Газета «Новости медицины и фармации» 01-02 (399-400) 2012
Вернуться к номеру
Захист персональних даних у медичній сфері у запитаннях і відповідях*
Авторы: О.А. Беденко-Зваридчук, голова Комітету з медичного права АПУ, директор ЮК «МедАдвокат», керівник медико-правового порталу «103-law.org.ua»
Версия для печати
1. Чи підпадають під дію Закону України «Про захист персональних даних» приватні медичні установи і приватно практикуючі медпрацівники?
Дія Закону України «Про захист персональних даних» поширюється на всіх суб’єктів господарської діяльності в медичній сфері незалежно від форми власності та відомчого підпорядкування.
Тобто не тільки бюджетні лікувально-профілактичні установи, але і всі приватні ЛПУ і приватно практикуючі медпрацівники повинні реєструвати бази персональних даних, які ведуться ліцензіатами.
2. Які відомості належать до персональних даних людини і обробляються в медичних установах і приватно практикуючими медпрацівниками?
Персональні дані — це відомості чи сукупність відомостей про пацієнта, співробітника або партнера (фізичну особу), які дозволяють ідентифікувати дану людину.
До даних, за якими людина може бути ідентифікована, відносяться всі паспортні дані, а також деяка інша інформація:
— прізвище, ім’я та по батькові;
— вік або дата та місце народження;
— місце проживання;
— ідентифікаційний номер (код);
— соціальний статус;
— пільги відповідно до закону (одинокі матері, жінки з дітьми до трьох років, чорнобильці, неповнолітні, пенсіонери тощо);
— факт звернення по медичну допомогу, отримання медичної допомоги чи медичних послуг особою-пацієнтом, участь у клінічних дослідженнях лікарських засобів і т.д.
З усіма зазначеними категоріями відомостей про особу більшою чи меншою мірою стикаються у своїй діяльності співробітники лікувально-профілактичних установ і приватно практикуючі медпрацівники при наданні медичної допомоги або медичної послуги.
3. Що таке обробка персональних даних і формування баз персональних даних? Де в медичному закладі може проводитися обробка персональних даних?
При першому відвідуванні, подачі претендентом резюме на заміщення вакантної посади чи підписанні будь-яких угод/меморандумів про співпрацю людина (фізична особа) надає вам — представнику медичної установи або приватно практикуючому медпрацівникові більшу частину із зазначених вище персональних даних. Таким чином відбувається збір персональних даних конкретної людини.
При заповненні медичної, кадрової або бухгалтерсько-юридичної документації відбувається обробка та систематизація отриманих відомостей, а також внесення відомостей до загального каталогу — формування бази персональних даних певного напряму.
Зазначимо, що персональні дані однієї людини (фізичної особи) можуть потрапляти в різні бази та підбази вашого лікувально-профілактичного закладу. Відповідно, оброблятися, систематизуватися і формуватися в бази даних відомості будуть різними співробітниками вашого ЛПУ.
Наприклад, лікар Іванов Іван Іванович — співробітник вашого ЛПУ — подав кадровому працівникові свої персональні дані при працевлаштуванні. У процесі роботи ваш співробітник отримав певну медичну допомогу або медичну послугу, і його персональні дані потрапили в базу даних пацієнтів вашого ЛПУ. Пізніше ви провели семінар за участю як доповідача провідного фахівця у своїй галузі медичних знань — лікаря вищої категорії, к.м.н. Іванова Івана Івановича. За прочитану лекцію ви заплатили лікарю І.І. Іванову гонорар на підставі договору про співпрацю. І персональні дані вашого співробітника потрапили в базу даних партнерів — фізичних осіб.
Приватно практикуючі медпрацівники зазвичай одноосібно обробляють, систематизують персональні дані й формують їх у відповідні бази.
Нижче наводимо терміни щодо даного питання, викладені у Законі Україні «Про захист баз персональних даних».
Обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збором, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням та поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
База персональних даних (далі в тексті — БПД) — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Резюме: у медичному закладі персональні дані осіб можуть оброблятися особою, відповідальною за ведення кадрового діловодства, медичним реєстратором при зверненні особи до медичного закладу, медичним персоналом відділень і кабінетів, працівниками відділу статистики, бухгалтерії, приватно практикуючими медичними працівниками тощо.
