автор: Людмила Якубенко,
юрист Центра медицинского права

В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Как известно, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI. Этот Закон, вступивший в силу с 1 января 2011 года, определил основные полномочия в сфере использования и защиты персональных данных Государственной службы Украины по вопросам защиты персональных данных ( далее — Служба). В частности к функциям Службы относятся регистрация баз персональных данных, а также контроль их владельцев. С начала июля этого года Служба началась активная деятельность по регистрации баз персональных данных физических лиц.

Базы персональных данных физических лиц в медицинских и оздоровительных учреждениях, аптеках и салонах красоты

В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, позволяющая его идентифицировать, а именно: имя, дата и место рождения, место работы и проживания, образование и т.п. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, вероисповедании, состоянии здоровья и пр. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 г. № 5-зп к персональным данным также относятся данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья, в т.ч. из истории болезни).

В соответствии с Законом «О защите персональных данных» от 1 июня 2010 г. № 2297-VI (далее — Закон № 2297) объектами защиты являются только те персональные данные, которые обрабатываются и вносятся в базу персональных данных.

Статьей 2 Закона № 2297 определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому электронные базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты и прочие подобные клиентские базы иных субъектов хозяйствования являются базами персональных данных. Причем следует отметить, что как минимум одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.

 
База персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому электронные базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты и прочие подобные клиентские базы иных субъектов хозяйствования являются базами персональных данных

Баз персональных данных на одном предприятии или в организации может быть несколько. Нередко одни и те же данные дублируются в электронном и бумажном виде (например, картотека). Однако если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки данных в этом случае смешанный.

Владельцами баз персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных. Письменное согласие субъекта утверждает цель обработки данных в этой базе. Законодательством определяется состав этих данных и процедуры их обработки.

В соответствии с Законом № 2297 все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.

Процедура регистрации базы персональных данных

Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в государственный орган (Службу) персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. Фактически в Службу передаются только общие данные о такой базе (картотеке), в частности, информация о: цели сбора информации; предполагаемое количество лиц, которые предоставили (могут предоставить в будущем) такую информацию; каким образом информация будет храниться; может ли она передаваться третьим лицам и пр. Такие сведения указывают в заявлении установленной формы на регистрацию баз данных. Форма заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких сведений.

Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо представлять непосредственно в Службу, которая находиться в Киеве). На первый взгляд, процедура несложная, однако случаются и отказы в регистрации баз персональных данных.

Государственный контроль над соблюдением норм законодательства о защите персональных данных

Указом Президента Украины от 6 апреля 2011 г. № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.

В составе Службы действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее — Отдел контроля). Это подразделение уполномочено реагировать на жалобы граждан. Служба создает Рабочие группы по проверке (или Комиссии), которые проводят плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами применяют штрафные санкции к нарушителям.

Пока (до 1 января 2012 года) Отдел контроля может только реагировать на жалобы граждан в случае их поступления, т.е. проводить внеплановые проверки. В случае выявленных нарушений составляются предписания, обязательные для исполнения, а материалы проверки могут быть переданы и в прокуратуру. Следует отметить, что сегодня полномочия Отдела контроля еще не полностью определены. В сентябре – октябре 2011 года должен быть утвержден Порядок проведения проверок, в котором будет определена их периодичность, основания, процедура проведения и полномочия должностных лиц органа контроля. С 1 января 2012 года полномочия у Отдела контроля будут существенно расширены, а к нарушителям — применяться санкции как административного, так и уголовного характера.

Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных

Какая же ответственность ожидает нарушителей законодательства о защите персональных данных физических лиц? Ответ на этот вопрос лежит в Законе Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 2 июня 2011 г. № 3454-VI. Этот Закон предусматривает установление довольно серьезных санкций административной и уголовной ответственности, которые указаны в новых статьях Кодекса Украины об административной ответственности (188-39 и 188-40 КоАП) и в измененной ст. 182 Уголовного кодекса Украины (далее — УК).

В соответствии со статьей 188-39 КоАП несообщение или несвоевременное сообщение субъекту персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лиц, которым эти данные передаются, влечет за собой наложение штрафа на должностных лиц, граждан-субъектов предпринимательской деятельности от трехсот до четырехсот (от 5100 до 6800 грн) необлагаемых минимумов доходов граждан (нмдг). То есть каждое физическое лицо должно обязательно подписать письменное согласие на включение его персональных данных в базу и их обработку. Причем это касается не только пациентов (клиентов), но и нанятых сотрудников предприятия, организации или физического лица-предпринимателя, если они трудоустроены после 1 января 2011 года.

Каждое физическое лицо должно обязательно подписать письменное согласие на включение его персональных данных в базу и их обработку. Причем это касается не только пациентов (клиентов), но и нанятых сотрудников предприятия, организации или физического лица-предпринимателя, если они трудоустроены после 1 января 2011 года.

Уклонение от государственной регистрации базы персональных данных влечет за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности от пятисот до тысячи нмдг (от 8500 до 17000 грн).

Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, которое привело к незаконному доступу к ним, влечет за собой наложение штрафа от трехсот до тысячи НМДГ (от 5100 до 17000 грн.).

Статья 182 УК предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.

Учитывая столь серьезные санкции субъектам хозяйствования всех форм собственности рекомендуется обязательно зарегистрировать до 1 января 2012 года базы персональных данных. Причем следует помнить, что на предприятии может быть несколько таких баз.

Как правильно организовать работу с персональными данными физических лиц на предприятии или в организации

Если на предприятии или в организации собираются и обрабатываются персональные данные физических лиц (клиентов, пациентов, сотрудников и др.), то оно обязано соблюдать требования, указанные в Законе № 2297. Причем главной задачей владельцев баз персональных данных является обеспечение требований законодательства по сбору и обработке таких данных. Для этого необходимо назначить ответственное лицо, на которое будут возложены обязанности по обеспечению защиты персональных данных, а также зарегистрировать базу персональных данных пациентов. Рекомендуется также разработать соответствующее Положение о работе с персональными данными, ознакомить сотрудников с особенностями работы с персональными данными и юридической ответственностью.

Медицинским учреждениям рекомендуется создать специальные условия для хранения баз персональных данных пациентов и определить процедуру использования таких данных. Для этого на предприятии не лишним будет разработать ряд внутренних нормативно-правовых документов, в частности: Положение о базах персональных данных, Приказ о создании Базы данных, Приказ о назначении ответственного лица, Должностную инструкцию такого лица, Положение о тайной и конфиденциальной информации, расписку о неразглашении тайной и конфиденциальной информации и пр.

Статьей 24 Закона № 2297 определено, что государство гарантирует защиту персональных данных физических лиц. Поэтому субъекты правоотношений, связанные с персональными данными, обязаны обеспечить защиту этих данных от незаконной обработки, а также от незаконного доступа к ним. Обеспечение защиты персональных данных в базе персональных данных возлагается именно на владельца такой базы.

P.S. Более подробно о создании и деятельности Службы можно узнать из интервью с председателем Службы — Алексеем Мервинским, опубликованном в журнала «Медицинская практика: организационные и правовые аспекты» № 5/2011.

Нормативно-правовые акты:
1. Закон Украины «О защите персональных данных» от 1 июня 2011 г. № 2297-VI.
2. Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 2 июня 2011 г. № 3454-VI.
3. Указ Президента Украины «О Положении о Государственной службе Украины по вопросам защиты персональных данных» от 6 апреля 2011 г. № 390/2011.