6.6.2009 |
LT |
Europos Sąjungos oficialusis leidinys |
C 128/20 |
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl Europos Parlamento ir Tarybos direktyvos dėl pacientų teisių į sveikatos priežiūros paslaugas kitose valstybėse narėse įgyvendinimo projektas
2009/C 128/03
EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS,
atsižvelgdamas į Europos bendrijos steigimo sutartį, ypač į jos 286 straipsnį,
atsižvelgdamas į Europos Sąjungos pagrindinių teisių chartiją, ypač į jos 8 straipsnį,
atsižvelgdamas į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo,
atsižvelgdamas į 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo, ypač į jo 41 straipsnį,
atsižvelgdamas į 2008 m. liepos 2 d. EDAPP pateiktą prašymą pateikti nuomonę pagal Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalį,
PRIĖMĖ ŠIĄ NUOMONĘ:
I. ĮVADAS
Pasiūlymas dėl direktyvos dėl pacientų teisių į sveikatos priežiūros paslaugas kitose valstybėse narėse įgyvendinimo
1. |
2008 m. liepos 2 d. Komisija priėmė pasiūlymą dėl Europos Parlamento ir Tarybos direktyvos dėl pacientų teisių į sveikatos priežiūros paslaugas kitose valstybėse narėse įgyvendinimo (toliau – pasiūlymas) (1). Pagal Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalį Komisija, norėdama pasikonsultuoti, nusiuntė pasiūlymą EDAPP. |
2. |
Pasiūlymu siekiama nustatyti tarpvalstybinio sveikatos priežiūros paslaugų teikimo ES Bendrijos sistemą tiems atvejams, kai sveikatos priežiūros paslaugos, kurias pacientas nori gauti, yra teikiamos ne jo gyvenamosios vietos šalyje, o kitoje valstybėje narėje. Ši sistema kuriama reglamentuojant tris pagrindines sritis:
|
3. |
Šios sistemos tikslai dvejopi: pakankamai aiškiai reglamentuoti teises į kitose valstybėse narėse suteiktų sveikatos priežiūros paslaugų išlaidų apmokėjimą ir užtikrinti, kad būtini kokybiškų, saugių bei efektyvių sveikatos priežiūros paslaugų reikalavimai būtų taikomi kitose valstybėse narėse gaunamoms priežiūros paslaugoms. |
4. |
Tam, kad būtų įgyvendinama tarpvalstybinio sveikatos priežiūros paslaugų teikimo sistema reikia, kad skirtingų valstybių narių įgaliotos organizacijos bei sveikatos priežiūros srities specialistai keistųsi atitinkamais su pacientų sveikata susijusiais asmens duomenimis (toliau – sveikatos duomenys). Šie duomenys laikomi konfidencialiais, todėl jiems taikomos griežtesnės duomenų apsaugos taisyklės, nustatytos Direktyvos 95/46/EB 8 straipsnyje dėl ypatingų duomenų kategorijų. |
Konsultavimasis su EDAPP
5. |
EDAPP palankiai vertina tai, kad vadovaujantis Reglamento (EB) Nr. 45/2001 28 straipsniu su juo konsultuojamasi šiuo klausimu ir kad tai yra nurodyta pasiūlymo preambulėje. |
6. |
Dėl pasiūlymo dėl direktyvos sveikatos priežiūros srityje su EDAPP oficialiai konsultuotasi pirmą kartą. Todėl šioje nuomonėje kai kurios pateiktos pastabos yra platesnio pobūdžio, skirtos bendriems asmens duomenų apsaugos sveikatos priežiūros sektoriuje klausimams, bei galėtų būti taikomos ir kitiems atitinkamiems teisės aktams (privalomiems ar neprivalomiems). |
7. |
Jau nuomonės pradžioje EDAPP norėtų pareikšti, kad pritaria iniciatyvoms, kuriomis gerinamos tarpvalstybinio sveikatos priežiūros paslaugų teikimo sąlygos. Iš tiesų šį pasiūlymą reikėtų nagrinėti bendros EB programos, skirtos gerinti piliečių sveikatą informacinėje visuomenėje, kontekste. Kitos iniciatyvos šioje srityje yra Komisijos numatyta direktyva ir komunikatas dėl žmogaus organų donorystės ir persodinimo (2), rekomendacija dėl elektroninių sveikatos įrašų sistemų suderinamumo (3) ir numatytas komunikatas dėl telemedicinos (4). Tačiau EDAPP yra susirūpinęs dėl to, kad visos šios susijusios iniciatyvos nėra glaudžiai susietos ir (arba) susijusios tarpusavyje privatumo ir duomenų saugumo srityje, ir dėl to atsiranda trukdžių taikyti vienodą duomenų apsaugos metodą sveikatos priežiūros srityje, visų pirma naujų IRT technologijų naudojimo atžvilgiu. Kaip pavyzdį šiame pasiūlyme galima paminėti tai, kad nors telemedicina yra aiškiai paminėta siūlomos direktyvos 10 konstatuojamojoje dalyje, nėra jokios nuorodos į atitinkamo Europos Komisijos komunikato duomenų apsaugos aspektą. Be to, nors elektroniniai sveikatos įrašai yra vienas iš galimų būdų vykdyti tarpvalstybinį sveikatos duomenų perdavimą, nėra pateikta jokios nuorodos į privatumo užtikrinimo klausimus, nagrinėtus atitinkamoje Komisijos rekomendacijoje (5). Dėl to susidaro įspūdis, kad bendra privatumo užtikrinimo sveikatos priežiūros srityje perspektyva tebėra neaiškiai apibrėžta, o kai kuriais atvejais jos iš viso nėra. |
