Начало » Практика » Решения на КЗЛД за 2019 г. » Решение по жалба с рег. № ППН-01-622/27.07.2018 г.

Решение по жалба с рег. № ППН-01-622/27.07.2018 г.

РЕШЕНИЕ
№ ППН-01-622/2018
град София, 08.04.2019  г.
 
Комисията за защита на личните данни (КЗЛД) в състав: членове: Цанко Цолов, Цветелин Софрониев и Веселин Целков на редовно заседание, проведено на 27.02.2019 г., обективирано в Протокол № 10/2019 г., на основание чл. 10, ал. 1, т. 7 от Закона за защита на личните данни (ЗЗЛД) и чл. 57, § 1, б.”е” от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (ОРЗД), като разгледа по същество жалба с рег. № ППН-01-622 от 27.07.2018 г., за да се произнесе взе предвид следното:
Административното производство е по реда на чл. 38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба с рег. № ППН-01-622 от 27.07.2018 г. подадена от Г.Б.
В жалбата Г.Б. посочва, че на 23.07.2018 г. при посещение при неговия дългогодишен личен лекар - д-р Е.П. в ДКЦ ****, установил, че без негово съгласие и знание е записан при друг личен лекар.
От РЗОК, намираща се на територията на ДКЦ **** получил сведение, че от 05.06.2018 г. е прехвърлен при личен лекар д-р Н.М. – *********, в която и връзка подал жалба до здравната каса.
Г.Б. информира КЗЛД, че д-р Н.М. е доведена дъщеря на д-р И.Д., РЗОК – *****, който от 18.06.2009 г. не бил негов личен лекар, тъй като повече от 10 години живее в град София, поради което и от 19.06.2009 г. избрал за личен лекар д-р Е.П.
Според Г.Б., с прехвърлянето му към д–р Н.М., със или без знанието на своя доведен баща - д-р И.Д., Н.М. умишлено и тенденциозно е използвала негови лични данни, като изказва съмнение и за фалшифициране на подписа му, с цел същата да се води негов личен лекар. Счита действията ѝ за подсъдни, като посочва, че при възникнал спешен случай, д-р Е.П. не би могла да му окаже необходимата медицинска помощ, поради факта, че като негов личен лекар се води д-р Н.М.
Прилага: справка, писмо от НЗОК, писмо от РЗОК – П., сигнал до РЗОК.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, Г.Б. и ”*****” ЕООД са редовно уведомени за започналото производство.
”*******” ЕООД изразява становище по жалбата, в което посочва, че до 14.05.2018 г. е работила като нает лекар при общопрактикуващия лекар д-р И.Д. След тази дата поема лекарската практика на д-р И.Д., извършвана в селата О. и В., общ. П.. Споемането на лекарската практика, приела и организационната структура, създадена от д-р И.Д., вкл. компютри, медицински софтуер, пациентска база данни, наброяваща приблизително 2800 пациента. За целта на прехвърлянето на практиката, с програмата на медицинския софтуер били генерирани автоматично и разпечатани съответен брой заявления – ”Регистрационна форма за постоянен избор на общопрактикуващ лекар”, които се подавали в РЗОК, след подписването им от общопрактикуващия лекар и пациента.
Информира КЗЛД, че след уведомяването ѝ за проблема – предмет на жалбата, първо от РЗОК, а след това и от КЗЛД, извършила вътрешна проверка, при която установила, че в действителност е генерирана и регистрационна форма за жалбоподателя, по причина че технически софтуера не позволявал изтриване на вече създадени записи, а била възможна единствена промяна на техническия статус от ”активен” на ”неактивен”. При генерирането на регистрационните форми, системата разпечатала такива както за ”активните”, така и за ”неактивните” пациенти, като поради недоглеждане или грешка, била придвижена и регистрационната форма на Г.Б. (където фигурирал със стария си адрес и телефон), заедно с останалите регистрационни форми. 
При извършената вътрешна проверка било установено още, че от 2009 г., когато Г.Б. променя местожителството си и личния си лекар, в практиката на д-р И.Д. същия се водел ”неактивен” и по неговата партида не били извършвани никакви действия, не били отчитани прегледи, издавани направления за специалист, болнични листове, нито били получавани плащания от РЗОК или другаде.
Посочва, че по закон общопрактикуващия лекар следва да пази данните на своите пациенти 10 години, дори след избор на друг общопрактикуващия лекар, поради което не било възможно и допустимо заличаването му от базата данни на д-р И.Д.
След узнаване за случая били предприети и незабавни действияза осъществяване на контакт с Г.Б., за да му бъде обяснена допусната грешка и да му бъдат поднесени извинения за причиненото неудобство, но от страна на Г.Б. било налице нежелание за диалог, поради което Н.М. изразява своето съжаление за тази грешка със становището по жалбата.
Информира комисията, че от страна на Г.Б. не е подавано искане за упражняване правата му като субект на данни преди подаване на сигнала и че в качеството ѝ на администратор на личните данни, считано от 15.08.2018 г. е предприела необходимите действия за привеждане на своята дейност съобразно изискванията на ОРЗД. 
