אנגליה: מותר לעבד מידע בריאות למאבק בנגיף הקורונה ללא הסכמת המטופל

שר הבריאות של בריטניה פרסם לאחרונה הוראה המחייבת את ארגוני הבריאות בבריטניה לשתף ולעבד מידע בריאות מזהה של מטופלים למעקב ומחקר הנוגע לנגיף הקורונה. עקב כך מבהירה הרשות למחקרי בריאות של שירות הבריאות הלאומי בבריטניה במדריך שפרסמה את ההוראות הנוגעות לשימוש במידע בריאות מזהה של מטופלים למטרת מחקר נגיף הקורונה. 

מיד לאחר כניסתן לתוקף של תקנות הגנת המידע האירופיות ((GDPR נחקק באנגליה חוק הגנת המידע המסדיר בין היתר עיבוד מידע על מטופלים למטרות מחקר בריאות. לפי התקנות באירופה ארגון העוסק במחקר אם הוא גוף ציבורי יכול לעשות שימוש בבסיס חוקי של אינטרס ציבורי או אינטרס לגיטימי אם מדובר בארגון מסחרי. חוק הגנת המידע באנגליה (DPA2018) לא מחייב קבלת הסכמה כבסיס חוקי ומאפשר לעבד מידע בריאות למטרת מחקר אם בעל המאגר קובע שקיים אינטרס ציבורי במחקר ובכפוף ליישום אמצעי הגנה. 

בנוסף מידע בריאות של מטופלים באנגליה כפוף לחוק חובת הסודיות. ארגון העושה שימוש בבסיס חוקי של אינטרס ציבורי או לגיטימי לעיבוד מידע עדיין חייב לעמוד בדרישות חוק חובת הסודיות באנגליה המחייב לקבל את הסכמת המטופל לעיבוד מידע בריאות מזהה. אולם הסכמה זו לפי חוק חובת הסודיות יכולה במצבים מסוימים להיות משתמעת (Opt-out) ואיננה נדרשת בהכרח לעמוד בפרשנות המחמירה של ההסכמה (Opt-in) לפי תקנות הגנת המידע.

סעיף 251 לחוק שירות הבריאות הלאומי ורגולציית שירותי הבריאות מתירים לשתף עם חוקר מידע בריאות מזהה בין היתר למטרות מחקר בריאות  שיש בו אינטרס ציבורי ללא קבלת הסכמת המטופל זאת למרות חוק חובת הסודיות. ההיתר רלוונטי כאשר קבלת הסכמה איננה אלטרנטיבה מעשית ולא ניתן להשיג את מטרות המחקר במידע אנונימי. לשם כך נדרש להגיש בקשה לוועדה המייעצת לעניין סודיות (CAG) של רשות מחקרי הבריאות.

לנוכח זאת הוראת השעה של שר הבריאות של בריטניה היא בסיס חוקי המתיר עיבוד מידע בריאות מזהה לתקופה מוגבלת ללא הסכמת המטופלים למטרת בריאות הציבור, מעקב ומחקר בנגיף הקורונה. הסמכות החוקית לכך נמצאת ברגולציית שירותי הבריאות (שליטה במידע מטופלים) המתירה בעת מגפה לעבד מידע מזהה ללא הסכמה גם ללא עמידה בתנאי סעיף 251. המשמעות היא כי מחקר במידע בריאות מזהה ללא הסכמה איננו מחייב הגשת בקשה לוועדה המייעצת לעניין סודיות כאשר ההוראה בתוקף, ולמטופלים אין זכות לסרב שהמידע שלהם ישמש למחקר. יתרה מזו רשות הבריאות גיבשה הסדר זמני לתהליך בחינה אתי מהיר של בקשות למחקר בנגיף הקורונה.

