ЗАЩИТА НА ПЕРСОНАЛНИТЕ ДАННИ В ПРОЦЕСА
НА ВНЕДРЯВАНЕ НА ЕЛЕКТРОННО ЗДРАВЕОПАЗВАНЕ



Навлизането на информационните технологии в здравеопазването несъмнено ще облекчи и ускори процеса на обмен на данни в дейността на лечебните заведения, здравните заведения по Закона за здравето /ЗЗ/ и Закона за лекарствата и аптеките в хуманната медицина, в отношенията им с държавните и общински органи и институции, натоварени с организацията, управлението и контрола на тази дейност, и в отношенията им с НЗОК, респ. РЗОК. Същевременно въвеждането в здравеопазването на съхранение и трансфериране по електронен път на регистри, здравни досиета, епикризи и др., съдържащи лични данни на гражданите и преди всичко данни, съставляващи здравна информация, поставя на дневен ред проблема за осигуряване на адекватна защита на тази информация. Законът за здравето в чл.27, ал.1 дава легална дефиниция на здравна информация – това са личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация. По естеството си това е информация, която засяга най-деликатната част от личната сфера на гражданите, и същевременно е с изключителна значимост, тъй като се отнася до най-важното – човешкото здраве. В този смисъл неоторизираният достъп, разгласяването или промяна на тази информация и всяка незаконна обработка биха накърнили сериозно личната сфера, социалния живот на гражданите, а в някои случаи неоторизираната промяна или унищожаване на такива данни могат да застрашат и човешки живот.
С оглед изключителната значимост на тази информация и поверителността й, тя е обект на законова защита, както в ЗЗ и в други нормативни актове, регулиращи сферата на здравеопазването, така и в специалния Закон за защита на личните данни /ЗЗЛД/, чиято цел е да гарантира неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. По смисъла на чл.2, ал.1 от ЗЗЛД лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност. Чл.5, ал.1 ЗЗЛД забранява обработването на определени по естеството си лични данни, сред които данни, отнасящи се до здравето, сексуалния живот или до човешкия геном, като тази забрана не се прилага, когато обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна. Администратор на лични данни съгласно чл.3 от ЗЗЛД, е физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който обработва лични данни, като видът на обработваните данни, целите и средствата за обработване са определени със закон. Съгласно тази дефиниция участниците в системата на здравеопазването с оглед обработваната от тях здравна информация и др. лични данни на гражданите се явяват администратори на лични данни по смисъла на чл.3 от ЗЗЛД.
Такива са лечебните и здравните заведения, регионалните центрове по здравеопазване, регионалните инспекции за контрол и опазване на общественото здраве, лекарите, лекарите по дентална медицина, фармацевтите и другите медицински специалисти, както и немедицинските специалисти с висше немедицинско образование, работещи в националната система за здравеопазване, които съгласно чл.27 от ЗЗ събират, обработват, използват и съхраняват здравна информация, като формите и съдържанието, както и условията и редът за обработване, използване и съхраняване на медицинската документация и за обмен на медико-статистическа информация се определят с наредби на министъра на здравеопазването. Обработване и трансфер на здравна информация и др. лични данни на гражданите, се извършват от лечебните и здравни заведения, както в процеса на осъществяваната от тях дейност по опазване и профилактика на здравето на гражданите, така и в качеството им на изпълнители на медицинска, респ. стоматологична помощ, предоставяна на здравноосигурени лица, в изпълнение на задълженията им по Националния рамков договор /НРД/ с Националната здравноосигурителна каса /НЗОК/, респ. договорите с регионалните здравноосигурителни каси /РЗОК/. Във връзка с изграждането на информационна система съгласно чл.63 от Закона за здравното осигуряване /ЗОЗ/ от НЗОК и задълженията на изпълнителите на медицинска помощ да дават на РЗОК информация за извършената от тях дейност, в НРД за всяка година между НЗОК и съсловните организации на лекарите и стоматолозите подробно се уреждат документацията и документооборотът и задълженията на страните по информационното осигуряване и обмена на информация. Самата НЗОК води регистри, един от които на осигурените лица, включващ: паспортни данни; уникален идентификационен номер; основанието за осигуряване; заплатените вноски, което я определя също като регистратор на лични данни по смисъла на чл.3 от ЗЗЛД.
Всички участници в системата на здравеопазването по повод обработването на здравна информация и други лични данни на гражданите имат задължения за опазването, неразгласяването и защитата на тази информация от неоторизиран достъп, както съгласно законите, регулиращи дейността им, така и съгласно специалния Закон за защита на личните данни.
