GDPR за лекари и медицински заведения — пълно ръководство
Здравните данни са сред най-чувствителните лични данни по GDPR. Всеки преглед, всяка рецепта и всяка диагноза генерира информация, която попада в специалната категория по чл. 9 от Регламента. Нарушенията могат да ви струват до 20 милиона евро или 4% от годишния оборот. Това ръководство покрива всичко — от правните основания за обработка до НЗИС, телемедицина и видеонаблюдение в лечебни заведения.
Съдържание
- Здравните данни са специална категория
- Правни основания за обработка
- DPO задължение — кой е длъжен да назначи?
- Електронно здравно досие (НЗИС)
- Срокове за съхранение на медицински данни
- Видеонаблюдение в медицински заведения
- Теч на здравни данни — уведомяване
- Споделяне на данни между лечебни заведения
- Телемедицина и дистанционни прегледи
- Често задавани въпроси
1. Здравните данни са специална категория
Съгласно чл. 4, т. 15 от GDPR, „данни за здравословното състояние" означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които разкриват информация за здравословното му състояние.
Чл. 9, пар. 1 от GDPR забранява обработването на здравни данни като правило по подразбиране. Те попадат в т.нар. „специални категории лични данни" наред с генетичните данни, биометричните данни, расовия произход и други.
Какво включват здравните данни?
Обхватът е значително по-широк, отколкото повечето лекари предполагат:
Заболявания и диагнози
Минали и настоящи заболявания, диагностични кодове (МКБ-10), хронични състояния.
Резултати от изследвания
Лабораторни резултати, образна диагностика, патологоанатомични заключения, функционални тестове.
Медицинска история
Анамнеза, предходни хоспитализации, хирургични интервенции, алергии, ваксинации.
Рецепти и терапия
Предписани лекарства, дозировки, терапевтични планове, физиотерапевтични процедури.
Здравноосигурителни данни
ЕГН (като идентификатор в здравната система), здравноосигурителен номер, НЗОК данни.
Данни от медицински устройства
Данни от кръвно-захарни монитори, пейсмейкъри, фитнес тракери (когато се използват за лечение), апарати за мониторинг.
Важно: дори „непряка" здравна информация е защитена
Съгласно Съображение 35 от GDPR, здравни данни включват и номер, символ или отличителен белег, определен на физическо лице за целите на здравеопазването. Това означава, че дори самият факт, че дадено лице е пациент на определен специалист (напр. онколог, психиатър), може да представлява здравна информация. Информация за увреждания, ТЕЛК решения и данни от болнични листове също са здравни данни.
2. Правни основания за обработка на здравни данни
Тъй като здравните данни са забранени за обработка по подразбиране (чл. 9(1) GDPR), необходимо е изключение по чл. 9(2) в комбинация с правно основание по чл. 6(1).
Основно основание: медицинска цел (чл. 9(2)(з))
За пряка медицинска помощ основното правно основание НЕ е съгласието на пациента. Съгласно чл. 9, пар. 2, буква „з" от GDPR, обработването е допустимо, когато е необходимо за целите на превантивната или трудовата медицина, медицинската диагноза, осигуряването на здравни или социални грижи, или лечение, или управление на здравни или социални системи и услуги.
Това е изрично потвърдено и в Съображение 53 от GDPR, което указва, че обработването на здравни данни за целите на здравеопазването не следва да изисква съгласие на субекта.
Защо НЕ съгласието е основание за пряка медицинска грижа?
Съгласието по GDPR трябва да е свободно дадено (чл. 7, Съображение 43). В отношенията лекар-пациент е трудно да се гарантира „свободност" — пациентът е в зависимост от лекаря и може да се чувства принуден. Освен това, ако пациентът оттегли съгласието си, лекарят ще бъде задължен да спре обработката — което може да застраши здравето на пациента. Затова чл. 9(2)(з) е правилното основание.