לאחרונה הקים משרד הבריאות בישראל את מאגר קורונה למחקר המשמש תשתית לאומית למחקר בנגיף הקורונה. במאגר קורונה למחקר ירוכז המידע שנאסף במערכת הבריאות הישראלית על המחלה, כדי שישמש לביצוע מחקרים במידע מותמם ובאופן מאובטח. מחקר יתבצע רק לאחר קבלת כלל האישורים האתיים והמשפטיים הנדרשים והמחקר יתבצע רק על מידע שהוסרו ממנו הפרטים המזהים ,ולאחר שבוצעו תהליכים המפחיתים את היכולת לזהות את המידע. חוקר שיקבל גישה למידע בחדרי המחקר יחתום על התחייבות אישית לשמירת סודיות המידע ולאי ביצוע פעולות או ניסיונות לזיהוי מחדש. אדם בישראל שאובחן כחולה קורונה, ואינו מעוניין שייעשה שימוש במידע אודותיו למטרות מחקר יכול לבחור לצאת ממאגר הקורונה.

רגולטורים אירופאיים מפרסמים את המותר והאסור בעיבוד מידע רפואי בהתמודדות עם מגפת הקורונה

מקור: מאמר מאת ד״ר גבריאלה זנפיר פורטונה מFuture of Privacy Forum. תורגם על ידי המכון הישראלי למדיניות טכנולוגי

מאחר שאירופה מתמודדת עם עלייה אקספוננציאלית במקרי COVID-19, חלק מהרשויות האירופיות להגנת המידע פרסמו הנחיות לציבור בנושא גבולות איסוף, שיתוף ושימוש בנתונים אישיים הנוגעים לבריאות בנסיבות חריגות אלה. תחומי דאגה מיוחדים קשורים להיקף האמצעים שמעסיקים יכולים לנקוט באופן חוקי כדי לפקח על בריאות עובדיהם, כמו גם לאיסוף נתוני הבריאות על ידי סוכנויות ממשלתיות. בסך הכל, הרגולטורים מדגישים כי חוק הגנת המידע בשום אופן אינו מהווה חסם לבריאות הציבור, אך מייעצים לארגונים מפני ניטור ואיסוף “שיטתי וכולל” של נתונים הקשורים לבריאות העובדים שלהם מחוץ לבקשות רשמיות של גורמי הממשל לבריאות הציבור.

רקע: ה- GDPR (הרגולציה האירופאית להגנת מידע) מתייחס ל”ניטור מגפות והתפשטותן”

ה- GDPR בודד מספר דרכים לעיבוד נתונים אישיים כשמדובר באינטרסים החיוניים של אנשים או מסיבות חשובות של אינטרס ציבורי. תקנה 46 מתייחסת באופן ספציפי לחוקיותם של סוגים מסוימים של עיבוד המשרתים את שתי המטרות הללו, “לרבות למעקב אחר מגפות והתפשטותן”. ישנן הוראות הן בתקנה 6 (העילה החוקית הכללית לעיבוד נתונים אישיים), והן בתקנה 9 (האיסור לעבד נתונים רגישים ונסיבות חריגות בהן ניתן לעבד) המאפשרים איסוף, שימוש ושיתוף הכרחי של נתונים אישיים הקשורים לבריאות בהקשר להתמודדות עם מגיפה.

לדוגמה, “סיבות בעלות אינטרס ציבורי בתחום בריאות הציבור, כגון הגנה מפני איומים חוצי גבולות על הבריאות” מוזכרות באופן ספציפי כשימוש מותר במידע רגיש, כולל נתונים הקשורים לבריאות, לפי תקנה 9(2)(i), אם נקבע על ידי חוק האיחוד או המדינות החברות. סעיף 52 לדברי ההסבר מתייחס באופן ספציפי לחריגים מהאיסור על עיבוד נתונים רגישים המוצדקים ל”מטרות פיקוח והתראה” ו”מניעה או בקרה של מחלות מועברות ואיומים חמורים אחרים על הבריאות”.

