Обробка медичних персональних даних. Що треба знати медичним закладам?

Медичні дані під прицілом GDPR: екскурс у вже знайоме

У попередній статті ми детально розібрали анатомію медичних датасетів і з’ясували, що під поняттям “дані, що стосуються здоров’я” GDPR розуміє набагато більше, ніж просто діагнози та результати аналізів. Від ідентифікаційної інформації до генетичних маркерів, від технічних метаданих до способу життя — усе це формує складний багатошаровий масив інформації, що потребує особливого захисту.

Тепер, коли ми знаємо, з чим маємо справу, настав час розібратися з головним питанням: як організувати обробку цих даних так, щоб не порушити вимоги GDPR? 

Українська клініка під GDPR: як це можливо?

Одна з найпоширеніших помилок медичних закладів — вважати, що GDPR застосовується лише до організацій, зареєстрованих у межах ЄС. Насправді дія Регламенту набагато ширша й може поширюватися навіть на невеликі клініки чи дослідницькі центри в Україні.

Згідно з територіальним принципом GDPR, він стосується також організацій поза межами ЄС, якщо вони пропонують товари чи послуги пацієнтам з ЄС, або здійснюють моніторинг поведінки осіб, які перебувають у ЄС.

На практиці це означає:

• стоматологічна клініка у Львові рекламує свої послуги для пацієнтів у Польщі чи Німеччині — підпадає під дію GDPR;
• онлайн-платформа психологів проводить консультації для українців, що мешкають у ЄС — також під дією GDPR;
• медичний дослідницький центр аналізує дані обстежень жителів ЄС — обов’язково повинен дотримуватись GDPR.

В таких випадках обов’язковим є призначення представника в ЄС (representative) згідно із вимогами ст. 27 GDPR. Більше того, відповідність стандартам GDPR часто стає умовою для отримання міжнародних грантів, участі у спільних дослідженнях або партнерстві з європейськими клініками.

Фундамент безпечної обробки

Принципи як компас для зусиль

GDPR — це не лише набір суворих правил. Це перш за все філософія обробки персональних даних, яка базується на принципах, закріплених у статті 5. Для медичної сфери ці принципи стають особливо важливими, адже вони стикаються з реаліями діагностики, лікування та довгострокового спостереження за пацієнтами.

У центрі найбільшої уваги — три ключові принципи:

1. Принцип мінімізації даних. З одного боку, лікар повинен зібрати достатньо інформації для постановки точного діагнозу і призначення ефективного лікування. З іншого, він не може збирати дані “про всяк випадок” або через власну цікавість.  Це означає, що не варто запитувати або дізнаватися інформацію від пацієнта, яка не стосується його медичної проблеми. А лабораторні дослідження слід призначати лише за медичними показаннями, а не як “комплексний чекап на всяк випадок”.
2. Точність медичної інформації. Це не лише вимога GDPR, а й питання життя і смерті. Неточні медичні дані можуть призвести до помилкового лікування, небезпечних взаємодій ліків або пропуску важливих симптомів. Тому медичні заклади повинні не лише забезпечити точність на етапі збору інформації, а й створити механізми її регулярної верифікації та оновлення.
3. Обмеження зберігання. Цей принцип стикається з реальністю хронічних захворювань, тривалих спостережень та юридичних вимог до ведення медичної документації. GDPR не означає, що медичну інформацію треба видаляти одразу після лікування. Але він вимагає визначити конкретні терміни зберігання для різних типів даних і дотримуватися їх. Наприклад, результати аналізів можуть зберігатися менший період, ніж інформація про хронічні захворювання, яка може знадобитися для довгострокового спостереження.

Подвійна правова підстава для обробки 

Медичні дані належать до спеціальних категорій персональних даних за GDPR. Це означає, що для їх обробки потрібні дві правові підстави: одна загальна (ст. 6) та одна спеціальна (ст. 9).

Найпоширенішою комбінацією є “згода” за ст. 6(1)(a) плюс “явна згода” за статтею 9(2)(a). Але слід пам’ятати, що така згода дуже часто може не відповідати критеріям, визначеним GDPR. Наприклад, якщо пацієнт звернувся до лікаря з гострим болем, його згода на обстеження навряд чи буде “вільно наданою” у розумінні Регламенту. 

Альтернативою може стати комбінація “життєво важливі інтереси” (стаття 6(1)(d)) із “захист життєво важливих інтересів” (стаття 9(2)(c)) для невідкладних випадків. Або “легітимні інтереси” (стаття 6(1)(f)) із “профілактична медицина” (стаття 9(2)(h)) для планових обстежень.

Важливо розуміти, що кожна операція з медичними даними може потребувати різних правових підстав. Збір анамнезу, проведення аналізів, консультація зі спеціалістом, зберігання результатів — усе це окремі операції, кожна з яких має бути юридично обґрунтована.

