В соответствии с действующим законодательством в сфере персональных данных владельцы, осуществляющие их обработку, которая несет особый риск для прав и свобод субъектов персональных данных, обязаны информировать Уполномоченного Верховного Совета Украины по правам человека (Уполномоченный) о таких видах обработки.

«Чувствительные» данные

Основным критерием для определения того, несет ли такая обработка риск, является категория обрабатываемых данных. Так, к «чувствительным» данным (данные, обработка которых составляет особый риск для прав и свобод субъектов персональных данных) относятся: данные о расовом, этническом, национальном происхождении, информация о политических, религиозных, мировоззренческих убеждениях, членстве в политических партиях, профессиональных, религиозных организациях, данные о состоянии здоровья, половой жизни, биометрические, генетические данные, информация о местонахождении или пути передвижения лица, факт привлечения к административной или уголовной ответственности, сведения о применении в отношении лица мер в рамках досудебного расследования, осуществлении по отношению к лицу тех или иных видов насилия.

Одним из исключений, когда владелец не обязан информировать Уполномоченного об обработке «чувствительных» персональных данных, является обработка таких данных в сфере трудовых отношений.

При этом важно отметить, что обработка указанных выше персональных данных будет считаться «чувствительной» в случае, если:

— состав персональных данных о лице, обрабатываемых владельцем, включает «чувствительные» данные, указанные выше;

— владельцем обрабатываются персональные данные определенной категории субъектов, которую можно выделить по указанному критерию.

Например, в случае если владельцем обрабатывается обычный состав персональных данных: имя, фамилия, паспортные данные и т.д., однако если все эти данные принадлежат лицам, которые привлекались к уголовной ответственности, то такая обработка будет трактоваться как обработка «чувствительных» персональных данных. Таким образом, на владельца данных будет распространяться требование об уведомлении Уполномоченного о такой обработке.

Сфера здравоохранения

Рассмотрим более детально некоторые особенности обработки персональных данных в сфере здравоохранения.

Обработка медицинских данных органами здравоохранения осуществляется без получения согласия субъекта данных на основании пункта 6 статьи 7 Закона «О защите персональных данных» от 1 июня 2010 года № 2297-VI (Закон): обработка данных, необходимая в целях здравоохранения, установления медицинского диагноза, для обеспечения лечения либо предоставления медицинских услуг, при условии, что такие данные обрабатываются медицинским работником либо иным лицом органа здравоохранения, на который возложены обязательства по обеспечению защиты персональных данных и распространяется законодательство о врачебной тайне.

Таким образом, основанием для обработки медицинских данных будет согласие на обработку персональных данных, предоставленное владельцу в соответствии с законом исключительно для осуществления его полномочий.

К данным о состоянии здоровья лица относится медицинская информация о лице, содержащая не только сведения о состоянии здоровья, но и историю болезни, предложенные исследования и лечебные процедуры, прогноз возможного развития заболевания. Исключение составляют медицинские справки, справки о нетрудоспособности, которые обрабатываются владельцем при реализации трудовых отношений.

Генетические данные, которые также отнесены к «чувствительным», могут обрабатываться органами здравоохранения. К таким данным относится информация, касающаяся всех данных о наследственных особенностях физического лица, способа наследования характеристик соответствующей группы людей, все данные о какой-либо генетической информации (генах), относящейся к каким-либо аспектам здоровья либо заболевания.

Владелец персональных данных информирует субъектов (пациентов) о составе и содержании персональных данных, правах субъектов персональных данных, цели сбора данных, третьих лицах, которым передаются такие данные. Уведомление должно происходить либо в момент сбора персональных данных (если они собираются у субъекта), либо в течение 30 рабочих дней со дня сбора данных.

Учреждение здравоохранения как владелец персональных данных определяет уровень доступа медицинских сотрудников к медицинским данным пациента путем его установления только для определенного круга лиц (лечащий врач, медицинские сестры, специалисты, доктора — члены консилиумов, привлеченные к предоставлению медицинской помощи пациенту и т.д.). Таким образом, каждый из сотрудников учреждения здравоохранения должен иметь доступ лишь к тем персональным данным пациентов, которые ему необходимы для исполнения своих профессиональных обязанностей.

Типовой порядок обработки персональных данных, утвержденный приказом Уполномоченного Верховного Совета Украины по правам человека от 8 января 2014 года № 1/02-14 (Типовой порядок) устанавливает, что сотрудники, имеющие доступ к персональным данным, дают письменное обязательство о неразглашении персональных данных, которые были им доверены либо стали известны в связи с исполнением профессиональных, служебных или трудовых обязанностей. Также медицинские сотрудники как лица, имеющие доступ к персональным данным пациентов, подписывают письменное обязательство о сохранении врачебной тайны в соответствии с требованиями Закона Украины «Основы законодательства о здравоохранении» от 19 ноября 1992 года № 2801-XII. Таким образом, норма, установленная в Типовом порядке, лишь детализирует обязательства, установленные законодательством о здравоохранении для медицинских сотрудников, так как понятие врачебной тайны также подразумевает неразглашение персональных данных пациента: диагноза, врачебных рекомендаций, истории болезни и т.д.

В органе здравоохранения также должно быть создано соответствующее структурное подразделение либо назначено уполномоченное лицо по организации работы, связанной с защитой персональных данных при их обработке, и разработан внутренний порядок обработки персональных данных.

Законодательные требования

Орган здравоохранения обязан информировать Уполномоченного об обработке «чувствительных» персональных данных, изменении данных в процессе обработки, прекращении обработки «чувствительных» персональных данных, структурном подразделении или уполномоченном лице, организовывающем работу, связанную с защитой персональных данных при их обработке.

В заключение следует отметить, что на пути к интеграции Украины в ЕС особое внимание должно быть уделено именно гармонизации законодательства о защите персональных данных с европейскими стандартами, международными конвенциями, а также практической реализации установленных законодательством норм. Наиболее актуальной является защита «чувствительных» персональных данных физических лиц, в том числе медицинских и генетических данных, поскольку они являются особо уязвимыми и нарушение порядка их обработки может привести к негативным последствиям для субъектов таких данных.

 

ОДИНЕЦ Александра — адвокат АК «Коннов и Созановский», г. Киев

 

---

Мнение

Уязвимая защита

 

Роман АНТОНИВ, юрист  АФ «Династия»

Директива ЕС о персональных данных разрешает обработку медицинских данных с целью профилактической медицины, диагностики, предоставления медицинских услуг, и такая обработка допустима только при осуществлении ее лицом, связанным обязанностью сохранения профессиональной тайны. Кроме этого, Рекомендация Совета Европы относительно медицинских данных содержит специальные положения относительно данных нерож­денных детей и недееспособных лиц, а также обработки генетических данных. Вышеуказанные акты европейского права должны быть приоритетом для Украины. Вопреки «чувствительности» медицинских данных и их защите Законом о защите персональных данных и положениям о врачебной тайне такие данные на практике являются особо уязвимыми. В частности, указание в истории болезни кодов Международного классификатора болезней вместо названия не оказывает должной защиты сведений о состоянии здоровья, в отличие от анонимизации и псевдонимизации, на которых также настаивают Директива и Рекомендация.