4. Хто є власником, розпорядником баз персональних даних у медичній установі і третьою особою згідно із законодавством про захист персональних даних?
Відповідно до статті 2 Закону України «Про захист персональних даних»:
Власник бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних. Власник БПД затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедуру їх обробки, якщо інше не визначено законом.
Тобто всі лікувально-профілактичні заклади незалежно від форм власності та відомчого підпорядкування, а також приватно практикуючі медичні працівники є власниками баз персональних даних.
Розпорядник бази персональних даних — фізична або юридична особа, якій власником бази персональних даних або законом надано право обробляти ці дані.
Зазвичай розпорядником бази персональних даних у медичному закладі є співробітник, на якого буде покладено обов’язок з обробки персональних даних, їх формування в бази, оновлення внесених даних і т.д. Перелік таких осіб наведений у відповіді на попереднє питання.
Третя особа — будь-яка особа, за винятком суб’єкта персональних даних, власника чи розпорядника бази персональних даних та уповноваженого державного органу із захисту персональних даних, якій власником чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.
Наприклад, третьою особою буде виступати фармкомпанія, яка передає подарунки породіллям і новонародженим в післяпологовому відділенні. Персональні дані зазначених пацієнтів формуються у відповідну базу пологового будинку, а також передаються цій фармкомпанії.
5. Які види баз персональних даних є в медичному закладі?
Лікувально-профілактичний заклад може мати три види баз персональних даних із підбазами, а саме:
1) базу персональних даних співробітників;
2) базу персональних даних пацієнтів;
3) базу персональних даних партнерів — фізичних осіб.
6. Хто і яким чином повинен виконувати реєстрацію баз персональних даних медичної установи?
Відповідно до закону, реєстрацію баз персональних даних здійснює власник бази персональних даних шляхом подання відповідної заяви до Державної служби з питань захисту персональних даних. До моменту подачі відповідної заяви власник або уповноважена ним особа повинні розробити Положення про обробку і захист персональних даних у медичній установі й призначити відповідальних осіб, внести зміни в їхні посадові інструкції.
У заяві про реєстрацію баз персональних даних вказується:
— звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
— інформація про власника бази персональних даних;
— інформація про найменування та місцезнаходження бази персональних даних;
— інформація про мету обробки персональних даних у базі персональних даних;
— інформація про інших розпорядників бази персональних даних;
— підтвердження зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.
7. Як підтверджується факт отримання заяви та реєстрації баз персональних даних?
Державна служба з питань захисту персональних даних на наступний робочий день з моменту отримання заяви про реєстрацію баз персональних даних повідомляє заявника про її отримання.
Протягом десяти робочих днів із дня надходження заяви Державна служба з питань захисту персональних даних приймає рішення про реєстрацію бази персональних даних або про відмову в реєстрації.
Власнику бази персональних даних у разі позитивного рішення видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних — сертифікат.
Державна служба з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам за обсягом та якістю інформації, яка повинна міститися у заяві (див. попереднє питання).
8. Якими правами наділений пацієнт або законний представник пацієнта при обробці персональних даних?
Пацієнт особисто і законний представник у визначених законом випадках мають право:
1) надати добровільну згоду на обробку персональних даних пацієнта;
2) бути поінформованим про збір та обробку персональних даних пацієнта;
3) бути поінформованим про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) власника чи розпорядника цієї бази;
4) отримувати інформацію про умови надання доступу до персональних даних, включаючи інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
5) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;
6) отримувати не пізніше тридцяти календарних днів із дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримати зміст його персональних даних, що зберігаються;
7) пред’являти вмотивовану вимогу про зміну або знищення своїх персональних даних будь-яким власником і розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
8) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, ушкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними або ганьблять честь, гідність та ділову репутацію фізичної особи;
9) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
10) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
9. Хто є законним представником пацієнта? У яких випадках права пацієнта щодо захисту персональних даних може виконувати законний представник?
Відповідно до Цивільного кодексу України законним представником особи є:
Батьки (усиновлювачі) — законні представники своїх малолітніх та неповнолітніх дітей.
Опікун — законний представник малолітньої особи та фізичної особи, визнаної недієздатною/обмежено дієздатною.