Прозорість без секретів: як інформувати пацієнтів

Стаття 13 вимагає надати пацієнту величезний обсяг інформації: від особи контролера до правових підстав, від термінів зберігання до прав суб’єкта даних.

Основна проблема — як подати цю інформацію так, щоб вона була зрозумілою для пацієнта і не відлякувала його від лікування. Довгі юридичні тексти, які пацієнт підписує, не прочитавши, не відповідають духу GDPR. Натомість варто використовувати багаторівневий підхід: короткий зрозумілий опис основних моментів плюс детальна інформація для тих, хто хоче знати більше.

Privacy Notice для медичного закладу має пояснювати не лише юридичні аспекти, а й практичні: чому потрібні ці дані, як вони допомагають у лікуванні, з ким можуть бути поділені та чому. Наприклад, замість сухого “дані можуть передаватися третім сторонам” краще написати: “Ми можемо поділитися вашими результатами аналізів із лікарем-спеціалістом, щоб він надав консультацію щодо вашого лікування”.

Доступ, виправлення, видалення: права за GDPR у медицині

Права пацієнтів за GDPR у медичному контексті мають свої особливості та обмеження, зумовлені специфікою медичної діяльності, наприклад: 

• Право доступу (ст. 15) у медицині не означає, що пацієнт може отримати доступ абсолютно до всієї інформації про себе. Медичні записи можуть містити інформацію про третіх осіб (наприклад, донорів органів), професійні судження лікарів, що не є фактичними даними, або інформацію, розкриття якої може завдати шкоди психічному здоров’ю пацієнта. У таких випадках право доступу може бути обмежене, але рішення має бути обґрунтованим і документованим.
• Право на виправлення медичних записів (ст. 16) — особливо делікатне питання. З одного боку, неточна інформація в медичній картці може бути небезпечною. З іншого — медичні записи часто відображають професійну думку лікаря на момент обстеження, яка може відрізнятися від думки пацієнта. Компроміс може полягати в додаванні до медичної картки коментарів чи уточнень пацієнта, а не в заміні оригінальних записів.
• “Право бути забутим” (ст. 17) у медицині стикається з фундаментальними обмеженнями. Медичні дані часто потрібні для довгострокового спостереження, виявлення спадкових захворювань, епідеміологічних досліджень. Крім того, законодавство багатьох країн встановлює мінімальні терміни зберігання медичної документації. Право на видалення може бути реалізовано лише після закінчення цих термінів і за відсутності інших правових підстав для зберігання.

Аутсорсинг у медицині: як не втратити контроль над даними

Медичні заклади дедалі частіше покладаються на зовнішніх підрядників — ІТ-компанії, які створюють і підтримують програмне забезпечення для ведення медичних записів, лабораторії, що виконують аналізи, чи навіть хмарні сервіси для зберігання результатів обстежень. З точки зору GDPR це означає виникнення відносин «контролер–процесор» або ж «спільні контролери», і саме від того, наскільки чітко врегульовані ці відносини, залежить безпека медичних даних.

Найчастіше слабким місцем стають договори з процесорами: стандартні угоди про співпрацю рідко враховують специфіку обробки даних про здоров’я та не відповідають вимогам статті 28 GDPR. Належним чином укладений договір повинен визначати не лише перелік дозволених операцій із даними, а й конкретні технічні та організаційні заходи безпеки, правила повернення чи видалення інформації після завершення співпраці, а також умови субпроцесингу. Саме останнє питання особливо критичне, адже у сфері медицини часто формуються довгі ланцюжки передачі: від клініки до ІТ-компанії, далі — до хмарного провайдера, а звідти — до компанії, що займається технічним обслуговуванням. Кожна додаткова ланка підвищує ризик витоку або зловживання даними, тому контролер має зберігати можливість контролювати увесь ланцюг.

Окремий виклик становлять лабораторії та інші партнери медичних закладів, які нерідко виступають не процесорами, а спільними чи навіть незалежними контролерами. Лабораторія може використовувати результати аналізів не лише для обслуговування пацієнта, а й для власних досліджень, контролю якості чи звітності перед державними органами. Такі відносини потребують не типової угоди, а чітко прописаного договору про спільне контролерство, що встановлює відповідальність кожної сторони та прозорість перед пацієнтом.

Читайте більше: Data processing agreement: узгодження та менеджмент.

ROPA як рентген вашої організації

Реєстр операцій з обробки персональних даних (ROPA) для медичного закладу — це детальна карта всіх потоків персональних даних в організації. На відміну від інших сфер, де можна виділити кілька основних операцій з даними, медичні заклади мають справу з десятками різноманітних процесів.

