Міністерство охорони здоров’я України
ДЗ «Центр медичної статистики МОЗ України»
Державна служба України з питань
захисту персональних даних
Рекомендації
щодо обробки та захисту персональних даних
в електронній базі персональних даних пацієнтів
(застосовувати виключно в межах створення електронного
реєстру пацієнтів Вінницької, Дніпропетровської,
Донецької областей та м. Києва)
Терміни та визначення, які використовуються
Електронний реєстр пацієнтів | Електронна база персональних даних пацієнтів, обробка яких повністю або частково здійснюється в інформаційній автоматизованій системі, у т ч локальній |
Пацієнт | Пацієнт — фізична особа, яка звернулася за медичною допомогою та/або якій надається така допомога |
Персональні дані | Відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована |
База персональних даних | Іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних |
Суб’єкт персональних даних | Фізична особа, стосовно якої здійснюється обробка її персональних даних |
Згода суб’єкта персональних даних | Будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки |
Обробка персональних даних | Будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі (збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення, знеособленням, знищенням відомостей про фізичну особу) |
Знеособлення персональних даних | Вилучення відомостей, які дають змогу ідентифікувати особу |
Володілець бази персональних даних | Юридична або фізична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних |
Розпорядник бази персональних даних | Юридична або фізична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані |
Третя особа | Будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно закону |
Державний реєстр | Єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних |
Автентифікація | Процедура встановлення належності працівникові володільця або розпорядника бази персональних даних пред’явленого ним ідентифікатора |
Авторизація | Процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи |
Відповідальна особа | Особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов’язків покладена організація роботи, пов’язаної із захистом персональних даних при їх обробці |
Ідентифікація | Процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою |
Структурний підрозділ | Структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обов’язків на підставі положення про нього здійснює організацію роботи, пов’язаної із захистом персональних даних при їх обробці |
Заклад охорони здоров’я | Юридична особа будь-якої форми власності та організаційно-правової форми або її відокремлений підрозділ, основним завданням яких є забезпечення медичного обслуговування населення на основі відповідної ліцензії та професійної діяльності медичних (фармацевтичних) працівників |
З метою виконання Указу Президента України «Про національний план дій на 2012 рік щодо впровадження Програми економічних реформ на 2012–2014 роки «Заможне суспільство, конкурентоспроможна економіка, ефективна держава» №187/2012 від 12.03.2012, постанови Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 № 546, розпорядження Кабінету Міністрів України «Про затвердження плану заходів щодо створення електронного реєстру пацієнтів Вінницької, Дніпропетровської, Донецької областей та м. Києва» від 06.06.2012 № 368-р створюється Електронний реєстр пацієнтів (далі — Реєстр).
Принцип створення Реєстру
- Враховуючи, що медичні дані, які піддаються автоматизованій обробці інформаційними системами, все ширше використовуються не лише з метою надання медичної допомоги, здійснення медичних досліджень, надання допомоги в закладах охорони здоров’я, а також і поза межами сфери охорони здоров’я;
- усвідомлюючи, що розвиток медицини залежить значною мірою від доступності медичних даних щодо фізичних осіб;
- переконане у необхідності регулювати збір та обробку медичних даних, захищати конфіденційність та безпеку особистих даних стосовно стану здоров’я та забезпечувати їх використання відповідно до прав і основних свобод людини та, зокрема, права на приватність
Міністерство охорони здоров’я України (далі — МОЗ України) бере за основу такі принципи створення Електронного реєстру пацієнтів:
- дотримання прав людини, що обумовлює побудову і функціонування Реєстру відповідно до Конституції та законів України, міжнародних договорів України з прав людини;
- законність;
- обґрунтування даних Реєстру;
- точність та ненадмірність даних в Реєстрі;
- якість, цілісність та доступність медичних даних для безпеки здоров’я суб’єкта даних (пацієнта) та його сім’ї;
- організація ступеневого режиму зберігання та доступу до інформації про пацієнта, що міститься в Реєстрі, визначення прав і обмежень кожної категорії суб’єктів доступу до цієї інформації.
Функціонування Реєстру
Реєстр формується шляхом створення електронних баз даних, в тому числі персональних.
Суб’єктами відносин у Реєстрі є:
Суб’єкт персональних даних. В даному випадку — це фізична особа, яка звернулась до закладу охорони здоров’я за наданням медичної допомоги (далі — пацієнт).
Володілець бази персональних даних. Володільцями баз персональних даних «Електронний реєстр пацієнтів» є заклади охорони здоров’я.