8. |
Tai akivaizdu ir šiame pasiūlyme, todėl EDAPP apgailestauja, kad duomenų apsaugos aspektai nėra konkrečiai reglamentuoti. Be abejo, galima rasti nuorodų į duomenų apsaugą, tačiau jos yra daugiausia bendro pobūdžio ir tinkamai neatspindi specifinių su privatumu susijusių poreikių bei reikalavimų tarpvalstybinio sveikatos priežiūros paslaugų teikimo srityje. |
9. |
EDAPP nori pabrėžti, kad vienodas ir patikimas duomenų apsaugos metodas visuose siūlomuose sveikatos priežiūros srities teisės aktuose ne tik užtikrins piliečių pagrindinę teisę į jų asmens duomenų apsaugą, bet ir padės toliau plėtoti tarpvalstybinį sveikatos priežiūros paslaugų teikimą ES. |
II. DUOMENŲ APSAUGA TEIKIANT SVEIKATOS PRIEŽIŪROS PASLAUGAS KITOSE VALSTYBĖSE NARĖSE
Bendras kontekstas
10. |
Plačiausiai žinomas Europos bendrijos tikslas buvo sukurti vidaus rinką – erdvę be vidaus sienų, kurioje būtų užtikrintas laisvas prekių, asmenų, paslaugų ir kapitalo judėjimas. Akivaizdu, tai, kad buvo sudarytos galimybės piliečiams lengviau atvykti ir apsigyventi ne savo kilmės, o kitose valstybėse narėse, nulėmė tai, kad kilo su sveikatos priežiūra susijusių klausimų. Todėl dešimtajame dešimtmetyje Teisingumo Teismas vidaus rinkos kontekste susidūrė su klausimais dėl kitoje valstybėje narėje patirtų medicininių išlaidų galimo kompensavimo. Teisingumo Teismas pripažino, kad laisvė teikti paslaugas, nustatyta EB sutarties 49 straipsnyje, apima asmens laisvę atvykti į kitą valstybę narę tam, kad gautų gydymą (6). Todėl pacientams, norintiems gauti sveikatos priežiūros paslaugas kitoje valstybėje narėje, nebegalėjo būti taikomos kitokios sąlygos nei savo kilmės šalyje esantiems piliečiams, gavusiems tokį patį gydymą nekirtus sienos. |
11. |
Šie teismo sprendimai yra esminiai šio pasiūlymo atžvilgiu. Kadangi Teismo praktika grindžiama atskiromis bylomis, šiuo pasiūlymu siekiama aiškiau reglamentuoti šią sritį siekiant bendriau ir veiksmingiau įgyvendinti laisvę gauti ir teikti sveikatos paslaugas. Tačiau, kaip jau minėta, šis pasiūlymas taip pat yra platesnio užmojo programos, kuria siekiama gerinti piliečių sveikatą informacinėje visuomenėje, dalis, o ES mato plačias galimybes gerinti tarpvalstybinį sveikatos priežiūros paslaugų teikimą pasitelkiant informacines technologijas. |
12. |
Dėl akivaizdžių priežasčių tarpvalstybinį sveikatos priežiūros paslaugų teikimą reglamentuojančių taisyklių nustatymas yra opus klausimas. Jis susijęs su opia sritimi, kurioje valstybės narės yra nustačiusios skirtingas nacionalines sistemas, pavyzdžiui, draudimo ir išlaidų kompensavimo ar sveikatos priežiūros infrastruktūros organizavimo atžvilgiu, įskaitant sveikatos priežiūros informacinius tinklus ir taikomąsias programas. Nors Bendrijos teisės aktų leidėjas šiame pasiūlyme reglamentuoja tik tarpvalstybinį sveikatos priežiūros paslaugų teikimą, šios taisyklės turės įtakos bent tam, kaip organizuojamos nacionalinės sveikatos priežiūros sistemos. |
13. |
Tarpvalstybinio sveikatos priežiūros paslaugų teikimo sąlygų gerinimas bus naudingas piliečiams. Tačiau dėl to tuo pat metu kils ir tam tikra rizika piliečiams. Reikia išspręsti daug praktinių problemų, atsirandančių žmonėms iš skirtingų šalių, kalbantiems skirtingomis kalbomis, bendradarbiaujant tarpvalstybiniu lygiu. Kadangi gera sveikata kiekvienam piliečiui yra itin svarbi, reikėtų panaikinti bet kokią riziką, kad gali kilti bendravimo sunkumų ir dėl to atsirasti netikslumų. Neabejotina, kad tarpvalstybinio sveikatos priežiūros paslaugų teikimo sąlygų gerinimas kartu pasitelkiant informacinių technologijų laimėjimus, turi labai didelę reikšmę asmens duomenų apsaugai. Dėl veiksmingesnio ir todėl intensyvėjančio keitimosi sveikatos duomenimis, didėjančio atstumo tarp žmonių ir atitinkamų instancijų, skirtingų nacionalinių teisės aktų, kuriais įgyvendinamos duomenų apsaugos taisyklės, kyla klausimų dėl duomenų saugumo ir teisinio tikrumo. |
Sveikatos duomenų apsauga
14. |
