності комплаєнс-заходів компаній, відповідальних за великі масиви даних,та відповідності чинного законодавства викликам часу. Остаточні відповіді на ці питання надасть робоча група, котра наразі фіналізує нову редакцію профільного закону.
Поки цього не відбулося та поки в Україні не впроваджені сумісні з GDPR положення, необхідно зрозуміти, як саме зараз регулюється обробка чутливих персональних даних і яким чином лабораторії забезпечують дотримання таких вимог.
Основні положення, які регулюють порядок обробки персональних даних на території України, передбачені Законом України “Про захист персональних даних” (Закон “Про захист ПД” та Закон). За цим Законом обов’язки в основному покладені на володільця персональних даних – особу, яка визначає мету обробки персональних даних та обсяг персональних даних, що обробляються.
Роль, яку виконують медичні лабораторії, передбачає визначення як мети обробки (проведення діагностичного дослідження), так і обсягу персональних даних, які необхідні для досягнення такої мети. З огляду на це, лабораторії зобов’язані дотримуватися саме тих положень Закону, які стосуються володільців персональних даних. Нижче ми проаналізували деякі з таких вимог, дотримання яких, за твердженням Уповноваженого, на практиці викликає найбільше питань.
Загальні вимоги до обробки чутливих персональних даних
За загальним правилом, обробка чутливих персональних даних, до яких належить інформація про стан здоров’я особи, заборонена. Винятки із загальної заборони встановлюються Законом. Зокрема,така обробка може здійснюватися за наявності однозначної згоди суб’єкта персональних даних (особи, чиї дані обробляються). Крім однозначності, згода суб’єкта персональних даних повинна бути добровільною, інформованою та вираженою у формі, що дозволяє зробити висновок про її надання.
Для дотримання цих вимог лабораторії зазвичай отримують згоду суб’єкта персональних даних у формі окремого документа, який підписується пацієнтом (замовником). Його підписання підтверджує факт згоди пацієнта на обробку персональних даних в порядку, визначеному лабораторією, що може також включати обробку даних пацієнта третіми особами. Це може бути, наприклад, компанія, яку лабораторія залучає для зберігання та управління даними медичних досліджень. У таких випадках надання пацієнту замовлених послуг ставиться у залежність від надання пацієнтом згоди на обробку персональних даних. Це пояснюється тим, що надання пацієнту таких послуг неможливе без обробки персональних даних такого пацієнта.
Разом з тим вважається спірною практика деяких компаній включати до тексту документа (згоди на обробку персональних даних або договору про надання послуг) положення про згоду пацієнта на обробку даних для цілей, не пов’язаних із замовленими послугами, й при цьому не надавати пацієнту можливості відмовитися від такої обробки. Зазвичай це стосується надання згоди на отримання маркетингових чи інших комерційних повідомлень. За наведених умов, згода на таку обробку вбудована (bundled) у загальний текст документа – і в наведеному прикладі пацієнт вимушений погодитися на отримання комерційних повідомлень для замовлення медичної послуги. Така практика може ставити під сумнів добровільність отриманої згоди та законність подальшої обробки для таких додаткових цілей, оскільки у суб’єкта відсутній справжній вибір та контроль щодо використання даних, які він надає компанії.
Окрім наведеного, Закон “Про захист ПД” визначає додаткові вимоги, пов’язані з обробкою чутливих персональних даних. До таких належать обов’язок володільця повідомити Уповноваженому про обробку чутливих персональних даних та обов’язок створити чи визначити структурний підрозділ або відповідальну особу, що організовує обробку чутливих персональних даних (інформація про структурний підрозділ чи відповідальну особу також повідомляється Уповноваженому). Чинне законодавство передбачає вичерпний перелік випадків, коли вказані вимоги не застосовуються, однак вони не охоплюють діяльність медичних лабораторій.
На сьогодні недотримання вказаних вище вимог щодо повідомлення є поширеним серед володільців персональних даних. Попри це,інформація з публічного реєстру повідомлень про обробку чутливих персональних даних підтверджує, що значна кількість компаній, які займаються медичною практикою (у тому числі медичні лабораторії), повідомили Уповноваженому про обробку чутливих даних у встановленому порядку. Таке повідомлення, із-поміж іншого, передбачає розкриття володільцем відомостей про третіх осіб, яким він передає персональні дані, транскордонні передачі чутливих персональних даних, а також організаційні та технічні заходи, вжиті володільцем для захисту таких даних.