 ”*****” ЕООД уточнява, че използвания от нея термин ”прехвърляне на лекарска практика” не е легално понятие и не е нормативно дефиниран. По същество, фактически този процес се случвал по начина, по който бил описан в становището по жалбата. За прехвърлянето на титуляра на медицинския софтуер и базата данни бил съставен приемо – предавателен протокол, а технически това било реализирано от фирмата доставила софтуерния продукт, която фирма извършвала и поддръжката му. Посочва, че с изключение на Г.Б., всички останали заявления били подписани от пациентите и надлежно подадени в РЗОК.
Прилага: регистрационна форма за постоянен избор на общопрактикуващ лекар от 05.06.2018 г., договор за правна защита и съдействие и приемо – предавателен протокол от 14.05.2018 г.
В отговор на искане за предоставяне на информация, Национална здравноосигурителна каса посочва, че ЗОЛ имат право свободно да избират лекар в лечебно заведение за първична медицинска извънболнична помощ на територията на страната, сключило договор с НЗОК. Този ред бил регламентиран в Наредбата за осъществяване правото на достъп до медицинска помощ и в Националните рамкови договори по чл. 53 от Закона за здравното осигуряване, понастоящем НРД за медицинските дейности за 2018 г. между НЗОК и БЛС. В посочените актове не била регламентирана възможността за прехвърляне/поемане на лекарска практика от един общопрактикуващ лекар на друг. Правото на избор на ОПЛ се упражнявало свободно от ЗОЛ, като за целта, последното попълвало регистрационна форма и я представяло на съответното лечебно заведение. Когато лечебното заведение, в което е избран ОПЛ няма сключен договор с НЗОК, ЗОЛ прави нов избор и я представя в съответното лечебно заведение. Попълването и подаването на регистрационната форма можело да стане и по електронен път. В случаите на такъв нов избор на ЗОЛ, била предвидена възможността последните да предоставят на новоизбрания лекар извлечение от медицинската документация. Копие от извлечение от медицинската документация се предоставяла на ЗОЛ при поискване от него от предишния общопрактикуващ лекар (чл. 130 НРД за медицински дейности за 2018 г.).
С решение на КЗЛД от проведено на 16.01.2018 г. заседание, обективирано в протокол   № 2/2019 г. подадената от Г.Б. жалба е обявена за редовна и допустима, тъй като съдържанието ѝ е съобразено с разпоредбите на чл. 30, ал. 1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация (ПДКЗЛДНА), съответно чл. 29, ал. 2 от Административнопроцесуалния кодекс (АПК); същата е подадена от физическо лице и има за предмет: използване на лични данни, отнасящи се до Г.Б., без негово знание и съгласие от ”*****” ЕООД с цел извършена промяна на личен лекар, чрез подаване на регистрационна форма за избор на общопрактикуващ лекар от 05.06.2018 г. на дата 02.07.2018 г. до РЗОК – П. и тяхното предоставяне на ”*****” ЕООД от ЕТ ”*****”, ЕИК *****; жалбата е подадена срещу ”******” ЕООД и ЕТ ”******”, ЕИК ****, имащи качеството на администратори на лични данни; жалбата е подадена до компетентен орган и в нормативно установения срок (нарушението е извършено на 02.07.2018 г., за което Г.Б. е узнал на 23.07.2018 г.; данните са предадени на 14.05.2018 г. от д-р И.Д. на д-р Н.М. и двата действащи в качеството си на законни представители), от лице с правен интерес, не са налице отрицателните предпоставки посочени в чл. 27, ал. 2 от Административнопроцесуалния кодекс.
На основание горното, като страни в административното производство са конституирани: жалбоподател: Г.Б. и ответни страни: ”*****” ЕООД, ЕИК ***** и ЕТ ”*****”, ЕИК *****, определена е дата за разглеждане на жалбата в открито заседание, изискано е становище по предмета на жалбата от ЕТ ”*****”, ЕИК *****, както и предоставянето на информация от РЗОК – П. относно резултата от извършената проверка по повод подадената от Г.Б. жалба до тях, вкл. регистрационната форма за промяна на общопрактикуващия лекар на Г.Б., подадена от д-р Н.М., ведно с информация относно от реда и начина на подаването ѝ.
В отговор на искане за предоставяне на информация,РЗОК – П. посочват, че на основание постъпил сигнал от Г.Б., РЗОК е извършила проверка на ”*****” ЕООД по месторазположение на практиката – в с. В. и с. О. В резултат на проверката било установено извършено нарушение от ”*****” ЕООД на условията и реда за оказване на извънболнична медицинска помощ, в частта ”избор на общопрактикуващ лекар”,регламентирани в НРД за МД за 2018 г., за което било наложено административно наказание на изпълнителя на ПИМП.
Според НРБ за МД за 2018 г. ежемесечно в срок до 17 часа на 3 – тия работен ден на месеца, следващ отчетния, изпълнителите на ПИМП представят в РЗОК – П. списък с новоизбралите ги ЗОЛ в утвърден от НЗОК формат и първите екземпляри от регистрационните форми за първоначален, постоянен и/или временен избор на хартиен носител.
Прилага:писмо с изх. № 35-13-4 от 15.08.2018 г. на Столична здравноосигурителна каса с приложен сигнал с вх. № 94-Б-701 от 25.07.2018 г. до РЗОК –София, заповед № 13/РД-09-1147 от 20.08.2018 г., обяснение с вх. № 13/29-05-934 от 21.08.2018 г., протокол № 487 от 24.08.2018 г., справка избор на общопрактикуващ лекар на ЗОЛ: Г.Б., списък са изпълнителите на ПИМП – Инидивидуални практики, регистрационна форма от 05.06.2018 г., писмо до директора на СЗОК – София с изх. № 13/35-22-13 от 24.08.2018 г., писмо до Г.Б. с изх. № 13/94-00-3761 от 24.08.2018 г., заповед за налагане на санкция № 13/РД-09-1226 от 04.09.2018 г., съпроводително писмо с изх. № 13/29.05.990/04.09.2018 г. ведно с известие за доставянето им.
ЕТ ”*****” изразява становище по жалбата, идентично с изразеното от ”*****” ЕООД становище. Допълнително в становището се посочва, че до 14.05.2018 г. д-р Н.М. е работила при него, като след тази дата тя поела неговата лекарска практика като общопрактикуващ лекар, извършвана в с. О. и с. В. и той започнал да работи при нея, че за целите на прехвърляне на лекарската практика били генерирани съответен брой регистрационни форми от медицинския софтуер, за да може всеки пациент при посещение в кабинета да попълни своята и д-р Н.М. да я подаде, както и че била направена проверка, в резултат на която се установило, че няма допуснати грешки по отношение на други пациенти.
Позовава се на установеното от РЗОК по случая като компетентния орган за надзора и контрола на дейността на ОПЛ и счита, че става дума за грешка, което било и основанието за налагане на санкция в минимален размер за нарушението.
Проведено е едно открито заседание на 27.02.2019 г., съобразно разпоредбата на чл. 39, ал. 1 от ПДКЗЛДНА. Жалбоподателя и ответната страна ЕТ ”*****” редовно уведомени, не се явяват и не изпращат представител, за ответната страна ”*****” ЕООД редовно уведомена, се явява адв. В.В. от САК, с пълномощно представено в заседание. Последната поддържа изразеното становище по жалбата, няма искания за събиране на други доказателства. Иска от комисията да остави жалбата без уважение по съображения, че в случая се касае за допусната техническа грешка.
Комисията за защита на личните данни след като обсъди становищата на страните в контекста на събраните по преписката доказателства, намира че жалбата е основателна и като такава същата следва да бъде уважена по долу изложените съображения.       
Не е спорно между страните, а и от събраните в производството доказателства се установява, че ответните страни обработват лични данни на жалбоподателя. Спора касае допустимостта на това обработване – употребата на негови лични данни от ”*****” ЕООД и тяхното предоставяне от ЕТ ”*****” на ”*****” ЕООД.
Безспорно е, а и от представени: справка за избор на ОПЛ: Г.Б. от РЗОК и електронна разпечатка от направена от Г.Б. проверка на личен лекар, се установява, че: 1. до 18.06.2009 г. личен лекар на жалбоподателя е д-р И.Д. – ЕТ ”*****”, 2. считано от 19.06.2009 г. личен лекар на жалбоподателя е д-р Е.П. - "А. - амбулатория за групова практика за първична медицинска помощ" ООД, 3. считано от 05.06.2018 г. личен лекар на жалбоподателя е д-р Н.М. - ”*****” ЕООД, 4. считано от 11.09.2018 г. личен лекар на жалбоподателя е д-р Е.П. - "А. - амбулатория за групова практика за първична медицинска помощ" ООД.
Безспорно е, че изборът по т. 1 е 2 е направен от жалбоподателя, а този по т. 3 – не, и че избора по т. 4 на практика е продиктуван от извършена промяна по т. 3.
Според становища на ответните страни (не се представят доказателства, като въпроса не е и спорен) до 14.05.2018 г. д-р Н.М. е работила при д-р И.Д. – ЕТ ”*****”, като след тази дата д-р И.Д. започнал работа при д-р Н.М. - ”*****” ЕООД, като последната поела лекарската практика на д-р И.Д. – ЕТ ”*****” в с. О. и с. В. За целите на последното ”*****” ЕООД приела организационната структура създадена от д-р И.Д., вкл. компютри, медицински софтуер, пациентска база данни, наброяваща приблизително 2800 пациента.Именно за целите на поемането/прехвърлянето на тази практика, била прехвърлена и пациентската база данни, съдържаща се в програмата на медицинския софтуер, ползван от ЕТ ”*****”.    
Видно от приемо – предавателен протокол от дата 14.05.2018 г. е, че в с. В.,  
д-р И.Д. в качеството си на законен представител на ЕТ ”*****” е предал своя достъп до медицински софтуер ”RescueSoft - nurсe”, заедно със съдържащата се в него пациентска база данни на ”*****” ЕООД, съдържащ информация, вкл. такава за жалбоподателя.
Безспорно е, а и от регистрационна форма за избор на общопрактикуващ лекар се установява, че формата е генерирана от медицински софтуер ”RescueSoft - nurсe” на дата 05.06.2018 г. Видно от тази форма е, че в същата е вписано като осигурено лице Г.Б. с посочени данни за три имена, ЕГН, предходен адрес, дата на раждане и мобилен телефонен номер, а като общопрактикуващ лекар - д-р Н.М. - ”*****” ЕООД. Видно от обсъжданата регистрационна форма е, че има положен подпис в графа ”осигурено лице”, и в графа ”лекар” – подпис и печат, като следва да се посочи, че тази форма е предоставена на КЗЛД от РЗОК – П.. Регистрационната форма, приложена от ”*****” ЕООД не съдържа подпис в графа ”осигурено лице”, и в графа ”лекар” – подпис и печат.
