Записване за консултация: ☎ 087 931 9933

Изтичане на медицинска информация: Кой носи отговорност за Вашата поверителност?

, , ,
31.07.2025
Изтичане на медицинска информация: Кой носи отговорност за Вашата поверителност?

Защо поверителността на Вашите здравни данни е по-важна от всякога

Здравната информация е може би най-интимната и чувствителна категория лични данни, която съществува. Тя разкрива не само физическото ни състояние, но и уязвимости, страхове и дълбоко лични аспекти от нашия живот. В дигиталната ера, в която медицинските досиета, електронните рецепти, резултатите от лабораторни изследвания и консултациите се съхраняват, обработват и предават по електронен път, рискът от неправомерен достъп, случайна загуба или целенасочено разкриване нараства експоненциално. Едно нарушение на сигурността може да има опустошителни последици – от финансови измами и кражба на самоличност до емоционален тормоз и социална стигма.

На фона на тази нарастваща заплаха, европейското и българското законодателство предоставят стабилна рамка за защита. Въпреки това, за повечето граждани тази рамка остава сложна и неясна. Кой точно носи отговорност, когато данните Ви изтекат от болница или лаборатория? Какви са Вашите права като пациент? И какви стъпки можете да предприемете, за да потърсите справедливост? Тази статия, подготвена от правните експерти на адвокатска кантора „Астакова“, има за цел да служи като всеобхватно ръководство. Тя ще демистифицира сложната правна материя, ще идентифицира отговорните лица и институции и ще предостави ясни, практически стъпки, които всеки гражданин може да предприеме, за да защити правата си.

Какво точно е „изтичане на медицинска информация“? Дефиниции и разширен обхват според правото на ЕС

За да разберем кой носи отговорност, първо трябва да дефинираме какво представлява самото нарушение. Правната рамка използва специфични термини, чието значение е от решаващо значение за защитата на правата на пациентите.

Легална дефиниция на „Нарушение на сигурността на лични данни“

В основата на проблема стои понятието „нарушение на сигурността на лични данни“. Съгласно член 4, точка 12 от Общия регламент относно защитата на данните (GDPR), това е „нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин“. Тази дефиниция е възприета и в множество български нормативни и вътрешни актове. Важно е да се отбележи, че обхватът е изключително широк – той включва не само злонамерени хакерски атаки, но и инциденти като изгубен лаптоп на лекар, изпращане на имейл с чувствителна информация до грешен получател или дори неправилно унищожаване на хартиени досиета.  

Дефиниция на „Данни за здравословното състояние“ и „Здравна информация“

GDPR въвежда специална, по-висока степен на защита за определени категории данни, сред които са и „данните за здравословното състояние“. Член 4, точка 15 от Регламента ги определя като „лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние“. Българският Закон за здравето използва сходен, но допълващ термин – „здравна информация“, който обхваща лични данни за здравословното състояние, но и „всяка друга информация, съдържаща се в медицински рецепти, предписания, протоколи, удостоверения и друга медицинска документация“.  

Задълбочен анализ на съдебната практика – делото Lindenapotheke (C-21/23)

Едно от най-значимите развития в правото на ЕС е драстичното разширяване на самото понятие „здравни данни“. Анализът на скорошната съдебна практика показва, че обхватът на тази категория е далеч по-широк, отколкото повечето граждани и дори организации предполагат. Това развитие произтича от ключово решение на Съда на Европейския съюз (СЕС) по делото Lindenapotheke от октомври 2024 г., което има огромни последици за всички, които боравят с информация, дори косвено свързана със здравето.

Казусът възниква от спор между две конкурентни аптеки в Германия. Едната от тях продава лекарства, които се отпускат само в аптека, но не изискват рецепта, през голяма онлайн платформа (Amazon). Конкурентът завежда дело с твърдението, че по този начин се обработват здравни данни на клиентите без тяхното изрично съгласие, което е нарушение на GDPR.  

Заключението на СЕС е революционно: информацията, която клиентите предоставят при такава онлайн поръчка – име, адрес за доставка и конкретният поръчан продукт – представлява „данни за здравословното състояние“ по смисъла на член 9 от GDPR. Мотивите на съда са ясни: от комбинацията на тези данни може да се направи надежден извод за здравословното състояние на дадено лице. Например, поръчката на определен вид мехлем, дори и без рецепта, може да разкрие информация за кожно заболяване. Съдът изрично подчертава, че е без значение дали този извод е напълно точен, или дали продавачът (администраторът) изобщо е имал намерение да събира чувствителни данни. Самата възможност за логическо заключение е достатъчна, за да задейства най-строгите изисквания на Регламента.

