автор: Людмила Якубенко,
юрист Центра медицинского права
В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Как известно, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI. Этот Закон, вступивший в силу с 1 января 2011 года, определил основные полномочия в сфере использования и защиты персональных данных Государственной службы Украины по вопросам защиты персональных данных ( далее — Служба). В частности к функциям Службы относятся регистрация баз персональных данных, а также контроль их владельцев. С начала июля этого года Служба началась активная деятельность по регистрации баз персональных данных физических лиц.
Базы персональных данных физических лиц в медицинских и оздоровительных учреждениях, аптеках и салонах красоты
В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, позволяющая его идентифицировать, а именно: имя, дата и место рождения, место работы и проживания, образование и т.п. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, вероисповедании, состоянии здоровья и пр. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 г. № 5-зп к персональным данным также относятся данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья, в т.ч. из истории болезни).
В соответствии с Законом «О защите персональных данных» от 1 июня 2010 г. № 2297-VI (далее — Закон № 2297) объектами защиты являются только те персональные данные, которые обрабатываются и вносятся в базу персональных данных.
Статьей 2 Закона № 2297 определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому электронные базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты и прочие подобные клиентские базы иных субъектов хозяйствования являются базами персональных данных. Причем следует отметить, что как минимум одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.
База персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому электронные базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты и прочие подобные клиентские базы иных субъектов хозяйствования являются базами персональных данных Баз персональных данных на одном предприятии или в организации может быть несколько. Нередко одни и те же данные дублируются в электронном и бумажном виде (например, картотека). Однако если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки данных в этом случае смешанный. |
Владельцами баз персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных. Письменное согласие субъекта утверждает цель обработки данных в этой базе. Законодательством определяется состав этих данных и процедуры их обработки.
В соответствии с Законом № 2297 все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.
Процедура регистрации базы персональных данных
Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в государственный орган (Службу) персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. Фактически в Службу передаются только общие данные о такой базе (картотеке), в частности, информация о: цели сбора информации; предполагаемое количество лиц, которые предоставили (могут предоставить в будущем) такую информацию; каким образом информация будет храниться; может ли она передаваться третьим лицам и пр. Такие сведения указывают в заявлении установленной формы на регистрацию баз данных. Форма заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких сведений.
Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо представлять непосредственно в Службу, которая находиться в Киеве). На первый взгляд, процедура несложная, однако случаются и отказы в регистрации баз персональных данных.
Государственный контроль над соблюдением норм законодательства о защите персональных данных
Указом Президента Украины от 6 апреля 2011 г. № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.
В составе Службы действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее — Отдел контроля). Это подразделение уполномочено реагировать на жалобы граждан. Служба создает Рабочие группы по проверке (или Комиссии), которые проводят плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами применяют штрафные санкции к нарушителям.
Пока (до 1 января 2012 года) Отдел контроля может только реагировать на жалобы граждан в случае их поступления, т.е. проводить внеплановые проверки. В случае выявленных нарушений составляются предписания, обязательные для исполнения, а материалы проверки могут быть переданы и в прокуратуру. Следует отметить, что сегодня полномочия Отдела контроля еще не полностью определены. В сентябре – октябре 2011 года должен быть утвержден Порядок проведения проверок, в котором будет определена их периодичность, основания, процедура проведения и полномочия должностных лиц органа контроля. С 1 января 2012 года полномочия у Отдела контроля будут существенно расширены, а к нарушителям — применяться санкции как административного, так и уголовного характера.
Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных
Какая же ответственность ожидает нарушителей законодательства о защите персональных данных физических лиц?
......
Статью в полном объеме читайте в № 6/2011 г. журнала «Медична практика: організаційні та правові аспекти»