Персональні дані системи eHealth, можливо, не захищені належним чином

0 4

Резюме. Також виявлено порушення законодавства щодо їх адміністрування.

Співробітники Секретаріату Уповноваженого Верховної Ради України з прав людини здійснили позапланову виїзну перевірку дотримання прав і свобод людини і громадянина у сфері захисту персональних даних та соціальних прав державним підприємством «Електронне здоров’я», яке є адміністратором центральної бази даних eHealth.

Зазначена перевірка є першою серед перевірок додержання законодавства у сфері захисту персональних даних під час функціонування електронної системи охорони здоров’я (eHealth).

Що встановила перевірка

За результатами перевірки встановлено, що адміністратор eHealth (ДП «Електронне здоров’я») відповідно до законодавства є розпорядником персональних даних, які обробляються в центральній базі даних eHealth.

Володільцем більшої частини персональних даних, які обробляються в центральній базі даних eHealth, є Національна служба здоров’я України.

Проте ДП «Електронне здоров’я» перебуває у сфері управління Міністерства охорони здоров’я України, а отже, не може бути розпорядником персональних даних, володільцем яких є Національна служба здоров’я України, відповідно до частини третьої статті 4 Закону України «Про захист персональних даних». (У цій частині закону йдеться про те, що розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу. Зазначимо також, що відповідно до частини четвертої статті 4 зазначеного закону, володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі. — Прим. ред.).

Пояснення керівництва ДП «Електронне здоров’я»

Як зазначено керівництвом ДП «Електронне здоров’я», державне підприємство не має доступу до центральної бази даних, внаслідок чого не виконує ряду функцій, покладених законодавством на нього як на адміністратора. Водночас ці функції здійснюються іншими суб’єктами, зокрема Національною службою здоров’я України.

Під час проведення перевірки не дослідженим залишилося питання щодо надання доступу до центральної бази даних eHealth, а отже, і до персональних даних, які в ній обробляються, операторам електронних медичних інформаційних систем після прийняття рішення про підключення електронної медичної інформаційної системи до центральної бази даних eHealth. З огляду на положення договору про підключення електронної медичної інформаційної системи до центральної бази даних ДП «Електронне здоров’я» надає оператору електронної медичної інформаційної системи ключ до продуктивного середовища, про що складається відповідний акт.

Проте ДП «Електронне здоров’я» відмовилося надавати підтвердження того, що зазначена функція здійснюється безпосередньо цим державним підприємством, а отже, можливо, зазначену функцію здійснює стороння особа.

Також ДП «Електронне здоров’я» під час перевірки не надано інформації щодо того, хто саме здійснює оновлення та підтримку програмного забезпечення.

З огляду на зазначене, вбачається, що доступ до центральної бази даних можуть мати сторонні юридичні особи, які виконують частину функцій адміністратора eHealth.

На черзі — наступні перевірки

Питання правомірності та доцільності надання доступу до центральної бази даних eHealth в разі встановлення такого факту цим юридичним особам, а також питання додержання вимог, зокрема щодо захисту персональних даних, які містяться в центральній базі даних eHealth, іншими суб’єктами, які мають до них доступ, досліджуватиметься під час проведення наступних перевірок.

Також під час проведення перевірки встановлено, що належного рівня захисту даних, зокрема такого, як вимагається законодавством, у центральній базі даних eHealth не забезпечено.

За результатами перевірки наразі готується акт з вимогами та рекомендаціями.

Долучайтеся до нас у Viber-спільноті, Telegram-каналі, Instagram, на сторінці Facebook, а також Twitter, щоб першими отримувати найсвіжіші та найактуальніші новини зі світу медицини.

Прес-служба «Українського медичного часопису»
за матеріалами ombudsman.gov.ua, rada.gov.ua


Вам так же будет интересно

Оставьте комментарий

Ваш email не будет опубликован

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.