Autor: Elena Cioina/ Parascovia Sula
În ultimele zile am realizat mai multe știri despre utilizarea sistemelor informaționale de către instituțiile medicale și utilitatea lor în procesul de muncă și evidență a pacienților. Din vorbă în vorbă am ajuns să discutăm cu directorii și despre felul în care acestea asigură protecția datelor cu caracter personal ale pacienților, având în vedere că operează cu datele lor speciale. Toți ne-au asigurat că o fac așa cum prevede legea și ei o respectă cu cea mai mare strictețe.
Doar că, se pare, managerii o înțeleg diferit mai ales când ajung la capitolul ce ține de notificarea și autorizarea Centrului pentru Protecția Datelor cu Caracter Personal pentru a putea opera cu datele speciale ale bolnavilor. Unii spun că au notificat Centrul, pentru că așa le-a cerut instituția. Alții, dimpotrivă, că nimeni nu le-a cerut să se notifice undeva și nu înțeleg de ce ar trebui s-o facă, dacă Legea îi scutește de această obligație. Noi am încercat să descâlcim ațele, adresându-i mai multe întrebări avocatei, Marina Zanoga. Am întrebat-o de ce, din punctul ei de vedere, există aceste confuzii și dacă nu cumva prevederile care se referă strict la prelucrarea datelor cu caracter personal de către instituțiile medicale, sunt interpretabile și unii juriști ar putea profita de acest lucru. Iată ce ne-a spus specialista.
Doamna Zanoga, din discuțiile cu unii directori de instituții medicale despre prelucrarea datelor cu caracter personal, am înțeles că Legea cu privire la datele cu caracter personal, le creează anumite confuzii, mai ales atunci când este vorba de notificarea Centrului și autorizarea instituției medicale pentru a putea prelucra datele pacienților. Art. 7 din Lege spune că instituțiile medicale nu au nevoie de autorizare de la Centru pentru a putea prelucra aceste date. Centrul însă face referință la art. 23, cel legat de notificare, în care se spune că toți operatorii, care prelucrează date cu caracter personal, trebuie să notifice centrul. Trebuie sau nu instituțiile medicale să notifice centrul că operează cu datele personale ale pacienților?
Notificarea prelucrării este una din obligațiile operatorilor de date. Potrivit Articolului 23 al Legii privind protecția datelor cu caracter personal, nr. 133 din 08.07.2011, operatorii sunt obligaţi să notifice Centrul înainte de a prelucra date cu caracter personal destinate să servească unui scop. Prelucrarea altor categorii de date cu caracter personal, decât cele notificate anterior, se va efectua cu condiţia unei noi notificări. Instituțiile medicale nu sunt exceptate de la obligația de a notifica prelucrarea datelor pacienților. Totuși, în condițiile Articolului 7 al Legii, instituțiile medicale pot prelucra datele cu privire la sănătate, fără autorizarea Centrului.
Si dacă e nevoie de această notificare, care e scopul ei din moment ce instituțiile medicale pot prelucra date fără autorizare de la Centru? Iar notificarea, așa cum explică Centrul, e parte a autorizăriii? Care ar fi logica?...
Notificarea este o declarație formală, adresată de către operatorul de date, Centrului pentru protecția datelor. O caracterizare a sistemului deținut și preucrării datelor din acesta. Din punct de vedere tehnic, notificarea arată ca un chestionar completat cu informații, conform întrebărilor adresate. Notificarea trebuie să conțină informații precum: identitatea operatorului, scopul prelucrării, categoriile de date prelucrate, subiecții ale căror date sunt prelucrate, destinatarii datelor (persoanele cărora aceste date prelucrate pot fi dezvăluite), măsurile de securitate implementate etc. Articolul 23 al Legii prevede expres lista informațiilor care trebuie prezentată Centrului la notificare.
Primind notificarea spre examinare, Centrul stabilește dacă notificarea este completă și corespunde cerințelor legale. Dacă nu are obiecții, atunci operatorul de date este înregistrat în Registrul Operatorilor de Date cu Carater Personal, fiindu-i atribuit un ID de operator unic. Acest ID se va utiliza de către operator, împreună cu un marcaj de avertizare, pe oricare document care conține date cu caracter personal și iese din sistemul de securitate al operatorului.