Така чл.28 от ЗЗ изчерпателно изброява случаите, в които здравна информация може да бъде предоставяна на трети лица, а именно, когато:
1. лечението на лицето продължава в друго лечебно заведение;
2. съществува заплаха за здравето или живота на други лица;
3. е необходима при идентификация на човешки труп или за установяване на причините за смъртта;
4. е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
5. е необходима за нуждите на медицинската експертиза и общественото осигуряване;
6. е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени;
7. е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, РЦЗ, РИОКОЗ и Националния статистически институт.
Алинея 3 на чл.28 задължава така посочените здравни и лечебни заведения, лекари, и другите медицински и немедицински специалисти в националната система за здравеопазване, които събират, обработват, използват и съхраняват здравна информация, да осигурят защита на съхраняваната от тях здравна информация от неправомерен достъп.
Подобни задължения има и НЗОК във връзка с обработването на лични данни на осигурените лица - обект на законова защита. Чл.68 ЗЗО изчерпателно и изрично определя и тук случаите и целите, за които могат да се използват тези данни, а именно за:
1. установяване на осигурителното отношение с НЗОК;
2. разплащане с изпълнител на медицинска помощ;
3. изготвяне на здравноосигурителна книжка, медицински или финансов документ;
4. установяване на суми, подлежащи на събиране или възстановяване на платеца на вноските или на изпълнителя на медицинска помощ;
5. установяване на нанесени вреди на осигурения по време на оказване на медицинска помощ;
6. упражняване на финансов контрол.
Извън така изброените случаи, НЗОК може да предостави данни на държавни органи за личността на осигурено лице, ако това е предвидено със закон. Служителите на централното управление на НЗОК или на РЗОК нямат право да разпространяват данни, свързани с личността на осигурено лице, освен в случаите, предвидени със закон.

Наред с изискванията в законите и нормативни актове, регулиращи дейността на участниците в системата на здравеопазването, последните следва да познават добре и да спазват изискванията и на специалния ЗЗЛД, които изисквания придобиват особено значение в условията на едно електронно здравеопазване. В качеството си на администратори на лични данни, участниците в тази система подлежат на регистрация в Комисията за защита на личните данни. По чл.17 ЗЗЛД тази регистрация е задължителна, когато се обработват лични данни, отнасящи се до здравето, сексуалния живот или до човешкия геном, а също така отделно основание за регистрация е поддържането на регистър, съдържащ данни за не по-малко от 100 физически лица, какъвто регистър поддържа например всеки общопрактикуващ лекар.
Задълженията на администраторите на лични данни съгласно ЗЗЛД могат да се обобщят в две групи:
Първата група, на която няма да се спирам, са задълженията на администратора за предоставяне на информация и осигуряване достъп и контрол на физическите лица, чиито лични данни се обработват.
Ще обърна внимание на втората група задължения на администраторите на лични данни, която е свързана с осигуряване на защита на обработваните данни от унищожаване, загуба, неоторизиран достъп, разпространение и промени в тях. Съгласно чл.24 ЗЗЛД администраторът може да обработва данните сам или чрез възлагане на обработващ данните, може и на повече от един обработващ, като в тези случаи администраторът е длъжен да определи обработващия данните и да осигури достатъчни гаранции за тяхната защита. За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него. Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.

Особено значение в условията на електронно здравеопазване придобиват изискванията на чл.23 ЗЗЛД към администратора на лични данни - да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път. Техническите и организационни мерки и конкретно мерките при предаване на данните по електронен път трябва да са съобразени със съвременните технологични постижения и да осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. Това изискване следва да се подчертае с оглед казаното за естеството на здравната информация, като информация, засягаща най-интимната част от личната сфера на гражданите, и същевременно като информация от изключително важно значение, тъй като касае човешкото здраве. Случайното или незаконно унищожаване или загуба на тази информация, както и неоторизирания достъп и промени в нея в процеса на трансфера й по електронен път пораждат огромни рискове за гражданите най-напред, от гледна точка на опазване на здравето им и провеждане на адекватно лечение. Загубата, унищожаването или неоторизираната промяна на важни медицински данни за лицето, като например данни от здравното му досие, от епикризи, медико-диагностични данни от изследвания и т.н., при преноса им по електронен път, може да създаде сериозни проблеми и да затрудни адекватното му лечение, а в някои случаи да се стигне и до фатален изход. Последиците от неоторизирания достъп и разпространение на такава информация за лицата – за заболяванията им и за техни здравословни проблеми или лечения, на които са подлагани, е не само грубо нарушаване на личната сфера на лицето, но може да се отрази и върху социалния му статус. Така че, естеството на информацията и огромните рискове изискват и съответни мерки, осигуряващи най-високо ниво на защита при електронното съхранение и трансфериране на тази информация.
