В Украине с 2010 года работает законодательство о защите персональных данных. Одно из его положений: компании не могут передавать личные данные лица кому-то еще без его согласия. И во многих случаях сами должны брать у него согласие на работу с данными.
К редакции AIN.UA обратился пользователь, которого смутило, что при визите в лабораторию «Сінево» его медицинские данные передали сторонней компании, а согласия на это не взяли.
Редактор AIN.UA попробовала разобраться в том:
- как лаборатории и клиники по закону должны обращаться с личными данными пациентов;
- было в этом случае нарушение или нет.
Кейс клиента
7 августа 2020 года Дмитрий Попов из Киева сдал анализы в лаборатории «Синэво». Через какое-то время получил письмо от сервиса «Витаграмма» о том, что результаты «Синэво» можно просматривать в их электронном кабинете.
Пользователь перешел на сайт «Витаграмма» проверить, что это за сервис, и в разделе контактов увидел, что он не является подразделением «Синэво».
Дмитрия удивило, что его данные передали третьему лицу без его согласия. Он обратился в поддержку «Синэво». В ответном письме ему сообщили: в документе, которое он подписал при сдаче анализов, он согласился на передачу данных и все условия.
«Ни одной подписанной бумаги, никаких устных разрешений на передачу своих данных ни на каком этапе я не давал», — говорит Дмитрий.
Позже ему позвонили из клиентского сервиса «Синэво» и объяснили, что при оформлении онлайн-записи он согласился на обработку и передачу данных автоматически.
Чтобы проверить, как это работает, редактор AIN.UA сходила в одну из киевских лабораторий, без онлайн-записи. Результаты анализа пришли на почту, в том числе, в электронном кабинете «Витаграмма». Но согласия на обработку данных и передачу их третьему лицу у журналиста не брали. На вопрос о персональных данных оператор ответил, что для анализов согласие требуется в редких случаях. Позже, уже другой редактор AIN.UA посетил «Синэво», предварительно записавшись онлайн: на месте документы подписать уже попросили. Мы сдавали разные анализы в разных лабораториях.
Комментарий компании «Синэво»
В «Синэво» на запрос AIN.UA ответили, что:
- работают с «Витаграмма» по договору, который, в частности, предусматривает специальные условия по защите персональных данных клиентов;
- «Витаграмма» по этому договору предоставляет клиентам «Синэво» сервис личного кабинета;
- подписание клиентом информационного согласия на обработку данных является обязательным условием получения услуг в «Синэво»;
- без подписания такого документа клиент не сможет получить услуги в компании, в частности — сдать анализы;
- при подписании документа клиент также соглашается на передачу данных «Витаграмма», которая является распорядителем базы персональных данных «Синэво».
В «Витаграмма» редакции сообщили, что самостоятельно создать электронный кабинет в сервисе нельзя, клиент должен авторизироваться и это обусловлено жесткими условиями хранения данных. Также в настройках кабинета можно полностью удалить кабинет с данными, включая результаты анализов.
Если попробовать зарегистрироваться в сервисе «Витаграмма», там нельзя создать учетную запись, не согласившись с условиями использования сервиса.
Отдельный пункт условий использования сервиса: персональные данные. По тексту, основанием для обработки данных пользователя является заключение и исполнение договора компании и пользователя.
Как это работает согласно закону
С точки зрения пользователей, компания не берет согласия на обработку данных. А в самой компании утверждают, что согласие — обязательное условие для предоставления услуг.
Мы попросили юристов прокомментировать эту ситуацию с точки зрения закона о защите персональных данных.
По словам члена Ассоциации юристов Украины, партнера Arzinger Екатерины Олейник, в Украине передача персональных данных должна проходить на основе письменного договора между компанией, которая собирает данные, и третьими лицами.
Данные о здоровье — «чувствительные», их утечка приводит к более тяжелым последствиям, чем, к примеру, взлом электронной почты. Ведь почту можно поменять, а данные о здоровье — нет. И сбор данных о здоровье происходит на отдельных основаниях, которые определяет закон.
По словам Ирины Синеок из контрактного департамента Taxus Law&Finance, «Синэво» действует по закону, даже если пациент не подписывал соглашения.
«Законодательство в сфере защиты персональных данных базируется на том, что персональные данные могут обрабатываться на законных основаниях, и только если определенных законом оснований нет — необходимо получать согласие человека на обработку его данных», — говорит она.
В Законе о защите персональных запрещается собирать данных о здоровье пользователей, кроме ряда исключений (ст. 7). Среди них:
- однозначное согласие пользователя на обработку данных;
- и обработка данных в медицинских целях, если ее проводит учреждение с лицензией (ст. 7, ч. 2, п. 6).
Также на сайте «Синэво» есть договор — публичная оферта, который содержит перечень условий для того, чтобы пациент получил услуги компании. В п. 3.4. этого договора, говорится, что пациент предоставляет компании право передавать свои данные третьим лицам без предварительного согласия. То есть, пациент соглашается на обработку и передачу своих данных автоматически, когда пользуется услугами лаборатории.
Правда, старший юрист Aurum, специалист по защите персональных данных Илья Шенгелия отмечает, что для таких случаев все же нужно однозначное согласие пациента на передачу данных третьему лицу, а публичная оферта или договор о предоставлении услуг — это не совсем то:
«По закону медицинские учреждения могут обрабатывать персональные данные пациентов без предоставления отдельного согласия. Это право распространяется только на работников такого учреждения и не покрывает передачу данных другим лицам (таким как ООО «Витаграмма»). Это означает, что для передачи данных третьим лицам нужно иное законное основание.
Единственным подходящим основанием в такой ситуации будет только однозначное согласие пациента, которое должен получить именно владелец персональных данных (лаборатория «Синэво»), а не распорядитель данных («Витаграмма»).
Пункт, который содержится в глубине публичного договора, в формате «я даю согласие на предоставление своих данных третьим лицам» (как это сейчас оформлено у лаборатории «Синэво») не является «однозначным согласием», а потому обработка данных такими третьими лицами является некорректной.
Чтобы согласие для обработки медицинских данных было однозначным, необходимо, чтобы пациент предоставил его отдельно от всего остального. То есть нужно предусмотреть отдельное поле, в котором пациент может согласиться с такой передачей или отказаться от нее.
Медицинское учреждение должно предоставлять пациенту выбор, передавать ли свои данные таким лицам, как ООО «Витаграмма», или нет. В таком случае стоило бы, например, сообщить пациенту, что он может забрать результаты анализа самостоятельно в лаборатории «Синэво», а может получить их онлайн, для чего нужно дать согласие на передачу данных ООО «Витаграмма».
Источник: ain.ua