Reikia pabrėžti, kad sveikatos duomenys laikomi ypatinga duomenų kategorija, kurią reikia labiau saugoti. Kaip neseniai nurodė Europos žmogaus teisių teismas Europos žmogaus teisių konvencijos 8 straipsnio kontekste: „Asmens duomenų, visų pirma medicininių duomenų, apsauga yra esminės svarbos tam, kad asmuo galėtų naudotis savo teise į tai, kad būtų gerbiamas jo asmeninis ir jo šeimos gyvenimas, kaip užtikrinta Konvencijos 8 straipsnyje“ (7). Prieš aiškinant direktyvoje 95/46/EB nustatytas griežtesnes sveikatos duomenų tvarkymo taisykles, bus pateikti keli pastebėjimai dėl sąvokos „sveikatos duomenys“. |
15. |
Direktyvoje 95/46/EB nėra pateiktos aiškios sveikatos duomenų sąvokos apibrėžties. Paprastai šį sąvoka aiškinama plačiai, dažnai sveikatos duomenis apibrėžiant kaip „asmens duomenis, kurie yra aiškiai ir glaudžiai susiję su asmens sveikatos būklės apibūdinimu“ (8). Šiuo atžvilgiu sveikatos duomenys paprastai apima medicininius duomenis (pvz., gydytojo nukreipimai ir receptai, sveikatos patikrinimo išvados, laboratoriniai tyrimai, radiogramos ir pan.) ir su sveikata susijusius administracinius bei finansinius duomenis (pvz., dokumentai, susiję su hospitalizacija, socialinio draudimo numeris, registracijos konsultacijoms laikas, sąskaitos už suteiktas sveikatos priežiūros paslaugas ir pan.). Pažymėtina, kad sąvoka „medicininiai duomenys“ (9), kaip ir sąvoka „duomenys apie sveikatos priežiūros paslaugas“ (10), taip pat kartais naudojama su sveikata susijusiems duomenims apibūdinti. Visoje šioje nuomonėje bus vartojama sąvoka „sveikatos duomenys“. |
16. |
Naudinga sąvokos „sveikatos duomenys“ apibrėžtis nustatyta ISO 277799: „bet kokia informacija, susijusi su asmens fizine ar psichine sveikata arba su sveikatos priežiūros paslaugų teikimu asmeniui, kuri gali būti: a) informacija apie asmens registraciją, kad būtų suteiktos sveikatos priežiūros paslaugos; b) su tuo asmeniu susijusi informacija apie mokėjimus ar reikalavimų sveikatos priežiūros paslaugoms gauti atitiktį; c) numeris, simbolis ar detalė, priskirti asmeniui, kad sveikatos tikslais būtų galima nustatyti būtent jo tapatybę; d) bet kokia informacija apie asmenį, surinkta teikiant jam sveikatos priežiūros paslaugas; e) informacija, gauta atlikus kūno dalies ar organizmo medžiagos tyrimus ar patikrinimą; ir f) asmens (sveikatos priežiūros srities specialisto), teikiančio atitinkamam asmeniui sveikatos priežiūros paslaugas, tapatybės nustatymas“. |
17. |
EDAPP itin palankiai vertintų tai, kad šiame pasiūlyme būtų priimta konkreti sąvokos „sveikatos duomenys“ apibrėžtis, kuri taip pat galėtų būti naudojama ateityje kituose atitinkamuose EB teisės aktų tekstuose (žr. III skirsnį). |
18. |
Direktyvos 95/46/EB 8 straipsnyje nustatytos ypatingų duomenų kategorijų tvarkymo taisyklės. Šios taisyklės yra griežtesnės nei kitų duomenų tvarkymo taisyklės, nustatytos Direktyvos 95/46/EB 7 straipsnyje. Tai paaiškėja jau iš 8 straipsnio 1 dalies, kurioje aiškiai nurodyta, kad valstybės narės uždraudžia tvarkyti, inter alia, duomenis apie asmens sveikatą. Kitose šio straipsnio dalyse suformuluota keletas šiam draudimui taikomų išimčių, tačiau šios išimtys yra siauresnės nei 7 straipsnyje nustatyti įprastų duomenų tvarkymo pagrindai. Pavyzdžiui, šis draudimas netaikomas, jeigu duomenų subjektas yra davęs savo aiškų sutikimą (Direktyvos 95/46/EB 8 straipsnio 2 dalies a punktas), o 95/46/EB 7 straipsnio a punkte reikalaujama, kad duomenų subjektas būtų nedviprasmiškai davęs sutikimą. Be to, valstybės narės įstatymai gali numatyti, kad tam tikrais atvejais šio draudimo negalima panaikinti duomenų subjekto duotu sutikimu. 8 straipsnio 3 dalis reglamentuojamas tik su sveikata susijusių duomenų tvarkymas. Vadovaujantis šia dalimi, 1 dalyje numatytas draudimas netaikomas, kai duomenis reikia tvarkyti teikiant profilaktines medicinos, medicininės diagnostikos, medicinos priežiūros, gydymo, sveikatos apsaugos paslaugas ir kai tokius duomenis tvarko sveikatos apsaugos darbuotojas, kuriam pagal nacionalinius įstatymus arba nacionalinių kompetentingų institucijų nustatytas taisykles galioja profesinės paslapties saugojimo pareiga, arba kitas asmuo, kuriam irgi galioja lygiavertė paslapties saugojimo prievolė. |
19. |
Direktyvos 95/46/EB 8 straipsnyje itin akcentuojama tai, kad valstybės narės turėtų numatyti tinkamas ar pakankamas apsaugos priemones. 8 straipsnio 4 dalyje, pavyzdžiui, nustatyta, kad dėl svarbių visuomenės interesų valstybės narės gali numatyti ir kitas draudimui tvarkyti konfidencialius duomenis taikomas išimtis, bet turi užtikrinti tinkamas apsaugos priemones. Šia nuostata bendrai akcentuojama valstybių narių atsakomybė ypatingą dėmesį skirti konfidencialių, pavyzdžiui, su sveikata susijusių, duomenų tvarkymui. |