Розпорядники баз персональних даних. Розпорядниками баз персональних даних «Електронний реєстр пацієнтів» є МОЗ України (в знеособленому вигляді) та управління охороною здоров’я обласних державних адміністрацій (далі — УОЗ) ( в частині баз даних).
Об’єктами захисту є:
Персональні дані пацієнтів.
Персональні дані в Реєстрі, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом. Користувачами Реєстру можуть бути виключно медичні працівники або інші особи закладу охорони здоров’я, яким згідно з законодавством та посадовими обов’язками надано право на обробку медичної документації (інформації) чи на яких покладено обов’язки щодо забезпечення захисту персональних даних.
Обробка персональних даних пацієнтів здійснюється з дотриманням вимог Законів України «Основи законодавства України про охорону здоров’я», «Про захист персональних даних», «Про інформацію», «Про захист інформації в інформаційно-телекомунікаційних cистемах».
Обробка та використання даних
Реєстру Володільцями персональних баз даних
Для забезпечення обробки, використання та захисту персональних даних пацієнтів в Реєстрі закладам охорони здоров’я рекомендується:
- призначити відповідальних осіб за створення та функціонування Реєстру.
- подати на реєстрацію (внесення змін) персональну базу даних «Електронний реєстр пацієнтів» до Державного реєстру баз персональних даних.
База персональних даних — це іменована сукупність персональних даних в електронній формі або у формі картотек персональних даних.
В закладі охорони здоров’я такими базами персональних даних є картотеки у вигляді медичної облікової документації, зокрема:
- медичні карти (амбулаторних, стоматологічних, хворих на туберкульоз та інших хворих) — для амбулаторно-поліклінічних закладів
- медичні карти стаціонарних хворих — для закладів охорони здоров’я стаціонарного типу.
Передбачається, що станом на 01.07.2012 кожен заклад охорони здоров’я, працюючи з персональними даними пацієнтів, зареєстрував власну базу персональних даних у Державному реєстрі баз персональних даних. У такому разі він не реєструє повторно нову базу даних, а тільки вносить зміни в частині:
- мета обробки;
- розпорядник;
- виконання зобов’язань щодо захисту персональних даних.
Наприклад:
Мета: до заявленої раніше мети додається:
Обробка персональних даних пацієнтів у базі персональних даних «Електронний реєстр пацієнтів» здійснюється для забезпечення ведення Електронного реєстру пацієнтів (постанова Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 № 546) з метою підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації.
Розпорядники: УОЗ, МОЗ України.
Виконання зобов’язань щодо захисту персональних даних: Прикладне програмне забезпечення, з допомогою якого здійснюється обробка персональних даних в Реєстрі, містить комплекс засобів захисту від несанкціонованого доступу (Копія Експертного висновку додається).
Управління охороною здоров’я надають базу персональних даних «Електронний реєстр пацієнтів Донецької (кожен власної) області» на реєстрацію до Державного реєстру баз персональних даних.
Розробити та затвердити низку локальних нормативних (організаційно-розпорядчих) документів, що регулюватимуть порядок обробки та захисту персональних даних пацієнтів в Реєстрі:
Положення про порядок обробки та захисту персональних даних у базі персональних даних «Електронний реєстр пацієнтів»;
Повідомлення пацієнтів про права у сфері захисту персональних даних;
Журнали реєстрації документів з питань обробки персональних даних.
Підписати Договори з Розпорядниками баз даних «Електронний реєстр пацієнтів» про обробку персональних даних пацієнтів.
Забезпечити захист персональних даних. Програмні продукти «Укрмедсофт:Стаціонар» та «Укрмедсофт:Поліклініка», що надаються для реалізації створення електронного реєстру пацієнтів Вінницької, Дніпропетровської, Донецької областей та м. Києва забезпечені комплексом засобів захисту від несанкціонованого доступу.
Рекомендується: після завершення роботи над проектом розробити та погодити у Державній службі спеціального зв’язку та захисту інформації України комплексну систему захисту інформації.
Зразок Положення для закладу охорони здоров’я
Положення про порядок обробки та захисту
персональних даних у базі персональних даних
«Електронний реєстр пацієнтів»
І. Загальні положення
1.1. Положення про порядок обробки та захисту персональних даних пацієнтів у базі персональних даних «Електронний реєстр пацієнтів» (далі — Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних пацієнтів (назва закладу охорони здоров’я; далі — Заклад) від несанкціонованого доступу, попередження витоку інформації, неправомірного використання або її втрати під час обробки.
1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон) та Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованим у Міністерстві юстиції України 03.01.2012 за № 1/20314 (далі — Типовий порядок).
