Захист персональних даних. 

Обробка персональних даних у закладах охорони здоров’я

Постановою Кабінету Міністрів України від 16.02.2022 р. за №126 “Деякі питання провадження господарської діяльності з медичної практики“ встановлено строк, протягом якого суб’єкти господарювання, які отримали ліцензію на медичну практику до набрання чинності цією постановою, зобов’язані привести свою діяльність у відповідність до змін до Ліцензійних умов провадження господарської діяльності з медичної практики становить п’ять місяців з дня набрання чинності цією постановою.

Щодо Змін до Ліцензійних умов з медичної практики. 

Зміна 1 стосується Термінів та визначень, які вживаються під час регулювання медичної практики, а саме додавання нових термінів, що регулюються Законом України “Про захист персональних даних“. 

Зміна 2 зобов’язує ліцензіата дотримуватись вимог, передбачених Порядком функціонування електронної системи охорони здоров’я та порядками ведення відповідних реєстрів центральної бази даних електронної системи охорони здоров’я, затвердженими МОЗ.

Зміна 3 додає декілька обов’язків ліцензіата, а саме:

• зареєструватися в Реєстрі суб’єктів господарювання у сфері охорони здоров’я;
• забезпечити роботу з електронною системою охорони здоров’я, зокрема:

1. внесення первинної облікової медичної документації;
2. ведення обліку медичних послуг;
3. управління медичною інформацією;
4. використання функціональних можливостей електронної системи охорони здоров’я, які визначені законодавством обов’язковими в процесі провадження господарської діяльності з медичної практики.

Управлінська діяльність у  закладах охорони здоров’я регламентується за допомогою організаційно-розпорядчих документів, насамперед, локальних нормативних актів.

На виконання вимог Типового порядку у кожному закладі має бути розроблений локальний нормативний акт, що регулюватиме порядок обробки та захисту персональних даних фізичних осіб, наприклад, Положення про порядок обробки персональних даних у базах персональних даних закладу.

Зважаючи на те, що у кожному закладі, як правило, обробляється декілька баз персональних даних, у Положенні може бути викладено загальний порядок обробки усіх баз персональних даних закладу з конкретизацією щодо порядку (особливостей) обробки по кожній із баз. У такому разі дія Положення поширюватиметься на всі бази персональних даних закладу.

Разом з тим, Положення може бути розроблено і по кожній з баз персональних даних окремо, наприклад:

• Положення про порядок обробки та захисту бази персональних даних «Працівники»;
• Положення про порядок обробки та захисту бази персональних даних «Пацієнти»,
• Положення про порядок обробки та захисту бази персональних даних «Контрагенти»,
• Положення про порядок обробки та захисту бази персональних даних «Студенти» — у вищих медичних навчальних закладах та ін.

Отримуючи персональні дані від фізичної особи у закладі охорони здоров’я чи у медичного кабінету фізичної особи-підприємця виникають певні обов’язки щодо роботи з отриманими персональними даними: безпосередня участь у зборі, систематизації, накопиченні, зберіганні, уточненні, оновленні, зміні, поширенні та знищенні такої інформації. Так, лише медичні працівники закладу охорони здоров’я чи працівники медичного кабінету фізичної особи-підприємця, які отримала ліцензію на ведення медичної практики можуть обробляти дані про здоров’я пацієнтів за умови, що на них покладено обов’язки щодо забезпечення захисту персональних даних.

Захист персональних даних — це заходи, спрямовані на запобігання випадкової втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

Власник та розпорядник персональних даних мають вживати заходів, щоб забезпечити захист персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів, а також самостійно визначати перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних та інформаційної безпеки.

Для захисту персональних даних необхідно здійснити заходи, що спрямовані на безпеку обробки персональних даних, саме:

• розробка внутрішніх документів (правила, регламенти, політика тощо);
• навчання співробітників;
• створення структурного підрозділу або окремої посади для працівника, що організовує роботу, пов’язану із захистом персональних даних;
• ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта;
• інформування  Уповноваженого Верховної Ради України з прав людини про:

1. обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних;
2. зміну відомостей у процесі обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних;
3. припинення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних;
4. структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

ВАЖЛИВО!

Ці заходи є обов’язковими для закладів охорони здоров’я та медичних кабінетів фізичних осіб-підприємців,  які мають доступ до персональних даних та/або обробляють персональні дані.

Звертаємо Вашу увагу, що за порушення законодавства у сфері захисту персональних даних передбачено адміністративну відповідальність на підставі ст. 188³⁹ Кодексу України про адміністративні правопорушення.

Якщо у вас виникли питання щодо організації заходів захисту персональних даних у закладі охорони здоров’я, телефонуйте за номером, вказаним на нашому сайті. Або скористайтеся формою зворотнього зв’язку.

Комерційна пропозиція
Прайс-лист на послуги
Анкета для розрахунку вартості послуг
Перелік документів, що є предметом надання послуг
Перелік нормативних документів, на підставі яких розроблено

За сім кроків власноруч

Практичні приклади