Видно от приложен списък на изпълнителите на ПИМП – Индивидуални практики – отчетен период месец юни 2018 г., преизбор на ОПЛ и предоставена информация от РЗОК – П., ведно с резултатите от извършената проверка по повод подадена до СЗОК- София жалба на Г.Б., е, че на дата 02.07.2018 г. д-р Н.М. е подала информация до РЗОК – П., като е отчела 239 броя регистрационни форми, сред които и тази с данни на Г.Б.
Според твърденията на ответните страни, в случая се касае за грешка, дължаща се най – общо на характеристиките и параметрите на използвания медицински софтуер ”RescueSoft - nurсe”. Твърденията са неоснователни, като е достатъчно да се изтъкне само и единствено факта, че характеристиките и параметрите на медицинския софтуер ”RescueSoft - nurсe” не предполагат възможност за поставянето на саморъчен подпис в графи ”осигурено лице” и ”лекар”.
Горното се потвърждава и от информацията на РЗОК – П., предоставена на КЗЛД, според която, съобразно НРД за МД за 2018 г. ежемесечно в срок до 17 часа на 3 – тия работен ден на месеца, следващ отчетния, изпълнителите на ПИМП представят в РЗОК – П. списък с новоизбралите ги ЗОЛ в утвърден от НЗОК формат и първите екземпляри от регистрационните форми за първоначален, постоянен и/или временен избор на хартиен носител, вкл. предоставената от НЗОК информация.
Видно от информацията на РЗОК – П. с приложени към нея документи е, че Г.Б. е сезирал РЗОК – София във връзка с извършена без негово знание и съгласие промяна на общопрактикуващ лекар, а именно замяна на избрания от него за такъв -
д-р Е.П. - "А. - амбулатория за групова практика за първична медицинска помощ" ООД с д-р Н.М. - ”*****” ЕООД, считано от 05.06.2018 г. Видно от предоставените материали е, че РЗОК – П. е установила за основателна жалбата, констатирала е извършено нарушение от ”*****” ЕООД на чл.131, ал.1 от НРД за 2018 г. във вр. с чл.4, ал.1, ал.3, изр.1 и чл.6, ал.1 от Наредба за осъществяване на правото на достъп до медицинска помощ, за това, че на дата 02.07.2018 г. е отчела регистрационна форма за промяна на ОПЛ за ЗОЛ – Г.Б., която е некоректна, поради факта, че същата не изхожда от него, за което е наложена имуществена санкция в размер на 50.00 лева.
С оглед на така установеното от фактическа страна се налага извод, че ЕТ ”*****” и ”*****” ЕООД по начало са администратори на лични данни, тъй като притежават качествата на лечебни заведения по смисъла на чл.3, ал.1 във вр. с чл.8, ал.1, т.1 от Закона за лечебните заведения и обработват данни в контекста на осъществяваната от тях дейност.
Качеството им на администратори на лични данни по смисъла на чл.3, ал.1 от ЗЗЛД/чл.4, §1, т.7 от ОРЗД спрямо жалбоподателя, произтича от факта, че ответните страни са обработили негови данни при операциите по предоставяне и употреба – предмет на жалбата, т.е. същите са задължени лица по ЗЗЛД/ОРЗД и като такива следва да изпълняват изискванията, които посочените актове предвиждат за администраторите на лични данни, вкл. принципите свързани с обработването на лични данни и условията за законосъобразното обработване на данните.
Предвид предмета на жалбата и с оглед наведените от ответните страни твърдения за допустимостта на обработването на данните се разглеждат като относими, освен разпоредбите на ЗЗЛД и ОРЗД и долу изложените разпоредби от съответните нормативни актове, регламентиращи въпроси от дейността, осъществявана от администраторите, вкл. тези които касаят предмета на жалбата. 
Според легалната дефиниция съдържаща се в чл.2, ал.2 от ЗЗЛД/чл.4, §1 от ОРЗД, лични данни са всяка информация свързана с физическо лице с установена или подлежаща на установяване самоличност и спрямо която информация са приложими общите условия за законосъобразното ѝ обработване – чл.4, ал.1 от ЗЗЛД/чл.6, §1 от ОРЗД. В същото време чл.5, ал.1, т.3 от ЗЗЛД/чл.9, §1 от ОРЗД посочва, че определена информация по чл.2, ал.2 от ЗЗЛД/чл.4, §1 от ОРЗД съставлява специална категория лични данни и спрямо тази информация се предвиждат други изисквания и условия, вкл. за обработването ѝ - чл.5, ал.1 от ЗЗЛД/чл.9, ал.1 от ОРЗД. Сред информацията, определена като специална категория лични данни е и тази за здравословното състояние на физическото лице, като в чл.5, ал.2 от ЗЗЛД/чл.9, §2 от ОРЗД са предвидени изключенията, при които се допуска обработването на такава информация.
