Тема 6.6 Захист персональних даних пацієнта при роботі з інформаційно-комунікаційними системами електронної охорони здоров’я

6.6.1. Глосарій

Суб'єкт персональних даних - фізична особа, персональні дані якої обробляються.

Володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.

Третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа.

Електронна система охорони здоров'я (ЕСОЗ) - інформаційно-телекомунікаційна система, що забезпечує автоматизацію ведення обліку медичних послуг та управління медичною інформацією шляхом створення, розміщення, оприлюднення та обміну інформацією, даними і документами в електронному вигляді, до складу якої входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматичний обмін інформацією, даними та документами через відкритий програмний інтерфейс.

Відповідальність - передбачені законами негативні наслідки особистого, майнового чи організаційного характеру, яких зазнає особа за вчинення певного порушення.

6.6.2. Вступ

Із впровадженням електронної системи охорони здоров’я (далі — ЕСОЗ) питання захисту персональних даних (далі – ПД) пацієнтів стало надзвичайно актуальним. Адже з перенесенням медичних даних в електронний вигляд та недостатнім розумінням щодо поводження з ПД, ризики розголошення конфіденційної інформації суттєво зростають. Витік інформації про пацієнтів, стан їхнього здоров’я і деталей лікування може призвести до негативних наслідків для пацієнта, працівника закладу, з вини якого стався такий витік, а також закладу охорони здоров'я в цілому. Саме тому забезпечення належного рівня захисту ПД пацієнтів є важливим аспектом при роботі з ЕСОЗ.

Ключова термінологія по цій темі визначена у попередніх розділах, а саме: інформація (див. розділ 6.1.1 Вступ), конфіденційна інформація, персональні дані, лікарська таємниця (див. розділ 6.4.1 Вступ).

6.6.3. Учасники відносин, пов’язаних з персональними даними

Важливо розуміти ключові терміни, що визначають ролі учасників відносин, пов’язаних з обробкою і захистом ПД, а саме (див. 6.6.1. Глосарій)

Кожна особа є суб’єктом персональних даних, таких як ім’я, дата народження, номер телефону тощо. У контексті теми цього документа найчастіше суб’єктом ПД виступає саме пацієнт.

Наприклад, лікувальний заклад, отримавши ПД пацієнта, починає здійснювати їхню обробку та стає володільцем персональних даних пацієнта.

Володілець може доручити обробку ПД розпоряднику відповідно до договору, укладеного в письмовій формі. Розпорядник може обробляти ПД лише з метою і в обсязі, визначеними у договорі.

Розглянемо приклад ситуації, щоб коректно визначити розпорядника і володільця. 

Заклад співпрацює з лабораторією і передає їй матеріали для досліджень разом із контактними даними пацієнта, а далі, лабораторія самостійно надсилає результати таких досліджень пацієнту. У цій ситуації суб’єкт ПД (пацієнт) надав свої дані володільцю (закладу), своєю чергою, останній передав ці дані на підставі договору розпоряднику (лабораторії).

6.6.4. Ключові вимоги при обробці персональних даних

Основною вимогою до всіх осіб, які здійснюють обробку ПД, є забезпечення належного захисту ПД для того, щоб треті особи не отримали доступу до ПД. Тобто, мова йде про вимоги до всіх володільців та розпорядників.

Для того, щоб створити та забезпечити механізм захисту ПД, діюче законодавство України ставить низку вимог до володільців та розпорядників, зокрема:

• використання ПД володільцем має здійснюватися лише тоді, коли володілець створив умови для захисту цих даних;
• використання ПД працівниками володільця має здійснюватися лише відповідно до їхніх професійних/службових/трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб ПД, які їм було довірено або які стали відомі у зв'язку з виконанням професійних/службових/трудових обов'язків, крім випадків, передбачених законом. Таке зобов'язання чинне також і після припинення ними діяльності, пов'язаної з ПД;
• ПД можуть оброблятися у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їхньої обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.