1.3. Положення є обов’язковим для виконання працівниками Закладу, які обробляють персональні дані
1.4. Усі терміни у цьому Положенні визначаються відповідно до Закону та Типового порядку.
1.5. До персональних даних пацієнта належать будь-які відомості чи сукупність відомостей про пацієнта, за якими він ідентифікується чи може бути конкретно ідентифікованим.
1.6. Персональні дані пацієнта є інформацією з обмеженим доступом.
1.7. Персональні дані пацієнта обробляються за допомогою комп’ютерних програм «УкрМедСофт:Стаціонар» або «УкрМедСофт:Поліклініка». Володільцем бази персональних даних пацієнтів є (назва закладу охорони здоров’я).
1.8. Розпорядниками баз даних «Електронний реєстр пацієнтів» є МОЗ України (в знеособленому вигляді; далі — МОЗ України) та управління охороною здоров’я обласних державних адміністрацій (в частині баз даних; далі — УОЗ).
1.9. База персональних даних «Електронний реєстр пацієнтів» надається на реєстрацію (внесення змін до зареєстрованої) у Державному реєстрі баз персональних даних (далі — Державний реєстр), при цьому Заклад повідомляє Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних «Електронний реєстр пацієнтів», не пізніше ніж протягом десяти робочих днів з дня настання такої зміни шляхом подання заяви про внесення змін до відомостей Державного реєстру (за формами та у порядку, визначеними наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 08.07.2011 № 1824/5.
1.10. Під обробкою персональних даних пацієнтів розуміється Будь-яка дія або сукупність дій, здійснюваних у автоматизованій системі, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про пацієнтів Закладу.
1.11. База персональних даних «Електронний реєстр пацієнтів» розміщена на персональному комп’ютері (серверній станції), доступ до якого (якої) обмежений.
ІІ. Мета обробки персональних даних
2.1. Обробка персональних даних пацієнтів у базі персональних даних «Електронний реєстр пацієнтів» здійснюється для забезпечення ведення Електронного реєстру пацієнтів (постанова Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 № 546) з метою підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації.
ІІІ. Склад персональних даних у базі
персональних даних «Електронний реєстр пацієнтів»
3.1. Джерелами формування Реєстру є:
- документи, що ідентифікують особу (паспорт; за відсутності паспорту, свідоцтво про народження, вид на проживання, посвідчення біженця тощо);
- інформація про фізичну особу (пацієнта), що міститься в медичній обліковій документації.
3.2. Володільці реєстру за наявності згоди пацієнтів на обробку їх персональних даних вносять інформацію до Реєстру, обробляють її та забезпечують захист персональних даних, що вносяться до Реєстру.
3.3. Зміст і склад персональних даних пацієнтів, які обробляються у «Електронному реєстрі пацієнтів», відповідає змісту і складу персональних даних пацієнтів, які містяться в медичній обліковій документації, що затверджена наказами МОЗ України («Про затвердження форм облікової статистичної документації, що використовується в стаціонарах лікувально-профілактичних закладів» від 26.07.1999 № 184; «Про затвердження форм облікової статистичної документації, що використовується в закладах охорони здоров’я» від 05.08.1999 № 197; «Про затвердження форм облікової статистичної документації, що використовується в поліклініках (амбулаторіях)» від 27.12.1999 № 302; «Про затвердження форм медичної облікової документації, що використовуються в стаціонарах і поліклініках (амбулаторіях)» від 29.12.2000 № 369; «Про затвердження форм первинної облікової документації та інструкцій щодо їх заповнення, що використовуються у закладах охорони здоров’я незалежно від форми власності та підпорядкування» від 14.02.2012 № 110).
IV. Обов’язки та права особи, відповідальної
за організацію роботи, пов’язаної із захистом персональних даних у Закладі
4.1. Наказом керівника Закладу, з урахуванням вимог статті 24 Закону, призначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних пацієнтів у електронній базі персональних даних (далі — Відповідальна особа). Наказ доводиться до відома Відповідальної особи під підпис.
4.2. Відповідальна особа:
4.2.1. Забезпечує:
- подання заяви про державну реєстрацію бази персональних даних «Електронний реєстр пацієнтів (назва закладу)», внесення змін до відомостей Державного реєстру баз персональних даних (за необхідності);
- організацію обробки персональних даних пацієнтів у структурних підрозділах Закладу відповідно до положень про ці підрозділи в обсязі, необхідному для виконання їх функцій;
- аналіз процесів обробки персональних даних відповідно до основних завдань та функцій Закладу, у т. ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідності та ненадмірності персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;
- ознайомлення керівників структурних підрозділів та працівників Закладу з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних пацієнтів, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;
- організацію обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних.
