Какво са електронните трансгранични здравни услуги в Европа?
През 2011 г. европейските институции приеха нова директива (2011/24 / ЕС), която гарантира непрекъснатостта на грижите за европейските граждани през границите. Това дава възможност на държавите-членки да обменят здравни данни по сигурен, ефективен и оперативно съвместим начин.
Следните две електронни трансгранични здравни услуги в момента прогресивно се въвеждат във всички европейски държави:
- Електронна рецепта (и електронното отпускане на лекарства) позволява на гражданите в Европа да получат лекарствата си в аптека, разположена в друга европейска държава, благодарение на онлайн прехвърлянето на електронната им рецепта от тяхната страна на осигуряване (наричана по-долу държавата на пребиваване) в страната им на пътуване. Вашата страна на пребиваване е информирана за лекарството, което получавате в страната на пътуване (и електронното отпускане на лекарства).
- Досие на пациент – предоставя информация за важни аспекти, свързани със здравето, като вашите алергии, текущи лекарства, предишни заболявания, операции и др. Тя ще бъде част от по-голямо събиране на здравни данни, наречени European Health Record, чието прилагане в цяла Европа се планира на по-късен етап. Цифровото резюме на пациентите има за цел да предостави на лекарите основна информация на техния собствен език относно пациента, когато пациентът идва от друга държава от ЕС и може да има езикова бариера. В дългосрочен план не само основната медицинска информация от Резюмето на пациентите, но и пълната здравна карта трябва да стане достъпна в целия ЕС.
До 2021 г. двете услуги ще бъдат въведени постепенно в 22 държави от ЕС: Австрия, Белгия, Естония, Германия, Гърция, Ирландия, Испания, Италия, Кипър, Литва, Люксембург, Малта, Нидерландия, Полша, Португалия, Словения, Унгария, Финландия, Франция, Хърватия, Чехия и Швеция.
Приложното поле на Становището, дадено по член 42, параграф 2 от Регламент 2018/1725, отговаря на три конкретни въпроса, отправени от Европейската комисия:
- Трябва ли предоставянето и поддържането на частната мрежа със защитена и криптирана връзка TESTA-ng за пренос на лични данни на пациенти от една държава членка в друга да се счита за обработка на лични данни?
- Правилно ли е да се разглеждат следните две операции по обработка като отделни операции, евентуално с различни администратори?
i. Обработка на лични данни на служители от националните органи за контакт в областта на електронното здравеопазване с цел управление на правата им за достъп до основните услуги на eHDSI (вж. приложения VII-IX за описание на съответните дейности по обработка);
ii. Обработка на лични данни на пациенти за целите на техния обмен от една държава членка в друга.
3. Като се има предвид, че държавите членки се приемат за съвместни администратори за обработка на данните на пациентите в eHDSI, както се потвърждава в становището на Работната група по член 29 (вж. страница 2 от приложение V), правилно ли е да се счита, както е обяснено в тази бележка, че Комисията е лице, което обработва данни по отношение на обработката на данни на пациенти в eHDSI?
Становището по първия въпрос е дадено анализирайки дефиницията за обработване на лични данни.
Като се има предвид дефиницията за „обработка“ в Общия регламент относно защитата на данните и Регламент 2018/1725 и това, че системата eHDSI дава възможност за обмен на електронни данни за здравословното състояние на европейски пациенти, по-специално електронни рецепти и медицински досиета на пациентите, между националните органи за контакт с помощта на защитена частна мрежа (наричана по-долу TESTA), създадена от Комисията, може да се заключи, че това е обработване. Фактът, че Комисията може или не може да има достъп до нея, или вида на подходящите защитни мерки, въведени за предаването (напр. защитена и криптирана връзка) са без значение.
При предоставянето на отговор по втория въпрос е дадена дефиниция и разграничаване на двата различни сценария и се анализира дали това са две отделни операции по обработка, или те трябва да се считат за „набор от операции“.
По отношение на първата операция по обработка е необходимо да се анализира целта на управлението на правата за достъп до основните услуги на eHDSI. Първо, трябва да се изясни понятието „основни услуги“. Според Регламент 283/2014 основните услуги са „центрове на инфраструктурите за цифрови услуги, които имат за цел да осигурят транс-европейски връзки, достъп и оперативна съвместимост“. Основните услуги на eHDSI се предоставят от Комисията и включват услугите за конфигуриране и централния терминологичен сървър.
Услугите за конфигуриране се използват от всеки портал за електронно здравеопазване на национален орган за контакт за публикуване и съхраняване на технически подробности, и информация за конфигуриране. По спецификация в него не се съхраняват, предават или обработват никакви лични данни. Централният терминологичен сървър се използва за съхраняване на системи със здравни кодове и превод на медицински термини за държавите членки. Oбработката на лични данни от страна на служители от националните органи за контакт в сферата на електронното здравеопазване се извършва с единствената цел да се даде възможност за управление на потребителските акаунти и на механизма за упълномощаване в рамките на основните услуги на eHDSI, без да се обработват лични данни от тях.
По отношение на обработката на личните данни на пациентите понастоящем има два начина на употреба: електронни рецепти и електронни досиета на пациентите. Следователно личните данни, обработвани в този случай, се отнасят до данните за здравословното състояние на пациентите. Целта на тази обработка е включена в споразумението между националните органи относно критериите за участие в предоставянето на трансгранични информационни услуги за електронно здравеопазване като „постигане на високо ниво на доверие и сигурност, повишаване на приемствеността на грижите и осигуряване на достъп до безопасни и висококачествени защитни мерки“ и „осигуряване на приемственост на трансграничните здравно обслужване“.
Следователно целта на обработката на данни за здравословното състояние на пациентите е да се подобри и гарантира приемствеността на трансграничното здравно обслужване.
Двете операции по обработка, описани по-горе, фактически могат да се считат за отделни операции, тъй като техните цели са различни. Това евентуално може да доведе до различно разпределение на отговорностите между участващите страни.
Становището по третия въпрос е, че въпреки че Комисията участва в някои от процедурите, свързани с разработването на технически и организационни решения, както и на елементи за защита на системата, тя няма правомощия за вземане на решения по отношение на определянето на целта или на основните средства, свързани с тази операция по обработка.
Тук отново се повтаря концепцията за преценка на ролите, администратор и обработващ, която се явява от практическа гледна точка една от най-сложните и затрудняващи както публичните, така и частните субекти.
При оценката на определянето на целите, и средствата с оглед определяне на ролята на администратора на данни „определянето на целта на обработката във всички случаи води до квалификация като администратор на данни, но определянето на средствата означава контрол само, когато определянето се отнася до съществените елементи на средствата. От тази гледна точка е възможно техническите и организационните средства да се определят само от обработващия данни“.