Типовий ROPA медичної установи може включати такі операції: реєстрація пацієнтів і ведення картотеки, збір анамнезу та проведення обстежень, лабораторні дослідження та їх результати, консультації спеціалістів та консиліуми, призначення і моніторинг лікування, планування операцій та хірургічні втручання, реабілітаційні заходи, взаємодія зі страховими компаніями, звітність перед державними органами, наукові дослідження та публікації. Кожна операція має бути детально описана з зазначенням категорій персональних даних, цілей, правових підстав, термінів зберігання, заходів безпеки, міжнародних трансферів. Особливу увагу варто приділити операціям із залученням третіх сторін — лабораторій, консультантів, ІТ-підрядників.

ROPA — це не статичний документ. У медичній сфері процеси постійно змінюються: впроваджуються нові методи діагностики, з’являються нові партнери, змінюються правові вимоги. Тому ROPA потребує регулярного перегляду та актуалізації.

Технічна броня: як захистити дані від витоків

Стаття 32 GDPR вимагає від компаній впровадження відповідних технічних та організаційних заходів, враховуючи ризики для прав і свобод фізичних осіб. Медичні дані за визначенням створюють високий ризик тому заходи для їх безпечної обробки мають бути набагато суворішими, ніж у більшості інших галузей. Наприклад: 

• Шифрування медичних даних має бути багаторівневим. Дані мають шифруватися при зберіганні (at rest) та при передачі (in transit). Особливу увагу варто приділити резервним копіям — часто вони зберігаються в менш захищених умовах або неналежно передаються третім сторонам для зберігання.
• Анонімізація в медичному контексті має свої підводні камені. Навіть після видалення прямих ідентифікаторів (ім’я, адреса, номер паспорта) медичні дані можуть залишатися легко реідентифікованими через унікальні комбінації діагнозів, процедур, термінів лікування. 
• Контроль доступу в медичних закладах має враховувати специфіку медичної роботи. Системи повинні забезпечувати швидкий доступ до критичної інформації в екстрених ситуаціях, але водночас логувати всі звернення до даних пацієнтів. Рольова модель доступу має бути гранульованою: медсестра може мати доступ до актуальних призначень, але не до повної медичної історії; спеціаліст — до інформації в межах своєї компетенції; адміністратор — до контактних даних, але не до медичної інформації.

Читайте більше: Технічні вимоги GDPR: реалізація на практиці.

SOS-протокол: що робити при витоку медичних даних

Витік медичних даних — один із найнебезпечніших інцидентів для будь-якого закладу охорони здоров’я. Діагнози, генетичні особливості чи психіатричні дані залишаються з людиною назавжди, тому їх розкриття здатне призвести не лише до фінансових чи репутаційних втрат, а й до дискримінації, психологічної травми чи навіть фізичної небезпеки.

GDPR встановлює чіткі правила реагування на інциденти з персональними даними (ст. 33, 34). Для медичного закладу це виглядає як покроковий протокол:

1. Фіксація інциденту. Одразу після виявлення підозри на витік або несанкціонований доступ потрібно зафіксувати всі відомі обставини: що сталося, коли, які дані могли постраждати, хто саме виявив проблему.
2. Оцінка ризиків. Необхідно визначити, чи йдеться саме про медичні персональні дані, які категорії інформації залучені (наприклад, результати аналізів, діагнози, контактні дані), кількість постраждалих та які потенційні наслідки це може мати для пацієнтів. 
3. Внутрішнє реагування. Відповідальний за захист даних (DPO) або уповноважений працівник має зібрати кризову команду: IT-фахівців, юристів, адміністрацію. Головна мета — зупинити подальший витік і мінімізувати шкоду. Це можна зробити, наприклад, шляхом ізоляції скомпрометованих систем, змін паролів, блокування підозрілих акаунтів тощо.
4. Повідомлення регулятора та пацієнтів. Витік медичних даних практично завжди є високоризиковим та передбачає повідомлення наглядового органу та постраждалих суб’єктів. Контролюючий орган необхідно повідомити протягом 72 годин з моменту виявлення інциденту, а пацієнтів  — негайно. 
5. Документування. Кожен випадок витоку необхідно задокументувати: навіть якщо вирішено, що інцидент не підлягає повідомленню, потрібно мати письмове обґрунтування. Це важливо як для внутрішнього контролю, так і для перевірок регулятора.

DPIA: коли оцінка впливу стає обов’язковою

В охороні здоров’я оцінка впливу на захист даних (DPIA) є радше правилом, ніж винятком. 

Стаття 35 GDPR прямо визначає три випадки, коли проведення DPIA є обов’язковим, і медичні проєкти дуже часто одночасно підпадають під усі три. По-перше, це систематична та масштабна оцінка особистих аспектів, до якої належать, наприклад, системи підтримки клінічних рішень. Такі інструменти аналізують поведінку пацієнта, його спосіб життя, медичну історію та інші фактори, щоб прогнозувати ризики захворювань чи ефективність лікування. По-друге, це масштабна обробка спеціальних категорій даних, тобто саме тих даних, які становлять ядро будь-якої медичної діяльності. По-третє, це систематичний моніторинг загальнодоступних місць, і тут прикладом можуть бути системи відеоспостереження в лікарнях чи поліклініках. Варто пам’ятати, що національні наглядові органи можуть встановлювати додаткові вимоги до проведення DPIA, і медичним закладам слід враховувати ці локальні особливості. 

