автор: Софія Калустова,
юрисконсульт Комунального закладу «Дніпропетровська обласна дитяча клінічна лікарня»
.jpg)
Незважаючи на те, що останнім часом Державна служба України з питань захисту персональних даних неодноразово повідомляла про те, що з 1 січня 2014 р. процедура реєстрації баз персональних даних у Державному реєстрі баз персональних даних скасована, а видача Свідоцтв про державну реєстрацію баз персональних даних відмінена, у керівників та власників закладів охорони здоров’я й нині виникає багато запитань щодо роботи з персональними даними пацієнтів.
Деякі аспекти роботи з персональними даними ми розглядали раніше (Див. № 4, 5–6 за 2013 р.), зокрема щодо особливостей відповідальності (Див. № 5–6/2013, с. 19–23). Пропонуємо вашій увазі порядок дій при роботі з персональними даними пацієнтів.
Огляд чинного законодавства
Порядок та особливості роботи з персональними даними пацієнтів регулюється Законом України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VI зі змінами, внесеними Законом України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 3 липня 2013 р. № 383-VI, наказом Уповноваженого Верховної Ради України з прав людини «Про затвердження документів у сфері захисту персональних даних» від 8 січня 2014 р. № 1/02-14 (далі — Наказ № 1/02-14) та іншими нормативно-правовими актами України. Незважаючи на те, що процедура реєстрації скасована, Наказом № 1/02-14 затверджено Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.
Порядок дій
Відповідно до вимог нормативно-правових актів, володілець персональних даних, що здійснює обробку даних, які становлять особливий ризик для їх суб’єктів, зобов’язаний повідомити омбудсмена впродовж тридцяти робочих днів з дня початку такої обробки. Якщо ж ви досі не повідомили омбудсмена про обробку персональних даних пацієнтів, пропонуємо вашій увазі схематичний порядок дій.
1. Розробити й затвердити Порядок обробки персональних даних пацієнтів.
На основі Типового порядку обробки персональних даних, затвердженого Наказом омбудсмена № 1/02-14.
Зразок наказу та порядку до нього наво- диться у кінці статті (Див. Додаток 1).
2. Визначити відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, та:
- інформує і консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
- взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
Такою особою може бути директор, головний лікар, заступник директора або головного лікаря, головний адміністратор тощо.
3. Організувати подачу до Секретаріату омбудсмена заповненого бланку заяви за встановленою формою. Кожна сторінка заяви має бути пронумерована та скріплена печаткою (у разі наявності) і підписом уповноваженої на те особи.
Володілець повідомляє Уповноваженого листом на адресу Секретаріату Уповноваженого: вул. Інститутська, 21/8; м. Київ, 01008, або іншим доступним заявнику способом (факсом, електронною поштою, через скриньку, спеціально розміщену на першому поверсі Секретаріату Уповноваженого). В разі направлення заяви електронною поштою заява має бути відсканована.
Заява повинна містити відомості про:
1. Володільця персональних даних:
- П.І.Б., реєстраційний номер облікової картки платника податків, паспортні дані, місце проживання для фізичної особи;
- найменування, код ЄДРПОУ, адреса реєстрації та/або місцезнаходження для юридичної особи.
2. Розпорядника персональних даних:
- П.І.Б., реєстраційний номер облікової картки платника податків, паспортні дані, місце проживання для фізичної особи;
- найменування, код ЄДРПОУ, адреса реєстрації та/або місцезнаходження для юридичної особи.
3. Обробку персональних даних:
- персональні дані, що обробляються;
- мету обробки персональних даних (з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця персональних даних);
- категорію чи категорії суб’єктів, чиї персональні дані обробляються;
- третіх осіб, яким передаються персональні дані суб’єктів;
- транскордонну передачу персональних даних;
- місце (фактичну адресу) обробки персональних даних;
- загальний опис технічних та організаційних заходів, що здійснюються володільцем персональних даних для забезпечення їх захисту.
Заявники зберігають копію заяви, що була подана до Секретаріату Уповноваженого.
......
Статью в полном объеме читайте в №4/2014 г. журнала «Медична практика: організаційні та правові аспекти»
