Запровадження захисту персональних даних у закладі охорони здоров’я: покроковий алгоритм

У підготовці матеріалів рубрики брали участь:

Володимир КОЗАК,
заступник Голови Державної служби України з питань захисту персональних даних

Світлана КРИВДА,
начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних

Ірина ІВАНЧЕНКО,
головний редактор журналу «КАДРОВИК. Трудове право і управління персоналом»

Ганна ПУСТОВОЙТОВА,
директор Державного підприємства «Реєстр медичних, фармацевтичних та науково-­педагогічних працівників сфери управління МОЗ України»

Олександр ДЕНИСЕНКО,
заступник директора департаменту — начальник відділу нормативно-­методичного забезпечення департаменту діловодства, формування, обліку та зберігання документів Національного архівного фонду Державної архівної служби України, експерт Гарячої Лінії Кадровика

Рік, що минає, запам’ятається працівникам закладів охорони здоров’я численними законодавчими змінами, зокрема запровадженням державного регулювання у сфері захисту персональних даних.

Так, 1 січня 2011 року набрав чинності Закон України «Про захист персональних даних» від 1 червня 2010 р. № 2297-­VІ (далі — Закон про захист ПД), що регулює відносини, пов’язані із захистом персональних даних під час їх обробки.

Протягом 2011 року розроблено підзаконні акти, які регламентують порядок нагляду і контролю за додержанням законодавства у сфері захисту персональних даних, конкретизують порядок дій установи, організації, закладу (далі — заклад охорони здоров’я), спрямованих на виконання Закону про захист ПД:

– Положення про Державну службу України з питань захисту персональних даних (Указ Президента України від 6 квітня 2011 р. № 390/2011);

– Положення про Державний реєстр баз персональних даних та порядок його ведення (постанова КМУ від 25 травня 2011 р. № 616);

– Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання (наказ Мін’юсту від 8 липня 2011 р. № 1824/5, зареєстровано в Мін’юсті 19 липня 2011 р. за № 890/19628; Витяг — на с. 99);

– Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних (наказ Мін’юсту від 8 липня 2011 р. № 1823/5, зареєстровано в Мін’юсті 19 липня 2011 р. за № 889/19627).

Безумовно, керівник закладу охорони здоров’я, його заступники, керівники та працівники відділу кадрів, бухгалтерії, юрисконсульт закладу мають ознайомитися з прийнятими нормативно-­правовими актами і застосовувати їх у роботі.

Нормативно-­правова база захисту персональних даних постійно удосконалюється і доповнюється. Державною службою України з питань захисту персональних даних розроблені та чекають на затвердження найближчим часом проекти таких нормативно-­правових актів:

– Типовий порядок обробки персональних даних у базах персональних даних;

– Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного конт­ролю за додержанням законодавства про захист персональних даних.

З 1 січня 2012 року за порушення законодавства у сфері захисту персональних даних запроваджується адміністративна й кримінальна відповідальність (див. Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 р. № 3454-­VІ).

Так, згідно зі статтею 188-­39 Кодексу України про адміністративні правопорушення неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягнуть за собою накладення штрафу на громадян від 200 до 300 неоподатковуваних мінімумів доходів громадян (далі — нмдг) і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від 300 до 400 нмдг.

Ухилення від державної реєстрації бази персональних даних — тягне за собою накладення штрафу на громадян від 300 до  500 нмдг і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від 500 до 1000 нмдг.

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, — тягне за собою накладення штрафу від 300 до 1000 нмдг.

Дотримання законодавства про захист персональних даних контролює Державна служба України з питань захисту персональних даних шляхом виїзних і безвиїзних перевірок. Наразі, згідно із затвердженим планом, проведення таких перевірок вже розпочато.

Запровадження захисту персональних даних у закладі охорони здоров’я передбачає великий обсяг роботи, левова частка якого припадатиме на відділ кадрів. Утім, важливо розуміти, що захист персональних даних — це завдання для закладу в цілому, і самотужки з цим жодна кадрова служба не впорається.

Покроковий алгоритм запровадження захисту персональних даних, який ми пропонуємо, допоможе вам, зокрема:

• організувати роботу з приведення документації закладу та процедур обробки персональних даних у відповідність до законодавства про захист персональних даних;
• створити робочу групу для визначення кількості баз персональних даних, що існують у закладі, мети та правових підстав обробки даних, розпорядників баз;
• оформити документи, наявність яких передбачена законодавством у сфері захисту персональних даних (зокрема згоду фізичної особи на обробку персональних даних, повідомлення фізичній особі про її права у сфері захисту персональних даних, мету обробки даних та осіб, яким передаються персональні дані, зобов’язання посадових осіб закладу щодо нерозголошення персональних даних);
• підготувати документи для реєстрації баз персональних даних закладу охорони здоров’я.

Від редакції

У наведених нижче матеріалах надано перші рекомендації щодо невідкладних дій керівника закладу охорони здоров’я, кадрової служби, інших структурних підрозділів закладу щодо приведення обробки персональних даних у відповідність до вимог Закону України «Про захист персональних даних».

На сьогодні практика застосування законодавства у сфері захисту персональних даних майже відсутня. Але саме практична апробація Закону дасть змогу вдосконалювати правові норми та адаптувати їх до потреб суб’єктів персональних даних.

Будемо вдячні вам за зауваження та пропозиції для їх подальшого узагальнення і розроблення комплексних рекомендацій, які після погодження з МОЗ України та Державною службою України з питань захисту персональних даних будуть опубліковані на сторінках журналу.

Надсилайте запитання, що виникатимуть у вашій роботі, до редакції журналу (golovlikar@Експертус.com.ua).

Відповіді на ваші запитання надаватимуть посадові особи Державної служби України з питань захисту персональних даних та Міністерства охорони здоров’я України.

Завжди раді співпраці з вами!

Для правильного застосування положень Закону про захист персональних даних важливо з’ясувати, що стоїть за термінологією,
яка застосовується для цілей Закону

База персональних даних, володілець бази, розпорядник бази, треті особи: визначимось з поняттями

Відповідно до пункту 1 статті 5 Закону України «Про захист персональних даних» (далі — Закон про захист ПД) персональні дані, які обробляються в базах персональних даних, є об’єктами захисту.

Персональні дані

Персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону про захист ПД).

Згідно зі статтею 5 Закону про захист ПД персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

Персональними даними є будь­-яка інформація про фізичну особу, що дає змогу її ідентифікувати, наприклад, прізвище, ім’я та по батькові, паспортні дані, номер ідентифікаційного коду, дата і місце народження, місце проживання, номери телефонів, адреса електронної пошти, відомості про освіту, склад сім’ї та ін.

До персональних даних також належать відомості про національність, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров’я чи статевого життя.

Відповідно до рішення Конституційного Суду України від 30 жовтня 1997 р. № 5-­зп до персональних даних належить медична інформація (про стан здоров’я, у т. ч. з історії хвороби). Як зазначає Конституційний Суд у своїй ухвалі: «Медична інформація, тобто свідчення про стан здоров’я людини, історію її хвороби, про мету запропонованих досліджень і лікувальних заходів, прогноз можливого розвитку захворювання, в т. ч. і про наявність ризику для життя і здоров’я, за своїм правовим режимом належить до конфіденційної, тобто інформації з обмеженим доступом».