От изключително значение е при разработването на информационните системи, които ще обслужват електронното здравеопазване, същите да бъдат съобразени с международно приетите технологични стандарти за обмен на информация от сектора на здравеопазването. Ако България не следва този принцип, средствата които ще бъдат изхрачени за електронно здравеопазване и за разработване и внедряване на технологични решения и информационни системи, ще бъдат значително повече, защото ако се стъпи върху погрешна платформа и стандарти, след приемане на страната ни в ЕС, системите ще следва да бъдат преработени, т.е. ще се плати от държавата двойно за едно и също нещо. Поради тази причина при формирането на заданията за разработването и внедряването на такива системи следва да се държи сметка за тези проблеми. Проблемите имат не само технологични и финансови изражения, но и правни, тъй като технологичните изисквания за разработването на системи в отделните сектори на държавната администрация вече се скрепват с нормативна сила чрез приемането на съответни нормативни актове.
Към настоящия момент и в Европейския съюз /ЕС/, и извън него, са ангажирани множество стандартизиращи организации за създаването на такива стандарти, чиято цел е да се осъществи операционна съвместимост на системите, от една страна, и от друга -да се осигури високо ниво на защита и сигурност на информационните потоци. Съгласно Стратегическия план за електронно здравеопазване (eHealth Strategic Plan) Европейската комисия предвижда, че стандартите за операционна съвместимост на информационните системи, работещи с информация от сектора на здравеопазване, следва да бъдат установени до края на 2006 г. Все още, обаче, такива няма установени, но е твърде вероятно да бъдат базирани върху стандарта XML. В много държави понастоящем се използва общият XML стандарт за формализирано описание на различни данни в сферата на здравеопазването - от здравни администрации, болнични заведения и др. за нуждите на управление на административните процеси, билинг, осигуряване съхранението на информация, изпращане на съобщения и др. Самият стандарт XML, обаче, също не е напълно установен, а за нуждите на здравеопазването се налагат и допълнителни надстройки, което наложи в ЕС организации, като CEN/ISSS – Европейският комитет по стандартизация да определи през 2005 г. специална група - eHealth Standardization Focus Group (Група по стандартите в електронното здравеопазване), която да работи по стандартите в областта на здравеопазването. Групата препоръча на страните-членки, а с още по-голяма сила това важи и за присъединяващите се държави като България, вместо да разработват национални стандарти, да подпомагат активно групите към Европейският комитет по стандартизация (група CEN/TC 251) и към Международната организация по стандартизация (ISO - група ISO/TC 215).
Освен изложеното, системите в сферата на здравеопазването следва да бъдат съобразени и с общите стандарти и изисквания за междуоперационна съвместимост, които ще бъдат установени за цялата сфера на електронното правителство. В момента, например, тече процес по изменение на Стратегията за електронно правителство, приета с РМС № 866/29.12.02 г., като същата ще бъде допълнена с приемането на Българска национална рамка за междуоперационна съвместимост, която ще бъде последвана от приемането на няколко наредби от Министъра на държавната администрация и административната реформа по отношение на регулирането на регистъра на стандартите, регистъра на обектите и регистъра на административните услуги. По този начин ще бъде проведена със съответни нормативни актове основната архитектура на електронното правителство. Същите ще бъдат последвани и от наредби за сигурността на информацията, политики за уеб-интерфейси за обмен на информацията с гражданите (за установяване на възможност за ползване на услуги от публичната сфера от хора с увреждания на зрението, далтонисти и др.), политики за сигурност и т.н. Системите, които ще бъдат използвани за електронно здравеопазване, следва да бъдат съобразени и с тези нормативно установени за цялата държавна администрация изисквания и стандарти, тъй като в противен случай системата на здравеопазването ще остане изолиран остров от останалите обществени сфери и ще се попречи на обмена на информация, в случаите, когато това е допустимо.
Изборът на технологични решения и информационни системи в здравеопазването, достатъчно адекватни и надеждни от гледна точка обезпечаване на най-високо ниво на сигурност и защита на здравната информация от неоторизиран достъп, унищожаване или промени в нея и всяка друга незаконна обработка, е от изключително значение за нормалното функциониране на системата. Подценяването на този важен въпрос би довело до неблагоприятни последици за гражданите, чиито законни права и интереси могат да бъдат сериозно накърнени, а това ще рефлектира и върху самите участници в системата на здравеопазването, които в качеството си на администратори на лични данни носят отговорност за евентуално причинените вреди. Проблемите имат, освен чисто правни, и морални аспекти, каквито са разколебаването на доверието между лекар и пациент и като цяло - доверието на обществото в тази най-важна сфера от социалния живот – здравеопазването.