Sveikatos duomenų apsauga vykdant tarpvalstybinį keitimąsi šiais duomenimis
20. |
Valstybės narės turėtų ypač gerai suvokti šią bendrą atsakomybę, kadangi kalbama apie tarpvalstybinį keitimąsi sveikatos duomenimis. Kaip nurodyta pirmiau, vykdant tarpvalstybinį keitimąsi sveikatos duomenimis didėja pavojus, kad duomenys bus tvarkomi neteisingai ar neteisėtai. Akivaizdu, tai gali turėti itin didelių neigiamų pasekmių duomenų subjektui. Kadangi šiame procese dalyvauja ir valstybė narė, kurioje pacientas apdraustas (kurioje pacientas yra apdraustas asmuo), ir valstybė narė, kurioje teikiamos sveikatos priežiūros paslaugos (kurioje faktiškai teikiamos sveikatos priežiūros paslaugos pacientams iš kitų valstybių narių), jos abi dalijasi šia atsakomybe. |
21. |
Sveikatos duomenų saugumas šiame kontekste yra svarbus klausimas. Pirmiau cituotoje neseniai svarstytoje byloje Europos žmogaus teisių teismas ypač daug dėmesio skyrė sveikatos duomenų konfidencialumui: „Sveikatos duomenų konfidencialumo užtikrinimas yra vienas iš esminių visų Konvencijos Susitariančiųjų Šalių teisės sistemų principas. Labai svarbu ne tik gerbti paciento privatumo jausmą, bet ir išsaugoti jo pasitikėjimą gydytojo profesija bei apskritai sveikatos priežiūros paslaugomis“ (11). |
22. |
Direktyvoje 95/46/EB nustatytose duomenų apsaugos taisyklėse taip pat reikalaujama, kad valstybė narė, kurioje pacientas apdraustas, pacientui suteiktų tinkamą, tikslią ir atnaujintą informaciją apie paciento asmens duomenų perdavimą kitai valstybei narei, tuo pat metu užtikrindama, kad duomenų perdavimas šiai valstybei narei būtų saugus. Valstybė narė, kurioje teikiamos sveikatos priežiūros paslaugos, pagal savo nacionalinę duomenų apsaugą reglamentuojančią teisę taip pat turėtų užtikrinti, kad šie duomenys būtų gauti saugiai, ir tinkamą apsaugos lygį tuomet, kai jie yra iš tiesų tvarkomi. |
23. |
EDAPP norėtų, kad pasiūlyme būtų aiškiai apibrėžta valstybių narių bendra atsakomybė, be kita ko atsižvelgiant į duomenų perdavimą elektroninėmis priemonėmis, ypač naujų IRT taikomųjų programų kontekste, kaip aptarta toliau šioje nuomonėje. |
24. |
Iš esmės nustatyta, kad tarpvalstybinis keitimasis sveikatos duomenimis gerinamas pasitelkiant informacines technologijas. Nors keitimasis duomenimis tarpvalstybinio sveikatos priežiūros paslaugų teikimo sistemoje vis dar gali vykti naudojantis popieriuje surašytais dokumentais (pvz., pacientas atvyksta į kitą valstybę narę su savimi pasiimdamas visus atitinkamus savo sveikatos duomenis, tokius kaip laboratoriniai tyrimai, gydytojo nukreipimai ir pan.), aiškiai ketinama vietoje to naudotis elektroninėmis priemonėmis. Perduodant sveikatos duomenis elektroninėmis priemonėmis bus pasitelkiamos sveikatos priežiūros informacinės sistemos, sukurtos (ar kurios turi būti sukurtos ateityje) valstybėse narėse (ligoninėse, klinikose ir pan.), naujos technologijos, pavyzdžiui, elektroninių sveikatos priežiūros įrašų taikomosios programos (galbūt veikiančios internete), ir kitos priemonės, pavyzdžiui, pacientų ir gydytojo sveikatos kortelės. Žinoma, taip pat įmanoma, kad priklausomai nuo valstybių narių sveikatos priežiūros sistemų bus naudojamos kartu ir popierinės, ir elektroninės keitimosi duomenimis formos. |
25. |
E. sveikatos ir telemedicinos taikomosios programos, kurios patenka į siūlomos direktyvos taikymo sritį, bus grindžiamos išimtinai keitimusi elektroniniais sveikatos duomenimis (pvz., gyvybinių funkcijų duomenimis, vaizdais ir kt.), paprastai kartu naudojant kitas esamas valstybės narės, kurioje asmeniui teikiamos sveikatos priežiūros paslaugos, ir valstybės narės, kurioje jis apdraustas, elektronines sveikatos priežiūros informacines sistemas. Tai apima sistemas, kurios veikia palaikant paciento ir gydytojo ryšį (pvz., nuotolinės stebėsenos ir diagnozavimo sistemas), taip pat gydytojų tarpusavio ryšį (pvz., sveikatos priežiūros specialistų tarpusavio telekonsultacijas norint gauti specialistų nuomonę konkrečiais sveikatos priežiūros klausimais). Kitos labiau specialiems poreikiams skirtos sveikatos priežiūros taikomosios programos, naudojamos bendram tarpvalstybiniam sveikatos priežiūros paslaugų teikimui, taip pat gali būti grindžiamos išimtinai keitimusi duomenimis elektroninėmis priemonėmis, pvz., e. receptų arba e. nukreipimo programos, kurios kai kuriose valstybėse narėse jau yra įgyvendinamos nacionaliniu lygiu (12). |