Важливо, що термін «персональні дані» стосується лише фізичних осіб.

Обробка персональних даних

Обробка персональних даних — будь­-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі:

• збиранням,
• реєстрацією,
• накопиченням,
• зберіганням,
• адаптуванням,
• зміною,
• поновленням,
• використанням,
• поширенням (розповсюдженням, реалізацією, передачею),
• знеособленням,
• знищенням відомостей про фізичну особу.

(ст. 2 Закону про захист ПД)

Приймаючи особу на роботу або укладаючи з особою цивільно-­правовий договір на виконання робіт (надання послуг), заклад охорони здоров’я отримує від особи паспортні дані, ідентифікаційний код, у необхідних випадках — документи про освіту, склад сім’ї, як передбачено трудовим або цивільним законодавством. Це і є збирання персональних даних.

Відомості про працівників систематизуємо та зберігаємо в особових картках (типова форма № П-­2), особових справах, інколи — в інформаційних базах бухгалтерських чи кадрових програм. У закладах охорони здоров’я, що належать до сфери управління МОЗ, кадровий облік ведеться за допомогою автоматизованої інформаційно-­аналітичної системи «Облік медичних кадрів України». Отже, говоримо про накопичення персональних даних та їх зберігання.

Працівниця лікарні вийшла заміж, змінила прізвище, змінилися паспортні дані... Вносимо зміни до особової картки, особової справи, трудової книжки, інших облікових документів — і говоримо про зміну персональних даних.

База персональних даних

Фіксуючи персональні дані у певному порядку у картотеці, файлі, автоматизованій базі даних, впритул підходимо до терміна «база персональних даних».

База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (ст. 2 Закону про захист ПД).

Важливо розуміти, що база персональних даних — це умовне поняття. База персональних даних визначається метою обробки персональних даних, складом персональних даних та встановленими процедурами їх обробки. Обробку персональних даних з різними цілями зазвичай здійснюють у різних базах персональних даних. Наприклад, обробка персональних даних з метою дотримання трудового законодавства, з метою страхування, з метою надання медичних послуг, телекомунікаційних послуг, послуг прямого маркетингу тощо здійснюється у різних базах персональних даних. У будь­-якому закладі охорони здоров’я вже є як мінімум дві такі умовні бази: «Працівники» і «Пацієнти».

• Картотека особових карток (типова форма № П-­2), усі особові справи працівників, відомості з автоматизованої системи «Облік медичних кадрів України» — все це може бути визначено як одна умовна база персональних даних «Працівники» закладу охорони здоров’я сфери управління МОЗ України або як складова частина такої бази, що залежить від визначеної мети обробки, складу персональних даних та процедур їх обробки.
• Сукупність історій хвороби, амбулаторних карток хворих, інших відомостей про фізичних осіб, які звернулися за медичною допомогою, може бути визначена як умовна база персональних даних «Пацієнти».
• У навчальному закладі можна виділити умовну базу «Студенти».

Чимало закладів охорони здоров’я залучають фізичних осіб для виконання певних робіт чи надання послуг на підставі цивільно-­правових договорів (наприклад, договір підряду). При укладенні такого договору отримуємо від особи її паспортні дані, ідентифікаційний код, а отже маємо справу з обробкою персональних даних. Якщо дані про підрядників упорядковані та зберігаються, наприклад, в інформаційному довіднику програми 1С, можемо говорити про базу персональних даних «Фізичні особи, персональні дані яких обробляються в ході ведення господарської діяльності». До цієї бази можемо зарахувати персональні дані фізичних осіб — підрядників (контрагентів) або персональні дані фізичних осіб, що перебувають у трудових відносинах з юридичною особою — підрядником (контрагентом).

Зверніть увагу, що вибір найменування бази залишається у компетенції закладу (наприклад, базу персональних даних працівників можна назвати «Кадровий облік», а бази фізичних осіб — підрядників просто «Підрядники»).

Суб’єкт персональних даних

Фізичну особу, стосовно якої відповідно до закону здійснюється обробка її персональних даних, називаємо суб’єктом персональних даних (див. ст. 2 Закону про захист ПД).

Володілець бази, розпорядник, третя особа

Згідно зі статтею 4 Закону про захист ПД суб’єктами відносин, пов’язаних із персональними даними, є:

• суб’єкт персональних даних;
• володілець бази персональних даних;
• розпорядник бази персональних даних;
• третя особа;
• уповноважений державний орган з питань захисту персональних даних.

Володілець, розпорядник, треті особи — що стоїть за цими термінами? Розглянемо на прикладах, звернувшись до статті 2 Закону про захист ПД.

Володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних та яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних і процедури їх обробки, якщо інше не визначено законом.

Розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

Розпорядник діє в інтересах володільця, якщо інше не визначено законом.

Згідно з пунктом 2 статті 4 Закону про захист ПД володільцями та розпорядниками баз персональних даних можуть бути:

• підприємства, установи і організації усіх форм власності,
• органи державної влади чи органи місцевого самоврядування,
• фізичні особи — підприємці, які обробляють персональні дані відповідно до закону.

Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі (ст. 11 Закону про захист ПД).

Тобто володільцями та розпорядниками бази можуть бути юридичні особи або фізичні особи — суб’єкти підприємницької діяльності.

Як бачимо, працівники володільця бази персональних даних (юридичної особи чи фізичної особи — підприємця) — працівники відділу кадрів, бухгалтерії, приймального відділення та ін. — з точки зору Закону про захист ПД розпорядниками не вважаються.

Заклад охорони здоров’я є володільцем принаймні трьох баз «Працівники», «Пацієнти», «Фізичні особи, персональні дані яких обробляються в ході ведення господарської діяльності».

Розпорядники є далеко не завжди. Скажімо, для баз персональних даних закладу охорони здоров’я державної або комунальної форми власності розпорядники, як правило, відсутні.

У яких ситуаціях може з’явитися «розпорядник бази персональних даних»? Наприклад, у невеликому приватному медичному закладі немає відділу кадрів; заклад передав функції з ведення кадрового діловодства сторонній фірмі, що оформлює прийняття працівників до закладу, звільнення, веде особові картки, трудові книжки та ін. З точки зору Закону про захист ПД така фірма є розпорядником бази «Працівники» приватного медичного закладу.

Ще один термін, яким оперує Закон про захист ПД, це третя особа — будь­-яка особа, за винятком суб’єкта персональних даних, володільця та розпорядника бази персональних даних і уповноваженого державного органу з питань захисту персональних даних, якій володільцем або розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону або за згодою суб’єкта персональних даних.

Третіми особами у контексті Закону про захист ПД можна вважати, наприклад, органи Пенсійного Фонду, податкової інспекції, військкомати, центри зайнятості тощо, передача персональних даних яким здійснюється відповідно до закону. Страхова компанія, банк — також можуть бути третіми особами, але їм персональні дані передаються за згодою суб’єкта персональних даних.