Законним представником у випадках, встановлених законом, може бути інша особа.
Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник (ЗУ «Про захист персональних даних»).
10. Хто має право здійснювати контроль за дотриманням законодавства щодо захисту персональних даних ліцензіатом?
Контроль за дотриманням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
— уповноважений державний орган з питань захисту персональних даних — Державна служба з питань захисту персональних даних;
— інші органи державної влади та органи місцевого самоврядування;
— парламентський контроль за дотриманням прав людини щодо захисту персональних даних здійснює Уповноважений Верховної Ради України з прав людини відповідно до закону.
Отже, суб’єкти господарської діяльності з ведення медичної практики повинні пам’ятати, що тепер серед контролюючих органів, які будуть приходити до вас із плановими і позаплановими перевірками, з’явився ще один державний орган — Державна служба з питань захисту персональних даних.
11. Настання яких видів відповідальності можливе при порушенні законодавства щодо захисту персональних даних керівниками медичних установ або приватно практикуючими медичними працівниками?
З 1 січня 2012 р. Законом України «Про захист персональних даних» передбачено настання юридичної відповідальності за порушення законодавства щодо захисту персональних даних, а саме:
— кримінальної;
— адміністративно-правової;
— цивільно-правової.
Відповідно до Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 № 3454-VI внесено зміни до таких законодавчих актів України:
Кодекс України про адміністративні правопорушення доповнено статтями 188-39 і 188-40 такого змісту:
Стаття 188-39. Порушення законодавства у сфері захисту персональних даних.
Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються,
— тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних,
— тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню,
— тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від чотирьохсот до семисот неоподатковуваних мінімумів доходів громадян.
Ухилення від державної реєстрації бази персональних даних
— тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян.
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них,
— тягне за собою накладення штрафу від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян.
Стаття 188-40. Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних.
Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних
— тягне за собою накладення штрафу на посадових осіб, громадян — суб’єктів підприємницької діяльності від ста до двохсот неоподатковуваних мінімумів доходів громадян.
Статтю 182 Кримінального кодексу України викладено в такій редакції:
Стаття 182. Порушення недоторканності приватного життя.
Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу,
— караються штрафом від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян, або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи,
— караються арештом на строк від трьох до шести місяців, або обмеженням волі на строк від трьох до п’яти років, або позбавленням волі на той самий строк.
Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.
Також не слід забувати, що за порушен- ня у сфері захисту персональних даних можливе притягнення особи до цивільно-правової відповідальності на загальних підставах (наприклад, відшкодування немайнової шкоди).
12. Що таке «неоподатковуваний мінімум доходів громадян»? Як він обчислюється для Кримінального кодексу та Кодексу про адміністративні правопорушення? Які штрафні санкції в перекладі на грошові одиниці набудуть чинності в силу з 1 січня 2012 року?
Відповідно до Розділу 20 Податкового кодексу України: якщо норми інших законів містять посилання на неоподатковуваний мінімум доходів громадян, то для цілей їх застосування використовується сума в розмірі 17 гривень.
Для застосування в нормах Кримінального кодексу та Кодексу про адміністративні правопорушення в частині призначення штрафних санкцій за вчинені правопорушення неоподатковуваний мінімум доходів громадян визначається в розмірі 17 грн.
Тобто за правопорушення, зазначені в попередньому питанні, ліцензіат може заплатити штраф від 5100,00 до 17 000,00 грн.
Що ж стосується обчислення розміру матеріальної шкоди, завданої ліцензіатом фізичній особі — суб’єкту персональних даних, які обробляються ліцензіатом, то для настання кримінальної відповідальності за статтею 182 повинен бути нанесений збиток у сумі від 4705,00 грн і більше.
При кваліфікації адміністративних правопорушень (проступків) або кримінально-карних злочинів із метою встановлення суми заподіяння матеріальної шкоди (в основі якої передбачений неоподатковуваний мінімум доходів громадян) неоподатковуваний мінімум визначається в розмірі податкової соціальної пільги для відповідного року. На даний момент відповідно до Закону України «Про державний бюджет на 2011 р.» прожитковий мінімум становить 941,00 грн, тобто податкова соціальна пільга складає 470,50 грн.