• Головна

Питанню про захист персональних даних в медичній сфері присвячено ні одну публікацію.
Підготовлений матеріал адресований керівникам медичних установ, а також співробітникам, на яких покладено обов'язки щодо збору, обробки, використання, збереження та утилізації персональних даних співробітників і пацієнтів лікувальних установ.

Повноваження представників Державної служби України з питань захисту персональних даних (далі - Держслужба) представлені в Законі Україні «Про захист персональних даних». Кожний бажаючий може з ним ознайомитися самостійно.

На одному з останніх заходів - Конференції: «Захист персональних даних: право, практика, нагляд», - Заступник Глави Держслужби, г-н В. Козак сказав, що зараз опублікований План перевірок суб'єктів господарювання. Представники Держслужби проводять планові та позапланові перевірки.

Які ж питання можуть поставити керівнику медичної установи представники Держслужби під час перевірки?

Дана стаття якраз буде присвячена тим питанням, які представники будуть задавати посадовим особам лікувально-профілактичних установ.


1. Наявність у медичного закладу дійсного факту обробки персональних даних: з'ясування сфери діяльності (медична практика), категорій суб'єктів персональних даних (співробітники, пацієнти) і категорій персональних даних, які обробляються (паспортні дані і т.д.).

2. Наявність документів, що регламентують діяльність суб'єкта перевірки: установчі та дозвільні документи.

3. Статус медичної установи по відношенню до баз персональних даних: власник, розпорядник або третя особа.

4. Наявність в медичній установі документів, що підтверджують реєстрацію баз персональних даних або копій документів щодо їх відправки для реєстрації в Держслужбу.

5. Правові підстави для здійснення обробки персональних даних у базі персональних даних:

• на підставі дозволу, наданого відповідно до законодавства України виключно для здійснення повноважень;
• на підставі згоди, наданого суб'єктом персональних даних на обробку його персональних даних.

6. Наявність нормативно-правового акта, установчого або іншого документа, що регулює діяльність медичного закладу, який містить або затверджує мету обробки персональних даних.

7. Перевірка відповідності мети обробки персональних даних цілям, встановленим нормативно-правовими актами, установчими або іншими документами, а також мети, яка була вказана керівництвом медичного закладу в заяві на реєстрацію бази персональних даних.

8. Перевірка відповідності певної або встановленої мети складу та змісту персональних даних, що містяться у відповідній базі персональних даних.

9. Встановлення джерел отримання відомостей про фізичну особу.

10. Наявність у медичного закладу персональних даних з особливими вимогами для їх обробки, а також перевірка наявності відповідних правових підстав для їх обробки.

11. Наявність добровільно наданої згоди суб'єкта персональних даних на обробку персональних даних, за якими встановлені особливі вимоги для їх обробки.

12. Законність здійснення медичним закладом складових процесу обробки персональних даних відповідно до законодавства:

• інформування суб'єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних у відповідну базу персональних даних;
• забезпечення цілісності персональних даних та відповідного режиму доступу до них;
• перевірка строків обробки персональних даних у формі, що допускає ідентифікацію фізичної особи та правові підстави для встановлення саме таких строків обробки персональних даних;
• наявність і законність процедур розповсюдження персональних даних;
• законність процедур знищення персональних даних;
• наявність повідомлення суб'єкта персональних даних про включення в базу персональних даних, його права, визначені Законом, мета збору даних і осіб, яким передаються його персональні дані;
• відповідність даних та відомостей, представлених медичним установам для реєстрації баз персональних даних, фактичному стану обробки персональних даних у даному медичному закладі;
• законність встановленого в медичному закладі порядку доступу до персональних даних.

13. Наявність у медичної установи документів, що встановлюють процедури обробки персональних даних і пов'язаних зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням та поширенням, знеособленням, знищенням відомостей про фізичну особу (Положення про обробку персональних даних і т.д. ).

14. Встановленням медичною установою:

• порядку внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
• порядку захисту персональних даних, у тому числі від незаконної обробки та незаконного доступу до них;
• поширення на всі дії суб'єкта перевірки всіх вимог щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.

15. Наявність в медичній установі співробітників - розпорядника бази персональних даних.

16. Порядок доступу до персональних даних, які обробляються медичним закладом, третіх осіб.

17. Наявність транскордонної передачі персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними. У разі наявності - встановлення відповідних процедур.

18. Наявність документа про визначення структурного підрозділу чи відповідальної особи, які організовують роботу, пов'язану із захистом персональних даних при їх обробці, а також документів, що регламентують його діяльність.

19. Виконання структурним підрозділом або відповідальною особою лікувального закладу завдань з організації роботи, пов'язаної із захистом персональних даних при їх обробці.

20. Ведення медичною установою обліку фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, а також спроб і фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

21. Розмежування режимів доступу співробітників до обробки персональних даних у базі персональних даних відповідно до їх професійними, трудовими чи службовими обов'язками.

22. Організація обробки суб'єктом перевірки персональних даних у формі інформаційної (автоматизованої) системи, в якій забезпечується захист персональних даних відповідно до чинного законодавства.

23. Виконання керівництвом медичної установи вимог щодо впровадження організаційних і технічних заходів захисту персональних даних при їх обробці в формі картотек.

При позаплановій перевірці з боку Держслужби проводиться перевірка наявності правопорушення, зазначеного у скарзі, на підставі якої дана перевірка проводиться.

Даний матеріал був підготовлений і адаптований під потреби медичних установ на підставі офіційної інформації, переданої для публікації в ЗМІ Головою Державної служби України з питань захисту персональних даних Олексієм Мервінського.
Джерело: 103-law.org.ua