רגולטור המידע האיטלקי (Garante): איסוף שיטתי וכללי של נתונים בריאותיים על ידי מעסיקים אינו מומלץ

איטליה הייתה ללא ספק המדינה המושפעת ביותר כתוצאה ממגפת COVID-19 באירופה עד כה, כשהממשלה נקטה שלשום בצעד חסר התקדים של סגירת המדינה כולה. הרשות המפקחת על הגנת המידע האיטלקית – הגרנטה, הדגישה בהדרכה מוקדמת בשבוע שעבר כי רשויות הבריאות הציבוריות הן הארגונים המורשים לאסוף ולנהל נתונים על בריאות הקשורים להתפשטות הנגיף.

“מניעת התפשטות נגיף Coronavirus היא משימה לביצוע הגורמים עליהם מוטל לבצע משימה זו באופן רשמי. חקירה ואיסוף המידע על התסמינים האופייניים לנגיף ועל התנועות האחרונות של כל אחד ואחד מהחולים הם באחריותם של אנשי מקצוע בתחום הבריאות ומערכת ההגנה האזרחית, שהם הגורמים האחראים להבטיח עמידה בכללי בריאות הציבור שאומצו לאחרונה.”, כתב הגרנטה.

לפיכך, המלצת המפתח שהועברה על ידי הרגולטור האיטלקי הייתה למעסיקים “להימנע מאיסוף, מראש ובאופן שיטתי וכולל, לרבות באמצעות פניות ספציפיות לעובדים בודדים או חקירות בלתי מורשות, מידע על הימצאות סימני שפעת אצל העובד ואנשי הקשר הקרובים ביותר שלו, או בכל מקרה הנוגע לאזורים מחוץ לסביבת העבודה“. הגרנטה הזכיר כי העובדים מחוייבים ליידע את המעסיק על כל סכנה לבריאות ובטיחות במקום העבודה ועודדו את המעסיקים להקים ערוצי תקשורת ספציפיים הקשורים לסוג מידע זה.

הגרנטה קראה “לעמוד בקפידה אחר ההוראות שניתנו על ידי משרד הבריאות והמוסדות המוסמכים למנוע את התפשטות הנגיף מבלי לנקוט יוזמות אוטונומיות שמטרתן לאסוף נתונים גם על בריאות המשתמשים והעובדים”.

ממשלת איטליה פרסמה שלשום בערב צו בכתב העת הרשמי (מספר 14/2020) ליצור מסגרת משפטית מיוחדת לאיסוף ושיתוף נתונים אישיים הקשורים לבריאות על ידי רשויות בריאות הציבור וחברות פרטיות המהווים חלק ממערכת הבריאות הלאומית משך מצב החירום הקשור ל- COVID-19.

רגולטור המידע האירי (DPC): בקשות מידע על נסיעות אחרונות ותסמינים של עובדים ומבקרים עשויות להיות מוצדקות

הממונה על הגנת המידע באירלנד הבהירה בתחילת ההנחיה כי “חוק הגנת המידע אינו עומד בדרך של מתן שירותי בריאות וניהול סוגיות בתחום בריאות הציבור”. אך יחד עם זאת “ישנם שיקולים חשובים אותם יש לקחת בחשבון בעת ​​הטיפול בנתונים אישיים בהקשרים אלה, ובמיוחד    צריך לקבל הנחיות של רשויות בריאות הציבור, או רשויות רלוונטיות אחרות

הממונה מדגישה היבטים רלוונטיים במיוחד לעמידה בהוראות רגולציית הפרטיות, כמו שקיפותלגבי האמצעים שננקטו לאיסוף המידע והשימוש בו, שמירה על סודיות מידע בתחום הביתי, שמירה על סודיות המידע אודות הדבקה אפשרית ב- COVID-19 של עובדים ספציפיים, יישום אבטחת מידע מתאימה, עיבוד כמות מינימלית של נתונים אישיים בכדי להשיג את המטרה של מניעת התפשטות הנגיף וחקירתו, כמו גם מעקב אחר כל ההחלטות שהתקבלו ביחס לאיסוף נתונים אלה אמצעי הגנה שיושמו.