Susirūpinimą keliančios sritys tarpvalstybinio keitimosi sveikatos duomenimis srityje
26. |
Atsižvelgiant į pirmiau nurodytus klausimus, taip pat į esamą valstybių narių sveikatos priežiūros sistemų įvairovę ir į vis didesnę e. sveikatos taikomųjų programų plėtrą, išryškėja šios dvi pagrindinės su asmens duomenų apsauga teikiant sveikatos priežiūros paslaugas kitose valstybėse narėse susijusios susirūpinimą keliančios sritys: a) skirtingi saugumo lygiai, kuriuos valstybės narės gali taikyti asmens duomenų apsaugai (techninės ir organizacinės priemonės), ir b) privatumo integravimas į e. sveikatos taikomąsias programas, ypač naujausių pokyčių atveju. Be to, taip pat gali reikėti skirti ypatingą dėmesį kitiems aspektams, pavyzdžiui, antriniam sveikatos duomenų naudojimui, ypač statistikos rengimo srityje. Šie klausimai toliau analizuojami likusioje šio skirsnio dalyje. |
27. |
Nepaisant to, kad direktyvos 95/46/EB ir 2002/58/EB Europoje yra taikomos vienodai, tam tikrų nuostatų aiškinimas ir įgyvendinimas skirtingose šalyse gali skirtis, ypač tose srityse, kuriose teisinės nuostatos yra bendro pobūdžio ir valstybėms narėms paliekama veikimo laisvė. Šiuo požiūriu svarbiausia sritis yra duomenų tvarkymo saugumas, t. y. priemonės (techninės ir organizacinės), kurių valstybės narės imasi, kad užtikrintų sveikatos duomenų saugumą. |
28. |
Nors už griežtą sveikatos duomenų apsaugą atsako visos valstybės narės, šiuo metu nėra bendrai pripažintos „tinkamo“ ES sveikatos priežiūros saugumo lygio apibrėžties, kuri galėtų būti taikoma teikiant sveikatos priežiūros paslaugas kitose valstybėse narėse. Todėl, pavyzdžiui, vienos valstybės narės ligoninė pagal nacionaliniu lygiu nustatytas duomenų apsaugos taisykles gali privalėti taikyti konkrečias saugumo priemones (pavyzdžiui, nustatyti saugumo politiką ir elgesio kodeksus, konkrečias naudojimosi išorės paslaugų teikėjų ir rangovų paslaugomis taisykles, audito reikalavimus ir kt.), o kitose valstybėse narėse to gali nebūti. Šis nenuoseklumas gali turėti įtakos tarpvalstybiniam keitimuisi duomenimis, ypač elektroniniu būdu, kadangi negali būti garantuojama, kad duomenys skirtingose valstybėse narėse duomenys vienodai saugūs (techniniu ir organizaciniu požiūriu). |
29. |
Todėl reikia toliau derinti nuostatas šioje srityje nustatant sveikatos priežiūros srityje taikomus bendrus saugumo reikalavimus, kuriuos turėtų vienodai taikyti valstybių narių sveikatos priežiūros paslaugų teikėjai. Šis poreikis tikrai atitinka bendrą poreikį nustatyti ES sveikatos sistemų bendrus principus, kaip nurodyta pasiūlyme. |
30. |
Tai turėtų būti daroma bendro pobūdžio priemonėmis, nenustatant valstybėms narėms konkrečių privalomų techninių sprendimų, tačiau nustatant tarpusavio pripažinimo ir priėmimo pagrindą, pvz., saugumo politikos nustatymo, pacientų ir sveikatos priežiūros specialistų tapatybės nustatymo bei atpažinimo ir kt. srityse. Šio mėginimo gairėmis galėtų tapti galiojantys Europos ir tarptautiniai standartai (pvz., ISO ir CEN) sveikatos priežiūros ir saugumo srityje, taip pat tinkamai pripažintos ir teisiniu požiūriu pagrįstos techninės koncepcijos (pvz., elektroniniai parašai (13)). |
31. |
EDAPP pritaria sveikatos priežiūros saugumo suderinimo ES lygiu idėjai ir laikosi nuomonės, kad Komisija jau šiame pasiūlyme turėtų imtis atitinkamų iniciatyvų (žr. III skirsnį). |
32. |
Privatumo ir saugumo aspektai turėtų būti įtraukiami rengiant sistemų projektus ir įgyvendinant bet kurią sveikatos priežiūros sistemą, ypač šiame pasiūlyme minimas e. sveikatos taikomąsias programas („atsižvelgimas į privatumą rengiant projektus“). Šiam neginčytinam reikalavimui jau pritarta kituose atitinkamuose politikos dokumentuose (14), tiek bendro pobūdžio, tiek skirtuose konkrečiai sveikatos priežiūrai (15). |
33. |
Pasiūlyme aptariamos e. sveikatos sąveikos srityje kaip visos numatomos raidos pagrindas dar kartą turėtų būti pabrėžiama atsižvelgimo į privatumą rengiant projektus sąvoka. Ši sąvoka taikoma keliais skirtingais lygiais: organizaciniu, semantiniu, techniniu.