Съгласно чл.27 от Закона за здравето (ЗЗ), здравна информация са личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация. Лечебните и здравните заведения, регионалните здравни инспекции, лекарите, лекарите по дентална медицина, фармацевтите и другите медицински специалисти, както и немедицинските специалисти с висше немедицинско образование, работещи в националната система за здравеопазване, събират, обработват, използват и съхраняват здравна информация. Формите и съдържанието, както и условията и редът за обработване, използване и съхраняване на медицинската документация и за обмен на медико-статистическа информация се определят с наредби на министъра на здравеопазването, съгласувани с Националния статистически институт.
Предвид посочените разпоредби, се налага извод, че информацията, която е предоставена от ЕТ ”*****” и ”*****” ЕООД за нуждите на ”прехвърлянето на лекарката практика” попада в приложното поле на специалната категория лични данни, тъй като се касае за данни за здравословното състояние на Г.Б. (с които ЕТ ”*****” разполага с оглед на това, че до 2009 г. д-р И.Д. от ЕТ ”*****” е личен лекар на жалбоподателя), поради което и за допустимостта на обработването на информацията, чрез предоставянето ѝ, се разглеждат предвидените за това условия чл.5, ал.2 от ЗЗЛД/чл.9, §2 от ОРЗД.
Чл.28 от ЗЗ указва случаите, при които здравна информация може да бъде предоставяна на трети лица, а именно: 1. лечението на лицето продължава в друго лечебно заведение; 2. съществува заплаха за здравето или живота на други лица, след уведомяване на съответното лице; 3. е необходима при идентификация на човешки труп или за установяване на причините за смъртта; 4. е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания; 5. е необходима за нуждите на медицинската експертиза и общественото осигуряване; 6. е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени; 7. е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт; 8. е необходима за нуждите на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел ІІ, буква "А" на приложение № 1 към Кодекса за застраховането.
Според чл.28б от ЗЗ, пациентът има право да получи от лечебното заведение здравната информация, отнасяща се до неговото здравословно състояние, включително копия от медицинските си документи. Същия има право да упълномощи писмено друго лице да се запознае с медицинските му документи, както и да направи копия от тях. При смърт на пациента неговите наследници и роднини по права и по съребрена линия до четвърта степен включително имат право да се запознаят със здравната информация за починалия, както и да направят копия от медицинските му документи.
Разпоредбата на чл.28в от ЗЗ задължава медицинските специалисти и служители в лечебните заведения да не разгласяват информация за пациента, която е получена при изпълнение на служебните им задължения.
От горните разпоредби на ЗЗ се установява, че разглеждания случай – операцията по предоставяне на данни, не попада в изключенията, при което закона допуска здравна информация да бъде предоставяна на трето лице, каквото се явява ”*****” ЕООД.
С оглед на това, че според ответните страни, предаването на здравната информация е продиктувано и от необходимостта за смяна на ОПЛ от страна на пациентите, обслужвани от ЕТ ”*****” , по – конкретно пациентите, чийто ОПЛ е бил д-р И.Д. с оглед заявено от тях желание да изберат за ОПЛ д-р Н.М., се взема предвид и изложеното по – долу, което от своя страна се разглежда и като относимо към операцията по обработване на лични данни на жалбоподателя чрез тяхното използване от страна на ”*****” ЕООД с цел смяна на ОПЛ. За последната операция се отчита и факта, че данните които са използвани за тази цел не попадат в приложното поле на специалната категория лични данни по чл.5, ал.1, т.3, предл.1 от ЗЗЛД/чл.9, §1 от ОРЗД, поради което при тази операция се изследват условията по чл.4, ал.1 от ЗЗЛД/чл.6, §1 от ОРЗД за законосъобразното обработване на данните.
Според чл.4 от Закона за здравното осигуряване (ЗЗО), задължителното здравно осигуряване гарантира свободен достъп на осигурените лица до медицинска помощ чрез определен по вид, обхват и обем пакет от здравни дейности, както и свободен избор на изпълнител, сключил договор с районна здравноосигурителна каса. Правото на избор е валидно за цялата територия на страната и не може да бъде ограничавано по географски и/или административни основания. Условията и редът за упражняване правото на достъп и свободен избор на осигурените лица до медицинска помощ се уреждат в наредбата по чл.81, ал.3 от Закона за здравето и в националните рамкови договори. Според чл.35 от ЗЗО, задължително осигурените имат право да получават медицинска помощ в обхвата на пакета от здравни дейности, гарантиран от бюджета на НЗОК; 2. да избират лекар от лечебно заведение за първична медицинска помощ, сключило договор с РЗОК; 3. на спешна помощ там, където попаднат; 4. да получават информация от РЗОК за договорите, сключени от нея с изпълнителите на медицинска помощ; да участват в управлението на НЗОК чрез свои представители; 6. да подават жалби пред директора на съответната РЗОК при нарушения на закона и на договорите; 7. да получат документ, необходим за упражняване на здравноосигурителните им права в съответствие с правилата за координация на системите за социална сигурност; 8. на трансгранично здравно обслужване по реда на глава втора, раздел ХІІ от закона.
