МІНІСТЕРСТВО ОХОРОНИ ЗДОРОВ’Я УКРАЇНИ
ЛИСТ
01.12.2011 р. № 11-02-09/10-299
Методичні рекомендації
щодо приведення обробки персональних даних у закладах
охорони здоров’я (освіти) галузі у відповідність до вимог Закону
«Про захист персональних даних»
Міністру охорони здоров’я АР Крим, начальникам управлінь (головних управлінь) охорони здоров’я
обласних державних адміністрацій, управлінь
охорони здоров’я Київської та Севастопольської міських державних адміністрацій
Головним державним санітарним лікарям АР Крим, областей, міст Києва та Севастополя, на водному, залізничному, повітряному транспорті, об’єктів
з особливим режимом роботи
Керівникам закладів, підпорядкованих МОЗ України
Направляємо для керівництва в роботі методичні рекомендації щодо приведення обробки персональних даних у закладах охорони здоров’я (освіти) галузі у відповідність до вимог Закону «Про захист персональних даних».
До методичних рекомендацій доданий приклад визначення володільця, розпорядників, третіх осіб, мети обробки та правових підстав для формування бази персональних даних «Працівники» (або «Кадровий облік») у закладах сфери управління МОЗ України».
Просимо довести дані рекомендації до всіх закладів охорони здоров’я (освіти) територій сфери управління УОЗ ОДА (обласних (міських) СЕС), забезпечити термінове ознайомлення всіх зацікавлених осіб та виконання вимог зазначеного Закону.
Інформація розміщена на сайті Міністерства охорони здоров’я України.
В. о. Міністра Р. О. МОІСЕЄНКО
МІНІСТЕРСТВО ОХОРОНИ ЗДОРОВ’Я УКРАЇНИ
ДЕПАРТАМЕНТ КАДРОВОЇ ПОЛІТИКИ, ОСВІТИ І НАУКИ
ДЕРЖАВНЕ ПІДПРИЄМСТВО
«РЕЄСТР МЕДИЧНИХ, ФАРМАЦЕВТИЧНИХ ТА НАУКОВО-ПЕДАГОГІЧНИХ
ПРАЦІВНИКІВ СИСТЕМИ МОЗ УКРАЇНИ»
МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
щодо приведення обробки персональних даних у закладах
охорони здоров’я (освіти) галузі у відповідність до вимог Закону
«Про захист персональних даних»
З 1 січня 2011 року набрав чинності Закон України «Про захист персональних даних» (далі — Закон) від 1 червня 2010 р. № 2297. Відповідно до Закону, бази персональних даних (далі — БПД) підлягають обов’язковій реєстрації (далі — Реєстрація) у Державному реєстрі баз персональних даних (далі — Реєстр). Реєстрація здійснюється Державною службою захисту персональних даних (далі — ДСЗПД).
У статті 2 Закону дано визначення термінів, які застосовуються у такому значенні:
- персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або конкретно може бути ідентифікована…». Тобто, на підставі наявності у будь-якій системі сукупності даних про особу, наприклад, прізвища, ім’я, по батькові та року її народження, особа може бути ідентифікована, а тому такі дані є персональними.
- Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом (пункт 2 статті 5 Закону).
База даних, що містить такі відомості, є БПД і, відповідно, підлягає обов’язковій реєстрації. Зауважуємо, що термін «персональні дані» стосується лише фізичних осіб;
знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;
база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Необхідно зазначити, що «база персональних даних» — це умовне поняття, що може об’єднувати різні складові, які мають однакову мету обробки;
володілець бази персональних даних — фізична або юридична особа, якій законом за згодою суб’єкта персональних даних надано право:
- на обробку цих даних,
- затвердження мети обробки персональних даних,
- встановлення складу цих даних та процедури їх обробки, якщо інше не визначено законом;
суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети її обробки;
обробка персональних даних — будь-яка дія, або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані із:
- збиранням інформації (значення терміна у статті 12 Закону),
- реєстрацією (порядок визначений у статті 10 Закону),
- накопиченням та зберіганням (стаття 13 Закону),
- адаптуванням, зміною, поновленням,
- використанням (стаття 10 Закону),
- поширенням (розповсюдженням, реалізацією, передачею) — порядок регламентований статтею 12 Закону,
- знеособленням (абзац 6 статті 2 Закону),
- знищенням відомостей про фізичну особу (стаття 15 Закону).