4.2.2. Сприяє доступу пацієнтів до власних персональних даних.
4.2.3. За необхідності готує проекти змін та доповнень до цього Положення, подає зазначені проекти на розгляд керівникові Закладу.
4.2.4. Погоджує проекти положень про структурні підрозділи, працівниками яких обробляються або використовуються персональні дані пацієнтів, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них. За необхідності ініціює внесення необхідних змін та доповнень до положень про структурні підрозділи та посадових інструкцій щодо приведення їх до вимог Закону;
4.2.5. Інформує керівника Закладу про заходи, яких необхідно вжити для приведення складу персональних даних пацієнтів та процедур їх обробки у відповідність до Закону.
4.2.6. Інформує керівника Закладу про порушення встановлених процедур обробки персональних даних.
4.2.7. Фіксує факти порушень режиму захисту персональних даних у порядку, визначеному розділом VII цього Положення.
4.3. Відповідальна особа має право:
4.3.1. Перевіряти стан дотримання працівниками Закладу законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.
4.3.2. Вносити керівнику Закладу пропозиції про розмежування режиму та прав доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.
4.3.3. Розглядати вимоги пацієнтів щодо заперечення проти обробки їх персональних даних.
V. Права та обов’язки пацієнта як суб’єкта персональних даних
Пацієнт Закладу як фізична особа, щодо якої здійснюється обробка її персональних даних, відповідно до Закону:
5.1. Є суб’єктом персональних даних.
5.2. Має право:
- знати про місцезнаходження та призначення бази персональних даних «Електронний реєстр пацієнтів», мету обробки даних у базі персональних даних «Електронний реєстр пацієнтів»;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються персональні дані, що містяться у базі персональних даних «Електронний реєстр пацієнтів».
- на доступ до своїх персональних даних, що містяться у базі персональних даних «Електронний реєстр пацієнтів», відповідно до статті 16 «Порядок доступу до персональних даних» Закону;
- отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у базі персональних даних «Електронний реєстр пацієнтів», а також отримувати зміст його персональних даних, які зберігаються;
- пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених Законом;
- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних Закладом, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
- застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.
5.3. У разі виникнення у пацієнта вмотивованої вимоги щодо зміни або знищення своїх персональних даних володільцем та розпорядником бази даних, якщо ці дані обробляються незаконно чи є недостовірними (у відповідності до пункту 5 статті 8 Закону), він подає відповідну заяву керівнику Закладу з обов’язковим зазначенням конкретної вмотивованої вимоги щодо зміни або знищення своїх персональних даних і зазначення на його думку порушень чинного законодавства у порядку обробки персональних даних.
5.4. У разі надання пацієнтом вмотивованої вимоги щодо зміни своїх персональних даних, керівник Закладу доручає Відповідальній особі забезпечити внесення відповідних змін до бази персональних даних «Електронний реєстр пацієнтів» на підставі наданих ним документів.
5.5. У разі надання пацієнтом вмотивованої вимоги щодо знищення своїх персональних даних щодо порушень чинного законодавства при обробці його персональних даних, керівник Закладу згідно з наданою заявою призначає комісійне службове розслідування з обов’язковим включенням до комісії особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у Закладі.
5.6. У разі виявлення порушень у порядку обробки персональних даних, керівник відповідного структурного підрозділу зобов’язаний терміново забезпечити їх усунення, про що повідомити пацієнта письмово та продовжити обробку персональних даних на законних підставах.
5.7. У разі виявлення незаконної обробки персональних даних, керівник відповідного структурного підрозділу зобов’язаний терміново забезпечити вилучення з бази персональних даних персональні дані пацієнта, про що його повідомити.
VІ. Обов’язки працівників Закладу,
які обробляють (використовують) персональні дані
6.1. Обов’язки керівника структурного підрозділу, в якому здійснюється обробка персональних даних (указати конкретно якого):
6.1.1. Здійснює організацію та забезпечує порядок обробки персональних даних у підрозділі відповідно до положення про підрозділ, в обсязі, необхідному для виконання реалізації своїх посадових обов’язків з урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення.
6.1.2. З урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення забезпечує внесення до посадових інструкцій працівників підрозділу відповідних змін.
6.1.3. Визначає ступінь доступу працівників відділу до певного переліку або повного обсягу персональних даних пацієнтів.
6.1.4. У межах своїх повноважень, визначених посадовою інструкцією та цим Положенням, несе відповідальність за порядок обробки персональних даних у підрозділі, унеможливлює доступ сторонніх осіб до бази персональних даних та несанкціонований виток інформації.
