Особенности ведения базы персональных данных пациентов в медицинских учреждениях
Алексей Иванович, расскажите, пожалуйста, о Службе, когда она была создана, какие на нее возложены функции и какие она имеет полномочия?
Каждому из нас известны права человека и гражданина, гарантированные Конституцией Украины: недопустимость вмешательства в личную и семейную жизнь человека, сбор, хранение, использование и распространение конфиденциальной информации о человеке без его согласия и тому подобное. Однако механизм реализации этих прав не был разработан и отлажен должным образом на протяжении многих лет независимости Украины.
Летом 2010 года был сделан первый шаг относительно государственной защиты названных конституционных прав. Верховная Рада Украины, выполняя обязательство Украины перед европейским сообществом относительно создания эффективной системы защиты персональных данных, ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции относительно органов надзора и трансграничных потоков данных. А 1 января 2011 года вступил в силу Закон «О защите персональных данных» от 1 июня 2010 г. № 2297-VI, который должным образом урегулировал вопрос защиты персональных данных на законодательном уровне. Принятие данного Закона, ратификация Конвенции и Дополнительного протокола стали рядом последовательных шагов в деле интеграции Украины в сообщество европейских стран. Особенно актуальны эти шаги в свете переговоров нашего государства с Европейским союзом относительно либерализации визового режима с ЕС и налаживания сотрудничества с Европейским полицейским офисом и Европейской организацией по вопросам юстиции. Все эти нормотворческие и административные мероприятия являются одним глобальным процессом укрепления сотрудничества с Европейским союзом в сфере юстиции, свободы и безопасности.
Именно Законом № 2297-VI и было обусловлено создание специально уполномоченного государственного органа по вопросам защиты персональных данных. Кстати, в Европейских государствах в течение многих лет существует институт Уполномоченного по вопросам защиты персональных данных. На выполнение требований Закона Украины «О защите персональных данных» Указом Президента Украины от 6 апреля 2011 года № 390/2011 утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). Наши основные функции и задачи указаны в Положении. В соответствии с упомянутым Положением Служба является центральным органом исполнительной власти, деятельность которой направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Основными задачами службы является внесение предложений относительно формирования и реализация государственной политики в сфере защиты персональных данных; контроль за соблюдением требований соответствующего законодательства и осуществления международно-правового сотрудничества в этой сфере. К функциям Службы принадлежит также обобщение практики применения законодательства по вопросам защиты персональных данных и разработки предложений относительно его совершенствования, регистрация баз персональных данных и ведение Государственного реестра баз персональных данных.
Одним из наших первоочередных заданий является нормотворческая деятельность. Кабинетом Министров Украины принято постановление «Об утверждении Положения о Государственном реестре баз персональных данных и порядке его ведения» 25 мая 2011 г. № 616. На выполнение пункта 7 указанного Положения Службой разработана и подана на утверждение Министерства юстиции Украины форма и порядок предоставления заявления на регистрацию базы персональных данных.
Как известно, в каждом медицинском учреждении независимо от формы собственности и подчинения ведутся базы данных пациентов, в частности, на бумажных носителях (картотеки) и в электронном виде (базы пациентов). В отдельных медицинских учреждениях информацию о пациентах не вносят ни в какую базу, но хранят тысячи медицинских карточек, в которых записаны персональные данные о пациентах. Действительно нужно ли каждому медицинскому учреждению регистрировать базу персональных данных пациентов, которая ведется в электронном или в бумажном виде? И касается ли это требование тех, кто лишь хранит медицинские карточки с данными о пациентах?
Персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать, а именно: имя, возраст, место работы и проживания, образование и тому подобное. Персональными данными могут быть: национальность, образование, семейное положение, религиозность, состояние здоровья, а также адрес, дата и место рождения. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 № 5-зп к персональным данным также принадлежат данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья человека, история его болезни).
Объектами защиты являются лишь те персональные данные, которые обрабатывают в базах персональных данных. База персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Медицинские карточки и будут базой персональных данных. Если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки ее будет, скажем, «смешанный».
Что же касается второй части вопроса — да, действительно, все лица, которые обрабатывают персональные данные, должны регистрировать базы персональных данных.
Касаются ли указанные требования и физических лиц — предпринимателей (ФЛП), которые на основании лицензии осуществляют частную медицинскую практику? Есть ли отличия относительно такой деятельности ФЛП?
По закону № 2297-VI владельцем или распорядителем базы персональных данных могут быть юридические и физические лица. Соответственно они не являются исключением.
Физические лица — предприниматели, в т.ч. и врачи, которые имеют соответствующую лицензию, должны лично обеспечивать защиту баз персональных данных, которыми они владеют согласно требованиям закона.
Определены ли действующим законодательством случаи, когда не нужно регистрировать базу данных физических лиц, в частности пациентов медицинского учреждения?
Если медицинское учреждение обрабатывает персональные данные пациентов, то оно обязано соблюдать требования обработки персональных данных, указанных в Законе № 2297-VI, назначить медицинского работника или другое лицо учреждения здравоохранения, на которое будут возложены обязанности относительно обеспечения защиты персональных данных, а также зарегистрировать базу персональных данных пациентов.
Также хотел бы отметить то, что главным заданием владельцев баз персональных данных является обеспечение требований законодательства относительно обработки таких данных. То есть необходимо в первую очередь установить цель обработки, назначить ответственное лицо, получить однозначные согласия от физических лиц на обработку персональных данных, которые находятся в базах владельцев. Это является процессом так называемого «первичного аудита», который проводит владелец или распорядитель баз персональных данных своими силами и сам для себя. Каждый самостоятельно определяет, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством. То есть осуществить процесс так называемой первичной оценки обработки персональных данных в базах персональных данных, в т.ч. для того, чтобы понять, какие сведения о физическом лице сохраняются в имеющихся базах данных, для чего они там сохраняются, выполнены ли должным образом требования законодательства по этому поводу и тому подобное. А регистрация базы данных уже является последним шагом владельца базы персональных данных.
Имеет ли право Служба или другие государственные органы проверять медицинские учреждения относительно соблюдения требований действующего законодательства Украины относительно защиты персональных данных физических лиц?
Полную версию интервью читайте в № 5 2011 г. журнала " Медична практика: організаційні та правові аспекти "