Різниця між розпорядником і третьою особою стає більш наочною, якщо пам’ятати, що розпорядник бази обробляє персональні дані в інтересах володільця, а третій особі дані (або частина даних) надаються для цілей третьої особи, визначених законом, або для цілей статутної діяльності третьої особи за згодою суб’єкта персональних даних.

Давайте розглянемо різницю між розпорядником та третьою особою на прикладі бази персональних даних «Працівники» закладу охорони здоров’я сфери управління обласної (міської) державної адміністрації.

Відповідно до наказу МОЗ України «Про формування автоматизованої бази даних медичних, фармацевтичних та науково-­педагогічних працівників сфери управління МОЗ України» від 19 грудня 2006 р. № 842 (далі — Наказ № 842) у кожному закладі охорони здоров’я галузі ведеться автоматизована База даних закладу, що містить інформацію про працівників закладу, які мають право займатися медичною та фармацевтичною діяльністю. Ця база даних формується працівниками кадрової служби або особами, відповідальними за облік кадрів у закладі охорони здоров’я.

Особові картки за типовою формою № П-­2, особові справи, автоматизована База даних закладу разом становлять умовну базу персональних даних «Працівники».

Володільцем цієї бази є безпосередньо заклад охорони здоров’я.

Заклад охорони здоров’я самостійно обробляє персональні дані у своїй базі «Працівники», розпорядників у такому разі немає.

При цьому, відповідно до пункту 3 Положення про автоматизовану базу даних медичних, фармацевтичних та науково-­педагогічних працівників сфери управління МОЗ України, затвердженого Наказом № 842, кожен орган управління охорони здоров’я певної території формує Базу даних території, до якої входять бази даних відповідних закладів. Бази даних закладів є складовими Бази даних території, а володільцем Бази даних теріторії є орган управління охорони здоров’я території.

З точки зору Закону про захист ПД для закладу охорони здоров’я, у якому формується База даних закладу, орган управління охорони здоров’я є третьою особою.

Орган управління охорони здоров’я може обробляти дані у Базі даних території самостійно. У такому разі розпорядник Бази даних території відсутній.

Утім, за потреби, згідно з існуючим Положенням про автоматизовану базу даних території, затвердженим наказом органу управління відповідної території, орган управління може надати право обробки даних у Базі іншому закладу, що належить до сфери його управління (відповідно до п. 3 ст. 4 Закону про захист ПД). Таким закладом є, наприклад, Центр медичної статистики. У такому разі цей заклад є розпорядником Бази даних території.

Наявність розпорядників та третіх осіб для закладу охорони здоров’я:

• сфери управління обласної (міської міст Києва та Сева­стополя) державної адміністрації;
• безпосередньо підпорядкованого МОЗ України;
• підпорядкованого Кримській республіканській, обласним (міським) санітарно-­епідеміологічним станціям,
• ви зможете визначити за Таблицею.

Дійсно, термінологія нова і незвична, але упевнені, мине зовсім небагато часу і нові поняття стануть частиною щоденної практики. То є лише справою часу.

• база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
• володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
• знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;
• обробка персональних даних — будь­-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
• персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
• розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
• суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
• третя особа — будь­-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.

Згідно зі статтею 2 «Визначення термінів» Закону України
«Про захист персональних даних»

ПРИКЛАД
визначення володільця, розпорядників, третіх осіб, мети обробки та правових підстав
для формування бази персональних даних «Працівники» у закладах охорони здоров’я сфери управління
МОЗ України та органах управління охороною здоров’я обласних
(міських міст Києва та Севастополя) державних адміністрацій

Для аналізу процесів обробки персональних даних у закладі охорони здоров’я рекомендується створити робочу групу. До робочої групи можуть увійти, наприклад, заступник головного лікаря, начальник відділу кадрів, головний бухгалтер, юрисконсульт, начальник планово-­економічного відділу, головна медична сестра, інші особи. Створення робочої групи та її завдання слід зафіксувати у наказі з основної діяльності

Створюємо робочу групу для запровадження захисту персональних даних у закладі охорони здоров’я

Дії щодо запровадження захисту персональних даних у закладі охорони здоров’я, приведення процесів та процедур обробки персональних даних у відповідність до законодавства слід зафіксувати у розпорядчому документі — наказі з основної діяльності (див. Додаток 1).

Для аналізу процесів обробки персональних даних у закладі рекомендуємо створити робочу групу. До робочої групи можуть входити, наприклад, заступник головного лікаря, начальник відділу кадрів, головний бухгалтер, юрисконсульт, начальник планово-­економічного відділу, головна медична сестра, інші особи.

Відповідно до пункту 5 статті 24 Закону про захист ПД у закладі охорони здоров’я має бути визначений структурний підрозділ або відповідальна особа, яка організовує роботу, по­в’язану із захистом персональних даних при їх обробці, відповідно до закону.

Отже, наказом слід визначити підрозділ (або посадову особу), відповідальний за організацію роботи щодо захисту персональних даних при їх обробці.

Робочій групі необхідно, зокрема:

• провести аналіз процесів обробки персональних даних відповідно до основних завдань і функцій закладу охорони здоров’я,
• визначити мету обробки персональних даних,
• проаналізувати склад та зміст персональних даних, що обробляються, і визначити, чи не є вони надмірними стосовно мети їх обробки,
• визначити кількість баз персональних даних, що підлягають державній реєстрації; наявність розпорядників баз, третіх осіб у контексті Закону України «Про захист персональних даних».

Додаток 1

Приклад оформлення наказу про запровадження захисту персональних даних
у закладі охорони здоров’я та приведення процесів і процедур обробки персональних даних
у відповідність до законодавства

Василівська центральна районна лікарня

НАКАЗ

12.12.2011                                          № 234

Про запровадження захисту персональних даних
і приведення процесів і процедур
обробки персональних даних у відповідність до законодавства

На виконання Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-­VІ, відповідно до Положення про Державний реєстр баз персональних даних та порядок його ведення, затвердженого постановою Кабінету Міністрів України від 25 травня 2011 р. № 616, наказу Міністерства юстиції України від 8 липня 2011 р. № 1824/5, з метою створення дієвої системи управління персональними даними

НАКАЗУЮ:

1. Створити робочу групу із запровадження захисту персональних даних, що обробляються у діяльності лікарні, у складі:

голова групи —  Панченко В. К., заступник головного лікаря;

члени групи —    Бакаляр П. Р., юрисконсульт;

                         Кузьменко І. Г., начальник планово-­економічного відділу;

                         Ляшенко О. П., головна медична сестра;

                         Радченко Г. Д., головний бухгалтер;

                         Соловейко О. М., начальник відділу кадрів.

2. Робочій групі:

2.1. До 19.12.2011:

2.1.1. Провести аналіз процесів обробки персональних даних відповідно до основних завдань і функцій лікарні.