|
34. |
EDAPP mano, kad elektroninių receptų sritis galėtų būti pirmoji, kurioje privatumo ir saugumo reikalavimai būtų įtraukiami pačiame pradiniame kūrimo etape (žr. III skirsnį). |
35. |
Papildomas aspektas, į kurį galėtų būti atsižvelgiama vykdant tarpvalstybinį keitimąsi sveikatos duomenimis, yra antrinis sveikatos duomenų naudojimas, visų pirma duomenų naudojimas statistikos tikslais, kaip jau nurodyta šiame pasiūlyme. |
36. |
Kaip nurodyta 18 punkte, Direktyvos 95/46 8 straipsnio 4 dalyje numatyta antrinio sveikatos duomenų naudojimo galimybė. Tačiau šis tolesnis tvarkymas turėtų vykti tik dėl su svarbių visuomenės interesais susijusių priežasčių ir jam turi būti taikomos nacionalinėje teisėje arba priežiūros institucijos sprendimu nustatytos „tinkamos apsaugos priemonės“ (16). Be to, statistinio duomenų tvarkymo atveju, kaip minėta ir EDAPP nuomonėje dėl siūlomo reglamento dėl Bendrijos statistikos apie visuomenės sveikatą ir darbuotojų sveikatą bei saugą (17), dėl galimos skirtingos sąvokų „konfidencialumas“ ir „duomenų apsauga“ prasmės taikant, viena vertus, duomenų apsaugos teisės aktus ir, kita vertus, statistikos teisės aktus, esama papildomos rizikos. |
37. |
ESAPP norėtų pabrėžti pirmiau išvardytus aspektus nagrinėjant šį pasiūlymą. Turėtų būti aiškiau nurodyti duomenų apsaugos reikalavimai, susiję su vėlesniu sveikatos duomenų naudojimu (žr. III skirsnį). |
III. IŠSAMI PASIŪLYMO ANALIZĖ
Pasiūlymo nuostatos dėl duomenų apsaugos
38. |
Įvairiose pasiūlymo dalyse ne kartą nurodyta duomenų apsauga ir privatumas, konkrečiau:
|
39. |
EDAPP palankiai vertina tai, kad rengiant pasiūlymą buvo atsižvelgta į duomenų apsaugą ir kad mėginama pademonstruoti bendrą privatumo poreikį teikiant tarpvalstybines sveikatos priežiūros paslaugas. Tačiau esamos pasiūlymo nuostatos dėl duomenų apsaugos yra pernelyg bendro pobūdžio arba valstybių narių pareigos nurodomos gana selektyviai ir išbarstytai:
Be to, kaip minėta šios nuomonės įvade, nėra sąsajų su kitais EB teisiniais dokumentais (privalomais ar neprivalomais) sveikatos priežiūros srityje ir (arba) nuorodų į juos, ypač naujų IRT taikomųjų programų (pvz., telemedicinos arba elektroninių sveikatos įrašų) naudojimo atvejais. |
40. |
Tokiu būdu, nors privatumas bendrai nurodytas kaip tarpvalstybinio sveikatos priežiūros paslaugų teikimo reikalavimas, vis dėlto nėra bendro vaizdo, nei valstybių narių pareigų, nei dėl tarpvalstybinio sveikatos priežiūros paslaugų teikimo pobūdžio ypatumų (lyginant su nacionaliniu sveikatos priežiūros paslaugų teikimu) požiūriu. Konkrečiau:
|
41. |
Be to, kyla konkrečių susirūpinimą keliančių klausimų dėl 18 straipsnio, kuriame aptariamas duomenų rinkimas statistikos ir stebėsenos tikslais. Pirmoje dalyje nurodyti „statistiniai ir kiti papildomi duomenys“; be to, joje daugiskaita nurodyti stebėsenos tikslai ir vėliau išvardytos sritys, kuriose taikomi šie stebėsenos tikslai, t. y. tarpvalstybinis sveikatos priežiūros paslaugų teikimas, suteiktos priežiūros paslaugos, paslaugų teikėjai ir pacientai, išlaidos ir rezultatai. Šiame kontekste, kuris ir taip pakankamai neaiškus, bendrai nurodyti duomenų apsaugos teisės aktai, tačiau nenustatyti jokie konkretūs reikalavimai, taikomi vėlesniam su sveikata susijusių duomenų naudojimui, kaip nustatyta Direktyvos 95/46/EB 8 straipsnio 4 dalyje. Be to, antroje dalyje nustatyta besąlygiška pareiga bent kartą per metus perduoti daug duomenų Komisijai. Kadangi nėra aiškiai nurodytas būtinybės perduoti šiuos duomenis įvertinimas, atrodo, kad Bendrijos teisės aktų leidėjas pats yra nustatęs šio perdavimo Komisijai būtinybę. |
EDAPP rekomendacijos
42. |
Norėdamas, kad būtų tinkamai išspręsti pirmiau nurodyti klausimai, EDAPP pateikia keletą toliau išvardytų rekomendacijų, kurios išdėstytos kaip penki pagrindiniai pakeitimų etapai. |
