Обробка персональних даних у закладах охорони здоров’я: практичні аспекти

24 грудня 2014
12521
Резюме

3 липня 2013 р. прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних», яким суттєво оновлено механізми обробки персональних даних (ПД). Зокрема визначено новий орган, який здійснює контроль за додержанням законодавства про захист ПД, — Уповноваженого Верховної Ради України з прав людини. Відповідно до ст. 23 Закону України «Про захист персональних даних» (далі — Закон), на Уповноваженого Верховної Ради з прав людини покладено низку повноважень, зокрема затверджувати нормативно-правові акти у сфері захисту ПД у випадках, передбачених цим Законом. 8 січня 2014 р. Уповноваженим Верховної Ради з прав людини видано наказ «Про затвердження документів у сфері захисту персональних даних» від № 1/02-14 (далі — Наказ Уповноваженого), що привнесло численні зміни до порядку обробки медичних даних. Доречно виділити кілька ключових положень з приводу цього.

1. Відповідно до п. 2.7 Типового порядку обробки ПД, затвердженого Наказом Уповноваженого, обробка ПД здійснюється володільцем ПД лише за згодою суб’єкта ПД, за винятком тих випадків, коли така згода не вимагається Законом. Володільцем ПД у сфері охорони здоров’я, зокрема, є заклад охорони здоров’я, фізична особа — підприємець (ФОП), яка (який) здійснює господарську діяльність із медичної практики.

2. Обробка медичних даних здійснюється без згоди суб’єкта даних на підставі п. 6 ч. 2 ст. 7 Закону. Підставою для обробки медичних даних буде, відповідно до п. 2 ч. 1 ст. 11 Закону, дозвіл на обробку ПД, наданий володільцю ПД, відповідно до Закону виключно для здійснення його повноважень.

3. Обробка медичних даних необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклу­вання чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту ПД та на якого поширюється законодавство про лікарську таємницю.

4. Наказом Міністерства охорони здоров’я (МОЗ) України від 08.08.2014 р. № 529 внесено зміни до наказу МОЗ України від 14.02.2012 р. № 110 та наказу МОЗ України від 29.05.2013 р. № 435, а саме скасовано форму «Інформована добровільна згода пацієнта на обробку персональних даних» та внесено зміни до форми «Інформована добровільна згода пацієнта на проведення діагностики, лікування та на проведення операції та знеболення» в аспекті вилучення положень щодо обробки ПД.

5. Володілець ПД, крім випадків, передбачених законодавством України, повідом­ляє суб’єкта ПД про такий обсяг відомостей, як:

а) склад і зміст зібраних ПД;

б) права суб’єкта ПД;

в) мета збору ПД;

г) треті особи, яким передаються його ПД.

Процес повідомлення відбувається:

  • у момент збору ПД, якщо ПД збираються у суб’єкта ПД;
  • в інших випадках — протягом 30 робочих днів з дня збору ПД.

6. Володілець зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації протягом усього періоду обробки ПД. Доцільно, аби цей документ став складовою первинної медичної документації. Текст повідомлення можна викласти в редакції, що додається.

7. Заклад охорони здоров’я/ФОП як володілець визначає рівень доступу медичних працівників до ПД пацієнта шляхом обмеження визначеним колом суб’єктів (лікуючий лікар, молодші спеціалісти з медичною освітою, члени консиліумів, суміжних оглядів, консультанти тощо, залучені до процесу надання медичної допомоги конкретному пацієнтові). Кожен із цих працівників користується доступом лише до тих ПД (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних/службових/трудових обов’язків. Цей обов’язок щодо захисту ПД випливає із нормативно встановленого положення, передбаченого п. 3.5 Типового порядку обробки ПД, затвердженого наказом Уповноваженого.

8. Медичний працівник як особа, яка має доступ до ПД, повинен підписати письмове зобов’язання про збереження лікарської таємниці. У цьому ж Типовому порядку визначено, що працівники, які мають доступ до ПД, дають письмове зобов’язання про нерозголошення ПД, які їм довірено або які стали їм відомі у зв’язку з виконанням професійних/службових/трудових обов’язків. Датою надання права доступу медичного працівника до ПД вважається дата надання ним зобов’язання. Як бачимо, ця норма наказу деталізує нормативно визначений у п. «г» ч. 1 ст. 78 Закону України «Основи законодавства України про охорону здоров’я» (далі — Основи) професійний обов’язок медичного працівника зберігати лікарську таємницю.

