Специалисты в области трудового права, образования и науки, а также здравоохранения, работники Государственной службы Украины по вопросам защиты персональных данных разработали рекомендации относительно дальнейшего приведения обработки персональных данных в учреждениях здравоохранения в соответствии с требованиями по АКОН «О защите персональных данных ». В частности разработано положение о порядке обработки баз персональных данных «Работники».
Напомним, что во исполнение требований Закона Украины от 01.06.2010 г.. № 2297-VI «О защите персональных данных» приказом Министерства юстиции от 30.12.2011 г.. № 3659/5 утвержден Типовой порядок обработки персональных данных в базах персональных данных (далее - типичный порядок). К разработанных рекомендаций добавлено образцы таких документов:
- согласие работника на обработку его персональных данных,
- уведомления работника о правах в сфере защиты персональных данных,
- журнал регистрации документов по вопросам обработки персональных данных,
- обязательство о неразглашении персональных данных,
- журнал регистрации обязательств о неразглашении персональных данных.
Типовой порядок устанавливает общие требования к организационным и техническим мерам в сфере защиты персональных данных при их обработке в базах персональных данных владельцами и распорядителями баз персональных данных. Управленческая деятельность в любом учреждении здравоохранения (далее - учреждение) регламентируется с помощью организационно-распорядительных документов, прежде всего, локальных нормативных актов - в каждом заведении должен быть разработан такой документ, который будет регулировать порядок обработки и защиты персональных данных физических лиц, например, положение о порядке обработки персональных данных в базах персональных данных учреждения (далее - положение).
Учитывая, что в каждом заведении, как правило, обрабатывается несколько баз персональных данных, в положении может быть представлено общий порядок обработки всех баз персональных данных заведения (с конкретизацией о порядке (особенностей) обработки по каждой из баз). В таком случае действие положения распространяется на все базы персональных данных заведения. Вместе с тем, положение может быть разработан и по каждой из баз персональных данных отдельно, например:
- положение о порядке обработки и защиты базы персональных данных «Работники»;
- положение о порядке обработки и защиты базы персональных данных «Пациенты»;
- положение о порядке обработки и защиты базы персональных данных «Контрагенты».
Кроме того, разработчики рекомендаций обращают внимание, что владелец базы персональных данных может поручить обработку персональных данных распорядителю базы персональных данных только в соответствии с договором в письменной форме. Особое внимание необходимо уделить отражению организации работы по обработке запросов о доступе к персональным данным субъектов отношений, связанных с обработкой персональных данных.
Сроки хранения персональных данных в организационно-распорядительных, бухгалтерских документах, первичных учетных документах, личных делах в учреждениях определяются на законодательном уровне соответствующими нормативно-правовыми актами. В положении необходимо определить порядок защиты персональных данных в автоматизированных системах и картотеках. При определении особенностей защиты персональных данных в автоматизированных системах следует учитывать положения Закона Украины от 05.07.1994. № 80/94-ВР «О защите информации в автоматизированных системах».
В конце прошлого года внимание общественности было приковано к проблемам, связанным с защитой персональных данных. Отсутствие четкого определения термина «база персональных данных», а также искусственное трактовки нарушений требований Закона Украины «О защите персональных данных» и большие размеры штрафа за уклонение от государственной регистрации баз персональных данных (для субъектов предпринимательской деятельности - от 500 до 1000 необлагаемых минимумов доходов граждан) привели к возмущению в бизнес-среде. Ежедневно очереди желающих зарегистрировать базы персональных данных выстраивались в помещениях Государственной службы по вопросам защиты персональных данных.
Ответственность за нарушение законодательства в сфере защиты персональных данных предусмотрена в Кодексе Украины об административных правонарушениях и Уголовном кодексе Украины и была введена с 1 января 2012 Однако из-за того, что для предприятий, учреждений и организаций оказалось недостаточно летнего адаптационного периода для приведения своей деятельности в соответствие с требованиями законодательства, а также из-за недостаточной кадровой укомплектованности контролирующего органа срок наступления ответственности за нарушение норм законодательства в вспомнит й сфере перенесено на 1 июля текущего года. Таким образом, 13.01.2012 г.. Были внесены изменения в Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» .
Поэтому, обращаем внимание на то, что с 1 июля 2012 предусмотрено наступления ответственности за нарушение норм законодательства в сфере защиты персональных данных. Нарушение требований закона «О защите персональных данных» могут быть обнаружены в ходе проверок сотрудниками Государственной службы по вопросам защиты персональных данных. График таких проверок (плановых и внеплановых) обнародуется на официальном сайте упомянутого государственного органа. Поэтому, тем, кто еще не зарегистрировал базы персональных данных, не стоит медлить с этим.
Пресс-служба «Еженедельника АПТЕКА»