Това решение има ефекта на вълни, които се разпространяват далеч извън фармацевтичния сектор. То означава, че всяка организация, която обработва данни, от които може косвено да се направи извод за здравословно състояние – например програми за лоялност на супермаркети, проследяващи покупки на болкоуспокояващи, уелнес приложения, които следят съня, или онлайн магазини, продаващи специфични хранителни добавки – потенциално обработва чувствителни здравни данни. Това автоматично ги поставя под най-строгия режим на GDPR, изискващ изрично съгласие и много по-високи мерки за сигурност, което драстично увеличава техните задължения и риска от съдебни спорове.

Веригата на отговорността: Кой борави с Вашите здравни данни?

Отговорността за изтичане на данни рядко се носи само от една организация. По-скоро тя представлява „верига на отговорността“, която свързва видимия за пациента доставчик на здравни услуги (болница, лекар) с цяла мрежа от често невидими технологични и сервизни партньори. За да се определи кой е отговорен, GDPR въвежда две ключови роли.

Разграничаване на ключовите фигури: Администратор и Обработващ данни

Според насоките на Европейския комитет по защита на данните, двете централни фигури са :  

  • Администратор на данни (Data Controller): Това е физическото или юридическото лице, което „определя целите и средствата“ за обработване на личните данни. С други думи, администраторът решава „защо“ и „как“ се обработват данните. Той е „централната фигура“ в режима за защита на данните и носи основната, крайна отговорност пред пациента и регулаторните органи. Типични примери в здравеопазването са болници, диагностично-консултативни центрове (ДКЦ), индивидуални лекарски и дентални практики, както и публични органи като Министерство на здравеопазването или НЗОК, които обработват данни по силата на закон.  
  • Обработващ лични данни (Data Processor): Това е лице или организация, което обработва лични данни „от името на администратора“ и действа само и единствено съгласно неговите документирани инструкции. Обработващият няма право да използва данните за собствени цели. Примерите включват:
    • Софтуерна компания, която предоставя и поддържа системата за електронни здравни досиета на една болница.
    • Външна клинична лаборатория, която анализира проби, изпратени от лекарска практика.
    • Компания за облачни услуги, където се съхраняват резервни копия на медицинската документация.
    • Фирма за архивиране и последващо унищожаване на хартиени документи.  

Възможно е две или повече организации да действат като съвместни администратори, когато заедно определят целите и средствата за обработване. Такъв би бил случаят с две болници, които си сътрудничат по общ изследователски проект и заедно решават какви данни на пациенти да използват. В този сценарий те носят споделена отговорност.  

Таблица 1: Сравнение на ролите и основните отговорности на Администратора и Обработващия данни в здравеопазването

ХарактеристикаАдминистратор на данни (Пример: Болница)Обработващ лични данни (Пример: Доставчик на болничен софтуер)
ДефиницияОпределя „защо“ и „как“ се обработват данните.  Действа по документирани инструкции на администратора.  
Вземане на решенияВзема стратегическите решения за целите и основните средства на обработването.Взема оперативни решения в рамките на възложеното.
Основна отговорностНоси крайната отговорност пред пациента и регулатора (КЗЛД) за спазването на GDPR.  Отговорен е пред администратора за спазване на договора и инструкциите.  
Примери от здравеопазванетоБолница, ДКЦ, лична лекарска практика, Министерство на здравеопазването, НЗОК.  IT компания, външна лаборатория, счетоводна къща, обслужваща болницата.  
Правна основа на връзкатаЗаконово задължение (напр. Закон за здравето), обществен интерес, съгласие на пациента.Договор по чл. 28 от GDPR, който урежда задълженията му.  

Тази верига от взаимоотношения има фундаментално значение при нарушение. Пациентът има пряка връзка с болницата (администратора). Ако обаче нарушението е причинено от уязвимост в софтуера на обработващия, болницата все още носи пряка отговорност пред пациента. Тя е длъжна да избере обработващ, който предоставя достатъчно гаранции за сигурност, и да уреди отношенията им с договор. След като обезщети пациента, болницата може да търси регресна отговорност от виновния обработващ съгласно техния договор. За пациента това означава, че неговият основен ответник е администраторът, с когото има пряко взаимоотношение. За един адвокат това означава, че при водене на дело е ключово да се изследва цялата екосистема от партньори, за да се идентифицират всички потенциално отговорни страни.  

Задължения за защита: Какви мерки трябва да предприемат лечебните заведения?