Кога е необходимо съгласие?
| Дейност | Правно основание | Съгласие? |
|---|---|---|
| Преглед, диагностика, лечение | Чл. 9(2)(з) — медицинска цел | НЕ |
| Издаване на рецепта | Чл. 9(2)(з) — медицинска цел | НЕ |
| Запис в НЗИС на медицинска дейност | Чл. 9(2)(з) + Закон за здравето | НЕ |
| Достъп на пациента до електронното му здравно досие в НЗИС | Чл. 28д, ал. 2 от Закона за здравето | ДА — изрично писмено |
| Маркетинг на медицински услуги | Чл. 9(2)(а) — съгласие | ДА — изрично |
| Споделяне с немедицински лица (застрахователи, работодатели) | Чл. 9(2)(а) — съгласие | ДА — изрично |
| Участие в научно изследване | Чл. 9(2)(й) — научни цели + съгласие | ДА (обикновено) |
| Публикуване на снимки/видео от лечение | Чл. 9(2)(а) — съгласие | ДА — изрично |
| Допълнителни (нелечебни) услуги | Чл. 9(2)(а) — съгласие | ДА |
Внимание: информирано медицинско съгласие ≠ GDPR съгласие
„Информираното съгласие" по чл. 87-92 от Закона за здравето (за медицински процедури) е нещо различно от съгласието за обработка на лични данни по GDPR. Те имат различни правни основания, различна форма и различни последици при оттегляне. Не ги смесвайте в един формуляр.
3. DPO задължение — кой е длъжен да назначи?
Съгласно чл. 37, пар. 1, буква „в" от GDPR, длъжностно лице по защита на данните (DPO) е задължително, когато основните дейности на администратора се състоят в мащабно обработване на специални категории данни. Здравните данни са специална категория.
Ключовият въпрос е: какво е „мащабно"? Съгласно Насоки WP243 на EDPB (преработени), факторите включват: брой засегнати лица, обем данни, продължителност на обработката и географски обхват.
| Тип заведение | DPO задължение | Обосновка |
|---|---|---|
| Болница (МБАЛ, УМБАЛ) | ЗАДЪЛЖИТЕЛНО | Мащабна обработка на здравни данни — хиляди пациенти, множество отделения |
| Специализирана болница | ЗАДЪЛЖИТЕЛНО | Мащабна обработка, чувствителни данни (онкология, психиатрия и др.) |
| Групова практика / Медицински център | МНОГО ВЕРОЯТНО | Множество специалисти, значителен брой пациенти — обикновено покрива прага за „мащабност" |
| Лаборатория (МДЛ, МДД) | ВЕРОЯТНО | Голям обем изследвания, множество пациенти от различни лекари |
| Аптека (верига) | ВЕРОЯТНО | Обработва рецепти, здравноосигурителни данни, голям поток пациенти |
| Самостоятелна аптека | Препоръчително | По-малък мащаб, но обработва рецепти и здравни данни |
| Самостоятелен лекар / Зъболекар | НЕ е задължително | EDPB WP243 изрично изключва индивидуалните лекари — не е „мащабна" обработка |
Практически съвет: дори когато не е задължително
Дори ако не сте задължени да назначите DPO, силно препоръчваме да определите лице за контакт по защита на данните. Здравните данни носят висок риск и наличието на специалист значително намалява вероятността от нарушения. Прочетете повече в нашата статия за DPO — длъжностно лице по защита на данните.
4. Електронно здравно досие (НЗИС)
Националната здравноинформационна система (НЗИС) е централизирана система, регламентирана в чл. 28б–28д от Закона за здравето. Тя е гръбнакът на дигитализацията на здравеопазването в България и има пряко отношение към GDPR.
