Правове регулювання захисту персональних даних у сфері охорони здоров'я

Abstract

У дисертації здійснено теоретичне узагальнення й вирішення наукового завдання, що полягає у визначенні сутності та особливостей правового регулювання захисту персональних даних у сфері охорони здоров’я. Встановлено, що інформатизація та цифровізація сфери охорони здоров’я зумовила виникнення проблеми безпеки персональної інформації пацієнтів. В умовах цифрової трансформації сфери охорони здоров’я випадки несанкціонованого втручання в особисте життя осіб та неправомірного поширення і використання їх медичних даних набувають загрозливого та масштабного характеру. Важливість проблеми захисту персональних даних зумовили її дослідження представниками різних юридичних наук, однак питанням правового регулювання захисту персональних даних у сфері охорони здоров’я увага на рівні фундаментальних правових досліджень не приділялася. З’ясовано, що поняття "персональні дані" та сфера охорони здоров’я підпадають під правовий вплив різних галузей права. Персональні дані у сфері охорони здоров’я визначено як конфіденційну інформація про медичне обслуговування особи, яка дозволяє її ідентифікувати та дізнатися відомості щодо її стану здоров’я. До істотних ознак персональних даних у сфері охорони здоров’я віднесено такі: 1) конфіденційна інформація; 2) стосується фізичної особи; 3) містить інформацію про медичне обслуговування особи та відомості про її стан здоров’я; 4) фізична особа є ідентифікованою. До конфіденційної інформації про медичне обслуговування особи відносено: інформацію про фізичну особу, зібрану під час реєстрації на надання медичних послуг або надання медичних послуг; номер, символьний знак або опис, що приписують фізичній особі для того, щоб ідентифікувати фізичну особу для цілей охорони здоров’я; інформацію, отриману внаслідок дослідження або огляду частини тіла чи речовини, що міститься в тілі, у тому числі з генетичних даних або біологічних проб; будь-яку медичну інформацію (про медичні обстеження, про захворювання, про лікувальні заходи, про прогноз розвитку захворювання, про недієздатність, про ризик захворювання, про історію хвороби, про фізіологічний чи біомедичний стан здоров’я особи, про діагнози та будь-які документи, що стосуються здоров’я та обмеження повсякденного функціонування/життєдіяльності людини). Зазначено, що така інформація викладається у формалізованому вигляді, що забезпечує можливість обробки персональних даних у сфері охорони здоров’я в інформаційних системах. Обґрунтовано, що інститут захисту персональних даних у сфері охорони здоров’я доцільно розглядати як: право на невтручання в особисте життя, а саме право на конфіденційну інформацію про медичне обслуговування особи та відомості щодо її стану здоров’я; комплексний правовий інститут – сукупність правових норм різної галузевої належності, які регулюють суспільні відносини, пов’язані із захистом і обробкою персональних даних у сфері охорони здоров’я; напрям діяльності – комплекс заходів, спрямованих на забезпечення конфіденційності персональних даних у сфері охорони здоров’я. Запропоновано під захистом персональних даних у сфері охорони здоров’я розуміти сукупність заходів, спрямованих на гарантування безпеки конфіденційної інформації про медичне обслуговування особи та відомостей щодо її стану здоров’я. Періодизацію становлення інституту захисту персональних даних у сфері охорони здоров’я виокремлено за такими етапами розвитку: 1) 1991-2009 рр. – відсутність належного правового регулювання захисту персональних даних у сфері охорони здоров’я; 2) 2010-2014 рр. – запровадження інституту захисту персональних даних у сфері охорони здоров’я; 3) 2015 – дотепер – удосконалення інституту захисту персональних даних у сфері охорони здоров’я. Аргументовано, що наявність значної кількості різних нормативно-правових актів щодо захисту персональних даних у сфері охорони здоров’я дає підстави для класифікації їх за предметом правового регулювання на загальні та спеціальні акти. До загальних нормативних актів щодо захисту персональних даних у сфері охорони здоров’я відносено нормативні акти, які регулюють як питання захисту персональних даних, так і інші суспільні відносини. До спеціальних нормативних актів щодо захисту персональних даних у сфері охорони здоров’я відносено нормативні акти, які регулюють захист персональних даних у сфері охорони здоров’я. Зроблено висновок, що обробка персональних даних у сфері охорони здоров’я здійснюється за умови надання пацієнтом однозначної згоди на обробку таких даних або на підставі закону. Обробка персональних даних у сфері охорони здоров’я без згоди пацієнта здійснюється: 1) коли медичні відомості необхідні в цілях охорони здоров’я (встановлення медичного діагнозу, забезпечення піклування чи лікування або надання медичних послуг, моніторинг відповідності встановленим умовам надання таких послуг функціонування електронної системи охорони здоров’я; контроль якості надання медичних послуг; обмін інформацією про фінансування медичних послуг та послуг у сфері охорони здоров’я); 2) для захисту життєво важливих інтересів суб’єкта персональних даних. Обробляти персональні дані без згоди пацієнта можна до часу, коли отримання згоди стане можливим. Обмеження щодо обробки персональних даних у сфері охорони здоров’я може здійснюватися у випадках, передбачених законом, наскільки це необхідно у демократичному суспільстві в інтересах національної безпеки, економічного добробуту або захисту прав і свобод суб’єктів персональних даних чи інших осіб. Під суб’єктами забезпечення захисту персональних даних у сфері охорони здоров’я запропоновано розуміти фізичних та юридичних осіб, які зобов’язані забезпечити захист персональних даних у сфері охорони здоров’я від неправомірного збирання, зберігання, використання, знищення, поширення та доступу до медичних даних. До суб’єктів забезпечення захисту персональних даних у сфері охорони здоров’я віднесено: 1) володільців персональних даних у сфері охорони здоров’я – органи публічної влади (Міністерство охорони здоров’я України та Національна служби здоров’я України) та суб’єкти господарювання приватної форми власності, діяльність яких пов’язана з медичним обслуговуванням; 2) розпорядників персональних даних у сфері охорони здоров’я – органи публічної влади та їх посадові особи, співробітники закладів охорони здоров’я публічної форми власності, суб’єкти господарювання приватної форми власності, діяльність яких пов’язана з медичним обслуговуванням, а також медичні працівники, співробітники медичного закладу, працівники, відповідальні за захист персональних даних у лікаря-підприємця; 3) третіх осіб персональних даних у сфері охорони здоров’я – органи публічної влади та суб’єкти господарювання будь-якої форми власності, діяльність яких пов’язана з медичним обслуговуванням; 4) Уповноваженого Верховної Ради України з прав людини. Правові засоби захисту персональних даних у сфері охорони здоров’я визначено як заходи компетентних суб’єктів, які спрямовані на запобігання, припинення правопорушення у сфері захисту медичних даних, відновлення порушеного права чи компенсацію заподіяної правопорушенням шкоди. Серед таких заходів виокремлено превентивні, припиняючі та відновлючі, а також охарактеризовано особливості їх застосування. Наголошено, що превентивні заходи спрямовані на запобігання порушенням законодавства про захист персональних даних у сфері охорони здоров’я, припиняючі – на усунення та припинення порушення законодавства про захист персональних даних, відновлювальні – на відновлення порушеного права, усунення перешкод в його реалізації та загрози порушення суб’єктивних прав протиправними діями. Зроблено висновок, що превентивні та припиняючі заходи уповноважені застосовувати володільці, розпорядники, треті особи та Уповноважений Верховної Ради України з прав людини, а відновлючі заходи, крім цих суб’єктів, має право застосовувати також суд. Встановлено, що у міжнародному та європейському правопорядку право на захист персональних даних є основоположним правом на рівні з правом на приватне життя. Запропоновано міжнародні стандарти правового регулювання захисту персональних даних у сфері охорони здоров’я класифікувати на міжнародні акти загального характеру, які регулюють захист персональних даних у сфері охорони здоров’я опосередковано, та міжнародні документи, які безпосередньо стосуються захисту персональних даних у сфері охорони здоров’я. Зазначено, що міжнародні стандарти сприяють формуванню ефективного національного законодавства про захист персональних даних та охорону здоров’я. Європейські стандарти правового регулювання захисту персональних даних у сфері охорони здоров’я характеризуються значним масивом нормативних актів Ради Європи та Європейського Союзу, а також судовою практикою Європейського суду з прав людини. Європейські стандарти правового регулювання захисту персональних даних у сфері охорони здоров’я мають фундаментальне значення для України щодо виконання зобов’язання про приведення національного законодавства у відповідність до європейського законодавства. Наголошено, що забезпечення належного рівня захисту персональних даних у сфері охорони здоров’я відповідно до міжнародних та європейських стандартів є одним пріоритетних завдань України. Констатовано, що сучасний стан законодавства характеризуються неузгодженістю та протиріччям і не в повній мірі забезпечує захист персональних даних у сфері охорони здоров’я в Україні. До напрямів вдосконалення правового регулювання захисту персональних даних у сфері охорони здоров’я в Україні, віднесено такі: 1) прийняття нового Закону України "Про захист персональних даних", який буде спрямований на регулювання суспільних відносин, пов’язаних із захистом персональних даних загалом, так і захисту персональних даних в конкретних сферах суспільних відносин, у тому числі у сфері охорони здоров’я; 2) упорядкування законодавства про охорону здоров’я із законодавством про захист персональних даних; 3) створення нового спеціального незалежного від інших органів публічної влади контролюючого органу за додержанням законодавства про захист персональних даних; 4) реформування інституту юридичної відповідальності за порушення законодавства про захист персональних даних; 5) належна регламентація відносин, пов’язаних із безпекою та конфіденційністю персональних даних у сфері охорони здоров’я; 6) приведення законодавства про захист персональних даних та охорону здоров’я у відповідність до міжнародних та європейських стандартів. Обґрунтовано, що новий Закон України "Про захист персональних даних" повинен містити окремий розділ "Захист персональних даних у сфері охорони здоров’я", у якому необхідно передбачити чітке розуміння поняття "медичні дані", співвідношення законодавства про захист персональних даних та охорону здоров’я, цілі обробки медичних даних, підстави та вимоги до обробки медичних даних, порядок та умови надання згоди пацієнта на обробку його медичних даних, особливості функціонування електронної системи охорони здоров’я, права пацієнта як суб’єкта медичних даних, обов’язки суб’єктів господарювання у сфері медичного обслуговування як володільців (контролерів) та розпорядників (операторів) медичних даних, вимоги до порядку обробки медичних даних як внутрішнього документа суб’єктів господарювання у сфері медичного обслуговування, вимоги до суб’єктів інформаційного забезпечення системи охорони здоров’я, порядок та умови доступу до медичних даних третіх осіб, особливості передачі медичних даних на територію іноземної держави або міжнародній організації, правила конфіденційності щодо медичних даних, особливості контролю за дотриманням законності при обробці медичної інформації, особливості зберігання медичних даних, гарантії безпеки медичних даних.