Надання інформації суб’єкту персональних даних про обробку
Закон визначає перелік інформації, яку володілець зобов’язаний повідомити суб’єкту персональних даних. Мінімальний перелік такої інформації включає
- відомості про володільця персональних даних
- мету обробки персональних даних
- склад персональних даних
- права суб’єкта персональних даних та третіх осіб, яким передаються персональні дані
З урахуванням наведеного медичні лабораторії, як правило, вказують інформацію про обробку персональних даних в договорі про надання медичних послуг чи додатках до нього, які розміщуються на веб-сайті лабораторії (такий підхід насамперед стосується пацієнтів, які оформлюють онлайн-замовлення послуги з лабораторної діагностики). В окремих випадках лабораторії можуть додати в договір з пацієнтом посилання на політики, які регулюють обробку персональних даних,без включення таких положень в текст договору. Такий підхід не лише вимагає додаткових зусиль з боку пацієнта, але може спричинити ситуацію, коли посилання на політики є неактивним чи неактуальним і пацієнт не в змозі ознайомитися із відповідними документами. Через це може постати питання дотримання медичною лабораторією своїх обов’язків щодо надання суб’єкту персональних даних інформації про обробку.
Крім можливих проблем, пов’язаних з неповідомленням обов’язкової інформації про обробку персональних даних, можуть виникати ситуації, коли надана інформація є неповною (недостатньою)в розумінні Закону. Так, поширеним є включення в повідомлення про обробку персональних даних положень, згідно з якимиперсональні дані можуть передаватися будь-яким третім особам. При цьому не зазначається перелік чи категорії таких третіх осіб. Попри те, що описаний підхід покликаний охопити всі поточні та майбутні передачі персональних даних, його наслідком може бути обґрунтоване заперечення з боку пацієнта проти тих чи інших передач даних, які здійснює володілець (наприклад, коли повідомлення про обробку персональних даних не містить жодної інформації про третю особу, якій володілець фактично передає дані пацієнта).
Захист персональних даних
Законом передбачено загальний обов’язок усіх осіб, які беруть участь в обробці персональних даних, забезпечити їхній захист від
- незаконного доступу,
- випадкових втрати або знищення,
- незаконної обробки, у тому числі незаконного знищення.
Пов’язаною вимогою є обов’язок отримати від працівників зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали (їм) відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Слід зазначити, що Уповноважений окремо наголошує на важливості останньої вимоги та поширеності випадків її порушення. Ймовірно, це пояснюється роллю людського фактора в інцидентах з персональними даними.
Медичні лабораторії як володільці персональних даних зобов’язані вживати заходів для захисту персональних даних. Крім тих, які визначені Законом як обов’язкові, обрання конкретних заходів (технічних та організаційних) залишається на вибір лабораторій з урахуванням наявних у лабораторії фінансових та людських ресурсів та найкращих практик у цій сфері.
Водночас, існує усталена думка, що до пріоритетів, пов’язаних із захистом персональних даних, доцільно включити заходи, спрямовані на запобігання інцидентам з персональними даними – витокам та іншим втратам. Такі заходи можуть включати розробку внутрішніх політик із метою запобігання інцидентам та реагування на них, створення внутрішньої команди з реагування на інциденти та проведення тренінгів персоналу, проведення оцінки вразливості ІТ-інфраструктури та готовності компанії до інцидентів тощо.
Пріоритетність таких заходів, зокрема для медичних лабораторій, підтверджується недавнім інцидентом, пов’язаним з масовим витоком даних пацієнтів лабораторії LifeLabs у Канаді. Проведена після інциденту офіційна перевірка встановила, що причинами витоку були відсутність належної політики обробки даних та розумних заходів для їхнього захисту. Незважаючи на подальшу роботу LifeLabs над вдосконаленням власної ІТ-інфраструктури, витік даних завдав компанії значної репутаційної шкоди та став підставою для позову потерпілих пацієнтів компанії на загальну суму понад мільярд доларів.
Описані у цій статті вимоги є базовими для належних обробки, передачі та захисту чутливих персональних даних. При цьому важливою залишається ініціативність компанії (медичної лабораторії), яка обробляє персональні дані, у намаганні досягти належного рівня захисту таких даних відповідно до ринкових практик та стандартів. Причиною для такої ініціативності повинна слугувати можливість таким чином мінімізувати ризики, пов’язані з обробкою даних, та закріпити репутацію компанії, яка цінує довіру осіб, які передали їй персональні дані. Додатковим каталізатором впровадження комплаєнс-заходів може також стати прийняття нової редакції профільного закону, котрий упроваджує сумісні з GDPR вимоги до обробки персональних даних та встановлює суттєві санкції за невиконання законодавчих вимог. До впровадження нових законодавчих вимог компанії повинні керуватися тим, що досягнення належного рівня захисту даних у будь-якому випадку відповідає інтересам не лише компанії, а й її клієнтів.\
Антон Полікарпов, радник AVELLUM
Наталія Чоп, юрист AVELLUM
Опубліковано 04.07.2021