ההנחייה כוללת דוגמאות לשאלות ציבור שהובאו בפני הרשות. לדוגמא, האם מעסיק יכול לדרוש מכל הצוות והמבקרים בבניין למלא שאלון המבקש מידע על היסטוריית הנסיעות האחרונות שלהם למדינות שנפגעו מהנגיף, ומידע רפואי כמו טמפרטורת גוף ומדדים חיוניים. בהתחשב בכך שעל פי החוק האירי יש למעסיקים גם חובה חוקית לשמור על בריאות עובדיהם ולשמור על מקום עבודה בטוח, ועל רקע ההצדקות הספציפיות ב- GDPR שהוזכרו לעיל, “מעסיקים רשאים לבקש מהעובדים והמבקרים ליידע אותם אם הם ביקרו באזור נגוע או חווים תסמינים”. אם מידע כזה ייאסף באמצעות שאלונים, יש לשקול את הנחיצות והמידתיות, תוך התחשבות בכל הנחיות רשויות בריאות הציבור.

רגולטור המידע הצרפתי (CNIL): איסוף תיקים רפואיים או שאלונים מכל העובדים, ככל הנראה לא מוצדק

הרשות הצרפתית הזכירה לארגונים כי נתונים אישיים הקשורים לבריאות נהנים מהגנה חזקה יותר תחת ה- GDPR בגלל הרגישות שלהם. ההנחיות הקצרות שפורסמו ב- 6 במרץ התרכזו במה שהמעסיקים יכולים לעשות ומה הם לא יכולים לעשות ביחס לנתונים על מצבם הבריאותי של העובדים שלהם. ככלל, כל עיבוד חריג של מידע אישי בשל ההתמודדות עם המגיפה לא צריך לחרוג מהנדרש לצורך זיהוי חשד לחשיפה לנגיף, במיוחד בהתחשב בעובדה שקוד בריאות הציבור חל גם על מצב זה.

ברשימה השחורה של פעילויות העיבוד, ה- CNIL מציין כי “על המעסיקים להימנע מאיסוף באופן שיטתי וכולל, או באמצעות פניות ובקשות פרטניות, של מידע הנוגע לחיפוש אחר תסמינים אפשריים שהוצגו על ידי עובד וקרוביהם”. ה- CNIL נותן דוגמאות לעיבוד שלא כדין: מדידת חובה של טמפרטורה של כל עובד ומבקר שישלח מדי יום למנהלים שלהם או איסוף תיקים רפואיים או שאלונים מכל העובדים.

יצויין כי לא ברור האם הנחייה זו מתייחסת אך ורק לאיסוף המידע הקשור לבריאותו הכללית של העובד או למידע על נסיעותיו האחרונות.

ה- CNIL מציע גם דוגמאות לפעולות שמעסיקים יכולים לבצע באופן חוקי:

עידוד עובדים לחשוף באופן אינדיבידואלי מידע הקשור לחשיפה אפשרית לנגיף למעביד או לרשויות הבריאות המוסמכות; הגדרת ערוצים ייעודיים לקבלת מידע מסוג זה; קידום פתרונות עבודה מהבית; במקרה של דיווח על חשיפה אפשרית, “המעסיק יכול לרשום את התאריך ואת זהותו של האדם החשוד שנחשף; האמצעים הארגוניים שננקטו (בידוד, עבודה מרחוק, הדרכה ותקשורת עם הרופא התעסוקתי וכו’). “

רשויות הבריאות יכולות לאסוף נתונים הקשורים לבריאות במסגרת התפשטות COVID-19, בהתחשב בכך ש”הערכה ואיסוף של מידע הנוגע לתסמינים של נגיף קורונה ומידע על תנועותיהם האחרונות של אנשים מסוימים היא באחריות הרשויות הציבוריות הללו “.

יודגש כי ה- CNIL מציין כי על העובדים חלה חובה על פי חוק לשמור על בריאותם ובטיחותם של אחרים, כך ש”עליהם להודיע ​​למעסיק שלהם במקרה של חשד למגע עם הנגיף”