Окрему увагу варто акцентувати на строках обробки ПД. Закон України “Про захист персональних даних” передбачає, що обробка ПД допускається у термін, що не є довшим, ніж для цього є обґрунтована мета та належна підстава. Важливо зазначити, що документи, які містять ПД, мають певні законодавчо встановлені терміни зберігання. Наприклад, історії хвороби стаціонарних хворих мають зберігатися не менше 25 років, а амбулаторних – не менше 5 років після вибуття. Тобто, при визначенні термінів обробки ПД пацієнтів потрібно також враховувати ці строки, а також встановлені строки для зберігання інших документів.

6.6.5. Права і обов’язки суб’єкта персональних даних

Чітке розуміння правового статусу пацієнта як суб’єкта персональних даних допоможе правильно побудувати свою роботу з персональними даними пацієнта, а також допоможе у спілкуванні з пацієнтами та/або при вирішенні нестандартних ситуацій.

Пацієнт, будучи суб’єктом персональних даних – тобто особою, дані якої обробляються, має певні права та обов’язки, які слідують з цього статусу. Як було зазначено раніше, медичні дані (чутливі дані) є частиною та входять до складу персональних даних.

Права пацієнтів як суб’єктів персональних даних встановлюються Законом України «Про захист персональних даних». Такі права пацієнтів умовно можна об’єднати у три групи:

• права, що пов’язані з доступом до даних;
• права, що пов’язані з розпорядженням даними;
• права, що пов’язані з захистом ПД.

Права пацієнтів, що пов’язані з доступом до ПД

Ця група прав пов’язана з обізнаністю пацієнта як суб’єкта ПД щодо інформації про те, хто та в якому обсязі матиме доступ до його ПД:

1. Пацієнт має право знати про місцезнаходження своїх ПД, мету їх обробки, місцезнаходження володільця та розпорядника ПД.

Наприклад, пацієнт повідомляється про мету обробки ПД під час підписання Декларації про вибір лікаря, який надає первинну медичну допомогу, затверджену Наказом Міністерства охорони здоров’я України № 503 від 19.03.2018.

2. У разі передачі ПД третім особам, пацієнт має право отримувати інформацію про таку передачу, зокрема осіб, яким передаються його ПД.

3. Пацієнт має право на доступ до своїх ПД.

Законодавство передбачає право пацієнта, як користувача ЕСОЗ, вносити та переглядати інформацію про себе в системі. Хоча наразі технічна можливість реалізувати це право відсутня, однак активно триває розробка модулю “Кабінет пацієнта”, де пацієнт зможе ознайомлюватись та редагувати інформацію про себе в ЕСОЗ. Наразі пацієнт реалізує це право шляхом звернення із запитом до медичного закладу з проханням ознайомитися з історією хвороби або іншою медичною інформацією. Медичний працівник зобов’язаний надати доступ до такої інформації. Запит повинен містити інформацію про ПІБ пацієнта, місце його проживання, документ, що посвідчує особу.

4. Пацієнт має право отримувати інформацію щодо того, чи обробляються його ПД.

Реалізація цього права здійснюється шляхом направлення відповідного запиту. Запит повинен направлятись у письмовій формі в порядку та у спосіб, що передбачені Законом України “Про захист персональних даних”. Відповідь на запит повинна бути надана протягом місяця. Якщо в результаті розгляду звернення питання не було вирішено, суб'єкт ПД може звернутися за захистом/поновленням своїх прав до Уповноваженого Верховної Ради України з прав людини.

Права пацієнтів, що пов’язані з розпорядженням своїми ПД 

У цю категорію входять права пацієнта як суб’єкта ПД, пов’язані з можливістю вчиняти певні дії щодо своїх ПД, зокрема:

1. Пацієнт має право вимагати зміни своїх недостовірних ПД володільцем та розпорядником шляхом пред’явлення вмотивованої письмової вимоги (з поясненнями, в чому саме недостовірність або невідповідність). Після отримання такої вимоги володілець або розпорядник зобов’язаний внести зміни до недостовірних ПД пацієнта.
2. Пацієнт має право вимагати знищення своїх ПД будь-яким володільцем та розпорядником, якщо ці дані обробляються незаконно (наприклад, якщо ПД обробляються без належної правової підстави або якщо обробляються дані, обробка яких заборонена законом). Таке право реалізується шляхом направлення письмової вимоги з обґрунтуванням причин необхідності видалення ПД, зокрема, незаконності їх обробки.
3. Право вносити застереження стосовно обмеження (встановлювати певні обмеження) права на обробку своїх ПД під час надання згоди (застосовується, коли підставою для обробки ПД є згода). Такі обмеження можуть стосуватись мети обробки ПД, передачі ПД третім особам тощо. Володільці та розпорядники зобов’язані враховувати застереження при обробці ПД.
4. Пацієнт має право відкликати згоду на обробку ПД (застосовується, коли підставою для обробки ПД є згода). Відкликання згоди є можливим, якщо ПД обробляються на підставі згоди, та має відбуватися у такій самій формі, у якій така згода надавалась.

Права пацієнтів, що пов’язані з захистом своїх ПД

Ця група об’єднує права пацієнта як суб’єкта ПД, які спрямовані на реалізацію базового фундаментального принципу в сфері ПД – їхнього захисту:

1. Пацієнт має право на захист своїх ПД від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням. У випадку порушення цього права, пацієнт має право захищати свої права шляхом звернення до Уповноваженого Верховної Ради України з прав людини, або до суду.
2. Пацієнт має право звертатися зі скаргами на обробку своїх ПД до Уповноваженого Верховної Ради України з прав людини або до суду, застосовувати інші можливі засоби правового захисту. Пацієнт також може звертатися з претензією до самого володільця або розпорядника.
3. Пацієнт має право на захист від автоматизованого рішення, яке має для нього правові наслідки, та знати механізм автоматичної обробки ПД. Наприклад, в медичній сфері це може бути певна програма, яка за наявними ПД визначає чи має право особа брати участь у реабілітаційних програмах, програмах лікування тощо. Тому в разі наявності такого алгоритму і використання ПД пацієнта в ньому, пацієнт повинен бути попереджений/повідомлений про такий механізм автоматизованої обробки і мати можливість заперечити проти застосування його результатів.

Отже, пацієнти як суб’єкти ПД мають значно більше прав ніж обов’язків. Це обумовлено тим, що суб’єкт ПД передає свій важливий ресурс, тобто персональні дані. Одак серед обов’язків пацієнтів як суб’єктів ПД все ж варто виділити наступні:

1. надавати відповідному надавачу медичних послуг достовірну інформацію (у тому числі, персональні дані) та документи, необхідні для отримання медичних послуг, медичних виробів та лікарських засобів (ст. 6 ЗУ ”Про державні фінансові гарантії медичного обслуговування населення”). Варто зауважити, що, підписуючи декларацію про вибір лікаря, пацієнт підтверджує достовірність наданих даних;
2. і у разі якщо реєстрація пацієнтів здійснюється ними самостійно через особистий кабінет пацієнта - забезпечити внесення актуальних та достовірних даних про себе до центральної бази даних ЕСОЗ.

6.6.6. Доступ третіх осіб до персональних даних

Як зазначалось у попередніх розділах, унеможливлення доступу третіх осіб до ПД є однією з ключових вимог при роботі з ПД. Однак, в деяких випадках, такий доступ може чи повинен надаватись з урахуванням правового статусу особи, що запитує інформацію, та конкретних обставин.

Нижче наводимо інформацію щодо найбільш поширених випадків можливого правомірного розкриття ПД пацієнта третім особам:

Члени сім’ї пацієнта

Часто на практиці виникають ситуації, коли родичі пацієнта просять надати їм інформацію про стан здоров'я пацієнта. В таких ситуаціях потрібно розуміти, чи мають члени сім’ї право на доступ до інформації про пацієнтів, і якщо так, то хто саме, та в якому обсязі.

Ст. 285 Цивільного Кодексу України та ст. 39 Закону України «Основи законодавства України про охорону здоров'я» передбачають, що батьки (усиновлювачі), опікун, піклувальник мають право на доступ до інформацію про стан здоров'я дитини або підопічного.