In the dissertation, a theoretical generalization and solution of the scientific task is carried out, which consists in determining the essence and features of the legal regulation of personal data protection in the field of health care. It was established that the informatization and digitization of the health care sector caused the problem of the security of personal information of patients. In the conditions of the digital transformation of the health care sector, cases of unauthorized interference in the private life of individuals and the illegal distribution and use of their medical data are becoming threatening and large-scale. The importance of the problem of personal data protection was determined by its research by representatives of various legal sciences, but the legal regulation of personal data protection in the field of health care was not given attention at the level of fundamental legal research. It was found that the concept of "personal data" and the field of health care are under the legal influence of various branches of law. Personal data in the field of health care is defined as confidential information about the medical care of a person that allows him to be identified and to learn information about his health. The essential features of personal data in the field of health care include the following: 1) confidential information; 2) concerns a natural person; 3) contains information about a person's medical care and information about his state of health; 4) the natural person is identified. Confidential information about a person's medical care includes: information about a natural person collected during registration for the provision of medical services or the provision of medical services; a number, symbol or description attributed to an individual in order to identify the individual for health care purposes; information obtained as a result of research or examination of a part of the body or a substance contained in the body, including from genetic data or biological samples; any medical information (about medical examinations, about diseases, about medical measures, about the prognosis of the development of the disease, about incapacity, about the risk of disease, about the medical history, about the physiological or biomedical state of health of the person, about diagnoses and any documents, related to health and limitation of daily functioning/life activities of a person). It is noted that such information is presented in a formalized form, which provides the possibility of processing personal data in the field of health care in information systems. It is justified that the institution of personal data protection in the field of health care should be considered as: the right to non-interference in personal life, namely the right to confidential information about a person's medical care and information about his state of health; complex legal institution – a set of legal norms of different branches that regulate social relations related to the protection and processing of personal data in the field of health care; the field of activity is a set of measures aimed at ensuring the confidentiality of personal data in the field of health care. It is suggested that the protection of personal data in the field of health care should be understood as a set of measures aimed at guaranteeing the safety of confidential information about a person's medical care and information about his state of health. The periodization of the establishment of the institute for the protection of personal data in the field of health care is distinguished according to the following stages of development: 1) 1991-2009 – lack of proper legal regulation of personal data protection in the field of health care; 2) 2010-2014 – introduction of the institute for the protection of personal data in the field of health care; 3) 2015 – until now – improvement of the institute for the protection of personal data in the field of health care. It is argued that the presence of a significant number of different normative legal acts on the protection of personal data in the field of health care provides grounds for classifying them according to the subject of legal regulation into general and special acts. The general regulations on the protection of personal data in the field of health care include regulations that regulate both the issue of personal data protection and other public relations. Special normative acts on the protection of personal data in the field of health care include normative acts that regulate the protection of personal data in the field of health care. It was concluded that the processing of personal data in the field of health care is carried out on the condition that the patient gives unambiguous consent to the processing of such data or based on the law. Processing of personal data in the field of health care without the patient's consent is carried out: 1) when medical information is necessary for the purposes of health care (establishing a medical diagnosis, providing care or treatment or providing medical services, monitoring compliance with the established conditions for the provision of such services, the functioning of the electronic system health care; quality control of the provision of medical services; exchange of information on the financing of medical services and services in the field of health care); 2) to protect the vital interests of the subject of personal data. It is possible to process personal data without the patient's consent until such time as consent becomes possible. Restrictions on the processing of personal data in the field of health care may be implemented in cases provided for by law, as far as it is necessary in a democratic society in the interests of national security, economic well-being or protection of the rights and freedoms of the subjects of personal data or other persons. Subjects of protection of personal data in the field of health care are proposed to be understood as natural and legal entities that are obliged to ensure the protection of personal data in the field of health care from unlawful collection, storage, use, destruction, dissemination and access to medical data Subjects of personal data protection in the field of health care include: 1) owners of personal data in the field of health care – public authorities (the Ministry of Health of Ukraine and the National Health Service of Ukraine) and subjects management