Законът не просто забранява неправомерното обработване, но и налага проактивни задължения на администраторите (лечебните заведения) да защитават данните. Правният стандарт не е пасивно „полагане на усилия“, а активно, непрекъснато и най-важното – доказуемо задължение.

Правното задължение за „Подходящи технически и организационни мерки“ (ТОМ)

Съгласно член 32 от GDPR и българския Закон за защита на личните данни, всеки администратор е длъжен да приложи „подходящи технически и организационни мерки“, за да гарантира ниво на сигурност, съобразено с риска. Принципът на „отчетност“ изисква администраторът не просто да спазва правилата, а да бъде в състояние да докаже по всяко време, че го прави. В очите на закона, мярка за сигурност, която не е документирана, практически не съществува. При разследване след инцидент, първият въпрос на Комисията за защита на личните данни (КЗЛД) няма да бъде „Какво се случи?“, а „Покажете ни вашите оценки на риска, политиките за сигурност, регистрите от обучения на персонала и плана за реакция при инциденти“.  

Какво да направите ВЕДНАГА след ПТП? Първите 5 стъпки, които ще спасят обезщетението Ви

Какво да направите ВЕДНАГА след ПТП? Първите 5 стъпки, които ще спасят обезщетението Ви

Тотална щета на автомобил: Как да получите справедливо обезщетение

Тотална щета на автомобила: Какво точно означава и как да получите справедливо обезщетение, а не жълти стотинки?

Конкретни примери за ТОМ

Макар много лечебни заведения да декларират, че вземат „всички предвидими мерки“ , ефективната защита изисква конкретни действия. Базирано на добрите практики и изискванията, тези мерки се делят на две основни групи :  

  • Технически мерки:
    • Криптиране на лични данни: Превръщане на данните в нечетим код, особено при съхранение на преносими устройства (лаптопи, флашки) или при предаване по интернет.
    • Псевдонимизация: Замяна на идентифицираща информация (напр. име, ЕГН) с псевдоним, което намалява риска при евентуален теч.
    • Контрол на достъпа: Строги системи за идентификация и автентикация (напр. сложни пароли, двуфакторна автентикация), които гарантират, че до данните имат достъп само оторизирани служители на принципа „необходимост да се знае“.
    • Сигурност на мрежата: Защитни стени (firewalls), антивирусен софтуер, системи за откриване на прониквания.
    • Физическа сигурност: Заключване на сървърни помещения, кабинети и архиви, където се съхраняват данни.
    • Автоматично заключване на работните станции след период на неактивност.  
  • Организационни мерки:
    • Вътрешни политики и процедури: Ясно разписани правила за работа с лични данни, които всеки служител е длъжен да познава и спазва.  
    • Обучение на персонала: Редовни и документирани обучения относно рисковете (напр. фишинг имейли) и задълженията по GDPR. Човешката грешка остава една от най-честите причини за нарушения.
    • Водене на регистри: Поддържане на регистър на дейностите по обработване и регистър на нарушенията на сигурността, дори на тези, които не са довели до риск.  
    • Процедури за управление на инциденти: Ясен план за действие при установяване на нарушение – кой, кога и как трябва да бъде уведомен.
    • Ограничаване на съхранението: Данните се съхраняват само за срока, необходим за постигане на целите или определен от закона, след което се унищожават по сигурен начин.  

Илюстрация за последиците от липсата на такива мерки е казус от 2019 г., при който германски регулатор налага глоба от 105 000 евро на болница. Причината е объркване на пациенти при приема, което разкрива „структурни технически и организационни дефицити в управлението на пациентите и поверителността“. Този случай показва как ежедневни операционни пропуски могат да ескалират до сериозни финансови санкции, когато са симптом на системна небрежност.  

Когато сигурността е нарушена: Права на пациента и процедури за действие

Когато най-лошото се случи и личните Ви данни са компрометирани, законът Ви дава силни инструменти за защита. За да ги използвате ефективно, трябва да познавате както правата си, така и процедурите за тяхното упражняване. Правната рамка предоставя на жертвите на нарушения на сигурността на данните две мощни, паралелни и стратегически свързани пътеки за търсене на справедливост: административната чрез КЗЛД и съдебната чрез съда.