Dacă e să vorbim în linii mari, scopul notificării este de a face publice condițiile prelucrării atât Centrului cât și subiecților de date, oferindu-le acces la informațiile de bază privind prelucrarea efectuată. În unele cazuri, la examinarea notificării, Centrul poate constata necesitatea verificări operațiunii de prelucrare, dispunând efectuarea unei verificări prealabile. Legea spune că dacă în baza notificării, Centrul constată că prelucrarea propriu zisă prezintă risc special pentru drepturile şi libertăţile persoanelor, atunci dispune obligatoriu efectuarea verificării prealabile. Verificarea se finalizează cu emiterea deciziei privind autorizarea sau refuzul de a autoriza prelucrarea datelor.
Articolul 24 alin. (2) al Legii prevede expres că operaţiunile de prelucrare a categoriilor speciale de date cu caracter personal, precum sunt datele cu privire la sănătate, sunt supuse verificării prealabile. Iată aici, intervine excepția prevăzută de Lege pentru instituțiile medicale. Dacă sunt respectate condițiile Articolului 7 al Legii, prelucrarea datelor privind sănătatea nu se va supune autorizării în cadrul notificării. Centrul se va limita la examinarea notificării fără o verificare prealabilă, decât dacă nu constată alte riscuri speciale pentru drepturile și obligațiile persoanelor. Nu putem exclude cazul că pe lângă datele cu privire la sănătate, instituțiile medicale ar putea colecta și alte categorii speciale de date, care nu sunt exceptate de la autorizare sau se va constata un alt risc prevăzut de lege.
Potrivit Articolului 3 al Legii, categorii speciale de date cu caracter personal sunt datele care dezvăluie originea rasială sau etnică a persoanei, convingerile ei politice, religioase sau filozofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrângere sau sancţiunile contravenţionale. Astfel, dacă instituția medicală prelucrează date privind originea etnică a persoanei, această prelucrare se supune autorizării.
Notificarea se face pentru înregistrarea în registrul electronic? (Dacă da, atunci în cazul în care instituția s-a notificat atunci când procesa datele pe hârtie și deja e înregistrată în registru, iar ulterior s-a modernizat și operează cu datele printr-un sistem informațional, e obligată să se mai notifice o dată?
Notificarea se depune pentru a se conforma obligației prevăzute de Articolul 23 al Legii. Riscați amenzi pentru prelucrarea datelor fără notificarea Centrului. Notificarea se depune o singură dată pentru fiecare sistem de evidență. Ulterior, dacă informațiile depuse inițial sunt modificate, atunci se vor aduce modificări la notificare. Tipul sistemului de prelucrare este una din informațiile prezentate la notificare. La rubrica ”Specificarea sistemului de evidență” operatorul indică dacă deține un sistem automatizat, mixt sau manual. Dacă în cadrul notificării primare a fost indicat un sistem manual de evidență și acesta a fost înlocuit printr-un sistem mixt sau automatizat, atunci notificarea depusă urmează a fi modificată. Este și normal or, odată cu trecerea la un nou sistem riscul asociat prelucrării datelor se modifică. Regulile de securitate pentru un sistem automatizat și unul manual sunt diferite.
Își depășește ori nu atribuțiile Centrul obligând instituțiile medicale să se notifice la ei?
Centrul este organul de control al prelucrărilor de date cu caracter personal. Acesta exercită controlul asupra conformităţi prelucrării datelor cu caracter personal cu cerinţele Legii. Dacă vom analiza prevederile Articolului 20 al Legii, atribuțiile Centrului, nu vom găsi în atribuțiile Centrului expres – „obligă la notificarea prelucrării”. Or, obligația depunerii notificării este una expres prevăzută de Lege. În schimb, Centrul efectuează controlul legalităţii prelucrărilor, fiind în drept să constate contravenţii şi încheie procese-verbale conform Codului contravenţional al Republicii Moldova. Dacă în cadrul unui control, Centrul a constat prelucrarea datelor fără o notificare, atunci acesta poate prescrie unității notificarea prelucrării. Este necesar să examinăm în ansamblu forma în care este adresată solicitarea Centrului, procedura în care a fost dispusă, instituția căreia i-a fost adresată și alte condiții specifice cazului.
