Поняття «власник персональних даних».

Це фізична чи юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки. В залежності від наявних повноважень власників персональних даних може бути кілька. Якщо ті самі дані окремо зберігаються у кількох суб’єктів (наприклад, юридичних осіб), і кожен з них наділений повноваженнями власника, то кожен з них є незалежним один від одного власником.

Приклад. Одна компанія передає (або продає) базу персональних даних своїх клієнтів іншій компанії. Після цього кожна із зазначених компаній, незалежно одна від одної, продовжує використовувати цю базу даних для власних потреб. Отже, кожен із них є власником наявних у цих базах персональних даних.

Заходи знеособлення даних медичними закладами — один з обов’язкових етапів на шляху до захисту персональних даних пацієнтів. Компанія, яка володіє медичними даними пацієнтів, поділяє дані про стан здоров’я та особисті дані особи, що дозволяють його ідентифікувати. При цьому використовується шифр, який надається зазначеним групам даних і в разі потреби дозволить встановити, кому з пацієнтів належать медичні дані. Знеособлені відомості про стан здоров’я передаються іншій компанії для проведення наукових досліджень. У цьому випадку провести ідентифікацію буде практично неможливо через заходи знеособлення.

Приклад. Лікарня створює реєстр пацієнтів та обробляє лише особисті дані (ім’я, прізвище, по батькові, адресу, телефон). Даним кожного пацієнта надають певний ідентифікатор. З медичних документів кожного із внесених до реєстру пацієнтів видаляють особисті дані та проставляють ідентифікатор, після чого документи надсилають до архіву. Так, лише той, хто має доступ до реєстру, знатиме, кому належить відповідна медична документація. Той, хто працюватиме з медичними документами (вчений, студент, службовець управління охорони здоров’я), не зможе ідентифікувати особу, бо працюватиме зі знеособленими даними.

Поняття «треті особи» та передача їм персональних даних.

Третя особа – це будь-яка особа, за винятком суб’єкта персональних даних, власника або розпорядника персональних даних та Уповноваженого ВРУ з прав людини. Третій особі власник чи розпорядник персональних даних передає персональні дані суб’єкта.

Передача персональних даних третій особі потребує наявності правових підстав, передбачених Законом. Третьою особою, можуть бути, наприклад, працівники власника, структурні підрозділи, яким власник може надати право доступу до персональних даних, які він обробляє.

Приклад. Власник чітко розмежував серед своїх працівників рівні доступу до персональних даних у базі даних, і працівник, який має такий доступ, передає персональні дані працівникові, який не має такого доступу, то така дія буде розглядатися як передача персональних даних третій особі. При цьому така дія буде незаконною.

Інші заходи, описані у попередньому розділі, є обов’язковими для закладів охорони здоров’я та медичних кабінетів фізичних осіб-підприємців,  які мають доступ до персональних даних та/або обробляють персональні дані.

Порушення законодавства у сфері захисту персональних даних тягне за собою адміністративну відповідальність на підставі ст. 188³⁹ Кодексу України про адміністративні правопорушення. Із прикладами судових справ стосовно захисту персональних даних ви можете ознайомитися за посиланням.

Стосовно питань щодо організації заходів захисту персональних даних у закладі охорони здоров’я, телефонуйте за номером, вказаним на сайті. 

Або скористайтеся формою зворотнього зв’язку нижче.