6.2. Обов’язки керівника структурного підрозділу, у якому використовуються персональні дані (указати конкретно якого):
6.2.1. Здійснює організацію та забезпечує порядок використання персональних даних у підрозділі відповідно до положення про підрозділ, в обсязі, необхідному для виконання (указати яких функцій) з урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення.
6.2.2. З урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення забезпечує внесення до посадових інструкцій працівників підрозділу відповідних змін.
6.2.3. Визначає перелік персональних даних пацієнтів, доступ до яких необхідний для забезпечення реалізації певних відносин (указати яких).
6.2.4. Визначає ступінь доступу працівників відділу до визначеного переліку персональних даних пацієнтів Закладу.
6.2.5. З урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення забезпечує внесення до посадових інструкцій працівників підрозділу відповідних змін.
6.2.6. У межах своїх повноважень, визначених посадовою інструкцією та цим Положенням, несе відповідальність за порядок використання персональних даних у підрозділі, унеможливлює доступ сторонніх осіб до бази персональних даних та несанкціонований виток інформації.
6.3. Обов’язки працівників Закладу, які обробляють персональні дані:
6.3.1. Зобов’язані ознайомитись з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних та забезпечувати їх виконання.
6.3.2. Забезпечувати, відповідно до своїх посадових обов’язків, достовірне внесення інформації та ведення бази персональних даних «Електронний реєстр пацієнтів».
6.3.3. Запобігати втраті персональних даних або їх неправомірному використанню.
6.3.4. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом.
6.3.5. Терміново повідомляти Відповідальну особу у разі:
6.3.5.1. Втрати або неумисного знищення носіїв інформації з персональними даними.
6.3.5.2. У разі, якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам, за винятком системного адміністратора Закладу (у разі наявності).
6.3.5.3. Виявлення спроби несанкціонованого доступу до персональних даних.
6.3.6. При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівникові, визначеному керівником Закладу, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
VІІ. Порядок обробки персональних даних у закладі
7.1 Формування, ведення та збереження даних в «Електронному реєстрі пацієнтів» відбувається відповідно до Тимчасового порядку ведення Електронного реєстру пацієнтів (Наказ МОЗ України «Про затвердження Порядку ведення електронного реєстру пацієнтів Вінницької, Дніпропетровської, Донецької областей та м. Києва» від 30.08.2012 № 666, зареєстрований в Мін’юсті 13.09.2012 за № 1579/21891).
7.2. Використання персональних даних працівниками Закладу.
7.2.1. Під використанням персональних даних пацієнтів згідно зі статтею 10 Закону розуміються будь-які дії Закладу щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до Закону.
7.2.2. Відомості про пацієнта, стан його здоров’я є конфіденційною інформацією.
7.2.3 Забороняється будь-який перегляд медичними працівниками персональних даних пацієнта без належних на те причин.
7.2.4. Доступ до бази персональних даних пацієнтів «Електронний реєстр пацієнтів» мають: керівник Закладу, його заступники (з числа лікарів) — до всіх персональних даних, лікарі — до всіх персональних даних.
7.2.5. Працівники Закладу, які обробляють персональні дані, або мають доступ до них дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків.
7.2.6. Право доступу до персональних даних та їх обробку надається особам лише після підписання зобов’язання про нерозголошення персональних даних (форму зобов’язання наведено у Додатку 1 до цього Положення).
7.2.7. Зобов’язання про нерозголошення персональних даних реєструються у Журналі реєстрації зобов’язань про нерозголошення персональних даних (форму журналу наведено у Додатку 2 до цього Положення). Нумерація у журналі ведеться за наростанням, починаючи з № 1.
7.2.8. Журнал реєстрації зобов’язань про нерозголошення персональних даних дає змогу вести облік фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки.
7.2.9. Датою надання права доступу до персональних даних вважається дата надання зобов’язання.
7.2.10. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних пацієнтів.
7.2.11. Відповідальним за забезпечення збереженості справ та реєстраційних форм,
є .
7.3. Облік порушень режиму захисту персональних даних:
7.3.1. Факти порушень режиму захисту персональних даних фіксуються актами, які складає Відповідальна особа.
7.3.2. За необхідності відповідно до фактів порушень режиму захисту персональних даних керівником Закладу призначається службове розслідування.
7.3.3. За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.
7.3.4. Виявлені порушення повинні бути терміново усунені.
VІІІ. Передавання персональних даних
8.1. Передавання персональних даних пацієнтів здійснюється відповідно до вимог Закону.