43. |
Pagrindiniai pasiūlyme vartojami terminai apibrėžti 4 straipsnyje. EDAPP primygtinai rekomenduoja įtraukti į šį straipsnį sveikatos duomenų sąvokos apibrėžtį. Turėtų būti taikomas platus sveikatos duomenų aiškinimas, pavyzdžiui, kaip apibūdinta šios nuomonės II skirsnyje (14 ir 15 punktai). |
44. |
EDAPP taip pat primygtinai rekomenduoja įtraukti į pasiūlymą konkretų straipsnį dėl duomenų apsaugos, kuriame aiškiai ir lengvai suprantamai galėtų būti išdėstytas visas privatumo aspektas. Šiame straipsnyje turėtų būti a) apibūdintos valstybių narių, kuriose asmenys yra apdrausti, ir valstybių narių, kuriose teikiamos sveikatos priežiūros paslaugos, pareigos, įskaitant, be kita ko, poreikį užtikrinti tvarkymo saugumą, ir b) nustatytos pagrindinės tolesnės plėtros sritys, t. y. suderinimas saugumo srityje ir privatumo integravimas e. sveikatos srityje. Gali būti įtrauktos konkrečios šiems klausimams skirtos nuostatos (siūlomame straipsnyje), kaip išdėstyta 3 ir 4 etapuose. |
45. |
Atsižvelgdamas į 2 etapo pakeitimą, EDAPP rekomenduoja, kad Komisija patvirtintų mechanizmą, pagal kurį apibrėžiamas bendrai priimtinas nacionalinis sveikatos priežiūros duomenų saugumo lygis, atsižvelgdama į esamus techninius standartus šioje srityje. Pasiūlymas turėtų tai atspindėti. Tai galėtų būti įgyvendinama taikant komitologijos procedūrą, kaip jau nurodyta 19 straipsnyje ir taikoma kitoms pasiūlymo dalims. Be to, atitinkamoms gairėms parengti galėtų būti naudojamos papildomos priemonės, įtraukiant visus suinteresuotuosius subjektus, pavyzdžiui, 29 straipsnio darbo grupę ir EDAPP. |
46. |
14 straipsnyje dėl kitoje valstybėje narėje išrašytų receptų pripažinimo numatytas Bendrijos receptų formos parengimas, taip padedant užtikrinti e. receptų sąveiką. Ši priemonė patvirtinama taikant komitologijos procedūrą, kaip apibrėžta pasiūlymo 19 straipsnio 2 dalyje. |
47. |
EDAPP rekomenduoja, kad siūloma e. recepto forma apimtų privatumą ir saugumą, net ir labiausiai baziniu lygiu semantiškai apibrėžiant šią formą. Tai turėtų būti aiškiai nurodyta 14 straipsnio 2 dalies a punkte. Ir šiuo atveju labai svarbus visų suinteresuotųjų subjektų dalyvavimas. EDAPP norėtų būti informuojamas apie tolesnius su šiuo klausimu susijusius veiksmus taikant siūlomą komitologijos procedūrą ir juose dalyvauti. |
48. |
Kad būtų išvengta nesusipratimų, EDAPP ragina paaiškinti 18 straipsnio 1 dalyje vartojamą sąvoką „kiti papildomi duomenys“. Be to, šis straipsnis turėtų būti iš dalies pakeistas, kad jame būtų aiškiau nurodyti vėlesnio duomenų naudojimo reikalavimai, kaip nustatyta Direktyvos 95/46/EB 8 straipsnio 4 dalyje. Be to, 2 dalyje nurodyta pareiga perduoti visus duomenis Komisijai, turėtų būti vertinama siekiant nustatyti, ar toks perdavimas būtinas atsižvelgiant į iš anksto deramai nurodytus teisėtus tikslus. |
IV. IŠVADOS
49. |
EDAPP norėtų pareikšti, kad pritaria iniciatyvoms, kuriomis gerinamos tarpvalstybinio sveikatos priežiūros paslaugų teikimo sąlygos. Tačiau jam kelia susirūpinimą tai, kad su sveikatos priežiūra susijusios EB iniciatyvos ne visuomet gerai derinamos IRT naudojimo, privatumo ir saugumo požiūriu, o tai kliudo visuotinai laikytis vienodo požiūrio į duomenų apsaugą sveikatos priežiūros srityje. |
50. |
EDAPP palankiai vertina tai, kad pasiūlyme yra nurodytas privatumas. Tačiau reikia keleto pakeitimų, kurie paaiškinti šios nuomonės III skirsnyje, kad būtų numatyti aiškūs reikalavimai, taikomi tiek valstybėms narėms, kuriose teikiamos sveikatos priežiūros paslaugos, tiek valstybėms narėms, kuriose asmenys yra apdrausti, taip pat kad būtų tinkamai sprendžiami su tarpvalstybinio sveikatos priežiūros paslaugų teikimo duomenų apsaugos aspektu susiję klausimai:
|
Priimta Briuselyje, 2008 m. gruodžio 2 d.