2.1.2. Відповідно до пунктів 2, 3 статті 6 Закону України «Про захист персональних даних» визначити мету обробки персональних даних, проаналізувати склад та зміст персональних даних, що обробляються, і визначити, чи не є вони надмірними стосовно мети їх обробки.

2.1.3. Визначити кількість баз персональних даних, що підлягають державній реєстрації; наявність розпорядників баз, третіх осіб у контексті Закону України «Про захист персональних даних».

2.1.4. Результати роботи групи подати головному лікарю у письмовій формі для погодження.

2.2. До 20.01.2012 розробити проекти положень про обробку персональних даних у базах персональних даних лікарні.

3. Соловейко О. М. до 26.12.2011:

3.1. Організувати отримання документованої згоди на обробку персональних даних від працівників.

3.2. Письмово повідомити працівників про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних, та осіб, яким передаються персональні дані.

3.3. Привести посадові інструкції працівників відділу кадрів у відповідність до законодавства про захист персональних даних та подати проекти посадових інструкцій на затвердження головному лікарю.

4. Соловейко О. М., Бакаляр П. Р.:

4.1. Провести 21.12.2011 семінарські заняття з керівниками структурних підрозділів лікарні з метою інформування про вимоги законодавства у сфері захисту персональних даних.

4.2. Визначити до 21.12.2011 перелік посад, виконання обов’язків за якими пов’язано з обробкою персональних даних, та підготувати проекти змін до відповідних посадових інструкцій, погодити проекти з керівниками структурних підрозділів, подати посадові інструкції на затвердження до 29.12.2011.

4.3. Отримати до 29.12.2011 від працівників, робота яких пов’язана з обробкою персональних даних, письмові зобов’язання щодо недопущення розголошення у будь­-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

5. Панченку В. К. до 16.12.2011:

5.1. Організувати роботу з отримання згоди на обробку персональних даних від фізичних осіб, дані яких включаються до баз персональних даних, та забезпечити повідомлення зазначених осіб про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних, осіб, яким передаються дані.

5.2. Подати заяви про реєстрацію баз персональних даних згідно з погодженим головним лікарем переліком баз до Державної служби України з питань захисту персональних даних.

6. Призначити Панченка В. К. відповідальним за організацію роботи, пов’язаної із захистом персональних даних при їх обробці у лікарні.

7. Контроль за виконанням наказу залишаю за собою.

Головний лікар                                                        Головач                                             А. С. Головач

Візи:

Окрім баз персональних даних «Працівники» і «Пацієнти», у закладі охорони здоров’я можуть бути й інші бази (наприклад, база персональних даних «Підрядники»). Завдання робочої групи — проаналізувати склад та зміст персональних даних, що обробляються, визначити наявні бази, з’ясувати мету обробки персональних даних по кожній з баз, а також
чи є для цих баз розпорядники

Визначаємо, володільцем яких баз персональних даних є заклад охорони здоров’я, мету обробки персональних даних по кожній з баз, а також чи є для цих баз розпорядники

Заклад охорони здоров’я є володільцем баз персональних даних «Працівники» і «Пацієнти». Але у закладі можуть бути й інші бази, наприклад, база персональних даних осіб, що надають послуги (виконують роботи) на підставі цивільно-­правових договорів.

Завдання робочої групи — проаналізувати склад та зміст персональних даних, що обробляються, визначити наявні бази, з’ясувати, чи є у цих баз розпорядники.

Пунктами 2 та 3 статті 6 Закону про захист ПД встановлено, що персональні дані, їх склад та зміст мають бути точними, достовірними, відповідними та ненадмірними стосовно визначеної мети їх обробки.

З урахуванням цієї норми закону заклад охорони здоров’я не повинен збирати непередбачені обліковими медичними формами відомості про пацієнтів.

Важливо, що складові певної бази можуть фізично знаходитися у різних місцях. Часто однакові дані дублюються у картотеці та в  електронній базі. Разом з цим, якщо мета обробки даних однакова, картотека і електронна база разом становитимуть одну цілісну базу персональних даних зі змішаним характером обробки інформації.

Наприклад, у приватному закладі охорони здоров’я складовими бази «Працівники» можуть бути картотека особових карток і особові справи (зберігаються у відділі кадрів) та інформаційний довідник програми 1С з відомостями про працівників (комп’ютер, на якому встановлено програму, розміщено у бухгалтерії). Незважаючи на те, що персональні дані обробляються і на паперовому носії і в автоматизованій системі, ми виділяємо одну умовну базу, але зі змішаним характером обробки даних.

Інший приклад. До складу територіального медичного об’єднання входять, наприклад, лікарня та поліклініка. У кожному із закладів, що входять до складу ТМО, формуються окремі складові бази даних «Пацієнти». При цьому сукупність медичної документації, у якій містяться персональні дані фізичних осіб, становить єдину базу персональних даних, хоча фактично історії хвороби зберігаються у лікарні, а амбулаторні картки — у поліклініці.

Згідно з пунктом 1 статті 6 Закону про захист ПД мета обробки персональних даних має бути сформульована в законах, інших нормативно-­правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

Отже, маємо з’ясувати, з якою метою обробляються персональні дані по кожній з наявних у закладі баз (у подальшому при оформленні різних документів мету обробки персональних даних доведеться зазначати часто).

Визначити мету обробки можна, скориставшись примірним переліком типових цілей обробки персональних даних.

Так, типовими цілями обробки персональних даних є забезпечення реалізації:

• трудових відносин;
• відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;
• адміністративно-­правових (у т. ч. відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
• відносин у сфері економічних, фінансових послуг та страхування;
• відносин у сфері реклами та збору персональних даних у комерційних цілях;
• відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
• відносин у сфері освіти;
• відносин у сфері охорони здоров’я;
• відносин у сфері безпеки;
• відносин у сфері транспорту;
• відносин у сфері науки, історичних досліджень та статистики;
• інших відносин, що вимагають обробки персональних даних.

З наведеного переліку заклад охорони здоров’я може самостійно вибрати те, що відповідає специфіці його діяльності та категоріям осіб, дані яких обробляються.

Персональні дані у базі «Працівники» обробляємо з метою забезпечення реалізації трудових відносин, адміністративно-­правових, податкових відносин. І, звісно, відносин у сфері бухгалтерського обліку.

Персональні дані у базі «Пацієнти» обробляємо для забезпечення реалізації відносин у сфері охорони здоров’я.

Базу персональних даних «Студенти» у медичному ВНЗ оброб­ляємо з метою забезпечення відносин у сфері освіти.

Згода суб’єкта персональних даних —

будь­­яке документоване, зокрема письмове,
добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки

Стаття 2 Закону України «Про захист персональних даних»

Яку дату має зазначити працівник на заяві
про згоду на обробку персональних даних?

Приводимо кадрову документацію у відповідність до вимог Закону про захист персональних даних. Збираємо від працівників, прийнятих після 01.01.2011, заяви про надання згоди на обробку персональних даних. Яку дату має зазначити працівник на заяві: дату прийняття на роботу, фактичну дату написання заяви (грудень 2011) чи, можливо, дату реєстрації підприємством бази персональних даних «Працівники» у Державній службі України з питань захисту персональних даних?

Завдання кожного закладу охорони здоров’я — привести кадрову документацію у відповідність до вимог Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VІ, зокрема отримати від працівників заяви про надання згоди на обробку персональних даних, письмово повідомити працівників про їхні права у сфері захисту персональних даних, мету обробки персональних даних, осіб, яким передаються персональні дані (за їх наявності).

Відповідно до пункту 5.11 Національного стандарту України «Державна уніфікована система документації. Уніфікована система організаційно-розпорядчої документації. Вимоги до оформлювання документів» (ДСТУ 4163-2003) дата документа — це дата його підписання (затвердження, прийняття, реєстрації), яку оформлюють цифровим способом.

Датування документів «заднім числом» національними стандартами з діловодства та нормативно-правовими актами у цій сфері не передбачено.

На заяві про надання згоди на обробку персональних даних працівник має проставити фактичну дату складання заяви (навіть якщо цього працівника прийнято у січні 2011 року).

Олександр ДЕНИСЕНКО

Додаток 1

Приклад оформлення заяви працівника про надання згоди на обробку персональних даних

Головному лікарю
Василівської центральної
районної лікарні
Головачу А. С.

         інспектора з кадрів               

                           ^посада

    Ластівки Олени Миколаївни         

            ^{прізвище, ім’я, по батькові}

Заява

Відповідно до Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-­VІ даю згоду на обробку моїх персональних даних: ідентифікаційні дані (ім’я, адреса, телефон тощо), паспортні дані; особисті відомості (вік, стать, родинний стан тощо); склад сім’ї; освіта; професія; житлові умови; особисті інтереси та захоплення; запис зображень (фото, відео); членство у професійних спілках — з метою забезпечення реалізації трудових відносин, соціально-­трудових відносин, відносин у сфері управління людськими ресурсами, адміністративно-­правових відносин, податкових відносин та відносин у сфері бухгалтерського обліку.

   26.12.2011                                                                                                         Ластiвка    

             ^{дата                                                                                                                                                                                   підпис}

Додаток 2

Приклад оформлення заяви фізичної особи, яка надає послуги закладу на підставі цивільно-правового договору, про надання згоди на обробку її персональних даних

Головному лікарю
Василівської центральної
районної лікарні
Головачу А. С.

       Жиленко Інни Василівни      

            ^{прізвище, ім’я, по батькові}

Заява

Відповідно до Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-­VІ даю згоду на обробку моїх персональних даних з первинних джерел (у т. ч. паспортні дані, ідентифікаційний код) з метою забезпечення реалізації податкових відносин та відносин у сфері бухгалтерського обліку.

   26.12.2011                                                                                                       Жиленко    

           ^{дата                                                                                                                                                                                   підпис}

Відповідно до Закону про захист персональних даних обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством

Отримуємо згоду на обробку персональних даних від працівників закладу охорони здоров’я та фізичних осіб, що надають послуги за цивільно-­правовими договорами

Відповідно до пункту 2 статті 5 Закону про захист ПД персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

Персональні дані, які обробляються в базах персональних даних (зокрема персональні дані найманих працівників), є об’єктами захисту. При цьому обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб’єкта персональних даних або відповідно до закону.

Згідно з пунктом 1 статті 11 Закону про захист ПД підставами виникнення права на використання персональних даних є:

• згода суб’єкта персональних даних на обробку його персональних даних; суб’єкт персональних даних має право при наданні згоди внести застереження щодо обмеження права на обробку своїх персональних даних;
• дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.

Відповідно до пункту 5 статті 6 Закону про захист ПД обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Згода суб’єкта персональних даних — будь­-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо:

• надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
• обсягу персональних даних, які можуть бути включені до  бази персональних даних;
• доступу третіх осіб до персональних даних;
• передачі відомостей про фізичну особу з бази персональних даних.

Таким чином, будь­-який заклад охорони здоров’я незалежно від форми власності повинен отримувати документовану згоду від фізичних осіб, персональні дані яких включаються до баз персональних даних закладу, у т. ч. від працівників закладу.

Згода працівника на обробку його персональних даних має бути оформлена письмово (наприклад, у формі заяви; див. Додаток 1).

Закон про захист ПД набрав чинності 1 січня 2011 року. Отже, з метою приведення документації закладу у відповідність до Закону про захист ПД, згоду на обробку персональних даних слід отримати від усіх працівників, прийнятих після 1 січня 2011 року.

У подальшому таку заяву слід отримувати від кожного працівника, якого приймають до закладу охорони здоров’я.

Щодо працівників, прийнятих до 1 січня 2011 року, звернімось до роз’яснень голови Державної служби України з питань захисту персональних даних О. І. Мервінського, опублікованих у журналі «КАДРОВИК. Трудове право і управління персоналом» № 9, 2011.

Як зазначено у роз’ясненні, отримання згоди працівника на обробку його персональних даних відповідно до сформульованої мети їх обробки є підставою для виникнення права щодо обробки персональних даних найманих працівників. Втім, згода повторно не надається, якщо володілець бази персональних даних (роботодавець) продовжує обробляти персональні дані працівника відповідно до правовідносин на основі вільного волевиявлення працівника, що виникли до набрання чинності Законом про захист ПД. При цьому у разі зміни визначеної мети обробки персональних даних або складу та змісту персональних даних, що обробляються, згоду працівника отримати потрібно.

Отже, отримувати згоду від працівників, прийнятих у попередні роки, не потрібно, адже закон не має зворотної сили у часі, а обробка персональних даних працівників, прийнятих до 1 січня 2011 року, провадиться на підставі вільного волевиявлення сторін відповідно до правовідносин, що виникли до набрання чинності Законом про захист ПД.

У пригоді вам стане й приклад оформлення заяви про надання згоди на обробку персональних даних від фізичної особи, яка виконує роботи (надає послуги) на підставі цивільно-­правового договору (у т. ч. договору підряду) (див. Додаток 2).

У разі коли договір підряду укладається з юридичною особою, а роботи фактично виконують фізичні особи — працівники цієї юридичної особи, то обов’язок забезпечити виконання законодавства щодо захисту персональних даних цих фізичних осіб покладається на юридичну особу — підрядника. Усе це слід обумовити у договорі підряду.

Відповідно до Національного стандарту України «Уніфікована система організаційно-­розпорядчої документації. Вимоги до оформлювання документів» (ДСТУ 4163-­2003)^[1], документи виготовляють за допомогою комп’ютерної техніки. Окремі внутрішні документи, зокрема заяви, авторами яких є фізичні особи, дозволено оформлювати рукописним способом. При цьому згідно з настановами щодо оформлення заяв, наведених у Збірнику уніфікованих форм організаційно-­розпорядчих документів^[2], заяви рекомендується оформлювати на бланку з трафаретним текстом. Організація може мати заздалегідь виготовлені бланки окремих видів заяв, у т. ч. бланк заяви працівника про надання згоди на обробку персональних даних. Такий бланк повинен містити надруковану постійну інформацію і визначене місце для фіксування змінної інформації (див. Додатки 1, 2).

Обов’язковими реквізитами заяви про надання згоди на обробку персональних даних мають бути особистий підпис заявника, розшифрування підпису, дата складання заяви.

Отже, у закладі охорони здоров’я доцільно розробляти окремі трафаретні форми (шаблони) заяв для різних категорій фізичних осіб, персональні дані яких обробляються. Фізичним особам буде потрібно лише вказати прізвище, ім’я, по батькові, проставити дату, підпис.

Додаток 3

Приклад оформлення повідомлення працівнику
про його права, визначені законодавством у сфері захисту персональних даних,
та мету обробки персональних даних

Керуючись статтею 12 Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-­VІ (далі — Закон про захист персональних даних), повідомляємо Вам, що персональні дані, згоду на обробку яких надано Вами у заяві від  26 грудня 2011 року, включено до бази персональних даних «Працівники» Василівської центральної районної лікарні. База персональних даних, яка містить Вашу особову картку, особову справу та відомості, внесені до інформаційної бази програми «Облік медичних кадрів України», знаходиться у відділі кадрів лікарні.

Метою обробки (у т. ч. збору) Ваших персональних даних є забезпечення реалізації трудових відносин, адміністративно-­правових, податкових відносин, відносин у сфері бухгалтерського обліку.

Згідно зі статтею 8 Закону України «Про захист персональних даних» Ви маєте право:

– отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються Ваші персональні дані, що містяться у базі персональних даних «Працівники»;

– на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних, відповідно до статті 16 «Порядок доступу до персональних даних» Закону про захист персональних даних;

– отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються Ваші персональні дані у базі персональних даних «Працівники», а також отримувати зміст Ваших персональних даних, які зберігаються;

– пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

– пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем або розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

– на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

– звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

– застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

Заступник головного лікаря                                  Панченко                            В. К. Панченко

Примірник повідомлення отримано

Ластiвка                          О. М. Ластівка                      

       ^{підпис                                          ініціали, прізвище}      

   26.12.2011     

      ^дата

Відповідно до статті 12 Закону про захист персональних даних суб’єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних необхідно повідомити про його права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно у письмовій формі

Повідомляємо працівників, фізичних осіб, які надають послуги за цивільно-­правовими договорами, про їхні права у сфері захисту персональних даних, мету обробки персональних даних, осіб, яким передаються дані

Відповідно до статті 12 Закону про захист ПД збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.

Суб’єкта персональних даних необхідно повідомити про його права, мету збору даних та осіб, яким передаються його персональні дані, виключно у письмовій формі. Повідомлення суб’єкту персональних даних варто надавати якомога скоріше після включення даних до бази персональних даних, але у будь­-якому разі не більш ніж упродовж десяти робочих днів.

Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.

Зібрані відомості про суб’єкта персональних даних, а також інформація про їх джерела надаються цьому суб’єкту персональних даних за його вимогою, крім випадків, установлених законом.

Отже, наступний крок, який має зробити заклад охорони здоров’я, — повідомити працівників, прийнятих після 1 січня 2011 року (дати набрання чинності Законом про захист ПД), про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних, осіб, яким передаються дані (за їх наявності).

Повідомлення слід надавати й фізичним особам, які надають послуги закладу на підставі цивільно-­правових договорів.

У закладі охорони здоров’я можуть бути розроблені трафаретні форми (шаблони) повідомлень, які надаються працівнику або фізичній особі, яка надає послуги за цивільно-­правовим договором (див. Додаток 3).

З урахуванням того, що, відповідно до статті 188-­39 Кодексу України про адміністративні правопорушення, з 1 січня 2012 року неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягнуть за собою накладення штрафу на громадян від 200 до 300 неоподатковуваних мінімумів доходів громадян (далі — нмдг) і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від 300 до 400 нмдг, повідомлення доцільно оформлювати у двох примірниках. Перший надається працівнику, другий — з відміткою про отримання — залишатиметься у справах закладу. За необхідності заклад матиме документальне підтвердження виконання вимоги закону.

Направляти такі повідомлення працівникам, прийнятим у попередні роки (до 01.01.2011), не потрібно.

У подальшому маємо надавати повідомлення кожному працівнику, прийнятому на роботу, у десятиденний строк з дня оформлення особової картки (особової справи) або включення відомостей про працівника до електронної бази даних (бухгалтерська чи кадрова програма, зокрема «Облік медичних кадрів України»).

Звертаємо увагу, що повідомляти суб’єкта персональних даних, зокрема працівника, про те, що його персональні дані передаються, наприклад, до Пенсійного фонду, податкової інспекції, центру зайнятості, не потрібно, адже відповідно до статті 21 Закону про захист ПД повідомлення про передачу персональних даних третій особі не здійснюють у разі виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом.

До редакції журналу часто надходять запитання щодо того, у якій справі слід зберігати заяви працівників закладу охорони здоров’я про згоду на обробку персональних даних та повідом­лення працівникам про мету обробки їх персональних даних. Читачі запитують: чи можна зберігати ці документи в особових справах працівників закладу? чи потрібно сформувати окрему справу? якщо так, то який строк зберігання слід встановити для такої справи?

Насамперед слід зазначити, що склад документів особової справи і порядок її формування визначено нормативно-­правовим актом — Правилами роботи архівних підрозділів органів державної влади, місцевого самоврядування, підприємств, установ і організацій (затверджено наказом Державного комітету архівів України від 16 березня 2001 р. № 16, зареєстровано в Мін’юсті 8 травня 2001 р. за № 407/5598; із змінами і доповненнями).

Зберігання в особовій справі документів з питань обробки персональних даних нормативно-­правовими актами не передбачено.

Для зберігання заяв працівників про надання згоди на обробку їхніх персональних даних та копій повідомлень працівникам заклад охорони здоров’я може тимчасово сформувати окрему справу.

Заголовок справи може бути, наприклад, таким: «Документи з питань обробки персональних даних працівників (заяви, повідомлення)».

Строки зберігання документів визначають відповідно до Переліку типових документів, що утворюються в діяльності органів державної влади та місцевого самоврядування, інших підприємств, установ та організацій, із зазначенням строків зберігання документів (затверджено наказом Головного архівного управління при КМУ від 20 липня 1998 р. № 41, зареєстровано в Мін’юсті 17 вересня 1998 р. за № 576/3016; із змінами і доповненнями; далі — Перелік № 41).

На сьогодні Перелік № 41 поки що не містить строків зберігання документів з питань захисту персональних даних. Отже, до внесення відповідних змін доцільно встановлювати для цієї справи строк зберігання «Доки не мине потреба».

Відповідно до Закону про захист персональних даних кожна база персональних даних підлягає державній реєстрації. Пропонуємо практичні рекомендації щодо оформлення та подання заяв про реєстрацію баз персональних даних закладу охорони здоров’я

Реєструємо бази персональних даних закладу охорони здоров’я

Уповноваженим державним органом з питань захисту персональних даних є Державна служба України з питань захисту персональних даних (далі — ДСЗПД), положення про яку затверджено Указом Президента України від 6 квітня 2011 р. № 390/2011.