База персональних даних може оброблятися володільцем, що і спостерігається в абсолютній більшості випадків у закладах галузі. В окремих випадках таке право може бути надане іншій особі — розпоряднику бази персональних даних відповідно до договору в письмовій формі (пункт 2 статті 11 Закону).
Наприклад, управління охорони здоров’я обласної державної адміністрації як володілець автоматизованої бази даних медичних фармацевтичних та НАУКОВО-ПЕДАГогічних працівників території може надати право на обробку зазначеної бази розпоряднику — центру медичної статистики;
розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надане право обробляти ці дані. Розпорядник може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
Необхідно зазначити, що відповідно до пункту 3 статті 4 Закону розпорядником бази персональних даних, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу;
третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.
У процесі діяльності закладів охорони здоров’я функціонує і відповідно використовується певна кількість документів, що містять персональні дані, наприклад:
облікові медичні форми (історії хвороб, амбулаторні карти пацієнтів та інші), що використовуються при веденні обліку пацієнтів. Зазначені документи є підгрунтям для формування у закладі умовної БПД, наприклад «Пацієнти»;
відомості про особу, що використовуються при здійсненні бухгалтерського обліку працівників закладу, є основою для створення БПД — «Бухгалтерія» або «Бухгалтерський облік»;
працівники кадрової служби обробляють персональні дані у вигляді картотеки особових карток (за типовою формою П-2), особових справ, трудових книжок та персональних даних працівників в автоматизованій системі, що є складовими відповідної БПД, наприклад «Працівники» або «Кадровий облік»;
відомості про особу, що використовуються при здійсненні обліку студентів у закладах освіти, є основою для створення БПД — «Студенти» або інше, на розсуд володільця БПД;
у разі залучення до господарської діяльності закладу фізичних осіб — підрядників, клієнтів тощо, інформація щодо них має бути сформована у базу персональних даних, наприклад, «Фізичні особи, персональні дані яких обробляються у ході ведення господарської діяльності» або інше.
Назву і кількість БПД визначає володілець. Наведені вище БПД та їх назви є прикладами. У разі наявності у закладі іншої інформації про фізичних осіб, що обробляється у ході діяльності закладу, можуть бути сформовані й інші бази персональних даних. Але, зауважуємо, що немає потреби формувати у закладі дуже велику кількість БПД: їх кількість визначається однаковою метою їх обробки для забезпечення реалізації певних відносин:
- трудових,
- адміністративно-правових,
- відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом,
- податкових відносин та відносин у сфері бухгалтерського обліку,
- відносин у сфері економічних, фінансових послуг та страхування,
- відносин у сфері охорони здоров’я,
- відносин у сфері освіти,
- відносин у сфері транспорту та інше (див. проект Типового порядку обробки персональних даних у базах персональних даних1).
Мета обробки персональних даних повинна відповідати напрямку діяльності володільця БПД і має бути сформульована в його установчих документах та/або передбачена законодавством, що регулює діяльність володільця БПД (пункт 1 статті 6 Закону). Тобто у Статут закладу повинні бути внесені зміни щодо формулювання мети обробки баз персональних даних у закладі.
Певна БПД може використовуватися у закладі по частинах і на різних носіях (електронні та паперові). При наявності різних складових (наприклад, картотеки особових карток ф. П-2, трудових книжок, особових справ та персональних даних працівників в автоматизованій системі «Облік медичних кадрів України», що застосовується у галузі), але однакової мети обробки (забезпечення реалізації трудових відносин, управління кадровим потенціалом) такі відомості повинні розглядатися як єдина БПД, і інформація по ній у такому разі буде реєструватися під однією назвою. У наведеному вище випадку база даних вважається базою персональних даних, до якої застосований змішаний, тобто автоматизований та неавтоматизований, спосіб обробки даних.
Визначення володільця, наявність розпорядника БПД, третіх осіб, мети та правових підстав для обробки персональних даних щодо БПД «Працівники» («Кадровий облік») у якості прикладу наведені у таблиці, що додається2.
Необхідно звернути увагу на значення нових термінів, що регламентовані Законом:
- збирання персональних даних,
- накопичення персональних даних,
- зберігання,
- зміна персональних даних.
Наприклад, при прийомі на роботу заклад отримує від працівника певні персональні дані: паспортні дані, ідентифікаційний номер, у необхідних випадках — документ про освіту, склад сім’ї, дані щодо атестації та підвищення кваліфікації спеціаліста та ін. у відповідності до трудового або господарського законодавства. Отримання цих відомостей, без яких неможливий прийом на роботу, і є збиранням персональних даних. У відповідності до вимог пункту 2 статті 6 Закону персональні дані мають бути точними, достовірними, а у разі необхідності — оновлюватися.
Отримані відомості щодо працівника систематизуються, формуються, наприклад, у кадрові документи: типову форму № П-2, особову справу, вноситься інформація в автоматизовані бухгалтерські та кадрові бази даних. Це є накопичення персональних даних.
Сформованим документам необхідно забезпечити належне зберігання. При цьому зберігання персональних даних передбачає дії щодо забезпечення:
- певних умов їх зберігання,
- обмеження режиму доступу до них,
- повноти та цілісності персональних даних,
- у разі наявності БПД в електронному вигляді:
- розмежування режиму доступу відповідно до повноважень посадової особи (має право вносити зміни, тільки перегляд),
- заборона доступу сторонніх осіб,
- забезпечення захисту інформації відповідно до стандартів ДСТУ.
Порядок умов та термінів зберігання різних видів документів передбачено відповідними нормативно-правовими актами, що регламентують їх введення, наприклад:
- Інструкція про порядок ведення трудових книжок працівників, що затверджена наказом Мінпраці, Мін’юсту, Мінсоцзахисту України від 29.07.1993 № 58,
- спільний наказ Держкомстату України та Міноборони України «Про затвердження типової форми первинного обліку № П-2 «Особова картка працівника» від 25 грудня 2009 р. № 495/656,
- наказ Головного архівного управління при Кабінеті Міністрів України від 20.07.1998 № 41, яким затверджено Перелік типових документів, що утворюється в діяльності органів державної влади та місцевого самоврядування, інших підприємств, установ та організацій, зі строками зберігання документів,
- Правила роботи архівних підрозділів органів державної влади, місцевого самоврядування, підприємств, установ, організацій (із змінами і доповненнями), що затверджені наказом Державного комітету архівів України від 16.03.2001 № 16, зареєстрованого у Мін’юсті 08.05.2001 за № 407/5598,
- інші нормативно-правові акти.
У процесі трудових відносин у працівників виникають певні зміни у відомостях щодо фізичної особи (зміна прізвища у зв’язку із вступом у шлюб, зміна кваліфікаційної категорії, підвищення кваліфікації), які потребують внесення змін до особової справи, типової форми № П-2, автоматизованої бази даних. Це і є зміна персональних даних.
Склад та зміст персональних даних повинні бути відповідними і ненадмірними стосовно визначеної мети їх обробки. Обсяг персональних даних, які можуть бути включені до БПД, визначається умовами згоди суб’єкта персональних даних або відповідно до закону (пункт 3 статті 6 Закону).
Відповідно до мети обробки персональних даних повинен бути встановлений перелік інформації про фізичну особу, необхідний для реалізації трудових (бухгалтерських, податкових) або інших відносин виключно в межах професійних, службових або трудових обов’язків.
У відповідності до пункту 5 статті 6 Закону обробка персональних даних здійснюється для конкретних і законних цілей, а тому дуже важливою умовою для створення БПД є визначення правових підстав для обробки тих чи інших персональних даних. Таким чином, перелік відомостей про фізичну особу, який буде оброблятися у БПД, повинен бути регламентований тим чи іншим нормативно-правовим актом.
Відповідно до пункту 6 статті 6 Закону не допускається обробка даних про фізичну особу без її згоди. При розробці форми згоди суб’єкта персональних даних необхідно передбачити узагальнення всіх видів інформації щодо нього, які:
- необхідні для забезпечення реалізації певних відносин,
- відповідати меті обробки персональних даних,
- бути відповідними та ненадмірними правовим підставам для обробки персональних даних.
- Така згода може надаватися окремим документом, наприклад, у формі заяви, із обов’язковим зазначенням мети обробки, на яку дається згода.
Згоду на обробку персональних даних необхідно отримати від усіх працівників, прийнятих на роботу до закладу після 01.01.2011, тобто після набрання чинності Законом. У подальшому таку заяву необхідно отримувати від кожного працівника, якого приймають у заклад.
Якщо працівник прийнятий на роботу до 01.01.2011, отримання його згоди на обробку персональних даних не потрібно, якщо володілець продовжує обробляти персональні дані працівника (з тією ж метою і в такому ж обсязі). Уважається, що обробка його персональних даних продовжується відповідно до правовідносин на основі вільного волевиявлення працівника, що виникли до набрання чинності Законом.
Однак у разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надана нова згода на обробку його даних відповідно до зміненої мети, незалежно від дати прийняття на роботу.
Крім того, у відповідності до вимог статті 8 Закону, суб’єкта персональних даних необхідно протягом десяти робочих днів з дня включення його персональних даних до БПД виключно у письмовій формі повідомити про його права, визначені цим Законом:
- знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення, найменування,
- отримувати інформацію про умови надання доступу до його персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані,
- на доступ до своїх персональних даних, що містяться у відповідній БПД,
- на захист своїх персональних даних від незаконної обробки,
- пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних,
- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем або розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними та ін.
Направляти повідомлення працівникам, прийнятим у попередні роки, не потрібно.
Таким чином, здійснення дій з обробки персональних даних передбачає:
- наявність правових підстав такої обробки,
- згоди суб’єкта персональних даних на обробку персональних даних,
- права на обробку персональних даних, наданих володільцю БПД відповідно до закону у порядку, визначеному законодавством України і виключно в інтересах національної безпеки, економічного добробуту та прав людини.
При реєстрації БПД у Реєстрі база даних не надається, а реєструється тільки факт її наявності у закладі та назва.
Порядок реєстрації БПД передбачений наказом Міністерства юстиції від 08.07.2011 № 1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання».
Для реєстрації БПД її володілець (заклад охорони здоров’я або орган управління охороною здоров’я певної території) надають до Реєстру заяву встановленого зразка. Щодо кожної бази даних подається окрема заява. Державна служба з питань захисту персональних даних здійснює реєстрацію БПД на підставі заяви, поданої володільцем такої бази або уповноваженою ним особою.
Реєстрація БПД здійснюється за заявочним принципом шляхом повідомлення і є безкоштовною для володільців БПД. Заява у паперовій формі надсилається поштою (бажано рекомендований лист з описом вкладення та повідомленням про вручення), а також може бути надана особисто представником закладу або кур’єром за адресою: 02660, м. Київ, вул. Марини Раскової, 15, Державна служба з питань захисту персональних даних.
У разі якщо заява до Державної служби надається представником закладу або кур’єром, для пришвидшення обробки документа бажано надати електронну копію заяви (указати при цьому її вихідний реєстраційний номер).
Рекомендуємо подати заяви про реєстрацію баз персональних даних до 1 січня 2012 року (з 1 січня 2012 року ухилення вiд державної реєстрації бази персональних даних тягне за собою накладення штрафу на громадян вiд 300 до 500 неоподатковуваних мiнiмумiв доходів громадян (нмдг) i на посадових осiб, громадян — суб’єктів підприємницької дiяльностi — вiд 500 до 1000 нмдг (див. Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення вiдповiдальностi за порушення законодавства про захист персональних даних» вiд 2 червня 2011 р. № 3454-VI).
Алгоритм дій керівника
для приведення обробки персональних даних у закладі охорони здоров’я (освіти)
у відповідність до вимог Закону «Про захист персональних даних»
1. Даний напрямок роботи необхідно розпочинати з видання наказу по закладу щодо приведення процесів та процедур обробки персональних даних у закладі у відповідність до вимог законодавства. Для цього у наказі треба передбачити наступні заходи:
створити робочу групу, якій необхідно:
- провести аналіз процесів обробки персональних даних у закладі відповідно до основних завдань і функцій закладу;
- відповідно до п. 1 ст. 6 Закону визначити мету (чи декілька їх), з якою обробляються персональні дані у закладі;
- відповідно до пп. 2, 3 ст. 6 Закону (у відповідності до визначеної мети) проаналізувати склад та зміст персональних даних, що обробляються, первинні джерела відомостей про фізичну особу;
- визначити правові підстави для обробки визначених БПД;
- визначити, чи є персональні дані відповідними та ненадмірними відповідно до визначеної мети та правових підстав;
- привести перелік персональних даних у відповідність до мети та правових підстав для обробки у визначених БПД;
- визначити бази персональних даних у закладі, що підлягають державній реєстрації;
- встановити по кожній з них наявність розпорядників баз та перелік третіх осіб (при їх наявності);
- визначити перелік посад, виконання професійних обов’язків за якими пов’язано із обробкою персональних даних, визначити ступінь їх доступу до персональних даних (внесення змін, формування звітів та аналітичної інформації, перегляд або інше за потреби).
Наказом також потрібно:
- визначити коло осіб, відповідальних за внесення змін до Статуту закладу та їх наступну реєстрацію в територіальних органах виконавчої влади,
- визначити відповідальних за розробку проекту Положення про захист персональних даних у закладі,
- призначити відповідальних за отримання документованої згоди на обробку персональних даних від суб’єктів персональних даних,
- призначити відповідальних за письмове повідомлення працівників про їх права щодо захисту персональних даних, передбачених зокрема п. 2 ст. 8 Закону,
- визначити відповідальних за подання заяви про реєстрацію баз персональних даних закладу,
- передбачити проведення семінару з керівниками структурних підрозділів закладу щодо виконання вимог Закону,
- визначити відповідальних за підготовку проектів змін до посадових інструкцій працівників, виконання професійних обов’язків за якими пов’язано з обробкою персональних даних,
- визначити відповідальних за розробку зразка та отримання від працівників, робота яких пов’язана з обробкою персональних даних, письмового зобов’язання щодо недопущення розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Передбачити у тексті зобов’язання його чинність і після припинення ними діяльності, пов’язаної з персональними даними (пункт 3 статті 10 Закону),
- визначити відповідальних за підготовку проекту наказу щодо внесення змін до Номенклатури справ закладу,
- призначити відповідального за організацію роботи із захисту персональних даних у закладі (структурному підрозділі).
2. Затвердити Положення про захист персональних даних у закладі. Зазначене Положення, на розсуд володільця баз персональних даних, може бути розроблено по кожній з БПД, що існує у закладі і надано на реєстрацію, а може бути розроблено загальне Положення (про всі БПД закладу). У такому разі у Положенні необхідно навести перелік БПД у закладі, а по кожній з них указати:
- мету та правові підстави для обробки персональних даних,
- розпорядника (у разі наявності) та третіх осіб,
- перелік персональних даних, що будуть оброблятися, їх складові (при наявності) та первинні джерела відомостей про фізичну особу (пункт 4 статті 6 Закону),
- порядок обробки персональних даних: збирання, накопичення, періодичності поновлення, зберігання, використання, поширення, знеособлення та знищення персональних даних (з урахуванням вимог статей 10–15 Закону)
- перелік посад, виконання професійних обов’язків за якими пов’язано із обробкою певних БПД, визначити порядок їх доступу до персональних даних (з урахуванням вимог статті 16 Закону),
- визначити порядок захисту персональних даних. Звертаємо увагу, що відповідно до Закону володілець БПД повинен забезпечити захист цих даних. Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані. У кожному випадку роботодавець може провести аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків роботодавець може вирішити, який рівень захищеності БПД є необхідним. Державною службою захисту персональних даних розроблений проект Типового порядку обробки персональних даних у БПД (далі — Типовий порядок), що перебуває на розгляді у Міністерстві юстиції України (джерело інформації — офіційний сайт ДСЗПД). Після прийняття Типового порядкуцей нормативно-правовий акт необхідно використати як основу при розробленні локального нормативного акта, що буде регламентувати порядок обробки персональних даних та їх захист у закладі. Відповідно до проекту Типового порядку обробка персональних даних є планомірним процесом у закладі і має включати такі етапи:
- первинна оцінка стану обробки персональних даних,
- планування та впровадження системи управління персональними даними,
- забезпечення поточного функціонування системи управління персональними даними,
- періодична та поточна оцінка ефективності системи управління персональними даними,
- удосконалення системи управління персональними даними.
3. Внести зміни до Статуту закладу щодо визначення мети обробки БПД у закладі, забезпечити їх реєстрацію в органах виконавчої влади.
4. Отримати документовану згоду на обробку персональних даних від працівників, прийнятих на роботу до закладу після 01.01.2011. Зауважуємо, що дата отримання згоди працівника повинна передувати даті реєстрації зазначеної бази даних у Реєстрі, а в подальшому — дорівнювати даті прийому його на роботу.
5. Письмово повідомити працівників, прийнятих на роботу до закладу після 01.01.2011, про їх права щодо захисту персональних даних, передбачених п. 2 ст. 8 Закону.
6. Надати до Реєстру заяву про реєстрацію бази персональних даних закладу.
7. Отримати письмові зобов’язання працівників, пов’язаних із обробкою персональних даних, щодо недопущення у будь-який спосіб розголошення персональних даних, які їм було довірено або які стали відомі у зв’язку із виконанням професійних чи службових або трудових обов’язків.
8. Внести зміни до посадових інструкцій працівників, виконання професійних обов’язків яких пов’язано з обробкою персональних даних.
Радимо затвердити ці посадові інструкції у новій редакції, але не буде помилковим і внесення певних змін до існуючих посадових інструкцій.
Зважаючи, що набуття чинності Законом не призводить до зміни істотних умов праці, немає необхідності попереджати зацікавлених працівників про наступні зміни у посадових інструкціях за два місяці. У зв’язку з появою нових законодавчих вимог кадрова та інші служби набувають нових обов’язків та відповідальності, які вводяться з метою приведення порядку обробки персональних даних і документації закладу у відповідність до вимог Закону.
9. Внести зміни до Номенклатури справ закладу. Зважаючи, що особові справи ведуться не на всіх працівників закладу, крім того, долучення згод та повідомлень суб’єктів персональних даних до особових справ не передбачено основним нормативно-правовим актом, що регламентує ведення особових справ працівників (Правила роботи архівних підрозділів органів державної влади, місцевого самоврядування, підприємств, установ, організацій (із змінами і доповненнями), що затверджені наказом Державного комітету архівів України від 16.03.2001 №16, зареєстрованого у Мін’юсті 08.05.2001 за № 407/5598), рекомендуємо сформувати окремі справи щодо зберігання вищеназваних документів:
- згоди суб’єктів персональних даних на обробку їх персональних даних,
- повідомлення суб’єктів персональних даних про їх права щодо захисту персональних даних. За рішенням керівника закладу, або у закладах з невеликою чисельністю працюючих ці справи можуть бути поєднані,
- письмові зобов’язання працівників, пов’язаних із обробкою персональних даних щодо недопущення розголошення персональних даних,
- свідоцтв про державну реєстрацію БПД, та змін до них.
Термін зберігання цих документів радимо встановити «Доки не мине потреба».
Звертаємо увагу, що відповідно до пункту 3 статті 15 Закону «Персональні дані, зібрані з порушенням вимог цього Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку».
Наведений перелік дій свідчить, що закладам охорони здоров’я необхідно переглянути відношення до виконання вимог Закону як до разової акції. Повинна функціонувати система управління захистом інформації у закладі із наявністю всіх її складових.
Додаток:
«Приклад визначення володільця, розпорядників, третіх осіб, мети обробки та правових підстав для формування бази персональних даних «Працівники» (або «Кадровий облік») у закладах сфери управління МОЗ України»3 на 5 аркушах.
Джерела інформації:
- Закон України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VI,
- Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 р. № 3454-VI,
- Положення про Державну службу України з питань захисту персональних даних (затверджено Указом Президента України від 6 квітня 2011 р. № 390/2011),
- Положення про Державний реєстр баз персональних даних та порядок його ведення (постанова Кабінету Міністрів України від 25 травня 2011 р. № 616),
- «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» (наказ Міністерства юстиції України від 8 липня 2011р. № 1824/5, зареєстровано в Мін’юсті 19 липня 2011 р. за № 890/19628),
- Наказ Міністерства юстиції України «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» від 8 липня 2011 р. № 1823/5, зареєстровано в Мін’юсті 19 липня 2011 р. за № 889/19627,
- проект наказу Міністерства юстиції України «Типовий порядок обробки персональних даних у базах персональних даних»,
- О. Мервінський, голова Державної служби України з питань захисту персональних даних: «Отримайте згоду працівника на обробку його персональних даних» (журнал «КАДРОВИК. Трудове право і управління персоналом» № 9 за 2011 рік),
- С. Кривда, начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних: «Реєструємо базу персональних даних працівників» (журнал «КАДРОВИК. Трудове право і управління персоналом» № 9 за 2011 рік),
- С. Кривда, начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних: «Повідомляємо працівників про мету обробки їх персональних даних» (журнал «КАДРОВИК. Трудове право і управління персоналом» № 10 за 2011 рік),
- С. Кривда, начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних: «Чи потрібно розробляти на підприємстві Положення про захист персональних даних» (журнал «КАДРОВИК. Трудове право і управління персоналом» № 11 за 2011 рік, с. 65),
- С. Кривда, начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних, І. Іванченко, головний редактор журналу «КАДРОВИК. Трудове право і управління персоналом»: «Запроваджуємо захист персональних даних на підприємстві: крок за кроком» (журнал «КАДРОВИК. Трудове право і управління персоналом» № 12 за 2011 рік),
- І. Іванченко, головний редактор журналу «КАДРОВИК. Трудове право і управління персоналом»: «Запроваджуємо захист персональних даних у закладі охорони здоров’я: крок за кроком» (журнал «Управління закладом охорони здоров’я» № 12 за 2011 рік. Видавничий дім Експертус).
Зверніть увагу! У зазначеній статті у розгорнутому вигляді наведений алгоритм дій керівника по забезпеченню виконання вимог Закону та надані зразки документів, видання яких необхідно передбачити у закладі.
С. Кривда, начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних: «Повідомляємо працівника про мету обробки його персональних даних» (журнал «Головбух:БЮДЖЕТ» № 2, жовтень 2011 року).