Peter HUSTINX
Europos duomenų apsaugos priežiūros pareigūnas
(1) COM(2008) 414 galutinis. Pažymėtina, kad tą pačią dieną buvo priimtas ir papildomas komunikatas dėl pacientų teisių į sveikatos priežiūros paslaugas kitose valstybėse narėse įgyvendinimo Bendrijos sistemos (COM(2008) 415 galutinis). Tačiau kadangi šis komunikatas tėra gana bendro pobūdžio, EDAPP nusprendė daugiau dėmesio skirti siūlomai direktyvai.
(2) Paskelbta Komisijos darbo programoje.
(3) 2008 m. liepos 2 d. Komisijos rekomendacija dėl tarpvalstybinio elektroninių sveikatos įrašų sistemų suderinamumo (pranešta dokumentu Nr. C(2008) 3282), OL L 190, 2008 7 18, p. 37.
(4) Paskelbta Komisijos darbo programoje.
(5) Šiuo atveju kaip pavyzdį galima nurodyti tai, kad 1 išnašoje nurodytame komunikate, kuriuo siekiama nustatyti pacientų teisių į sveikatos priežiūros paslaugas kitose valstybėse narėse įgyvendinimo Bendrijos sistemą, nėra jokios nuorodos į privatumo užtikrinimą ar duomenų apsaugą.
(6) Žr. bylą 158/96, Kohll, [1998] Rink. I-1931, 34 punktas. Taip pat žr. bylą C-147/99, Smits ir Peerbooms [2001] Rink. I-5473 ir bylą C-385/99, Müller-Fauré ir Van Riet [2003] Rink. I-12403.
(7) Žr. EŽTT, 2008 m. liepos 17 d., I prieš Suomiją (paraiška Nr. 20511/03), 38 punktas.
(8) Žr. 29 straipsnio darbo grupės 2007 m. vasario mėn. 131-o darbinio dokumento dėl su sveikata susijusių asmens duomenų tvarkymo elektroniniuose sveikatos įrašuose II dalies 2 punktą. Taip pat dėl sąvokos „asmens duomenys“ plačios reikšmės žr. 29 straipsnio darbo grupės Nuomonę 4/2007 dėl asmens duomenų sąvokos, išdėstytą 136-ame darbiniame dokumente.
(9) Europos Tarybos rekomendacija Nr. R(97)5 dėl medicininių duomenų apsaugos.
(10) ISO 27799:2008 „Sveikatos informatika – informacijos saugumo valdymas sveikatos srityje vadovaujantis ISO/IEC 27002“.
(11) Žr. EŽTT, 2008 m. liepos 17 d., I prieš Suomiją (paraiška Nr. 20511/03), 38 punktas.
(12) eHealth ERA Report, Towards the Establishment of a European eHealth Research Area, Europos Komisija, Informacinė visuomenė ir žiniasklaida, 2007 m. kovas, http://ec.europa.eu/information_society/activities/health/docs/policy/ehealth-era-full-report.pdf
(13) 1999 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyva 1999/93/EB dėl Bendrijos elektroninių parašų reguliavimo sistemos, OL L 13, 2000 1 19, p. 12–20.
(14) EDAPP ir ES moksliniai tyrimai bei technologinė plėtra, politikos dokumentas, EDAPP, 2008 m. balandžio mėn., http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/PolicyP/08-04-28_PP_RTD_EN.pdf
(15) 2008 m. liepos 2 d. Komisijos rekomendacija dėl tarpvalstybinio elektroninių sveikatos įrašų sistemų suderinamumo (pranešta dokumentu Nr. C(2008) 3282), OL L 190, 2008 7 18, p. 37.
(16) Žr. taip pat Direktyvos 95/46 34 konstatuojamąją dalį. Šiuo klausimu žr. taip pat 8 išnašoje minėtą 29 straipsnio darbo grupės nuomonę dėl elektroninių sveikatos įrašų, p. 16.
(17) OL C 295, 2007 12 7, p. 1.