Персональні дані медичних працівників: як захистити

Питання щодо того, чим наповнити сайт закладу охорони здоров’я, останніми роками набуває більшої актуальності, оскільки все частіше потенційні клієнти (пацієнти) у процесі пошукку інформації про лікаря або медичний заклад звертаються до інтернету. Тому оформлення інтернет­-сторінки, її інформативність, оновлюваність та зручність — одні з вирішальних чинників вибору для пересічного споживача медичних послуг.

Розділ сайта закладу охорони здоров’я з інформацією про персонал зазвичай має таке наповнення:

• фото працівника
• коротка біографія (інформація про вік, стаж роботи, посаду, наукові досягнення, іноді — дані про сімейний стан)
• професійні навички (кваліфікація)

Цей обсяг інформації зазвичай дає змогу оцінити професійні якості фахівця. Однак, бажаючи задовольнити цікавість пацієнтів та надати найбільш повну інформацію, не варто забувати про те, що автобіографічні та інші дані про підлеглих мають спеціальний режим використання і захисту, оскільки вони є персональними даними.

Персональні дані працівника — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Робота з персональними даними медпрацівника: від перевірки особистих документів до оформлення трудової книжки

• Чи потрібно повідомляти працівника про передачу його персональних даних
• Як перевірити, чи внесений лікар до Реєстру медичних працівників або Реєстру медичних спеціалістів
• Медпрацівник виклав фото пацієнта в соцмережі: чи порушено норми чинного законодавства

Захист персональних даних працівників: нормативне регламентування

Основні нормативно-­правові акти, що регулюють розміщення інформації про працівника на сторінці закладу:

• Конституція України
• КЗпП
• Цивільний кодекс України (ЦКУ)
• Кодекс України про адміністративні правопорушення
• Закон України «Про захист персональних даних» від 01.06.2010 № 2297-­VI

Для дотримання норм законодавства та підвищення дисципліни серед трудового колективу слід розробити локальне положення по закладу, яке міститиме:

• перелік інформації про працівника, яка може бути розміщена на веб­сторінці закладу, та його права як суб’єкта персональних даних
• способи і процедуру отримання згоди на розміщення таких даних на вебсторінці закладу
• дані про особу, відповідальну за організацію роботи, пов’язаної із захистом персональних даних працівників при їх обробці
• процедуру знищення носіїв інформації з персональними даними тощо

Ознайомлення працівників під підпис із вказаним положенням убезпечить роботодавця від майбутніх претензій працівників чи контрольних органів.

Стаття 32 Конституції України передбачає, що ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім’ї та права вимагати вилучення будь-­якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.

До конфіденційної інформації, зокрема, належать свідчення про особу: освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан та інші персональні дані (Рішення Конституційного Суду України у справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України «Про інформацію» та статті 12 Закону України «Про прокуратуру» (справа К. Г. Устименка) від 30.10.1997 № 5-­зп). Однак цей перелік не є вичерпним.

Відповідно до статті 25 КЗпП при укладенні трудового договору забороняється вимагати від осіб, які надходять на роботу, відомості про їхню партійну і національну приналежність, походження, реєстрацію місця проживання чи перебування та документи, подання яких не передбачене законодавством. Тобто роботодавець не має права вимагати від медичного персоналу інформацію, яка не стосується безпосередньо виконання його трудових обов’язків.

До закладу надійшов адвокатський запит: без паніки

Ірина Шкарівськаадвокат

Які додатки має містити адвокатський запит? Коли можна не надавати відповідь? Яку інформацію надавати заборонено? Упродовж якого строку відповідати?

Отримати відповіді

Положення про порядок обробки та захисту персональних даних працівників та контрагентів

Скачати

Публікування фото та відео з працівниками

Більш детально права та обов’язки працівників при публікуванні інформації про них описані у статтях 307 та 308 ЦКУ. Фізична особа може бути знята на фото-­, кіно-­, теле­- чи відеоплівку лише за її згодою. Згода особи на її знімання припускається, якщо зйомки проводяться відкрито на вулиці, на зборах, конференціях, мітингах та інших заходах публічного характеру. Фізична особа, яка погодилася на знімання її на фото-­, кіно-­, теле- чи відеоплівку, може вимагати припинення їх публічного показу в тій частині, яка стосується її особистого життя. При цьому витрати, пов’язані з демонтажем виставки чи запису, відшкодовує ця фізична особа.

Відповідно до частини першої статті 308 ЦКУ фотографії, інші художні твори, на яких зображено фізичну особу, можуть бути публічно показані, відтворені, розповсюджені лише за згодою цієї особи, а в разі її смерті — за згодою дітей, вдови (вдівця), а якщо їх немає, — батьків, братів та сестер. Згода, яку дала фізична особа, зображена на фотографії, іншому художньому творі, може бути після її смерті відкликана дітьми, вдовою (вдівцем), а якщо їх немає, — батьками, братами та сестрами. Витрати особи, яка здійснювала публічний показ, відтворення чи розповсюдження фотографії, іншого художнього твору, відшкодовуються цими особами.