Според съдържащите се в Наредба за осъществяване правото на достъп до медицинска помощ разпоредби и по – конкретно раздел втори, здравноосигурените лица имат право свободно да избират лекар в лечебно заведение за първична медицинска извънболнична помощ на територията на цялата страна, сключило договор с НЗОК. Изборът е личен (чл.4).Според чл.6здравноосигуреното лице упражнява правото си на избор на лекар, като попълва регистрационната форма за осъществяване правото му на избор и я представя на съответното лечебно заведение. Всяка календарна година в периода от 1 до 30 юни и от 1 до 31 декември здравноосигуреното лице може да избере друг лекар по този ред. Според чл.8 при констатирана от НЗОК трайна невъзможност на избрания лекар да оказва първична извънболнична помощ здравноосигуреното лице има право на нов избор, такъв има и при промяна на настоящия адрес, а при временно пребиваване в друго населено място –  право да получи първична извънболнична помощ от друг лекар, като представи форма за временен избор с валидност не по-малко от един и не повече от 5 месеца по регламентирания по – горе начин.
В чл.19 отнаредбата е посочено, че в случаите, когато здравноосигуреното лице направи нов избор на лекар, новоизбраното лечебно заведение за първична извънболнична помощ изисква извлечение от необходимата медицинска документация и уведомява РЗОК за новата регистрация.    
Според Раздел III ”Условия и ред за оказване на извънболнична медицинска помощ. Избор на общопрактикуващ лекар, условия и ред за оказване на ПИМП” първоначален избор на ОПЛ може да се осъществи по всяко време с регистрационна форма за избор - чл.126. Този избор може да бъде променен от 1 до 30.VI.2018 г. и от 1 до 31.ХII.2018 г., с изключение на случаите на прекратяване на договор с изпълнител на ПИМП – тогава промяната се заявява и извън този срок. За целта ЗОЛ, желаещо да направи постоянен избор, представя на новоизбрания ОПЛ: 1. здравноосигурителна книжка, в която новоизбраният ОПЛ вписва трите си имена и датата на избора; 2. третия екземпляр от регистрационната форма за избор на ОПЛ, в случай че няма здравноосигурителна книжка; 3. попълнена регистрационна форма за постоянен избор – чл.127. Според чл.128 в случаите на първоначален, постоянен или временен избор на ОПЛ ЗОЛ могат да осъществят правото си на избор, като закупят регистрационни форми или попълнят разпечатани образци от официалната интернет страница на НЗОК, вкл.да попълни и изпрати на избрания от него ОПЛ регистрационна форма за първоначален, постоянен или временен избор по електронен път, безплатно, при условията и по реда на Закона за електронния документ и електронния подпис (ЗЕДЕП) чрез електронна услуга, предоставяна от НЗОК. Съгласно чл.130 в случаите, когато ЗОЛ направи нов избор на ОПЛ, ЗОЛ предоставя на новоизбрания ОПЛ извлечение от медицинската документация (в т. ч. и за проведените имунизации). Извлечение с копия от необходимата медицинска документация се предоставя на ЗОЛ при поискване от него от предишния ОПЛ.На основание чл.131 ежемесечно в срока и по реда на чл.207 от НРД изпълнителите на ПИМП представят в съответната РЗОК списък с новоизбралите ги ЗОЛ в утвърден от НЗОК формат и първите екземпляри от регистрационните форми за първоначален, постоянен и/или временен избор на хартиен носител. Районната здравноосигурителна каса обработва подадената информация от всички изпълнители, като за всеки от тях отчита:1. имената и броя на лицата, отпаднали от регистъра му поради промяна в избора или друго обстоятелство; 2. броя и имената на новорегистрираните лица; 3. окончателния брой на лицата от регистъра след отчитане на броя на лицата по т. 1 и 2. В срок до 5 работни дни след изтичане на срока по ал. 1 РЗОК предоставя по електронен път на регистрираните ОПЛ в електронния портал на НЗОК актуална пациентска листа към последно число на отчетния месец чрез портала на НЗОК.
На основание горното следва да се приеме, че за целите на смяната на ОПЛ и самата смяна не се налага предаване на здравна информация за здравноосигурените лица от един на друг ОПЛ.
За целите на смяната на ОПЛ и самата смяна на ОПЛ, съставляваща личен избор, който се упражнява от здравноосигурените лица, по предвиден в нормативните актове ред и начин, също не се налага и не се предвижда възможност даден ОПЛ да заяви промяна на ОПЛ без съгласието на ЗОЛ, т.е. за използването на данни от ОПЛ, в случая за жалбоподателя от ”*****” за жалбоподателя.
 Както по – горе бе посочено, изключенията, при които се допуска обработва на информация, която попада в приложното поле на чл.5, ал.1 от ЗЗЛД/чл.9, §1 от ОРЗД са регламентирани в чл.5, ал.2 от ЗЗЛД/чл.9, §2 от ОРЗД. Следва да се посочи, че идентични с предвидените в ЗЗЛД изключения са предвидени и в ОРЗД, като последния разширява обхвата им, но по същество изключенията остават непроменени в своите основни характеристики.