9. Володілець веде облік операцій, пов’язаних з обробкою ПД суб’єкта та доступом до них. З огляду на нормативне положення, усі запити щодо доступу до ПД, у тому числі суб’єкта даних, мають бути в письмовій формі.

10. У закладі охорони здоров’я має бути створений структурний підрозділ або визначено відповідальну особу, яка організовуватиме роботу, пов’язану із захистом ПД при їх обробці.

11. Факти порушень процесу обробки та захисту ПД мають бути документально зафіксовані відповідальною особою або структурним підрозділом, що організовує роботу, пов’язану із захистом ПД при їх обробці.

12. З 01.01.2014 р. процедура реєстрації баз ПД у Державному реєстрі баз ПД скасована, видача Свідоцтв про державну реєстрацію баз ПД відмінена.

13. Відомості з Державного реєстру баз ПД, у тому числі заяви про реєстрацію баз ПД, які отримані Державною службою з питань захисту персональних даних України до 31.12.2013 р., згідно з прикінцевими та перехідними положеннями Закону України «Про внесення змін до деяких законо­давчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 р. (далі — Закон 2013), пе­редані до Уповноваженого. Згідно з п. 2 Постанови Кабінету Міністрів України «Про оптимізацію системи центральних органів виконавчої влади» від 10.09.2014 р. № 442, Державну службу з питань захисту персональних даних України ліквідовано.

14. Відповідно до ст. 9 Закону, володілець повідомляє Уповноваженого про обробку ПД, яка становить особливий ризик для прав і свобод суб’єктів ПД. ПД, які становлять особливий ризик для прав і свобод суб’єктів, визначені в Порядку повідомлення Уповноваженого Верховної Ради України з прав людини про обробку ПД, яка становить особливий ризик для прав і свобод суб’єктів ПД, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом ПД при їх обробці, а також оприлюднення зазначеної інформації, затвердженому Наказом Уповноваженого.

При екстраполюванні на сферу охорони здоров’я до таких «ризикових» належать дані про стан здоров’я (медична інформація про особу, що містить не лише свідчення про стан здоров’я, а й про історію її хвороби, запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, в тому числі про наявність ризику для життя і здоров’я (виняток становлять медичні довідки, листи непрацездатності тощо, які обробляються володільцем при реалізації трудових відносин)), генетичні дані (інформація, що стосується всіх даних стосовно спадкових властивостей особи або стосовно способу успадкування характеристик у ме­жах відповідної групи людей, також це стосується всіх даних про утримання будь-якої генетичної інформації (генів), що відноситься до будь-яких аспектів здоров’я або захворювання).

15. Враховуючи Роз’яснення Уповноваженого основних положень Порядку повідомлення Уповноваженого щодо визначення обробки ПД, яка становить особ­ливий ризик для прав і свобод суб’єктів ПД від 08.01.2014 р. (далі — Роз’яснення Упов­новаженого), обробка ПД у сфері охорони здоров’я буде «чутливою», адже:

а) склад ПД стосується тих, що становлять ризик;

б) пов’язана з певною категорією суб’єктів, дані яких обробляються, тобто пацієнтів.

16. Повідомлення Уповноваженого здійснюється упродовж 30 робочих днів з дня початку такої обробки. Отож, усі заклади охорони здоров’я/ФОП, які розпочали обробку «ризикових» даних із набранням чинності Закону, повинні інформувати Уповноваженого протягом 30 днів. Відповідно до Закону 2013 р. «Прикінцеві та перехідні положення», володільці, які на момент набрання чинності цього Закону обробляли ПД, розголошення яких становить особливий ризик для прав і свобод суб’єктів, повинні були надати відповідне повідомлення про це Уповноваженому впродовж 6 міс (починаючи з 01.01.2014 р., тобто до 01.07.2014 р.).

17. Альтернативними способами інформування Уповноваженого є надсилання інформації:

а) листом на адресу Секретаріату Упов­новаженого;

б) електронною поштою;

в) факсом;

г) подання заяви особисто через спеціально встановлену скриньку для вхідної кореспонденції, розміщену в приміщенні Секретаріату Уповноваженого.

