автор: Людмила Якубенко,
юрист Центра медицинского права

В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Как известно, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI. Этот Закон, вступивший в силу с 1 января 2011 года, определил основные полномочия в сфере использования и защиты персональных данных Государственной службы Украины по вопросам защиты персональных данных ( далее — Служба). В частности к функциям Службы относятся регистрация баз персональных данных, а также контроль их владельцев. С начала июля этого года Служба началась активная деятельность по регистрации баз персональных данных физических лиц.

Базы персональных данных физических лиц в медицинских и оздоровительных учреждениях, аптеках и салонах красоты

В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, позволяющая его идентифицировать, а именно: имя, дата и место рождения, место работы и проживания, образование и т.п. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, вероисповедании, состоянии здоровья и пр. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 г. № 5-зп к персональным данным также относятся данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья, в т.ч. из истории болезни).

В соответствии с Законом «О защите персональных данных» от 1 июня 2010 г. № 2297-VI (далее — Закон № 2297) объектами защиты являются только те персональные данные, которые обрабатываются и вносятся в базу персональных данных.

Статьей 2 Закона № 2297 определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому электронные базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты и прочие подобные клиентские базы иных субъектов хозяйствования являются базами персональных данных. Причем следует отметить, что как минимум одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.

Владельцами баз персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных. Письменное согласие субъекта утверждает цель обработки данных в этой базе. Законодательством определяется состав этих данных и процедуры их обработки.

В соответствии с Законом № 2297 все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.

Процедура регистрации базы персональных данных

Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в государственный орган (Службу) персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. Фактически в Службу передаются только общие данные о такой базе (картотеке), в частности, информация о: цели сбора информации; предполагаемое количество лиц, которые предоставили (могут предоставить в будущем) такую информацию; каким образом информация будет храниться; может ли она передаваться третьим лицам и пр. Такие сведения указывают в заявлении установленной формы на регистрацию баз данных. Форма заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких сведений.

Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо представлять непосредственно в Службу, которая находиться в Киеве). На первый взгляд, процедура несложная, однако случаются и отказы в регистрации баз персональных данных.

Государственный контроль над соблюдением норм законодательства о защите персональных данных

Указом Президента Украины от 6 апреля 2011 г. № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.

В составе Службы действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее — Отдел контроля). Это подразделение уполномочено реагировать на жалобы граждан. Служба создает Рабочие группы по проверке (или Комиссии), которые проводят плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами применяют штрафные санкции к нарушителям.

Пока (до 1 января 2012 года) Отдел контроля может только реагировать на жалобы граждан в случае их поступления, т.е. проводить внеплановые проверки. В случае выявленных нарушений составляются предписания, обязательные для исполнения, а материалы проверки могут быть переданы и в прокуратуру. Следует отметить, что сегодня полномочия Отдела контроля еще не полностью определены. В сентябре – октябре 2011 года должен быть утвержден Порядок проведения проверок, в котором будет определена их периодичность, основания, процедура проведения и полномочия должностных лиц органа контроля. С 1 января 2012 года полномочия у Отдела контроля будут существенно расширены, а к нарушителям — применяться санкции как административного, так и уголовного характера.

Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных

Какая же ответственность ожидает нарушителей законодательства о защите персональных данных физических лиц?

......

Статью в полном объеме читайте в № 6/2011 г. журнала «Медична практика: організаційні та правові аспекти»