Однак, медичні працівники мають право дати неповну інформацію про стан здоров'я фізичної особи, обмежити можливість їхнього ознайомлення з окремими медичними документами, якщо інформація про хворобу фізичної особи може: погіршити стан її здоров'я, погіршити стан здоров'я батьків (усиновлювачів), опікуна або піклувальника, зашкодити процесу лікування.

Працівники медичних закладів

Використання ПД працівниками суб’єктів відносин, пов'язаних з ПД (наприклад, ЗОЗ), повинно здійснюватися лише відповідно до їхніх професійних, службових або трудових обов'язків.

У той же час такому використанню кореспондує обов’язок працівників не допускати розголошення у будь-який спосіб ПД, які їм було довірено або які стали відомі у зв'язку з виконанням професійних, службових або трудових обов'язків. Крім того, такий обов’язок зберігається після припинення ними діяльності, пов'язаної з ПД.

Обсяг доступу до даних пацієнта є обмеженим. Він обмежується з метою доступу чи використання персональних даних – виконанням професійних, трудових або службових обов’язків. Тобто працівники ЗОЗ повинні користуватися доступом лише до тих ПД пацієнтів, які необхідні їм у зв’язку з виконанням їхніх професійних, службових або трудових обов’язків.

Тобто, лікар може працювати виключно з ПД пацієнтів, яким надається медична допомога таким лікарем, або з даними, які необхідні йому для надання медичної допомоги.

Роботодавці та заклади освіти

Ст. 391 Закону України «Основи законодавства України про охорону здоров'я» прямо забороняє надавати інформацію про діагноз і методи лікування пацієнта за місцем роботи або навчання. Тобто, якщо до закладу або безпосередньо до медичного працівника надходить запит від роботодавця чи навчального закладу (вищі навчальні заклади, школи, дитячі садочки тощо) щодо стану здоров’я працівника або особи, що навчається, медичний працівник не має права надавати роботодавцю чи навчальному закладу відомості про пацієнта, що становлять лікарську таємницю.

Винятками є випадки інформування підприємства, де працює особа, що постраждала внаслідок нещасного випадку на виробництві. Заклад зобов’язаний невідкладно передати екстрене повідомлення про звернення потерпілого з посиланням на нещасний випадок на виробництві (у разі можливості, з висновком про ступінь тяжкості травм) підприємству, де працює потерпілий або на якому він виконував роботу. У контексті інфекційних захворювань, лише головні державні санітарні лікарі (їхні заступники) можуть вносити власникам підприємств та установ подання про відсторонення від роботи або іншої діяльності (навчання) осіб, які, наприклад, є носіями збудників інфекційних захворювань, були в контакті з такими хворими тощо.

Інші особи

Окрім самого пацієнта, його родичів, медичного персоналу, доступ до персональних даних пацієнта можуть також отримати треті особи – особи, які не мають родинних зв'язків з пацієнтом та не беруть участь у процесі надання медичної допомоги. На практиці, це може бути широке коло осіб, як: адвокати, правоохоронні органи (органи поліції, органи прокуратури, Служба безпеки України), суди, страхові організації тощо.

За загальним правилом поширювати персональні дані про особу можна лише за згодою такої особи. Однак відповідно до Закону України «Про захист персональних даних» дані пацієнтів можуть поширюватись без згоди суб’єкта ПД у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту, прав людини. Порядок доступу до ПД повинен відповідати наступним умовам:

1. Третя особа бере на себе зобов’язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» (наприклад, не допускати будь-якого розголошення даних, не допускати несанкціонований доступ третіх осіб та інші вимоги). Якщо третя особа не здатна забезпечити виконання вимог цього закону або не бере на себе таке зобов'язання, то ПД передаватись не можуть.
2. Третя особа подала запит, який містить всю необхідну інформацію, передбачену ч. 4 ст. 16 Закону України «Про захист персональних даних», а саме:

• відомості про особу заявника: прізвище, ім'я та по батькові (далі – ПІБ), місце проживання, реквізити паспорту для фізичної особи; найменування, місцезнаходження юридичної особи, яка подає запит, посада, ПІБ, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (наприклад, запит державного органу має містити інформацію, яка підтверджує, що зміст запиту відповідає повноваженням певного державного органу);
• ПІБ, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
• відомості про базу ПД, стосовно якої подається запит або відомості про володільця чи розпорядника;
• перелік ПД, що потрібні третій особі згідно з запитом;
• мета та/або правові підстави для запиту.