8.2. Передання персональних даних пацієнтів Розпоряднику — органу управління охороною здоров’я території відбувається без зазначення прізвища, імені, по батькові пацієнта.
8.3. Передавання даних пацієнтів Розпоряднику — МОЗ України відбувається у знеособленому вигляді.
8.4. Забороняється передавання персональних даних пацієнта будь-яким третім особам, окрім випадків передбачених чинним законодавством України. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
8.5. Пацієнт має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних «Електронний реєстр пацієнтів», без зазначення мети запиту.
8.6. У разі смерті пацієнта його персональні дані можуть бути використані, у тому числі шляхом опублікування, лише за згодою його дітей, вдови (вдівця), а якщо їх немає, — батьків, братів та сестер. Дані видаються за наявності письмового запиту після надання оригіналу свідоцтва про смерть.
ІХ. Захист персональних даних при їх обробці
9.1. Захист персональних даних працівників в автоматизованій системі:
9.1.1. Право доступу до бази персональних даних «Електронний реєстр пацієнтів» надається працівникам Закладу, указаним у пункті 7.2.4 Положення, у посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних пацієнтів.
9.1.2. Право внесення нових та редагування існуючих персональних даних до «Електронного реєстру пацієнтів» належить працівникам, яким надано таке право у відповідності до їхніх посадових обов’язків.
9.1.3. Працівники Закладу допускаються до обробки персональних даних в «Електронному реєстрі пацієнтів» лише після їх ідентифікації (введення логіну, пароля).
9.1.4. Доступ осіб, які не пройшли процедуру ідентифікації, блокується.
9.1.5. Адміністратор системи (системний адміністратор, працівник інформаційно-аналітичного відділу тощо) в обов’язковому порядку контролює наявність антивірусного захисту та засобів безперебійного живлення у елементах системи.
9.1.6. При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в автоматизованій системі, необхідно припинити/закрити доступ працівника до системи.
Візи заступника керівника закладу, юрисконсульта, системного адміністратора, особи, відповідальної за організацію роботи із захисту персональних даних у закладі та, у разі потреби, інші особи.
Додаток 1
до Положення про порядок обробки
та захисту персональних даних
у базі персональних даних
«Електронний реєстр пацієнтів»
Головному лікарю
(назва закладу)
(від)
(посада)
(прізвище, ім’я, по батькові)
Зобов’язання про нерозголошення
персональних даних
Відповідно до статті 10 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VІ зобов’язуюсь не розголошувати у будь-який спосіб персональні дані пацієнтів, що стали відомі мені у зв’язку з виконанням посадових обов’язків.
Підтверджую, що зобов’язання буде чинним після припинення мною діяльності, пов’язаною з обробкою персональних даних, крім випадків, установлених законом.
« » 201 р.
(підпис)
Додаток 2
до Положення про порядок обробки
та захисту персональних даних
у базі персональних даних
«Електронний реєстр пацієнтів»
ЖУРНАЛ
реєстрації зобов’язань про нерозголошення персональних даних
№ з/п | Посада | Прізвище, ім’я, по батькові | Дата надання зобов’язання | Дата позбавлення права доступу до персональних даних та їх обробки | Причина позбавлення права доступу до персональних даних та їх обробки (звільнення, переведення на посаду, обов’язки за якою не пов’язані з обробкою персональних даних) |
1 | 2 | 3 | 4 | 5 | 6 |
Згода фізичної особи
як підстава для обробки персональних даних
Відповідно до частини п’ятої статті 6 Закону обробка персональних даних здійснюється:
- за згодою суб’єкта персональних даних;
- у випадках, передбачених законами України, у порядку, встановленому законодавством України.
Згідно зі статтею 2 Закону згодою суб’єкта персональних даних є Будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних.
Обробка персональних даних пацієнта здійснюється медичними працівниками на підставі Закону України «Основи законодавства про охорону здоров’я України» від 19.11.1992 № 2801-XII.
Наказом МОЗ України «Про затвердження форм первинної облікової документації та інструкцій щодо їх заповнення, що використовуються у закладах охорони здоров’я незалежно від форми власності та підпорядкування» від 14.02.2012 № 110 (далі — Наказ № 110), зареєстрованого у Міністерстві юстиції України 28.04.2012 за № 661/20974, затверджено форму згоди пацієнта на обробку його персональних даних.
При створенні Реєстру закладам охорони здоров’я рекомендується використовувати Згоду на обробку персональних даних за формою, що наведена нижче. Термін і місце зберігання відповідно до затвердженої Наказом № 110 форми згоди пацієнта на обробку його персональних даних.
Форма Згоди на обробку персональних даних
Згода № від « » 20 р.
