Рекомендації по реєстрації баз персональних даних

Спеціалісти у галузях трудового права, освіти і науки, а також охорони здоров’я, працівники Державної служби України з питань захисту персональних даних розробили рекомендації стосовно подальшого приведення обробки персональних даних у закладах охорони здоров’я у відповідність до вимог закону «Про захист персональних даних». Зокрема розроблено положення про порядок обробки баз персональних даних «Працівники».

Нагадаємо, що на виконання вимог Закону України від 01.06.2010 р. № 2297-VI «Про захист персональних даних» наказом Міністерства юстиції від 30.12.2011 р. № 3659/5 затверджено Типовий порядок обробки персональних даних у базах персональних даних (далі — Типовий порядок). До розроблених рекомендацій додано зразки таких документів:

• згода працівника на обробку його персональних даних,
• повідомлення працівника про права у сфері захисту персональних даних,
• журнал реєстрації документів з питань обробки персональних даних,
• зобов’язання про нерозголошення персональних даних,
• журнал реєстрації зобов’язань про нерозголошення персональних даних.

Типовий порядок встановлює загальні вимоги до організаційних та технічних заходів у сфері захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних. Управлінська діяльність у будь-якому закладі охорони здоров’я (далі — заклад) регламентується за допомогою організаційно-розпорядчих документів, насамперед, локальних нормативних актів — у кожному закладі має бути розроблено такий документ, що регулюватиме порядок обробки та захисту персональних даних фізичних осіб, наприклад, положення про порядок обробки персональних даних у базах персональних даних закладу (далі — положення).

Зважаючи, що у кожному закладі, як правило, обробляється декілька баз персональних даних, у положенні може бути представлено загальний порядок обробки всіх баз персональних даних закладу (з конкретизацією щодо порядку (особливостей) обробки по кожній з баз). У такому разі дія положення поширюватиметься на всі бази персональних даних закладу. Разом з тим, положення може бути розроблено і по кожній з баз персональних даних окремо, наприклад:

• положення про порядок обробки та захисту бази персональних даних «Працівники»;
• положення про порядок обробки та захисту бази персональних даних «Пацієнти»;
• положення про порядок обробки та захисту бази персональних даних «Контрагенти».

Крім того, розробники рекомендацій звертають увагу, що володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних лише відповідно до договору в письмовій формі. Окрему увагу необхідно приділити відображенню організації роботи з обробки запитів стосовно доступу до персональних даних суб’єктів відносин, пов’язаних із обробкою персональних даних.

Строки зберігання персональних даних в організаційно-розпорядчих, бухгалтерських документах, первинних облікових документах, особових справах у закладах визначаються на законодавчому рівні відповідними нормативно-правовими актами. У положенні необхідно визначити порядок захисту персональних даних в автоматизованих системах і картотеках. При визначенні особливостей захисту персональних даних в автоматизованих системах слід взяти до уваги положення Закону України від 05.07.1994 р. № 80/94-ВР «Про захист інформації в автоматизованих системах».

Наприкінці минулого року увага громадськості була прикута до проблем, пов’язаних із захистом персональних даних. Відсутність чіткого визначення терміна «база персональних даних», а також штучне трактування порушень вимог Закону України «Про захист персональних даних» та великі розміри штрафу за ухилення від державної реєстрації баз персональних даних (для суб’єктів підприємницької діяльності — від 500 до 1000 неоподатковуваних мінімумів доходів громадян) призвели до обурення в бізнес-середовищі. Щодня черги бажаючи­х зареєструвати бази персональних даних шикувалися у приміщеннях Державної служби з питань захисту персональних даних.

Відповідальність за порушення законодавства у сфері захисту персональних даних передбачена у Кодексі України про адміністративні правопорушення й Кримінальному кодексі України, та була введена з 1 січня 2012 р. Однак через те, що для підприємств, установ та організацій виявилося недостатньо річного адаптаційного періоду для приведення своє­ї діяльності у відповідність до вимог законодавства, а також через недостатню кадрову укомплектованість контролюючого органу термін настання відповідальності за порушення норм законодавства у згаданій сфері перенесено на 1 липня поточного року. Таким чином, 13.01.2012 р. було внесено зміни до Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних».

Тож, звертаємо увагу на те, що з 1 липня 2012 р. передбачено настання відповідальності за порушення норм законодавства у сфері захисту персональних даних. Порушення вимог закону «Про захист персональних даних» можуть бути виявлені в ході перевірок співробітниками Державної служби з питань захисту персональних даних. Графік таких перевірок (планових та позапланових) оприлюднюватиметься на офіційному сайті згаданого державного органу. Тому, тим, хто ще не зареєстрував бази персональних даних, не варто зволікати із цим.

Бажаєте завжди бути в курсі останніх новин фармацевтичної галузі?
Тоді підписуйтесь на «Щотижневик АПТЕКА» в соціальних мережах!