ДСЗПД реалізує державну політику у сфері захисту персональних даних та контролює додержання вимог законодавства про захист персональних даних.

ДСЗПД України відповідно до покладених на неї завдань, зокрема:

• розробляє критерії ризику незаконного використання та розголошення інформації, що міститься в базах персональних даних;
• розробляє методичні матеріали і рекомендації з питань, віднесених до її компетенції;
• розробляє типовий порядок обробки персональних даних у базах персональних даних;
• розробляє критерії і порядок оцінювання стану захищеності персональних даних у базах персональних даних підприємств усіх форм власності, державних органів чи органів місцевого самоврядування, фізичних осіб — підприємців, які обробляють персональні дані відповідно до закону;
• реєструє бази персональних даних та веде Державний реєстр баз персональних даних, надає витяги із нього;
• визначає вимоги до документів, що подаються для реєстрації баз персональних даних;
• у межах компетенції розглядає пропозиції, запити, звернення, вимоги та скарги фізичних та юридичних осіб, органів;
• видає документи встановленого зразка про реєстрацію баз персональних даних у Державному реєстрі баз персональних даних;
• розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
• проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
• видає володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
• складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
• передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних та ін.

ДСЗПД для виконання покладених на неї завдань має право, зокрема, одержувати інформацію, документи і матеріали від державних органів та органів місцевого самоврядування, підприємств усіх форм власності та їх посадових осіб.

Відповідно до статті 9 Закону про захист ПД база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Державний реєстр баз персональних даних — це єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних. Реєстр створено на виконання вимог Закону про захист ПД.

Реєстрацію баз персональних даних розпочато з 1 липня 2011 року.

Реєстрація здійснюється за заявочним принципом та є безкоштовною для володільців баз!

Державній реєстрації підлягають усі бази персональних даних закладу охорони здоров’я — в електронному вигляді та/або у формі картотек, у яких оброб­ляються персональні дані, незалежно від обсягу та форми їх застосування.

Визначившись з кількістю баз персональних даних, що фактично є у закладі, метою обробки, складом та змістом персональних даних, уповноважені наказом керівника закладу охорони здоров’я працівники мають заповнити заяви про реєстрацію бази персональних даних і надіслати їх до Державної служби України з питань захисту персональних даних за адресою: 02660, Київ, вул.  Марини Раскової, 15, каб. 1205. Доцільно надсилати Заяву рекомендованим листом з повідомленням про вручення.

На кожну з фактично наявних баз слід заповнити окрему заяву, при цьому самі бази подавати до ДСЗПД не потрібно, подаються лише заяви про їх реєстрацію.

Заяви (приклади оформлення дивіться далі) заповнюють українською мовою за типовою формою, затвердженою наказом Міністерства юстиції України від 8 липня 2011 р. № 1824/5 (Витяг — на с. 99).

Форми заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних у зручному для заповнення вигляді також розміщено на порталі Гарячої Лінії Кадровика (www.kadrovіk01.com.ua).

Якщо розпорядників бази персональних даних немає, розділ IV «Інформація про розпорядників бази персональних даних» не заповнюється.

Заява подається в паперовій формі або в формі електронного документа (на який накладено електронний цифровий підпис).

У разі подання заяв у паперовій формі кожна сторінка заяви має бути підписана керівником закладу охорони здоров’я та засвідчена печаткою.

В електронній формі заяви подаються відповідно до вимог Законів України «Про електронний цифровий підпис» від 22 травня 2003 р. № 852-­ІV та «Про електронні документи та електронний документообіг» від 22 травня 2003 р. № 851-­ІV. При цьому ДСЗПД обробляє заяви у формі електронного документа, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) в акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП.

Перелік акредитованих центрів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП, розміщено на сайті www.zpd.gov.ua у розділі «Реєстрація баз персональних даних».

У серпні 2011 року заявники отримали можливість подавати заяви безпосередньо через сайт Державного реєстру баз персональних даних https://rbpd.іnformjust.ua, який створено адміністратором Реєстру — ДП «Інформаційний центр» Міністерства юстиції України. На таку заяву також накладається ЕЦП, а паперову копію подавати не потрібно.

Після отримання заяви ДСЗПД вносить до Реєстру такі відомості:

• інформація про заявника;
• найменування бази персональних даних;
• дата реєстрації заявником та вихідний номер (за наявності) заяви.

Після внесення до Реєстру відомостей про заяву їй автоматично (з використанням програмного забезпечення Реєстру) присвоюється реєстраційний номер. При цьому фіксуються дата і час реєстрації заяви.

Про отримання заяви ДСЗПД має повідомити заклад не пізніше наступного робочого дня з дня надходження заяви. Протягом десяти робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру (ДСЗПД відмовляє у реєстрації бази персональних даних у разі, коли подані відомості є  неповними чи недостовірними). Утім, останнім часом через велику кількість заяв, що надходять (понад 2000 заяв на день), дотримати цих строків вдається не завжди. Але зауважте: якщо заклад охорони здоров’я подав заяву, то про ухилення від державної реєстрації баз персональних даних вже не йтиметься.

Зразок свідоцтва про державну реєстрацію бази персональних даних затверджено наказом Міністерства юстиції України від 19  липня 2011 р. № 889/19627.

Згідно з пунктом 10 Порядку подання заяв, затвердженого наказом Міністерства юстиції України від 8 липня 2011 р. № 1824/5, свідоцтво видається заявнику або уповноваженому ним представнику за довіреністю та пред’явленим документом, що посвідчує особу, або ДСЗПД надсилає свідоцтво поштою рекомендованим листом з описом вкладення.

Зверніть увагу! Якщо ви бажаєте отримати свідоцтво поштою, про це обов’язково необхідно зробити відмітку на с. 3 бланка заяви. В іншому разі свідоцтво буде залишено у ДСЗПД до вашого звернення за ним до служби.

Отримані свідоцтва зберігаються у закладі. Строк зберігання цих документів радимо поки що встановлювати як «Доки не мине потреба».

Рекомендації щодо заповнення заяви
про реєстрацію бази персональних даних закладу охорони здоров’я

При заповненні заяв про реєстрацію баз персональних даних закладу охорони здоров’я зверніть увагу на таке:

Заяву слід заповнювати розбірливими, друкованими літерами, при цьому заява не повинна містити помарок, закреслень і виправлень. При заповненні заяви вибрана заявником ознака позначається символом «х».

Назву закладу слід зазначати повністю, без скорочень відповідно до установчих документів
та/або свідоцтва про державну реєстрацію юридичної особи.

У полі «Місце знаходження бази персональних даних» (розділ ІІ) зазначаються:

• для баз даних у вигляді картотек — адреса фактичного розміщення,
• для баз даних в електронній формі — фактичні адреси зберігання носіїв інформації.

У разі реєстрації бази персональних даних працівників розділ ІV, що містить інформацію про розпорядників бази персональних даних, не заповнюють.