Відповідь на запит повинна бути надана у певних часових рамках:

• 10 робочих днів (з дня надходження запиту) надається для вивчення запиту на предмет можливості його задоволення. Тобто в межах цього строку необхідно довести до відома особи, яка подала запит, що запит буде задоволено або відповідні ПД не підлягають наданню із зазначенням правової підстави;
• 30 календарних днів (з дня надходження запиту) – для надання запитуваних даних у разі задоволення запиту.

Наголошуємо, що ключовим при ухваленні рішення про надання персональних даних третім особам є наявність у таких осіб відповідної мети та правової підстави. Як зазначає Уповноважений ВРУ з прав людини, запит повинен мати чіткі посилання на повноваження, у рамках виконання яких запитуються персональні дані. Повноваження, для виконання яких запитуються персональні дані, повинні бути «з достатньою чіткістю» передбачені законодавством України.

На практиці можуть траплятися ситуації, коли запит не відповідає установленим ст. 16 ЗУ “Про захист персональних даних” (наприклад, запити різних інстанцій про надання ПД без належного обґрунтування, запити без належного оформлення та з порушенням законодавства). Відсутність у запиті всіх обов’язкових елементів, його необґрунтованість (відсутність відомостей щодо мети та підстав його направлення) може бути підставою для відмови в його задоволенні.

Таким чином, рішення про надання персональних даних пацієнта третім особам повинне прийматись в кожному випадку окремо з урахуванням усіх обставин та за умови відповідності змісту запиту вимогам законодавства. Додатково, може бути корисним звернення до юриста для аналізу та оцінки ситуації, пов’язаної із запитом від третіх осіб. 

Отже, кожна ситуація розкриття ПД потребує індивідуального підходу. Саме тому з урахуванням викладеної інформації, пропонуємо приблизний алгоритм аналізу обґрунтованості запитів та оцінки прав третіх осіб на доступ до даних пацієнта:

1. Визначення відомостей, щодо яких надійшов запит.
2. Встановлення особи, яка запитує відомості, наявності у неї повноважень та підстав для отримання відомостей про пацієнта.
3. Перевірка порядку надання відомостей (наприклад, чи має запит на отримання персональних даних усі реквізити, чи відповідає Ухвала про надання тимчасового доступу до речей та документів вимогам законодавства, чи підтверджує адвокатський чи інший запит наявність згоди пацієнта на розкриття ПД (у разі, якщо адвокатський запит стосується не тієї особи, яку він представляє) або лікарської таємниці).
4. Прийняття рішення про надання або ненадання запитуваних відомостей.

У разі порушення правил поширення даних та лікарської таємниці та отримання третіми особами неправомірного доступу, медичні працівники можуть нести відповідальність (див. 6.6.8 Права та відповідальність медичних працівників).

6.6.7. Особливості захисту персональних даних при роботі з ЕСОЗ

Отже, з вищенаведеного можна підкреслити такі ознаки ЕСОЗ:

• це інформаційно-комунікаційна система, тобто сукупність систем, які у процесі обробки інформації діють як одне ціле;
• персональні дані у ЕСОЗ зберігаються і обробляються в електронному вигляді;
• до складу ЕСОЗ входять дві основні складові: центральна база даних (далі – ЦБД) і електронні медичні інформаційні системи.

Ключовим документом, який регулює основні правила роботи ЕСОЗ, порядок внесення та обміну інформацією в ЕСОЗ, реєстрацію користувачів є постанова КМУ від 25.04.2018 № 411 «Деякі питання електронної системи охорони здоров’я».

Обробка ПД в ЕСОЗ здійснюється з дотриманням вимог Закону України «Про захист персональних даних». Це означає, що правила, підстави обробки даних в ЕСОЗ, права та обов’язки ключових учасників базуються та повинні відповідати саме принципам, закладеним у Законі України «Про захист персональних даних». З іншої сторони, враховуючи специфіку ЕСОЗ, при обробці ПД можуть виникати і деякі особливості. 