of a private form of ownership, the activities of which are related to medical care; 2) administrators of personal data in the field of health care – public authorities and their officials, employees of publicly owned health care institutions, private business entities whose activities are related to medical care, as well as medical employees, employees of a medical institution, employees responsible for the protection of personal data of a doctor-entrepreneur; 3) personal data of third parties in the field of health care – public authorities and business entities of any form of ownership, whose activities are related to medical care; 4) Human Rights Commissioner of the Verkhovna Rada of Ukraine. Legal means of protection of personal data in the field of health care are defined as measures taken by competent entities aimed at preventing, stopping an offense in the field of medical data protection, restoring the violated right or compensating for the damage caused by the offense. It is emphasized that preventive measures are aimed at preventing violations of the legislation on the protection of personal data in the field of health care, preventive measures – at the elimination and termination of violations of the legislation on the protection of personal data, restorative measures – at the restoration of the violated right, the elimination of obstacles to its implementation and the threat of violation of sub objective rights by illegal actions. Among such measures, preventive, stopping and restorative ones are singled out, and the peculiarities of their application are also characterized. It was concluded that owners, administrators, third parties and the Commissioner of the Verkhovna Rada of Ukraine for human rights are authorized to apply preventive and termination measures, and restorative measures, in addition to these subjects, can also be applied by the court. It has been established that in the international and European legal order, the right to the protection of personal data is a fundamental right on a par with the right to privacy. It is proposed to classify the international legal standards for the protection of personal data in the field of health care into international acts of a general nature, which indirectly regulate the protection of personal data in the field of health care, and international documents that directly relate to the protection of personal data in the field of health care. It is noted that international standards contribute to the formation of effective national legislation on personal data protection and health care. European standards of legal regulation of personal data protection in the field of health care are characterized by a significant array of normative acts of the Council of Europe and the European Union, as well as the judicial practice of the European Court of Human Rights. European standards of legal regulation of personal data protection in the field of health care are of fundamental importance for Ukraine in terms of fulfilling the obligation to bring national legislation into line with European legislation. It was emphasized that ensuring an adequate level of protection of personal data in the field of health care in accordance with international and European standards is one of Ukraine's priority tasks. It was established that the current state of legislation is characterized by inconsistencies and contradictions and does not fully ensure the protection of personal data in the field of health care in Ukraine. The directions for improving the legal regulation of personal data protection in the field of health care in Ukraine include the following: 1) adoption of the new Law of Ukraine "On the Protection of Personal Data", which will be aimed at regulating social relations related to the protection of personal data in general, as well as the protection of personal data in specific spheres of public relations, including in the sphere of health care; 2) harmonization of the legislation on health protection with the legislation on the protection of personal data; 3) creation of a new special supervisory body independent of other public authorities for compliance with the legislation on the protection of personal data; 4) reforming the institution of legal responsibility for violation of the legislation on the protection of personal data; 5) proper regulation of relations related to the security and confidentiality of personal data in the field of health care; 6) bringing the legislation on personal data protection and health protection into compliance with international and European standards. It is justified that the new Law of Ukraine «On the protection of personal data» should contain a separate section "Protection of personal data in the field of health care", in which it is necessary to provide a clear understanding of the concept of "medical data", the relationship between the legislation on the protection of personal data and health care I, the purposes of processing medical data, the grounds and requirements for processing medical data, the procedure and conditions for granting the patient's consent to the processing of his medical data, the features of the functioning of the electronic health care system, the rights of the patient as a subject of medical data, the obligations of the subject economic entities in the field of medical services as owners (controllers) and administrators (operators) of medical data, requirements for the procedure for processing medical data as an internal document of economic entities in the field of medical services, requirements for subjects of information provision of the health care system, procedure and conditions of access to medical data of third parties, features of transfer of medical data to the territory of a foreign state or international organization, rules of confidentiality regarding medical data, features of monitoring compliance with the legality of medical information processing, features of storage of medical data, guarantees of security of medical data.