18. Заява має нормативно встановлену форму, подається без виправлень, дані мають бути вірними та підтверджуватися підписом і печаткою (у разі наявності) на кожній її сторінці. Слід пам’ятати, що в разі, якщо володілець обробляє різні дані, в заяві слід зазначати лише «особливо ризикові», тобто про стан здоров’я, генетичні дані. Інформація викладається у заяві довільно, закладу охорони здоров’я слід надати лише загальні відомості про внутрішній порядок обробки ПД з урахуванням Роз’яснень Уповноваженого.

19. У закладах охорони здоров’я/ФОП слід:

а) розробити локальний порядок обробки (і в тому числі захисту) ПД;

б) призначити (створити) відповідальну особу (структурний підрозділ), що організовують роботу, пов’язану із захистом ПД (ФОП буде відповідальною особою за захист ПД);

в) вести облік операцій, пов’язаних з обробкою ПД суб’єкта, та доступом до них.

20. Заклад охорони здоров’я повинен інформувати Уповноваженого про:

  • обробку ПД, яка становить особливий ризик для прав і свобод суб’єктів ПД;
  • зміну відомостей у процесі обробки ПД, яка становить особливий ризик для прав і свобод суб’єктів ПД;
  • припинення обробки ПД, яка становить особливий ризик для прав і свобод суб’єктів ПД;
  • структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом ПД при їх обробці.

21. За порушення законодавства у сфері захисту ПД передбачено адміністративну відповідальність на підставі ст. 188-39 Кодексу України про адміністративні правопорушення («Порушення законодавства у сфері захисту персональних даних»).

Ірина Сенюта,
кандидат юридичних наук, доцент,
завідувач кафедри медичного права
ФПДО Львівського національного
медичного університету
імені Данила Галицького, адвокат,
президент ВГО «Фундація медичного
права та біоетики України»

Додаток

Повідомлення*

Шановний пацієнте!

На підставі п. 6 ч. 2 ст. 7 Закону України «Про захист персональних даних», заклад охорони здоров’я/фізична особа — підприємець (ФОП) (повне найменування) здійснює обробку Ваших персональних даних (ПД) з метою охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг. ПД, що збираються закладом охорони здоров’я/ФОП, будуть як загальні (зокрема прізвище, ім’я, по батькові, стать, дата народження), так і спеціальні дані, тобто про стан здоров’я особи, а саме медична інформація про особу, що містить не лише свідчення про стан здоров’я, а й про історію її хвороби, про запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, у тому числі про наявність ризику для життя і здоров’я, а також генетичні дані.

Згідно зі ст. 8 Закону України «Про захист персональних даних», Ви маєте такі права:

  • знати про джерела збирання, місцезнаходження Ваших ПД, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника ПД або дати відповідне доручення щодо отримання цієї інформації уповноваженим Вами особам, крім випадків, встановлених законом;
  • отримувати інформацію про умови надання доступу до ПД, зокрема інформацію про третіх осіб, яким передаються Ваші ПД;
  • на доступ до Ваших ПД;
  • отримувати не пізніше як за 30 календарних днів із дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються Ваші ПД, а також отримувати зміст таких ПД;
  • пред’являти вмотивовану вимогу володільцю ПД із запереченням проти обробки Ваших ПД;
  • пред’являти вмотивовану вимогу щодо зміни або знищення Ваших ПД будь-яким володільцем та розпорядником ПД, якщо ці дані обробляються незаконно чи є недостовірними;
  • на захист своїх ПД від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
  • звертатися зі скаргами на обробку своїх ПД до Уповноваженого або до суду;
  • застосовувати засоби правового захисту в разі порушення законодавства про захист ПД;
  • знати механізм автоматичної обробки ПД;
  • на захист від автоматизованого рішення, яке має для Вас правові наслідки.

Окрім цього, Ви можете вносити застереження стосовно обмеження права на обробку Ваших ПД під час збору ПД.

Про передачу ПД третій особі заклад охорони здоров’я/ФОП повідомить Вас протягом 10 робочих днів, окрім випадків, передбачених ст. 21 Закону України «Про захист персональних даних», яка визначає умови передачі ПД.

Дата_______________________________________________________________________

Інформацію отримав _______________________________________________________

                                          (ПІБ пацієнта/його законного представника та його підпис)

Інформацію надав _________________________________________________________

                                      (ПІБ відповідальної особи закладу охорони здоров’я та її підпис)

*Підготовлено відповідно до Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верхов­ної Ради з прав людини «Про затвердження документів у сфері захисту персональних даних» від 08.01.2014 р. № 1/02-14.