Співробітники Секретаріату Уповноваженого Верховної Ради України з прав людини здійснили позапланову виїзну перевірку дотримання прав і свобод людини і громадянина у сфері захисту персональних даних та соціальних прав державним підприємством «Електронне здоров’я», яке є адміністратором центральної бази даних eHealth.

Зазначена перевірка є першою серед перевірок додержання законодавства в сфері захисту персональних даних під час функціонування електронної системи охорони здоров’я (eHealth).

За результатами перевірки встановлено, що адміністратор eHealth (ДП «Електронне здоров’я») відповідно до законодавства є розпорядником персональних даних, які обробляються в центральній базі даних eHealth. Володільцем більшої частини персональних даних, які обробляються в центральній базі даних eHealth, є Національна служба здоров’я України. Проте, ДП «Електронне здоров’я» знаходиться у сфері управління Міністерства охорони здоров’я України, а отже не може бути розпорядником персональних даних, володільцем яких є Національна служба здоров’я України, відповідно до частини третьої статті 4 Закону України «Про захист персональних даних». Як зазначено керівництвом ДП «Електронне здоров’я» державне підприємство не має доступу до даних центральної бази даних, внаслідок чого не виконує ряд функцій, покладених законодавством на нього, як на адміністратора. Разом з тим, ці функції здійснюються іншими суб’єктами, зокрема Національною службою здоров’я України.

Під час проведення перевірки не дослідженим залишилось питання щодо надання доступу до центральної бази даних eHealth, а отже і до персональних даних, які в ній обробляються, операторам електронних медичній інформаційних систем після прийняття рішення про підключення електронної медичної інформаційної системи до центральної бази даних eHealth. З огляду на положення договору про підключення електронної медичної інформаційної системи до центральної бази даних ДП «Електронне здоров’я» надає оператору електронної медичної інформаційної системи ключ до продуктивного середовища, про що складається відповідний акт. Проте, ДП «Електронне здоров’я» відмовилось надавати підтвердження того, що зазначена функція здійснюється безпосередньо цим державним підприємством, а отже можливо зазначену функцію здійснює стороння особа.

Також, ДП «Електронне здоров’я» під час перевірки не надано інформацію щодо того, хто саме здійснює оновлення та підтримку програмного забезпечення.

З огляду на зазначене, вбачається, що доступ до даних центральної бази даних можуть мати сторонні юридичні особи, які виконують частину функцій адміністратора eHealth.

Питання правомірності та доцільності надання доступу до даних центральної бази даних eHealth, в разі встановлення такого факту, таким юридичним особам, а також питання додержання вимог, зокрема, щодо захисту персональних даних, які містяться в центральної бази даних eHealth іншими суб’єктами, які мають до них доступ, досліджуватиметься під час проведення наступних перевірок.

Також, під час проведення перевірки встановлено, що належний рівень захисту даних, зокрема який вимагається законодавством, в центральній базі даних eHealth не забезпечено.

За результатами перевірки наразі готується акт з вимогами та рекомендаціями.