на обробку персональних даних
Я,
Дата народження « » , паспорт серія № ,
Виданий « »
Відповідно до Закону України «Про захист персональних даних» від 01.06.2010 №2297-VI (далі — Закон № 2297)
1. Надаю (далі — Заклад) добровільну згоду на обробку моїх персональних даних у базі персональних даних «Електронний реєстр пацієнтів» для забезпечення ведення Електронного реєстру пацієнтів (постанова Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 № 546) з метою підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації.
Відповідно до визначеної мети обробки до бази персональних даних «Електронний реєстр пацієнтів» включаються персональні дані, необхідність обробки яких визначена нормативно-правовими актами і пов’язана з охороною здоров’я пацієнта. Зміст і склад персональних даних пацієнтів, які обробляються у «Електронному реєстрі пацієнтів», відповідає змісту і складу персональних даних пацієнтів, які містяться в медичній обліковій документації, що затверджена наказами МОЗ України («Про затвердження форм облікової статистичної документації, що використовується в стаціонарах лікувально-профілактичних закладів» від 26.07.1999 № 184; «Про затвердження форм облікової статистичної документації, що використовується в закладах охорони здоров’я» від 05.08.1999 № 197; «Про затвердження форм облікової статистичної документації, що використовується в поліклініках (амбулаторіях)» від 27.12.1999 № 302; «Про затвердження форм медичної облікової документації, що використовуються в стаціонарах і поліклініках (амбулаторіях)» від 29.12.2000 № 369; «Про затвердження форм первинної облікової документації та інструкцій щодо їх заповнення, що використовуються у закладах охорони здоров’я незалежно від форми власності та підпорядкування» від 14.02.2012 № 110).
2. Повідомлений, що:
2.1. Під обробкою моїх персональних даних відповідно до Закону № 2297 розуміється Будь-яка дія або сукупність дій, здійснюваних повністю або частково в інформаційній автоматизованій системі (у т. ч. локальній), які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням, поширенням, знеособленням, знищенням відомостей про мене як пацієнта Закладу.
2.2. Заклад прийняв на себе зобов’язання щодо захисту персональних даних пацієнтів та вживає технічних і організаційних заходів щодо захисту таких персональних даних.
2.3. Обробка моїх персональних даних провадитиметься виключно посадовими особами Закладу, які надали письмові зобов’язання про нерозголошення персональних даних інших осіб, що стали відомі у зв’язку з виконанням посадових обов’язків.
2.4. Згідно зі статтею 14 Закону № 2297 Заклад має право на передання персональних даних пацієнтів без повідомлення їх про це у випадках: 1) якщо передача персональних даних прямо передбачена законодавством України, і лише (за необхідності) в інтересах національної безпеки, економічного добробуту та прав людини; 2) отримання запиту від органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України.
2.5. В інших ніж зазначені у пункті 2.4 випадках, доступ до моїх персональних даних надається третім особам лише за моєї письмової згоди по кожному запиту окремо.
2.6. Строки зберігання персональних даних, зазначений у пункті 1 цієї згоди, визначаються згідно зі строками зберігання відповідних медичних облікових документів, затвердженими нормативно-правовими актами МОЗ України, після чого персональні дані підлягають знищенню у визначеному законодавством порядку.
3. Надаю згоду на передання моїх персональних даних до Управління охорони здоров’я ОДА та Міністерства охорони здоров’я України (у знеособленому вигляді).
4. Повідомлення про права, визначені законодавством у сфері захисту персональних даних мету обробки персональних даних, осіб, яким передаються дані, в письмовому вигляді отримав.
(прізвище, ім’я, по батькові)
Журнал реєстрації документів
з питань обробки персональних даних
Згода від пацієнта реєструється в Журналі реєстрації документів з питань обробки персональних даних. Цей Журнал допускається вести в електронному вигляді з обов’язковим друком і прошиванням в останній день місяця. Строк зберігання — 5 років.
Зразок Журналу реєстрації документів
з питань обробки персональних даних
ЖУРНАЛ
реєстрації документів з питань обробки персональних даних пацієнтів
(згоди на обробку персональних даних)
№ облікового документа, де знаходиться згода пацієнта | Дата надання згоди | № Інформованої згоди | Дата відмови від згоди | Прізвище, ім’я, | Адреса реєстрації | Примітки |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
Повідомлення пацієнтів про права
у сфері захисту персональних даних
Закон висуває вимоги не тільки до наявності згоди. Головне, що згода має бути усвідомленою — Будь-яка людина, необізнана у юридичних питаннях, повинна розуміти, з чим і навіщо вона погоджується. З цією метою в обов’язковому порядку:
Письмове повідомлення рекомендується надавати пацієнту при його реєстрації. Повідомлення з підписом пацієнта залишається в закладі охорони здоров’я, друга частина надається пацієнту (особі, яка має право представляти інтереси пацієнта). В іншому випадку — протягом 10 робочих днів з дня включення персональних даних пацієнта до бази персональних даних повідомити пацієнта у письмовій формі про його права, визначені Законом України «Про захист персональних даних» від 01.06.2010 № 2297-VІ, мету збору даних та осіб, яким передаються його персональні дані.