Отже, якщо фотографія, яка розміщується на сайті закладу, не була надана самим працівником, слід запам’ятати кілька рекомендацій щодо проведення фотозйомки:

• перед здійсненням фотозйомки необхідно від кожного працівника отримати письмову згоду на його фотографування та розміщення фото на сайті закладу. При цьому, з огляду на законодавчу неврегульованість питання щодо того, чи є, наприклад, конференц­зала чи робочий кабінет місцями, де можуть проводитися заходи публічного характеру, рекомендуємо отримувати таку згоду завжди
• фотозйомку бажано проводити у діловому, офіційному стилі (наприклад, у робочому халаті та за робочим столом), уникаючи фотозображень працівника з членами його родини чи інших світлин, що відображають його особисте життя
• якщо ж фотографія для наповнення сайта була надана самим працівником, не зайвим при отриманні письмової згоди працівника на її розміщення зафіксувати це у тексті документа про таку згоду

Інформація про пацієнта: чи розголошувати

• Чи надавати інформацію про померлу особу у відповідь на адвокатський запит
• Чи надавати інформацію про пацієнта на запит фахівця УОЗ
• Чи надавати медичну інформацію про пацієнта на запит військкомату

Обов’язки роботодавця щодо збирання та зберігання персональних даних працівників

Особливості регулювання обігу інформації про працівників визначені також Законом про захист персональних даних. Так, відповідно до статті 2 цього закону персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Обробка персональних даних — це будь­-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передавання), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

Частина друга статті 12 Закону про захист персональних даних передбачає повідомлення суб’єктові персональних даних про володільця персональних даних, склад та зміст зібраних персональних даних, його права, визначені вказаним законом, мету збирання персональних даних та осіб, яким передають його персональні дані в момент збирання персональних даних, якщо персональні дані збираються у суб’єкта персональних даних.

✅✅✅ Правила відвідування пацієнтів: зразок оформлення

Визначення персональних даних, вміщене у Законі про захист персональних даних, не є конкретним і не містить переліку інформації, що може точно ідентифікувати особу. Зроблено це не випадково, адже в кожному окремому випадку необхідно встановити, чи можливо ідентифікувати особу за тими чи тими даними.

Особа може бути ідентифікована прямо і опосередковано. Якщо у певному документі чи файлі вказано прізвище, ім’я, по батькові або якась додаткова інформація, дата народження, фото, місце народження, то зрозуміло, що особу можна прямо ідентифікувати.

Аналіз згаданих вище та інших норм Закону про захист персональних даних дає підстави стверджувати, що у процесі розміщення фотографії та даних про працівника на сайті закладу роботодавець (чи уповноважена ним особа) як володілець персональних даних фактично здійснює обробку персональних даних працівника.

При цьому на такі випадки не поширюватимуться норми пункту 2 частини першої статті 11 Закону про захист персональних даних, відповідно до яких підставою для обробки персональних даних є дозвіл на таку обробку, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень.

Доступ до медичної інформації: чи надавати пацієнту

Тобто поширення роботодавцем тієї сукупності персональних даних, що стала відома йому у процесі оформлення працівника на роботу та/чи виконання ним службових обов’язків, не є правомірним без передбаченої пунктом 1 частини першої статті 11 Закону про захист персональних даних окремо вираженої згоди суб’єкта персональних даних на обробку його персональних даних. Це пояснюється тим, що персональні дані працівника, які містяться у паспорті або документі, що посвідчує особу, у трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які працівник подає при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 КЗпП виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли у нього з працівником на підставі трудового договору (контракту).

Тому відповідно до абзацу 3 частини першої статті 6 Закону про захист персональних даних у разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом. Детальніше про таку згоду вказано у пункті 2.8 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02­14. Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.

Крім того, на роботодавця як володільця персональних даних покладається обов’язок виконання вимог закону щодо постійного оновлення (актуалізації) персональних даних працівника (ч. 2 ст. 6 Закону про захист персональних даних) та видалення персональних даних працівника у разі відкликання ним згоди на обробку персональних даних (п. 11 ч. 2 ст. 8 Закону про захист персональних даних).

Як висновок, зазначимо, що чинне законодавство України передбачає обов’язкове отримання згоди працівника на розміщення інформації про нього, а також його фотографії на сайті закладу. З огляду на це, рекомендуємо не лише отримувати персональну згоду від кожного працівника на розміщення такої інформації, а й розробити локальні акти, які висвітлюватимуть процедуру отримання такої згоди.