До роботи ЕСОЗ, як до багатофункціональної системи, залучається багато різних сторін. Тому ключовими зацікавленими сторонами виступає широке коло суб’єктів, до яких можемо віднести:

• Держава в особі державних органів 
• Медичні інформаційні системи (далі – МІС). Саме за допомогою програмного забезпечення МІС лікарі мають можливість доступу до даних у ЦБД і, відповідно, до персональних даних та даних про здоров’я пацієнтів. Таким чином, МІС допомагають автоматизувати роботу медзакладів та є своєрідними «мостами» між ЦБД та користувачами.
• Заклади охорони здоров'я, їх керівники та працівники.
• Пацієнт.

6.6.8. Права та відповідальність медичних працівників 

Окрім прав та обов’язків, медичні працівники при обробці персональних даних мають ще й відповідальність.

Відповідальність за порушення законодавства України в сфері персональних даних включає:

1. Дисциплінарна відповідальність. Особа, яка допустила порушення прав пацієнта на захист ПД, може бути притягнута до дисциплінарної відповідальності відповідно до ст. 147 – 152 Кодексу законів про працю України. Наприклад, до медичного працівника може бути застосовано догану чи звільнення. Варто звернути увагу, що законодавством, статутами і положеннями про дисципліну можуть бути передбачені й інші дисциплінарні стягнення.
2. Цивільно-правова відповідальність передбачена ст. 1166 – 1167, ст. 1172 Цивільного кодексу України. Потерпіла особа, тобто особа, чиї права на захист ПД були порушені, може звернутися з вимогою (в т.ч. з позовом до суду) про відшкодування їй майнової та/або моральної шкоди, завданої порушенням. В такому випадку, шкода, завдана медичним працівником, відшкодовується медичним закладом. В свою чергу, медичний заклад має право зворотної вимоги до медичного працівника щодо компенсації виплаченого відшкодування.
3. Адміністративна відповідальність встановлена у ст. 188-39 Кодексу України про адміністративні правопорушення. Якщо недотримання законодавчих вимог щодо захисту ПД призвело до незаконного доступу до таких даних або порушення прав особи, на винних осіб (наприклад, медичного працівника) може бути накладено штраф у розмірі від 1 700 до 8 500 гривень, а у разі повторного вчинення такого порушення – штраф у розмірі від 17 000 до 34 000 гривень. Якщо порушення вчинено посадовою особою (наприклад, керівником медичного закладу), розмір такого штрафу складатиме від 5 100 до 17 000 гривень, а у разі повторного вчинення такого порушення – штраф у розмірі від 8 500 до 34 000 гривень.
4. Кримінальна відповідальність закріплена у ст. 145, 182 Кримінального кодексу України. Особливістю кримінальної відповідальності є те, що вона може настати лише у разі умисних неправомірних дій щодо ПД або даних про здоров’я. В якості приклада, розглянемо покарання за умисні неправомірні дії:

• Умисні неправомірні дії щодо конфіденційної інформації (ст. 182 Кримінального кодексу України). За такі дії може наступати відповідальність у формі штрафу від 8 500 грн до 17 000 грн, або виправних робіт на строк до 2 років, або арешту на строк до 6 місяців, або обмеження волі на строк до 3 років (в окремих випадках арешт на строк від 3 до 6 місяців), або в окремих випадках, обмеження або позбавлення волі від 3 до 5 років. Відповідальними за умисні неправомірні дії щодо конфіденційної інформації (ст. 182 ККУ) можуть бути будь-які працівники медичного закладу, які вчинили такі дії.
• Умисні неправомірні дії щодо інформації, що становить лікарську таємницю, якщо це спричинило тяжкі наслідки (ст. 145 Кримінального кодексу України). Такі дії можуть проявлятися у розголошенні лікарської таємниці або порушенні обов’язку щодо захисту персональних даних (наприклад, незаконне збирання, зберігання, використання, знищення, розкриття персональних даних третім особам). Тяжкими наслідками може вважатися звільнення з роботи, самокалічення або погіршення здоров’я особи, інформація щодо якої розголошена. Питання про визнання наслідків тяжкими повинне вирішуватись індивідуально у кожній справі з урахуванням усіх обставин. Відповідальність за такі дії може бути у вигляді штрафу від 17 000 грн до 68 000 грн, або громадських робіт на строк до 240 годин, або позбавлення права обіймати певні посади чи займатися певною діяльністю на строк до 3 років, або виправні роботи на строк до 2 років.