Рекомендується: у кожному закладі охорони здоров’я розмістити в місцях реєстрації пацієнтів та на Інформаційних дошках «Інформаційне повідомлення пацієнтів про права у сфері захисту персональних даних».
Зразок Повідомлення
ПОВІДОМЛЕННЯ №
про права, визначені законодавством у сфері захисту
персональних даних, мету обробки персональних
даних осіб, яким передаються дані
Керуючись статтею 12 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VІ (далі — Закон), повідомляємо Вам, що персональні дані, згоду на обробку яких надано Вами у «Інформованій добровільній згоді пацієнта на обробку персональних даних» буде включено до бази персональних даних «Електронний реєстр пацієнтів».
Відповідно до статті 8 Закону Ви маєте право:
- знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються Ваші персональні дані, що містяться у базі персональних даних «Електронний реєстр пацієнтів»;
- на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних, відповідно до статті 16 «Порядок доступу до персональних даних» Закону;
- отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються Ваші персональні дані у базі персональних даних «Електронний реєстр пацієнтів», а також отримувати зміст Ваших персональних даних, які зберігаються;
- пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем або розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
- застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.
Повідомлення отримав (-ла)
(прізвище, ім’я, по батькові пацієнта)
Повідомлення надав (-ла)
(прізвище, ім’я, по батькові особи, що надала повідомлення)
« » 20 р.
Зразок Інформаційного повідомлення
Назва закладу | Затверджено:
(посада)
(прізвище, ім’я, по батькові) |
ІНФОРМАЦІЙНЕ ПОВІДОМЛЕННЯ
про права, визначені законодавством
у сфері захисту персональних даних, мету обробки
персональних даних, осіб, яким передаються дані
Керуючись статтею 12 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VІ (далі — Закон), повідомляємо Вам, що персональні дані, згоду на обробку яких надано Вами у «Інформованій добровільній згоді пацієнта на обробку персональних даних» буде включено до бази персональних даних «Електронний реєстр пацієнтів» .
Володільцем бази персональних даних «Електронний реєстр пацієнтів» є:
.
Розпорядниками бази персональних даних «Електронний реєстр пацієнтів» є: Управління охорони здоров’я ОДА та Міністерство охорони здоров’я України.
База персональних даних «Електронний реєстр пацієнтів» розміщена .
Мета обробки персональних даних:
Обробка персональних даних пацієнтів у базі персональних даних «Електронний реєстр пацієнтів» здійснюється для забезпечення ведення Електронного реєстру пацієнтів (постанова Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 № 546) з метою підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації.
Згідно зі статтею 8 Закону Ви маєте право:
1. Знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом.
2. Отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються Ваші персональні дані, що містяться у базі персональних даних «Електронний реєстр пацієнтів».
3. На доступ до своїх персональних даних, що містяться у відповідній базі персональних даних, відповідно до статті 16 «Порядок доступу до персональних даних» Закону.
4. Отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються Ваші персональні дані у базі персональних даних «Електронний реєстр пацієнтів», а також отримувати зміст Ваших персональних даних, які зберігаються.
5. Пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом.
6. Пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем або розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними.
7. На захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи.
8. Звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.
9. Застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.
Відповідно до наданої Вами «Інформованої добровільної згоди на обробку персональних даних» Ваші персональні дані обробляються у базі персональних даних Володільця. Крім того, ваші дані передаються до бази персональних даних «Електронний реєстр пацієнтів області» в обсязі необхідному для забезпечення виконання мети обробки.
Автори рекомендацій:
ОЛЕКСЮК Лілія Віталіївна,
перший заступник Голови Державної служби України
з питань захисту персональних даних
ГОЛУБЧИКОВ Михайло Васильович,
Начальник Державного закладу «Центр медичної
статистики МОЗ України»
ПУСТОВОЙТОВА Ганна Леонідівна,
директор Державного підприємства «Реєстр медичних,
фармацевтичних та науково-педагогічних працівників
сфери управління МОЗ України»