Водночас сама методологія оцінки для медицини повинна бути чутливою до специфічних ризиків: реідентифікація пацієнта через унікальні комбінації діагнозів та процедур, можливість дискримінації на основі генетичної інформації, чи психологічна шкода у випадку витоку даних про психічне здоров’я. 

DPIA в цьому контексті — не бюрократична формальність, а практичний інструмент, що допомагає виявити найвразливіші місця проєкту ще до його запуску та мінімізувати ризики для пацієнтів.

Читайте більше: DPIA: privacy інструмент, який недооцінюють.

DPO в білому халаті: чи потрібен медзакладу Data Protection Officer?

Стаття 37 GDPR встановлює три випадки, коли призначення DPO є обов’язковим, і медичні заклади часто підпадають під усі три одночасно. 

По-перше, якщо організація є державним органом (державні лікарні, поліклініки). По-друге, якщо основна діяльність пов’язана з масштабною обробкою спеціальних категорій даних — а медичні дані саме такі. По-третє, якщо основна діяльність передбачає регулярний та систематичний масштабний моніторинг — що характерно для великих медичних центрів із системами постійного спостереження за пацієнтами.

Але що робити невеликим клінікам, для яких штатний DPO економічно неефективний? GDPR дозволяє кілька альтернатив: призначення зовнішнього DPO за договором, спільний DPO для групи організацій, або делегування функцій DPO існуючому співробітнику (за умови відсутності конфлікту інтересів).

Важливо розуміти: DPO в медичному закладі — це не просто формальна вимога. Це особа, яка має поєднувати знання GDPR із розумінням медичної специфіки, етичних норм та клінічних процесів. Ідеальний медичний DPO — це людина з юридичною освітою,  поглибленими знаннями в галузі захисту персональних даних та досвідом роботи в медичній сфері. 

Читайте більше: Data Protection Officer для вашого бізнесу.

За межі Європи: міжнародна передача медичних даних

Медицина завжди виходила за національні кордони: пацієнти їдуть лікуватися за кордон, лікарі консультуються з колегами в інших країнах, а наукові дослідження дедалі частіше проводяться міжнародними командами. З появою GDPR така співпраця стала складнішою: глава V Регламенту встановлює жорсткі правила для передачі персональних даних за межі ЄС, а медична інформація, як одна з найбільш чутливих категорій, потребує особливої уваги.

Найпростіший варіант — передача даних до країн, які ЄС офіційно визнав такими, що забезпечують адекватний рівень захисту. Серед них — Велика Британія, Швейцарія, Південна Корея, Японія, Ізраїль, Канада та інші. У таких випадках додаткові гарантії не потрібні, і процес передачі значно спрощується.

Для інших країн передача медичних даних потребує більш комплексного підходу та має базуватися на інструментах, передбачених статтею 46 GDPR, найпоширенішим з яких є стандартні договірні положення (SCCs). Водночас залежно від умов у країні-отримувачі, може знадобитися впровадження додаткових технічних та організаційних заходів для забезпечення належного рівня захисту персональних даних. Для правильного визначення таких вимог рекомендується проводити Оцінку впливу трансферу персональних даних (TIA).

Окремо GDPR дозволяє міжнародний трансфер медичних даних на підставі винятків, зазначених у статті 49, зокрема: за наявності явної згоди пацієнта, для виконання договору з ним або для захисту його життєвих інтересів. Якщо жодна з цих підстав не застосовується, можна скористатися іншим винятком статті 49, але його застосування повинно бути чітко обґрунтоване та документоване.

Хто може допомогти з побудовою GDPR-комплаєнсу для роботи з медичними даними?

Лігал Айті Груп (Legal IT Group) мають глибоку експертизу у сфері захисту медичних персональних даних і допомагають медичним закладам та компаніям впроваджувати ефективні рішення відповідно до вимог GDPR. Команда супроводжує весь цикл обробки даних: від проведення DPIA, TIA та LIA і налаштування процесів інформування пацієнтів до розробки внутрішніх політик та процедур. Юристи Legal IT Group готують договори з процесорами й спільними контролерами, документи для міжнародних трансферів та проводять аудит практик обробки. Завдяки комплексному підходу Legal IT Group дозволяють медичним установам не лише уникнути штрафів, а й вибудувати прозору та безпечну систему роботи з персональними даними, яка підвищує довіру пацієнтів і партнерів.