Основни характеристики на НЗИС:
- Автоматично създаване — електронното здравно досие се създава при първия медицински запис на лицето
- Задължително записване — всички медицински дейности (прегледи, изследвания, диагнози, рецепти, хоспитализации) трябва да се записват в НЗИС
- Срок на съхранение: 50 години — записите се пазят 50 години от създаването им
- Администратор: Министерство на здравеопазването — МЗ е администратор на НЗИС, а лечебните заведения са обработващи лични данни в тази връзка
Достъп на пациента до електронното здравно досие
Съгласно чл. 28д, ал. 2 от Закона за здравето, достъпът на пациента до собственото му електронно здравно досие изисква изрично писмено съгласие. Наредба Н-6 от 2022 г. предвижда 5 валидни метода за даване на това съгласие:
- Чрез квалифициран електронен подпис (КЕП)
- Чрез персонален идентификационен код (ПИК) на НАП/НОИ
- Чрез средство за електронна идентификация (eID)
- С писмено заявление на хартия в лечебно заведение
- Чрез упълномощено лице (с нотариално заверено пълномощно)
Европейско пространство за здравни данни (EHDS)
Регламент (ЕС) 2025/327 (European Health Data Space) бе приет през 2025 г. и ще промени значително ландшафта на здравните данни в ЕС:
Първично използване (от март 2027 г.) — пациентите ще получат право на достъп до здравните си данни в електронен формат и право на преносимост между държави членки. Здравните специалисти ще имат трансграничен достъп до пациентски данни.
Вторично използване (от март 2029 г.) — анонимизирани/псевдонимизирани здравни данни ще могат да се използват за научни изследвания, иновации и обществено здраве чрез специализирани органи за достъп.
5. Срокове за съхранение на медицински данни
Принципът за ограничение на съхранението (чл. 5(1)(д) GDPR) изисква данните да се пазят само толкова дълго, колкото е необходимо. В здравеопазването обаче има множество специални законови изисквания:
| Тип документ / данни | Срок | Правно основание |
|---|---|---|
| История на заболяването (болнично) | 15 години | Наредба 1/2014 за реда за водене и съхраняване на медицинска документация |
| Амбулаторни листове и карти | 10 години | Наредба 1/2014 |
| Лабораторни резултати | 2–5 години | В зависимост от вида изследване и вътрешен правилник |
| Рецепти и рецептурни книжки | 5 години | Наредба 4/2009 за условията и реда за предписване и отпускане на лекарства |
| Профилактична документация | 3 години | Наредба 1/2014 |
| Електронно здравно досие (НЗИС) | 50 години | Чл. 28г от Закона за здравето |
| НЗОК данни и отчети | 5 години след прекратяване на осигуряването | Закон за здравното осигуряване + Национален рамков договор |
| Съгласия за обработка (GDPR) | 5 години след оттегляне или последна обработка | GDPR чл. 7(1) — доказване на съгласие + давностен срок |
Право на изтриване — ограничения при медицински данни
Правото на изтриване по чл. 17 GDPR НЕ се прилага, когато обработката е необходима за целите на превантивната или трудовата медицина (чл. 17(3)(в)). На практика пациентът не може да поиска изтриване на медицински записи в рамките на законовите срокове. Има обаче право на достъп (чл. 15) и коригиране (чл. 16) на неточни данни.
6. Видеонаблюдение в медицински заведения
Много болници и клиники използват видеонаблюдение за сигурност. В контекста на здравеопазването това е особено чувствителна тема, тъй като камерите могат да заснемат пациенти в уязвимо състояние.
Правно основание
Видеонаблюдението в медицински заведения обикновено се основава на чл. 6(1)(е) от GDPR — легитимен интерес (сигурност на пациенти, персонал и имущество). Необходима е оценка на баланса между легитимния интерес и правата на субектите.
Категорични забрани:
- Камери в кабинети за преглед и манипулационни
- Камери в стаи за лечение и процедури
- Камери в зони, където пациентите се събличат
- Камери в тоалетни и бани
- Камери в стаи за почивка на персонала
Задължителни мерки:
Информационни табели
Видими знаци на всеки вход с камери — кой наблюдава, с каква цел, контактни данни на администратора/DPO.
Оценка на въздействието (DPIA)
Видеонаблюдение в здравни заведения почти винаги изисква DPIA по чл. 35 GDPR — систематичен мониторинг + уязвими субекти.
Ограничен срок на съхранение
Записите трябва да се съхраняват максимум 72 часа, освен ако няма конкретна причина за по-дълго съхранение (напр. инцидент).
