Куда уходят персональные данные?

Просмотры: 76

gdpr
Какова ситуация с персональными данными в Украине, в каком направлении она развивается (в свете новшеств ЕС в защите персональных данных), и куда может жаловаться пациент, если узнает о нарушении семейным врачом или ЛПУ правил сбора и обработки его персональных данных?

Правильная работа с персональными данными важна не только для семейных врачей, терапевтов и педиатров, которые работают с персональными данными пациентов, подписавших декларации.

Практика показывает, что медицинские учреждения в Украине стараются следить за соблюдением порядка использования персональных данных (подписание необходимых уведомлений, иное). Физические лица – предприниматели не всегда понимают, зачем это нужно, поэтому допускают больше ошибок в работе с персональными данными.

С реализацией назревших изменений в законодательство Украины о защите персональных данных и требования к работе, и ответственность частных, коммунальных учреждений и практикующих врачей возрастут.

В начале лета 2018 года вступил в силу принятый Европарламентом и Советом ЕС еще в апреле 2016 года Регламент ЕС о защите персональных данных (General Data Protection Regulation, GDPR).

Регламент GDPR возник как реакция на интернет-скандал, разгоревшийся весной 2018 года. В ходе расследования выяснилось, что большое количество персональных данных пользователей социальной сети Facebook без их официального разрешения попало к компании Cambridge Analytica, а в последующем использовалось для манипуляции и влияния на политические процессы.

Из-за этого в кратчайшие сроки был подготовлен Регламент GDPR, регламентирующий большое количество возможных действий с персональными данными, в том числе (но не исключительно):

Пусть ЕС совершенствует свое законодательство о персональных данных. Но что с этого Украине, а тем более украинскому здравоохранению?

Закон Украины «О защите персональных данных» принят еще в 2010 году. Раз в год, иногда реже, в него вносятся изменения. К примеру, Закон Грузии «О защите персональных данных», хотя и близок по тексту к украинскому, но все же содержит ряд положений, намного больше совпадающих с европейским законодательством.

Крупные компании Украины, которые в своей повседневной работе имеют дело с персональными данными граждан и резидентов ЕС (добавим еще сюда людей, имеющих несколько паспортов, жителей Западной Украины и др.), буквально в течение нескольких дней изменили свои регламенты работы с персональными данными!

Пока это авиакомпании, торговые компании (реализующие через Интернет товары в разные уголки земного шара), компании, которые ведут внешнеэкономическую деятельность. Следующие на очереди – компании, которые обслуживают и имеют дело с персональными данными граждан ЕС.

Регламент GDPR фактически кодифицирует правила обработки и защиты персональных данных на территории всех 28 стран – членов ЕС, устанавливая новый стандарт на территории Европы. Предметом правового регулирования GDPR есть все персональные данные, касающиеся лица, по которым его прямо или косвенно можно идентифицировать.

Обратите внимание, что ст. 3 Регламента GDPR определяет, что он применяется к обработке персональных данных, независимо от того, проводится такая обработка в пределах ЕС или нет. Значит, GDPR касается и компаний, которые ведут работы с резидентами и гражданами ЕС.

Расширяется перечень данных, составляющих персональные данные.

Согласно украинскому законодательству, персональными данными о пациенте являются все сведения или совокупность сведений о пациенте, которые вносятся в декларацию о выборе врача (ФИО, дата рождения, регистрационный номер учетной карточки налогоплательщика, номер и серия паспорта или других документов, удостоверяющих личность, адрес проживания и другие данные, по которым можно идентифицировать пациента).

Сбор и обработка персональных данных пациента регулируются ЗУ «О защите персональных данных». Дополнительно отдельные аспекты регулируются положениями ЗУ «О государственных финансовых гарантиях медицинского обслуживания населения», Постановления КМУ «Некоторые вопросы электронного здравоохранения» № 411 от 25.04.2018.

А вот согласно Регламенту GDPR, к персональным данным относятся имя, идентификационный номер, данные о местоположении (интернет-идентификаторы, предоставленные устройства или приложения; IP-адреса, cookies или другие идентификаторы устройств; идентификаторы, по месторасположению которых может быть идентифицировано конкретное лицо), а также один или более факторов, характеризующих физическую, физиологическую, генетическую, психическую, экономическую, культурную или социальную идентичность этого физического лица.

Отдельное внимание уделено «специальной категории персональных данных» – конфиденциальным (деликатным) данным, среди которых генетические или биометрические данные, другие уникальные идентификаторы личности, что напрямую относятся к медицинской деятельности.

Регламентом GDPR предложены и относительно новые механизмы:

• «право быть забытым» – касается тех случаев, когда любое лицо больше не хочет, чтобы его данные использовались и хранились конкретным субъектом, но при условии, что нет никаких законных оснований для того, чтобы такие данные продолжали сохраняться;

• упрощенный доступ к своим данным (пациент всегда может обратиться и спросить, какие именно его персональные данные хранятся, кому и когда передавались и др.), реализуемый простым и удобным способом;

• право знать, когда персональные данные конкретного лица были утеряны, доступ к ним незаконно получило другое лицо и др.; в таком случае компания, хранящая персональные данные, должна в кратчайшие сроки сообщить об этом;

• строгая система наказания за нарушения (размер штрафов органов защиты персональных данных для нарушителей может составлять до 4 % от их оборота);

• регламентируется порядок передачи персональных данных третьим лицам, в том числе – на сервера или облачные хранилища других компаний;

• и так далее.

Безопасность персональных данных в Украине регламентируется на уровне законодательства.

За несоблюдение установленного законодательством порядка защиты персональных данных предусмотрена административная ответственность, за нарушение неприкосновенности частной жизни (незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации) – уголовная ответственность.

Жалобы и обращения относительно персональных данных направляются в Управление по вопросам защиты персональных данных Секретариата Уполномоченного ВРУ по правам человека.

Судебная практика имеет большое количество случаев привлечения к административной ответственности отдельных лиц и учреждений, в том числе из сферы здравоохранения.



Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *