Персональні дані в системі охорони здоров’я: аналіз законодавства

9 січня 2019
4379
Резюме

Одним із найактуальніших та найпоширеніших питань в ході медичної реформи є захист персональних даних пацієнтів, які звертаються до лікарів для отримання медичних послуг. Слід наголосити, що ст. 32 Конституції України проголошує право людини на невтручання в її особисте і сімейне життя, крім випадків, передбачених Конституцією України, а також не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Впровадження конкретизованих прав людини щодо захисту її персональних даних, гарантованих Конституцією, закріплюється в Законі України «Про захист персональних даних» (далі — Закон), який регулює правові відносини, пов’язані із захистом та обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені для внесення до картотеки, із застосуванням неавтоматизованих засобів (ст. 1, 2 Закону).

Закон також розкриває поняття персональних даних у абзаці восьмому ст. 2 Закону, згідно з яким персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Наприклад, відповідно до п. 1, 2, 3 ч. ІІІ Порядку вибору лікаря, який надає первинну медичну допомогу (ПМД), затвердженого наказом МОЗ України від 19.03.2018 р. № 503, подання Декларації шляхом безпосереднього звернення до надавача ПМД здійснюється в такому порядку:

  • надавач ПМД має визначити особу, уповноважену приймати декларації від пацієнтів (їх законних представників) та вносити дані до електронної системи охорони здоров’я (далі — упов­новажена особа), на яку мають бути покладені обов’язки щодо забезпечення захисту персональних даних;
  • пацієнт (його законний представник) звертається до уповноваженої особи надавача ПМД і надає їй копію документа про присвоєння реєстраційного номера облікової картки платника податків (далі — РНОКПП) (крім фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті) й один з таких документів, що посвідчують особу:

паспорт громадянина України;
тимчасове посвідчення громадянина України;
свідоцтво про народження (для осіб, які не досягли 14-річного віку);
посвідка на постійне проживання в Україні;
посвідчення біженця;
посвідчення особи, яка потребує додаткового захисту;

  • законний представник пацієнта додатково подає документи, що посвідчують його особу та повноваження законного представника (свідоцтво про народження, посвідчення) відповідно до законодавства.

База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (абзац 1 ст. 2 Закону).

Відповідно до ч. 1, 2 ст. 14 Закону передбачено, що поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (у разі необхідності) в інтересах національної безпеки, економічного добробуту та прав людини.

Третя особа — це будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних (абзац 11 ст. 2 Закону).

Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити (ч. 2 ст. 16 Закону).

Згода суб’єкта на обробку персональних даних

Обробка персональних даних здійснюється відповідно до ч. 5 ст. 6 Закону за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

При укладенні декларації про вибір лікаря відповідно до Порядку вибору лікаря, який надає ПМД, затвердженого наказом Міністерства охорони здоров’я України від 19.03.2018 р. № 503, пацієнт, підписуючи документ у двох примірниках, підтверджує, що йому повідомлено про його права відповідно до Закону, про мету збирання та обробки його персональних даних, зазначених в цій декларації.  Тобто лікар зобов’язаний надати пацієнту цю інформацію.

Обробка персональних даних — це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем (абзац 6 ст. 2 Закону).

Об’єкти захисту

Об’єктами захисту є персональні дані. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформа­цією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру, оформленій за формою і в порядку, встановленими Законом України «Про засади запобігання і протидії корупції», не належать до інформації з обмеженим доступом, крім відомостей, визначених Законом України «Про засади запобігання і протидії корупції».

Вимоги до обробки персональних даних

Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.

Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.

У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом.

Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

Первинними джерелами відомостей про фізичну особу є:

  • видані на її ім’я документи;
  • підписані нею документи;
  • відомості, які особа надає про себе.

Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Якщо обробка персональних даних необхідна для захисту життєво важливих інтересів суб’єкта персональних даних, оброб­ляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, задля яких вони збиралися або надалі оброблялися.

Подальша обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися за умови забезпечення їх належного захисту. Типовий порядок обробки персональних даних затверджується Уповноваженим Верховної Ради України з прав людини (ст. 6 Закону).

Забезпечення захисту персональних даних

Володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

В органах державної влади, місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідом­ленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці. Інформація про зазначений структурний підрозділ або відповідальну особу повідомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення.

Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці:

  • інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
  • взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

Фізичні особи — підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють, згідно з вимогами закону (ст. 24 Закону).

Фізичні та юридичні особи мають право подавати скарги та інші звернення з питань захисту персональних даних до Уповноваженого Верховної Ради України з прав людини (п. 1 ч. 1 ст. 23 Закону).

Також відповідно до підпункту 14 п. 3 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 р. № 390, Державна служба України з питань захисту персональних даних здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних.

Відповідальність за порушення законодавства про захист персональних даних

Варто вказати, що Закон докладно не регулює відповідальність за порушення законодавства про захист персональних даних, а містить лише відсильну норму, а саме порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом (ст. 28 Закону).

Для аналізу норм про відповідальність за порушення законодавства в цій сфері слід звернутися до норм Цивільного кодексу України (ЦК України), Кодексу України про адміністративні правопорушення (КУпАП), Кримінального кодексу України (КК), Кодексу законів про працю України (КЗпП).

Згідно з ч. 1 ст. 270 ЦК України серед видів особистих немайнових прав фізичної особи називають право на свободу та особисту недоторканність, право на недоторканність особистого й сімейного життя, право на повагу гідності та честі. Цивільно-правова відповідальність за посягання на недоторканність особистого життя безпосередньо пов’язана з категорією моральної шкоди. Якщо фізичній особі внаслідок порушення її особистого немайнового права завдано майнової та/або моральної шкоди, ця шкода підлягає відшкодуванню (ст. 280 ЦК України). Підстави відповідальності за завдану моральну шкоду встановлені ст. 1167 ЦК України.

Крім того, у ст. 237-1 КЗпП зазначено, що відшкодування власником або уповноваженим ним органом моральної шкоди працівнику провадиться у разі, якщо порушення його законних прав призвели до моральних страждань, втрати нормальних життєвих зв’язків і вимагають від нього додаткових зусиль для організації свого життя.

Зокрема, ст. 188-39 КУпАП передбачено відповідальність за порушення законодавства у сфері захисту персональних даних.

Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей тягнуть за собою накладення штрафу на фізичних осіб — від 100 до 200 неоподатковуваних мінімумів доходів громадян і на посадових осіб та фізичних осіб — суб’єктів підприємницької діяльності — від 200 до 400 неоподатковуваних мінімумів доходів громадян.

Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради Украї­ни з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних тягнуть за собою накладення штрафу на фізичних осіб — від 200 до 300 неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від 300 до 1000 неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення з числа передбачених ч. 1 або 2 цієї статті, за яке особу вже було піддано адміністративному стягненню, тягне за собою накладення штрафу на громадян — від 300 до 500 неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від 500 до 2000 неоподатковуваних мінімумів доходів громадян.

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, тягне за собою накладення штрафу на громадян — від 100 до 500 неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від 300 до 1000 неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення, передбаченого ч. 4 цієї статті, за яке особу вже було піддано адміністративному стягненню, тягне за собою накладення штрафу — від 1000 до 2000 неоподатковуваних мінімумів доходів громадян.

Слід підкреслити, що одним із найсуворіших видів відповідальності є кримінальна, яка спрямована на запобігання порушенню недоторканності приватного життя, а саме незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями КК України. Такі дії караються штрафом від 500 до 1000 неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до 2 років, або арештом на строк до 6 міс, або обмеженням волі на строк до 3 років.

Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, караються арештом на строк від 3 до 6 міс або обмеженням волі на строк від 3 до 5 років, або позбавленням волі на той самий строк.

Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в 100 і більше разів перевищує неоподатковуваний мінімум доходів громадян (ст. 182 КК України).

Чи можна притягнути лікаря до відповідальності за розголошення персональних даних?

Своєю чергою, відповідно до чинного законодавства, лікаря можна притягнути до відповідальності у разі розголошення відомостей про персональні дані в плані розголошення лікарської таємниці. На даний час лікар здійснює внесення відомостей в медичну інформаційну систему у разі вибору пацієнтами його своїм лікарем, але поки не може вносити зміни про стан хвороби та інші відомості. Інша медична інформація допоки зберігається переважно на паперових носіях.

Сергій Вахненко, Олександр Устінов