HIPAA: як захищають медичні дані пацієнтів в США?

Новини 03.09.2020

Під час пандемії COVID-19 у світі виникла нагальна потреба у зборі та зберіганні значної кількості інформації про стан здоров'я населення. Роботодавці почали слідкувати за захворюваністю на COVID-19 серед працівників, державні органи – збирати дані про переміщення осіб і дотримання режиму ізоляції, а люди все частіше почали звертатися у заклади охорони здоров'я для проходження тестування на COVID-19 чи наявність антитіл.

Дані про стан здоров'я належать до чутливої категорії персональних даних і володіють більшим ступенем захисту, ніж інші категорії персональних даних. Саме тому дані про стан здоров'я потребують окремого правового регулювання, яке б впорядковувало їх збір та використання. Найбільш відомим прикладом такого регулювання є прийнятий у 1996 році Закон США про мобільність та підзвітність медичного страхування (англ. "Health Insurance Portability and Accountability Act" або "HIPAA").

Що таке HIPAA?

HIPAA – це закон, який врегульовує мобільність та підзвітність медичного страхування і встановлює стандарти захисту медичної звітності та особистих медичних даних пацієнтів. HIPAA визначає, які дані пацієнтів захищаються (англ. "protected health information" або "PHI"), а також хто повинен дотримуватись вимог HIPAA при роботі з PHI.

HIPAA відносить до PHI такі категорії даних:

  • минулі та актуальні дані про стан здоров'я особи (зокрема, анамнез особи, її діагноз, результати проведених медичних досліджень, призначене лікування);
  • дані про надання медичних послуг особі; та
  • минулі та актуальні дані про оплату наданих медичних послуг, які надають можливість ідентифікувати особу, або ж є достатня підстава вважати, що особу можна ідентифікувати за такими даними.

Варто зауважити, що дані про особу, за якими зазвичай її ідентифікують, як от місце проживання, ім'я та прізвище, податковий номер тощо не є PHI та не охоплюються HIPAA. Однак, якщо поруч з такими даними є інформація про стан здоров'я чи надання медичних послуг, то в сукупності такі дані становитимуть PHI і охоплюватимуться HIPAA.

Комплаєнс із положеннями HIPAA здійснюють:

  • визначені юридичні особи (англ. "covered entities"), які володіють PHI; та 
  • їхні бізнес-партнери (англ. "business associates"). 

До визначених юридичних осіб належать ті, які володіють і обробляють PHI в США в цілях надання медичних послуг, як от лікарі та страхові компанії. До бізнес-партнерів належать особи, які виконують певні функції від імені визначених юридичних осіб або надають їм послуги, що включає в себе використання чи розкриття PHI. Такими бізнес-партнерами можуть бути компанії, які надають послуги з розрахунку вартості медичних послуг та надсилають запити в страхові компанії для отримання оплати за надані медичні послуги (англ. "billing companies").

Застосування HIPAA в умовах пандемії

В умовах пандемії, у зв'язку із потребою забезпечити посилений захист даних пацієнтів, які перехворіли чи хворіють на COVID-19, застосування HIPAA набуло певних особливостей, серед яких наступні:

  • інформація про хворих на COVID-19 може надаватись державним органам, але лише тим, які відповідно до законодавства США виконують функції із запобігання та контролю за розповсюдженням COVID-19; та
  • медичні заклади не можуть розкривати роботодавцю пацієнта дані про стан здоров'я такого пацієнта, навіть якщо є ризик зараження інших працівників компанії, за відсутності згоди пацієнта на таке розкриття.

HIPAA ≠ GDPR

На перший погляд може видатись, що HIPAA є подібним до GDPR. Однак, це не зовсім так. HIPAA поширюється на збір та обробку лише медичних персональних даних, під його дію потрапляє особливе коло осіб, яким надано доступ до цієї групи даних. Також, відповідно до HIPAA, можна здійснювати розкриття PHI в цілях лікування без попередньої згоди пацієнта, в той час як за GDPR основною підставою для розкриття даних про стан здоров'я є однозначна згода пацієнта (за умови, якщо пацієнт здатний свідомо надати таку згоду). Окрім того, HIPAA не надає право пацієнту вимагати від закладу охорони здоров'я видалити його медичні дані, на відміну від GDPR.

Чи існує в Україні схожий документ?

На жаль, в Україні відсутній закон, який регулював би збір та обробку медичних даних пацієнтів. Зараз медичні заклади та страхові компанії керуються рамковим Законом України "Про захист персональних даних" № 2297-VI від 1 червня 2010 року, а також Законом України "Про захист населення від інфекційних хвороб" № 1645-III від 6 квітня 2000 року та Законом України "Про державні фінансові гарантії медичного обслуговування населення" № 2168-VIII від 19 жовтня 2017 року. 

Цього законодавчого регулювання недостатньо, адже воно не враховує специфіку медичних даних. Через численні законодавчі прогалини захист цієї групи даних в Україні залишається неефективним. Саме тому доцільною є розробка окремого нормативно-правового акту, який на законодавчому рівні врегулював би збір, обробку, розкриття та передачу даних про стан здоров'я особи, за прикладом HIPAA у США.

 

 

 

За детальною інформацією звертайтесь до наших експертів:

Євгеній Дейнеко

Керуючий партнер

deyneko@everlegal.ua

 

Андрій Оленюк

Партнер

olenyuk@everlegal.ua

We solve your legal issues.
However complex they are.
Wherever they occur.
Whenever you need us.