 Пред видн установените факти по отношение на операцията по предоставяне на лични данни, се разглеждат по – специално чл.5, ал.2, т.2 – наличие на съгласие на субекта на данни и т.6 от ЗЗЛД – за целите на медицинската диагностика, предоставянето или управлението на здравни услуги от ЗЗЛД /чл.9, §2, б.”а”, б.”з” от ОРЗД, тъй като останалите изключения на практика са неприложими, още повече че не се установяват данни по преписката за наличието на такива, а и не са наведени твърдения в тази насока от администратора ”*****”, поради което същите не следва да се обсъждат.
 Безспорно е установено, че жалбоподателя не е дал съгласие за предоставяне на негови данни от ”*****” на ”*****”, нещо повече предоставянето на данните е извършено без негово знание. 
 Безспорно е установено, че предоставянето на данните от ”*****” на ”*****” не е свързано и не се налага за целите на медицинската диагностика, осигуряване на здравни грижи или лечение или за целите на управлението на услугите и системите за здравеопазване, тъй като разпоредбите от специалното законодателство, коментирани по – горе не предвиждат необходимост и задължение за обработване на тази информация по този ред и начин, по който същата е обработена от ”*****”.
 В този смисъл жалбата се явява основателна по отношение на ”*****”, тъй като не се установи наличие на което и да било от посочените в чл.5, ал.2 от ЗЗЛД/чл.9, §2 от ОРЗД изключения, допускащи обработването на специална категория лични данни, с което администратора е извършил нарушение на чл.2, ал.2, т.1 във вр. с чл.5, ал.2 във вр. ал.1, т.3, предл.1 от ЗЗЛД/ чл.5, §1, б.”а” във вр. с чл.9, §2 във вр. с §1 от ОРЗД– принцип на законосъобразността, за това че на дата 14.05.2018 г. е предал неговия достъп до медицинския софтуер ”RescueSoft - nurсe” на ”*****” ЕООД, ЕИК *****, заедно със съдържащата се в него пациентска база данни, вкл. здравна информация за жалбоподателя без правно основание за това.
 По отношение на операцията по обработване на лични данни от ”*****”, чрез тяхната употреба се разглеждат общите условия за законосъобразното обработване на лични данни, регламентирани в чл.4, ал.1 от ЗЗЛ/чл.6 от ОРЗД. И тук следва да се посочи, че идентични с предвидените в ЗЗЛД условия са предвидени и в ОРЗД.
 Пред вид установените факти при тази операция по обработване се разглеждат по – специално чл.4, ал.1, т.1 – наличие на нормативно установено задължение и т.2 – наличие на съгласие от субекта на данните от ЗЗЛД/чл. 6, §1, б.”а” и б. ”в” от ОРЗД, тъй като останалите условия на практика са неприложими, още повече че не се установяват данни по преписката за наличието на такива, а и не са наведени твърдения в тази насока, поради което същите не следва да се обсъждат.
 Безспорно се установи, че при тази операция по обработване на личните данни на жалбоподателя не е налице изразено съгласие от последния. И тук използването на неговите данни е станало без негово знание. Разпоредбите от специалните нормативни актове не предвиждат задължение или възможност за обработване на данни с цел промяна на ОПЛ без съгласие на ЗОЛ.
 В този смисъл жалбата се явява основателна и по отношение на ”*****”, тъй като не се установи наличие на което и да било от посочените в чл.5, ал.2 от ЗЗЛД/чл.9, §2 от ОРЗД условия за законосъобразно обработването на личните данни, с което администратора - ”*****” е извършил нарушение на чл.2, ал.2, т.1 във вр. с чл.4, ал.1 от ЗЗЛД/ чл.5, §1, б.”а” във вр. с чл.6, §1 от ОРЗД, за това че е използвал лични данни на Г.Б. с цел промяна на ОПЛ, чрез подаване на регистрационна форма за избор на общопрактикуващ лекар от 05.06.2018 г. на дата 02.07.2018 г. до РЗОК – П., без правно основание за това.
 На основание горното и вземайки предвид факта, че считано от 25.05.2018 г. се прилага Общия регламент относно защитата на данните (чл. 94) и съобразнопредвидените в чл. 58, § 2 от регламента корективни правомощия, КЗЛД счита, че спрямо всеки един от администраторите на лични данни следва да се приложи като най – подходяща мярка, предвидената в б.”и” - налагане на административно наказание – санкция, всяка в размер на 1000.00 лева, за извършеното от съответния администратор нарушение.
 Мотивите за определяне на административно наказание - имуществената санкция като най – подходяща мярка спрямо всеки един от администраторите и нейния размер като справедлив такъв се свеждат до следното, което се отнася и до двамата администратора: предвидените в чл.58, §2 от ОРЗД мерки са приложими в случаи, при които се касае за неизпълнение на задължение от страна на администратор, довело до нарушение, при което с предприемане на последващи действия от негова страна би било възможно нарушението да се отстрани. В разглежданите в настоящото производство случаи корективните мерки по букви ”а“ – ”з“ и буква ”й“ на член 58, параграф 2 от регламента не са неприложими доколкото нарушението е вече извършено, поради което същите не биха могли да постигнат преследваната цел, а именно да са ефективни, пропорционални и възпиращи. Единствено имуществената санкция, като корективна мярка по член 58, параграф 2, буква ”и“ от регламента, се явява най - целесъобразна и ефективна като мярка за справяне със съответното нарушение. В този смисъл следва да се отбележи, че освен чисто санкционна мярка, реакция на държавата към извършеното нарушение на нормативно установените правила, имуществената санкция има и дисциплиниращо действие, с оглед неизвършването на същото нарушение за напред.
 По отношение на администратора на лични данни - ЕТ ”*****” допълнително следва да се посочи, че нарушението касае информация, попадаща в приложното поле на специалната категория лични данни, като освен данни за жалбоподателя, по информация и на двете ответните страни, такава е предоставена за около 2800 души за целите на ”прехвърлянето”; нарушението е извършено на 14.05.2018 г., няма данни за настъпили вреди от страна на жалбоподателя; данните са предадени без правно основание, а не в контекста на съществуващо основание и допуснато отклонение от предписаното; няма данни за предприемане на последващи действия във връзка с така извършеното нарушение – според данните по преписката и към настоящия момент ”*****” ЕООД има достъп до предадените ѝ данни; не са представени технически и организационни мерки за защита на данни или други документи и правила за тяхната обработка; няма данни за извършени предходни нарушения; не е оказано съдействие на административния орган с цел отстраняване на нарушението и смекчаване на евентуални неблагоприятни последици от него; за нарушението КЗЛД е сезирана с жалба; няма данни за предаването на данните ЕТ ”*****” да е уведомил жалбоподателя; няма данни по б. ”й” на чл. 58, § 2 от ОРЗД за одобрени кодекси на поведение или механизми за сертифициране.
 По отношение на администратора на лични данни - ”*****” ЕООД допълнителноследва да се посочи, че: нарушението не касае специална категория лични данни на жалбоподателя; нарушението е извършено на 07.02.2018 г. когато е заявена промяна на ОПЛ; считано от 05.06.2018 г. до дата 10.09.2018 г. същата се води ОПЛ; на административния орган от този администратор е представена форма различна от представената в РЗОК – П., като от предоставена от касата форма се установява, че последната носи подпис в графа осигурено лице, за разлика от представената от администратора, т.е. налице е съзнателно използване на неистински документ за целите на производството; няма данни за настъпили вреди от страна на жалбоподателя; данните са използвани без правно основание, а не в контекста на съществуващо основание и допуснато отклонение от предписаното; няма данни за предприети действия за отстраняване на нарушението след узнаването му, вкл. не са представени доказателства за това;  направена е нова смяната на ОПЛ от страна на жалбоподателя, продиктувана от нарушението, съобразно неговия избор и съгласно указанията на РЗОК – П.; не са представени технически и организационни мерки за защита на данни или други документи и правила за тяхната обработка; няма данни за извършени предходни нарушения; не е оказано съдействие на административния орган с цел отстраняване на нарушението и смекчаване на евентуални неблагоприятни последици от него; за нарушението КЗЛД е сезирана с жалба; няма данни за използването на данните администратора да е уведомил жалбоподателя; няма данни по б.”й” на чл. 58, § 2 от ОРЗД за одобрени кодекси на поведение или механизми за сертифициране; към настоящия момент администратора обработва данни (съхранява) и то такива, попадащи в специалната категория лични данни, вкл. на жалбоподателя и на около 2800 души без правно основание, предвид факта, че ”поемането на лекарската практика” не налага предаване на пациентската база данни от един на друг ОПЛ, т.е. данни до датата на евентуално настъпила промяна се обработват без основание.
 Така мотивирана и на основаниечл. 38, ал. 2 от ЗЗЛД във връзка с чл. 39, ал. 2 от ПДКЗЛДНА, Комисията за защита на личните данни
РЕШИ:
1. Обява за основателна жалба рег. № ППН-01-622 от 27.07.2018 г. на Г.Б. по отношение на ЕТ ”*****”, ЕИК **** за извършено нарушение по чл.2, ал.2, т.1 вр. с чл.5, ал.2 вр. ал.1, т.3, предл. 1 от ЗЗЛД/ чл.5, §1, б.”а” вр. с чл.9, §2 вр. §1 от ОРЗД – принцип на законосъобразността и по отношение на ”*****” ЕООД, ЕИК ***** за извършено нарушение по чл.2, ал.2, т.1 вр. с чл.4, ал.1 от ЗЗЛД/ чл.5, §1, б.”а” вр. с чл.6, §1 от ОРЗД – принцип на законосъобразността.
2. Във връзка с т. 1 и на основание чл.58, §2, б.”и” вр. чл.83, §5, б.”а” от ОРЗД налага на всеки един от администраторите на лични данни административно наказание – имуществена санкция в размер от по 1 000.00 (хиляда лева).
 Решението на Комисията за защита на личните данни може да се обжалва пред Административен съд София – град в 14 - дневен срок от получаването му.
След влизане в сила на настоящето решение, сумите по наложените наказания да бъдат преведени по банков път: Банка БНБ - ЦУ IBAN: BG18BNBG96613000158601 BIC BNBGBGSD - Комисия за защита на личните данни, Булстат 130961721.
 
    ЧЛЕНОВЕ:
    
   Цанко Цолов /п/
       Цветелин Софрониев /п/
       Веселин Целков

 


Файлове за сваляне

Решение по жалба с рег. № ППН-01-622/27.07.2018 г.


Комисия за защита на личните данни, София 1592, бул. „Проф. Цветан Лазаров” № 2
Cookie Settings