Вашите права като пациент

В случай на нарушение Вие, като субект на данни, имате няколко ключови права:

  • Право на уведомяване: Ако нарушението е вероятно да породи „висок риск за правата и свободите“ Ви (напр. риск от кражба на самоличност, финансова загуба), администраторът (болницата) е длъжен да Ви уведоми лично, „без ненужно забавяне“. Уведомлението трябва да описва естеството на нарушението и мерките, които се предприемат.  
  • Право на достъп: По всяко време имате право да поискате и да получите от лечебното заведение достъп до здравната информация, която се отнася до Вас, включително да получите копия от медицинските си документи. Това право е регламентирано в чл. 28б от Закона за здравето.  
  • Право на жалба до надзорен орган: Имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД), ако считате, че правата Ви са нарушени.  
  • Право на ефективна съдебна защита: Независимо от жалбата до КЗЛД, имате право да заведете дело в съда срещу администратора или обработващия данни.  
  • Право на обезщетение: Имате право да получите обезщетение за претърпените материални (напр. финансови загуби) и неимуществени (напр. стрес, притеснение, страх) вреди в резултат на нарушението.  

Практическо ръководство: Как да подадете жалба до Комисията за защита на личните данни (КЗЛД)

Подаването на жалба до КЗЛД е първата и най-пряка стъпка за задействане на държавния контрол. Процедурата е формална и изисква спазване на определени стъпки :  

  • Стъпка 1: Съдържание на жалбата: Жалбата трябва да бъде писмена и да съдържа задължителни реквизити :
    • Вашите данни: три имена, адрес за кореспонденция, телефон, имейл.
    • Данни за нарушителя: име на лечебното заведение/организацията и адрес.
    • Описание на нарушението: какво се е случило, кога сте разбрали и какви са Вашите искания.
    • Приложени доказателства, ако разполагате с такива.
    • Дата и подпис.
  • Стъпка 2: Начини на подаване: Можете да подадете жалбата по няколко начина :
    • Лично на хартиен носител: В деловодството на КЗЛД на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2.
    • С писмо по пощата на същия адрес.
    • По факс: 029153525.
    • По електронен път: На имейл kzld@cpdp.bg. Това е най-критичната част от процедурата. За да бъде разгледана, жалбата, изпратена по имейл, трябва да бъде оформена като електронен документ, подписан с Квалифициран електронен подпис (КЕП). Обикновен сканиран документ без КЕП няма да бъде счетен за редовно подаден и няма да бъде разгледан.  

Стратегическата стойност на тези две пътеки (административна и съдебна) не бива да се подценява. Официално решение на КЗЛД, което установява, че дадено лечебно заведение е извършило нарушение, се превръща в изключително силно доказателство в последващо гражданско дело за обезщетение. То на практика означава, че държавният регулатор е валидирал основата на Вашата претенция. В същото време, знаково решение на Върховния административен съд по казуса с НАП установи, че жертвите не са длъжни да чакат края на процедурата пред КЗЛД, за да заведат дело в съда. Опитният адвокат може да Ви посъветва да се движите и по двете писти едновременно, като по този начин се увеличава натискът върху нарушителя и шансовете за успешен изход.  

Последици за нарушителите: Санкции и ключови съдебни решения

Рисковият пейзаж за всяка организация, допуснала изтичане на данни, се е трансформирал от едноизмерен регулаторен проблем във война на три фронта. Отговорността вече може да бъде задействана едновременно от регулатори, от засегнати граждани и дори от бизнес конкуренти.

Административни санкции по GDPR

Регламентът предвижда изключително сериозни финансови санкции, които се налагат от КЗЛД. Те са разделени на две нива :  

  • За по-леки нарушения (напр. пропуски в документацията) – глоба до 10 000 000 евро или 2% от общия годишен световен оборот на предприятието за предходната финансова година.
  • За по-тежки нарушения (напр. обработване на чувствителни данни без правно основание, незачитане на правата на субектите) – глоба до 20 000 000 евро или 4% от общия годишен световен оборот.

Тези числа не са само теория. Годишният доклад на КЗЛД за 2023 г. показва, че здравният сектор е под активно наблюдение. В доклада са описани случаи на съставени актове срещу УМБАЛ за неправомерно съхранение на лични карти на пациенти и срещу МБАЛ за регистриране на фалшиви хоспитализации, което е довело до незаконосъобразно обработване на здравни данни на пациенти, включително непълнолетни. Въпреки че конкретните суми по тези казуси не са публични, те показват, че КЗЛД разследва и санкционира лечебни заведения. В България вече са налагани и други значителни глоби, като общата сума до 2021 г. е над 3.2 млн. евро , а отделни санкции достигат до 100 000 лв.

Анализ на знакови съдебни решения, формиращи практиката

Съдебната практика, както в България, така и на ниво ЕС, непрекъснато развива и изяснява правата и отговорностите.