Важливо наголосити, що кримінальна відповідальність та адміністративна не можуть застосовуватись одночасно за одне й те саме діяння.

Наприклад, медичний працівник допустив розголошення персональних даних, що становлять лікарську таємницю, чим порушив законодавство про захист персональних даних. Як наслідок, до нього може бути застосовано адміністративне або кримінальне покарання разом з майновою та дисциплінарною відповідальністю. При цьому конкретний вид відповідальності за порушення законодавства в сфері ПД залежатиме від характеру вчиненого діяння, ступеня вини порушника, інших обставин та повинен бути проаналізований індивідуально в кожному випадку.

Варто зазначити не лише про відповідальність, але й про право медичних працівників на судовий захист. У разі порушення пацієнтами прав медичних працівників, медичні працівники мають право на судовий захист професійної честі та гідності (ст. 77 Закону України “Основи законодавства про охорону здоров’я”). Крім того, лікар має право відмовитись від подальшого ведення пацієнта, якщо останній не виконує медичних приписів або правил внутрішнього трудового розпорядку ЗОЗ, однак за умови, що це не загрожуватиме життю хворого і здоров’ю населення (ч. 4 ст. 34 Закону України “Основи законодавства про охорону здоров’я”).

Кращі практики та рекомендації 

На практиці можуть траплятись нестандартні ситуації, які з недостатньою чіткістю врегульовані законодавством, або ситуації, коли медичний працівник сумнівається, як правильно працювати з ПД. У таких випадках, необхідно звертатися за кваліфікованою порадою до юриста, відповідального за обробку ПД у закладі (якщо він призначений), та керівника ЗОЗ. Також корисним може бути пошук роз’яснень в Уповноваженого ВРУ з прав людини.

6.6.9. Висновки

Законодавство не містить вичерпного переліку ПД. Термін «персональні дані» охоплює всю інформацію, що дозволяє ідентифікувати конкретну особу.

Медичні дані та лікарська таємниця становлять особливі категорії ПД, конфіденційність яких повинна особливо оберігатись.

Працівники медичних закладів та інші особи, що отримують доступ до ПД пацієнтів, повинні дотримуватись конфіденційності ПД, не допускати їх розголошення та надавати доступ до ПД пацієнтів третім особам лише у випадках, що передбачені законодавством.

Базовим документом, який встановлює правове регулювання персональних даних, є Закон України «Про захист персональних даних». При цьому, зважаючи на особливості функціонування ЕСОЗ, деякі особливості обробки ПД та прав пацієнтів зазначені в постанові КМУ від 25.04.2018 № 411 «Деякі питання електронної системи охорони здоров’я» та нормативно-правові акти, якими регулюється порядок ведення окремих реєстрів.

За порушення правил обробки та захисту ПД (залежно від порушення та його наслідків) може наступати адміністративна, кримінальна, дисциплінарна та майнова відповідальність

6.6.10. Корисні посилання 

• Закон України «Про інформацію»
• Закон України «Про захист персональних даних»
• Закон України «Основи законодавства України про охорону здоров’я»
• Закон України «Про державні фінансові гарантії медичного обслуговування населення» 
• Типовий порядок обробки персональних даних у базах персональних даних
• Постанова КМУ № 411 від 25.04.2018 року «Деякі питання електронної системи охорони здоров’я»
• «Роз'яснення основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних»
• Бем М., Городиський І. Захист персональних даних: правове регулювання та практичні аспекти: науково-практичний посібник

Ключові слова / теги

Персональні дані, захист персональних даних, чутливі дані, лікарська таємниця, електронна система охорони здоров'я, доступ третіх осіб до даних, відповідальність