Se contrazic sau nu cele două articole - 23 și respectiv 7, atunci când vorbim de instituțiile medicale?
Domeniul prelucrării datelor cu caracter personal este unul destul de nou pentru Republica Moldova. Cu toții încă învățăm. Poate este puțin confuz, dar nu văd o contrazicere.
Notificarea, dacă totuși instituția medicală ajunge să o facă la Centru, se face ca să poți prelucra toate datele speciale despre pacienți ori e nevoie să notifici Centrul ori de cate ori primesti un pacient nou, care nu e in baza ta de date?
Notificarea se depune pe sistem de evidență, nu pe subiect de date. Nu notificăm concret fiecare pacient care vine la instituția medicală și datele acestuia, deținute de instituția medicală. Facem o analiză a totalității de date pe care le deține instituția medicală și le clasificăm, generic, în sisteme de evidență. Le clasificăm după niște criterii care le unesc, le asociază. De exemplu: datele se referă la aceiași categorie de subiecți de date, au același scop de prelucrare, risc la prelucrare etc. Ulterior, stabilim unele reguli comune de prelucrare a acestor date și măsuri de securitate. Atunci când avem o imagine clară a structurii datelor și modului lor de prelucrare caracterizăm prelucrarea, pe sisteme, Centrului. Dacă vom deschide o notificare din Registrul Operatorilor care poate fi accesat pe www.datepersonale.md, vom observa că notificarea nu conține date concrete ale subiecților de date. Sunt bifate categoriile de date prelucrate, în mod generic: nume, prenume, adresă, IDNP fără a indica numele fiecărui subiect.
Anticipez că instituțiile medicale ar putea avea cel puțin 2 sisteme de evidență distincte: salariați și pacienți. Astfel, va fi necesar să depună 2 notificări distincte. Categoriile de date prelucrate în aceste sistem, subiecții vizați, durata prelucrării vor fi diferite, deși notificările vor fi depuse de către aceeași instituție. Aceasta se întâmplă pentru că sistemele sunt diferite și scopurile prelucrării sunt diferite.
Astfel, apariția unui nou pacient nu va impune necesitatea completării unei noi notificări. Excepție ar fi cazul când de la pacient sunt colectate alte categorii de date decât cele notificate, pentru alte scopuri etc.
Când nu e nevoie de această notificare?
Articolului 23 alin. (5,6) al Legii stabilește excepțiile de la obligația de notificare. Astfel, notificarea nu este necesară în cazul în care prelucrarea are drept scop ţinerea unui registru destinat informării publicului larg şi deschis spre consultare publicului sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele necesare ţinerii registrului menţionat. Centrul poate stabili şi alte situaţii în care notificarea nu este necesară sau situaţii în care notificarea se poate efectua într-o formă simplificată, numai dacă:
1. prelucrarea, ţinând cont de natura datelor cu caracter personal, nu afectează drepturile subiecţilor datelor cu caracter personal, cu condiţia precizării unor informații;
2. prelucrarea se efectuează în condiţiile art. 6 alin. (1) lit. d) al Legii, adică prelucrarea este efectuată în contextul activităţilor legitime de către asociaţii obşteşti, partide şi alte organizaţii social-politice, de către sindicate, asociaţii de patronat, organizaţii filozofice sau religioase, organizaţii cooperatiste necomerciale, cu condiţia ca prelucrarea să se refere numai la membrii acestora sau la persoanele cu care acestea au contacte permanente în legătură cu scopurile lor şi cu condiţia ca datele să nu fie dezvăluite terţilor fără consimţământul subiecţilor datelor cu caracter personal.
Acum Centrul ne-a anunțat că este în proces de înregistrare a tuturor Centrelor de Sănătate din țară. Dacă e să ne conducem după art. 23 al Legii, la care face referință Centrul, înseamnă că toate aceste instituții au prelucrat până acum și mai prelucrează ilegal datele cu caracter personal ale pacienților. Sau nu e adevărat?
Prelucrează date cu încălcarea legii. Consultând Registrul Operatorilor de Date cu Caracter Personal veți observa că o serie de instituții medicale deja au notificat prelucrarea Centrului.
Dar să admitem că managerii de instituții medicale nu cunosc toate aceste dedesubturi. Am vorbit cu mai mulți și am înțeles că este o confuzie în privința acestor lucruri. Ei confundă noțiunile de „autorizare” și „notificare”. Să zicem că ei nu au știut de obligativitatea notificării și au început să prelucreze datele cu caracter personal ale pacienților fără a anunța Centrul. În asemenea situație, CNPDCP este în drept să le aplice imediat amendă sau totuși trebuie mai întâi să avertizeze? Care este procedura mai departe? Ce reglementări există în acest sens?
Art. 74 1Cod Contravențional sancționează prelucrarea datelor cu caracter personal fără notificarea şi/sau autorizarea Centrului, atunci când notificarea sau obţinerea autorizării este obligatorie precum şi prelucrarea datelor cu caracter personal de un operator neânregistrat în modul stabilit. Sancțiunile prevăzute de lege sunt amenda și interzicerea desfășurării unei activități. Mărimea amenzilor care pot fi aplicate, la moment constituie 3000 de lei aplicate persoanei fizice, de la 3000 la 6000 de lei aplicată persoanei cu funcţie de răspundere, de la 4000 la 10000 de lei aplicată persoanei juridice. Spun la moment, pentru că proiectul de modificare al Legii, propus pentru dezbateri publice, prevede majorarea amenzilor. Dacă va fi, aprobat, atunci amenzile ar putea atinge 100 000 lei sau chiar 900 000 lei pentru unele încălcări.
Subliniez, în toate cazurile operatorul poate fi privat de dreptul de a desfăşura o anumită activitate pe un termen de la 3 luni la un an. Această sancțiune este adesea mai gravă pentru o companie/instituție decât amenda în sine. În ceea ce privește procedura, practica actuală spune că la constatarea prelucrării datelor fără notificare, inclusiv primară, Centrul acordă un termen de 30 de zile pentru ca operatorii să se conformeze obligației de notificare. În aceste 30 de zile instituția respectivă trebuie să pregătească întregul pachet de acte și să notifice Centrul despre prelucrare. Articolul 26 al Legii prevede că în cazul în care, ca urmare a controlului efectuat, sunt constatate încălcări, Centrul emite decizia de suspendare a operaţiunilor de prelucrare a datelor cu caracter personal, care va conţine instrucţiuni pentru aducerea acestor prelucrări de date în conformitate cu prevederile prezentei legi.
Efectuarea operaţiunilor de prelucrare a datelor cu caracter personal se suspendă până la înlăturarea circumstanţelor care au servit drept temei pentru emiterea deciziei. Operatorul este obligat să înlăture respectivele circumstanţe în termen de 30 de zile de la emiterea deciziei de suspendare. În cazul în care operatorul sau persoana împuternicită de către acesta nu a înlăturat circumstanţele care au servit drept temei pentru suspendare, Centrul emite decizia de încetare a operaţiunilor de prelucrare a datelor cu caracter personal, cu sau fără dispunerea blocării ori distrugerii datelor cu caracter personal neveridice sau obţinute ilicit.
În perioada în care i se dă timp să înlăture neajunsurile depistate de Centru, instituția medicală are dreptul să prelucreze în continuare datele cu caracter personal, indiferent că e pe hârtie, sistem informațional ori nu?
Tehnic nu trebuie să continue prelucrarea. Notificarea este prealabilă prelucrării.
În ce situații deja se aplică amendă și dacă, poate cunoașteți, a fost sau nu amendată vreo instituție medicală până acum din cauză că nu a notificat Centrul?
De obicei, la expirarea acestor 30 zile, dacă nu a fost depusă notificarea unitatea este sancționată. În legătură cu instituțiile medicale, cunosc despre un caz în care Centrul a aplicat sancțini pentru încălcarea regulilor de prelucrare a datelor. În acest caz, datele despre intervențiile medicale efectuate unui pacient au fost dezvăluite, fără consimțământul acestuia, unui membru de familie a pacientului. Pacientul a aflat despre această transmitere ilegală de date, într-un proces de judecată în care datele au fost folosite împotriva pacientului. Centrul a fost sesizat prin plângerea pacientului. Centrul a sancționat instituția medicală și cadrele medicale vinovate de dezvăluirea datelor fără consimțământul subiectului.
Doamnă Zanoga, vă mulțumesc pentru acest interviu.