  • Българският прецедент – течът на данни от НАП: Делата, заведени след огромния теч на данни от НАП през 2019 г., трансформираха българската съдебна практика. Ключово в този процес беше решението на СЕС по преюдициално запитване от българския съд по дело   C-340/21 (VB v. Natsionalna agentsia za prihodite). Съдът в Люксембург постанови, че самият страх и притеснение от бъдеща злоупотреба с изтеклите данни може да представлява неимуществена вреда, която подлежи на обезщетение. Това значително улесни гражданите, тъй като те вече не трябва да доказват, че с данните им реално е било злоупотребено (нещо, което е изключително трудно). Достатъчно е да докажат, че са претърпели основателен и реален страх в резултат на нарушението. Впоследствие българските съдилища започнаха да присъждат обезщетения на граждани по делата срещу НАП, като едно от първите окончателни решения на ВАС присъди 500 лв. обезщетение.  
  • Европейска практика с пряко отражение:
    • Делото Lindenapotheke (C-21/23) – Вторият ключов извод: Освен че разшири понятието за „здравни данни“, този казус отвори и трети фронт за нарушителите. СЕС постанови, че GDPR не пречи на националното законодателство да позволява на конкуренти да водят дела за нарушения на Регламента, ако това нарушение представлява и акт на нелоялна търговска практика. Това превръща спазването на GDPR от въпрос на обществено доверие и регулаторен надзор в остро оръжие в корпоративните битки. Една клиника вече може да съди друга за това, че не спазва правилата за защита на данните и по този начин придобива нечестно конкурентно предимство.  

Един-единствен инцидент със сигурността днес може да предизвика правна и финансова буря от три посоки едновременно: многомилионна глоба от КЗЛД, хиляди индивидуални искове за обезщетения от пациенти и стратегическо дело от конкурент. Това фундаментално променя изчисленията на риска. Защитата на данните вече не е просто разход или квадратче за отмятане в списък със задачи; тя е основен стратегически императив, жизненоважен за оцеляването на всяка организация в здравния сектор.

Как адвокатска кантора Астакова може да защити Вашите права

Анализът показва, че правната рамка, защитаваща поверителността на медицинската информация, е сложна, многопластова и в непрекъснато развитие. Отговорността за данните на пациента се разпростира по верига от администратори и обработващи. Дефиницията за „здравни данни“ се оказа изненадващо широка, обхващайки дори информация, от която може само да се направи извод за здравословно състояние. В същото време правата на пациентите са силно защитени от българското и европейското право, а последиците за нарушителите са изключително сериозни, идващи от регулатори, граждани и дори конкуренти.

Предвид тази сложност, възниква въпросът как един гражданин може ефективно да защити правата си. Успешното навигиране в тази материя – от доказването на самото нарушение и претърпените вреди, през подаването на редовна жалба до КЗЛД до предявяването на основателна претенция пред съда – изисква задълбочени познания и практически опит, каквито само специализирана адвокатска кантора може да предложи.

Ако имате съмнения, че Вашата поверителна медицинска информация е била обект на неправомерен достъп или разкриване, защитата на Вашите права е от първостепенно значение. Екипът на адвокатска кантора Астакова в София разполага с необходимата експертиза в областта на защитата на личните данни, за да анализира Вашия случай, да оцени шансовете за успех и да Ви представлява пред компетентните органи и съда. Не се колебайте да потърсите професионална правна помощ.

Свържете се с нас още днес, за да запазите час за консултация и да предприемем заедно необходимите стъпки за защита на Вашите законни интереси.

3.6/5 - (122 votes)
Помогна ли Ви това?
371
67

Не пропускайте и тези публикации

Здравно осигуряване за чужденци в България: Пълен наръчник за правата Ви в НЗОК и частната застраховкаЗдравно осигуряване за чужденци в България: Права в НЗОК и частната застраховка
Пълно ръководство при пътнотранспортно произшествие (ПТП)Пълно ръководство при пътнотранспортно произшествие (ПТП): Вашите права и действия от А до Я
Извънсъдебно споразумение при лекарска грешка: Вашият пътеводител към справедливо обезщетение без дълги съдебни биткиИзвънсъдебно споразумение при лекарска грешка: Вашето справедливо обезщетение без дълги съдебни битки
Търговска срещу законова гаранция при онлайн покупкиТърговска срещу законова гаранция при онлайн покупки: Пълно ръководство за Вашите права
Работодателят не плаща заплатата Ви? 3 стъпки,...Работодателят не плаща заплататаДоговор за гледане и издръжка: Пълно ръководство за рисковете и как да защитите правата сиДоговор за гледане и издръжка: Рисковете и...
Обадете ни се
Заведи ме