Ограничен достъп
Само определени лица с ясна необходимост трябва да имат достъп до записите. Водете дневник на достъпа.
За подробности относно GDPR изискванията за видеонаблюдение, вижте нашата специализирана статия: Видеонаблюдение и GDPR.
7. Теч на здравни данни — уведомяване на КЗЛД и пациенти
Нарушенията на сигурността на здравни данни са сред най-тежките инциденти по GDPR. Поради чувствителния характер на тези данни, последиците са почти винаги сериозни — от дискриминация до застрашаване на живота.
Здравни данни = почти винаги високорисков теч
Съгласно Насоките на EDPB за уведомяване при нарушения, теч на здравни данни почти автоматично се квалифицира като високорисков. Това означава двойно задължение:
Чл. 33 GDPR — уведомяване на КЗЛД в рамките на 72 часа от узнаването.
Чл. 34 GDPR — уведомяване на засегнатите пациенти без ненужно забавяне, когато нарушението може да доведе до висок риск за правата и свободите им.
Примери за тежки инциденти:
- Рансъмуер атака, криптираща пациентски бази данни
- Неоторизиран достъп на служител до медицински записи на известна личност
- Изгубен лаптоп с нешифровани пациентски данни
- Изпращане на медицински резултати на грешен имейл адрес
- Хакерска атака срещу НЗИС портала на лечебното заведение
Стъпки при инцидент:
Идентификация и ограничаване
Спрете теча. Изолирайте засегнатите системи. Запазете доказателства.
Оценка на риска
Определете какви данни са засегнати, колко пациенти и какъв е потенциалният ефект.
Уведомяване на КЗЛД
В рамките на 72 часа подайте уведомление до Комисията за защита на личните данни.
Уведомяване на пациенти
При здравни данни — почти винаги необходимо. Уведомете ясно и конкретно.
За подробно ръководство стъпка по стъпка, прочетете: Теч на лични данни — какво да направите в първите 72 часа.
8. Споделяне на данни между лечебни заведения
В медицинската практика често е необходимо споделяне на пациентски данни между различни лечебни заведения. Чл. 28 от Закона за здравето урежда допустимите случаи:
| Цел на споделянето | Допустимо? | Условия |
|---|---|---|
| Продължаване на лечението (препращане към специалист) | ДА | Необходимо за непрекъснатост на грижата. Минимизация — само релевантни данни. |
| Заплаха за здравето или живота на пациента | ДА | Спешни ситуации — без нужда от съгласие. |
| Идентификация на лицето | ДА | Когато пациентът не може да се идентифицира сам (безсъзнание, деменция). |
| Обществено здраве (епидемии, надзор) | ДА | Чл. 9(2)(и) GDPR — обществен интерес в областта на общественото здраве. |
| Медицинска експертиза (ТЕЛК, НЕЛК) | ДА | Законово основание за медицинска експертиза на работоспособността. |
| Анонимизирано научно изследване | ДА | След пълна анонимизация GDPR вече не се прилага. При псевдонимизация — допълнителни мерки. |
| Маркетинг на друго заведение | НЕ | Не е допустимо правно основание за споделяне на здравни данни. |
| Споделяне със застрахователи без съгласие | НЕ | Необходимо е изрично съгласие на пациента. |
Принцип за минимизация (чл. 5(1)(в) GDPR)
Дори когато споделянето е допустимо, трябва да предоставите само данните, необходими за конкретната цел. Ако препращате пациент към кардиолог, не е нужно да изпращате пълната му стоматологична история. Използвайте защитени канали за комуникация и водете регистър на споделянията.
9. Телемедицина и дистанционни прегледи
С измененията на Закона за здравето от 2024 г. дистанционните медицински дейности бяха формално регламентирани в българското законодателство. Проектът на Наредба за дистанционна медицинска помощ премина обществено обсъждане (приключило юли 2025 г.) и се очаква да влезе в сила.
GDPR изисквания при телемедицина:
Криптиране от край до край (E2E)
Всяка видео/аудио комуникация между лекар и пациент трябва да е криптирана. Стандартните потребителски платформи (Viber, Messenger) НЕ са подходящи.