Сторінки 4 і 5 форми заяви заповнюються та подаються лише за необхідності (у разі якщо розпорядників та/або місць знаходження бази персональних даних більше одного).

Усі дати в заяві слід вказувати арабськими цифрами у форматі — день, місяць, рік (наприклад, 22.12.2011).

Сторінки заяв нумеруються, на кожній сторінці заяви зазначаються номер сторінки та загальна кількість сторінок.

У разі якщо необхідно заповнити більше ніж один раз розділи, які містять інформацію про володільця, розпорядників, найменування, місцезнаходження бази персональних даних та мету обробки персональних даних, заявник заповнює у заяві відповідні розділи необхідну кількість разів

Працівники закладу охорони здоров’я, які за посадовими обов’язками мають справу з персональними даними інших осіб, повинні надати зобов’язання щодо нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків

Отримуємо зобов’язання щодо нерозголошення персональних даних

Відповідно до статті 10 Закону про захист ПД використання персональних даних працівниками суб’єктів відносин, пов’язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків. Ці працівники зобов’язані не допускати розголошення у будь­-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

Отже, необхідно отримати від працівників, які за посадовими обов’язками мають справу з персональними даними інших осіб, письмові зобов’язання щодо нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (див. Додаток 5). Важливо, аби працівник зазначив, що таке зобов’язання чинне і після припинення ним діяльності, пов’язаної з обробкою персональних даних.

Додаток 5

Приклад оформлення письмового зобов’язання про нерозголошення персональних даних
від працівника, який за посадовими обов’язками обробляє персональні дані

Головному лікарю
Василівської центральної
районної лікарні
Головачу А. С.

         інспектора з кадрів               

                           ^посада

    Ластівки Олени Миколаївни         

            ^{прізвище, ім’я, по батькові}

Зобов’язання

Відповідно до статті 10 Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-­VІ зобов’язуюсь не розголошувати у будь­-який спосіб персональні дані інших осіб, що стали відомі мені у зв’язку з виконанням посадових обов’язків.

Підтверджую, що зобов’язання буде чинним після припинення мною діяльності, пов’язаною з обробкою персональних даних, крім випадків, установлених законом.

26.12.2011                                                                                                                      Ластiвка  

          ^{дата                                           підпис}

У закладі охорони здоров’я доцільно розробити локальний нормативний акт, який регламентуватиме процес обробки персональних даних, наприклад Положення про захист персональних даних. Одна з основних функцій цього документа — запровадження процедур доступу
до персональних даних, що обробляються у закладі

Розробляємо Положення про захист персональних даних

Згідно із Законом про захист ПД володілець бази персональних даних повинен забезпечити захист цих даних. Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються дані. У кожному випадку володілець баз повинен провести аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків володілець може вирішити, який рівень захищеності баз персональних даних є необхідним.

Відповідно до пункту 1 статті 6 Закону про захист ПД мета обробки персональних даних має бути сформульована в законах, інших нормативно-­правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

Отже, у закладі охорони здоров’я доцільно розробити локальний нормативний акт, який регламентуватиме процес обробки персональних даних, наприклад Положення про захист персональних даних. Одна з основних функцій цього документа — запровадження процедур доступу до персональних даних, що оброб­ляються.

У Положенні слід навести перелік баз персональних даних закладу. По кожній з баз необхідно вказати мету та правові підстави для обробки персональних даних, розпорядників та третіх осіб (за їх наявності), склад персональних даних, що обробляються, вказати, з яких первинних джерел отримуються відомості про фізичних осіб (з урахуванням п. 4 ст. 6 Закону про захист ПД).

Також у Положенні мають бути визначені:

• порядок обробки персональних даних: збирання, накопичення, періодичність поновлення, зберігання, використання, поширення, знеособлення та знищення (з урахуванням вимог ст. 10–15 Закону про захист ПД).
• перелік посад, виконання професійних обов’язків за якими пов’язано із обробкою персональних даних, порядок доступу до персональних даних (з урахуванням вимог ст. 16 Закону про захист ПД).
• порядок захисту персональних даних.
• Наразі Державною службою України з питань захисту персональних даних розроблено проект нормативно-­правового акта — Ти­пового порядку обробки персональних даних у базах персональних даних (далі — Типовий порядок). Проект знаходиться на розгляді у Міністерстві юстиції України^[3].
• Відповідно до проекту Типового порядку обробка персональних даних є планомірним процесом і має включати такі етапи:
• первинна оцінка стану обробки персональних даних;
• планування та впровадження системи управління персональними даними;
• забезпечення поточного функціонування системи управління персональними даними;
• періодична та поточна оцінка ефективності системи управління персональними даними,
• удосконалення системи управління персональними даними.

Після прийняття Типового порядку цей нормативно-­правовий акт можна буде використовувати як основу при розробленні Положення про захист персональних даних у закладі охорони здоров’я.

Звертаємо увагу, що за необхідності у закладі можуть бути розроблені або одне загальне Положення про захист персональних даних, або окремі положення по кожній з баз персональних даних.

Примірне Положення про захист персональних даних у закладі охорони здоров’я розробляється експертами журналу за погодженням з МОЗ України і буде опубліковано після набрання чинності Типовим порядком у перших номерах журналу за 2012 рік.

Читайте у журналі «Управління закладом
охорони здоров’я» у 2012 році

Готуємося до перевірки закладу Державною службою України з питань захисту персональних даних

Приводимо посадові інструкції працівників закладу охорони здоров’я у відповідність до вимог законодавства про захист персональних даних

Отримуємо згоду пацієнта на обробку його персональних даних

Повідомляємо пацієнта про його права у сфері захисту персональних даних та мету обробки його персональних даних

Також у журналі будуть опубліковані приклади:

• посадових інструкцій працівників закладу охорони здо­ров’я, розроблені з урахуванням вимог законодавства у сфері захисту персональних даних
• положень про структурні підрозділи закладу охорони здоров’я, розроблені з урахуванням вимог законодавства у сфері захисту персональних даних

Запровадження захисту персональних даних
у закладі охорони здоров’я

КРОК 1

База персональних даних, володілець бази, розпорядник бази, треті особи: визначимось з поняттями

КРОК 2

Створюємо робочу групу для запровадження захисту персональних даних
у закладі охорони здоров’я

КРОК 3

Визначаємо, володільцем яких баз персональних даних є заклад охорони здоров’я, мету обробки персональних даних по кожній з баз, а також
чи є для цих баз розпорядники

КРОК 4

Отримуємо згоду на обробку персональних даних від працівників закладу охорони здоров’я та фізичних осіб, що надають послуги
за цивільно-­правовими договорами

КРОК 5

Повідомляємо працівників, фізичних осіб, які надають послуги за цивільно-­правовими договорами, про їхні права у сфері захисту персональних даних, мету обробки персональних даних, осіб, яким передаються дані

КРОК 6

Реєструємо бази персональних даних закладу охорони здоров’я

КРОК 7

Отримуємо зобов’язання щодо нерозголошення персональних даних
від працівників закладу охорони здоров’я, які обробляють персональні дані

КРОК 8

Розробляємо Положення про захист персональних даних