Запис в НЗИС
Всички дистанционни медицински дейности трябва да се записват в НЗИС, както и присъствените. Включително диагнози, предписания и препоръки.
Автентикация на пациента
Необходима е надеждна идентификация на пациента — чрез ЕГН, здравноосигурителен номер или електронна идентификация.
Информирано съгласие
Пациентът трябва да бъде информиран за спецификите на дистанционния преглед, включително ограниченията и рисковете при обработка на данните.
Сигурност на данните (чл. 32 GDPR)
Подходящи технически мерки: криптиране при съхранение, контрол на достъпа, дневници на достъпа, редовно тестване на сигурността.
DPIA при нови технологии
Въвеждането на телемедицинска платформа е „нов тип обработка" — вероятно изисква DPIA по чл. 35 GDPR преди стартиране.
Внимание: платформи за телемедицина
Платформата за телемедицина е обработващ лични данни по смисъла на чл. 28 GDPR. Необходим е договор за обработка (DPA). Проверете: къде се съхраняват данните (ЕИП?), дали има подизпълнители извън ЕС, дали платформата отговаря на ISO 27001 или еквивалентен стандарт, и дали записите се криптират при съхранение.
Често задавани въпроси
Трябва ли на частния ми лекарски кабинет DPO?
Ако сте самостоятелно практикуващ лекар (напр. личен лекар или зъболекар), НЕ сте задължен да назначавате DPO. EDPB (WP243) изрично изключва индивидуалните лекари. Но ако сте групова практика или медицински център с множество специалисти, задължението вероятно се прилага. Прочетете повече в нашата статия за DPO.
Може ли пациент да поиска изтриване на медицинските си данни?
Правото на изтриване (чл. 17 GDPR) НЕ се прилага, когато обработката е необходима за целите на превантивната или трудовата медицина (чл. 17(3)(в)). Медицинските записи се съхраняват за законовите срокове (напр. 15 години за история на заболяването). Пациентът има обаче пълно право на достъп (чл. 15) и коригиране на неточни данни (чл. 16).
Какви данни се записват автоматично в НЗИС?
В НЗИС се записват всички медицински дейности: прегледи, изследвания, диагнози, терапии, направления, рецепти и хоспитализации. Електронното здравно досие се създава автоматично при първия медицински запис и се съхранява 50 години (чл. 28г от Закона за здравето). Достъпът на пациента изисква изрично писмено съгласие (чл. 28д, ал. 2).
Трябва ли да уведомя КЗЛД при теч на пациентски данни?
Да, почти винаги. Здравните данни са специална категория по чл. 9 GDPR и тяхното нарушение се счита за високорисково. Трябва да уведомите КЗЛД в рамките на 72 часа (чл. 33) и засегнатите пациенти без ненужно забавяне (чл. 34). Вижте нашето ръководство за теч на данни.
Мога ли да използвам телемедицина и да обработвам пациентски данни дистанционно?
Да. С измененията на Закона за здравето от 2024 г. дистанционните медицински дейности са формално регламентирани. Необходимо е: E2E криптирана комуникация, запис в НЗИС, информирано съгласие и спазване на GDPR (чл. 32). Избягвайте нешифровани потребителски платформи като Viber или Messenger.
Тази статия отразява правното положение към 16 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет относно GDPR съответствие на вашето лечебно заведение, моля свържете се с нас.
GDPR одит и DPO услуга за здравеопазването
Нашият екип от юристи и IT специалисти има специфичен опит в здравния сектор. Предлагаме цялостно GDPR съответствие за болници, клиники и медицински центрове.
- Пълен GDPR одит на лечебното заведение
- Външно DPO като услуга — специализирано за здравеопазване
- Изготвяне на пълна документация: регистри, политики, DPIA
- Процедури за теч на данни и уведомяване на КЗЛД
- Обучение на медицински и административен персонал
- Подготовка за EHDS (Европейско пространство за здравни данни)
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.