Процесуальні особливості обігу інформації, що містить персональні дані

Анотація

У статті розглядається питання обігу інформації, що містить персональні дані, досліджено правове регулювання обігу персональних даних у медичній, трудовій та соціальних сферах. Пропонується внесення відповідних змін до порядку отримання згоди в підзаконних нормативно-правових актах з метою застосування законодавства у сфері захисту персональних прав та дотримання конституційних прав громадян.

Ключові слова: персональні дані, правове регулювання, обіг персональних даних, обробка персональних даних, електронний реєстр пацієнтів, згода щодо обробки персональних даних, шляхи вдосконалення.

Аннотация

ПРОЦЕССУАЛЬНЫЕ ОСОБЕННОСТИ ОБРАЩЕНИЯ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ЛИЧНЫЕ ДАННЫЕ

В данной статье рассматривается вопрос обращения информации, содержащей персональные данные, исследовано правовое регулирование обращения персональных данных в медицинской, трудовой и социальных сферах. Предлагается внесение соответствующих изменений в порядок получения согласия в подзаконных нормативно-правовых актах в целях применения законодательства в сфере защиты персональных прав и соблюдения конституционных прав граждан.

Ключевые слова: персональные данные, правовое регулирование, обращение персональных данных, обработка персональных данных, электронный реестр пациентов, согласие по обработке персональных данных, пути совершенствования.

Annotation

PROCESSUAL FEATURES OF CURRENT INFORMATION CONTAINING PERSONAL DATA

This article deals with the issue of the circulation of information containing personal data, investigates the legal regulation of the circulation of personal data in the medical, labor and social spheres. It is proposed to introduce appropriate amendments to the procedure for obtaining consent in the sub legal normative acts in order to apply the legislation in the field of protection of personal rights and observance of constitutional rights of citizens.

Key words: personal data, legal regulation, circulation of personal data, processing of personal data, electronic register of patients, agreement on processing of personal data, ways of improvement.

правовий захист персональний дані

Постановка проблеми. Сучасний розвиток інформаційних систем, електронно-обчислювальних технологій, надання послуг медичного характеру, укладання трудових договорів, надання соціальних пільг та субсидій призвело до накопичення інформації про фізичну особу в цілому. У зв'язку з даною обставиною щодо можливості збирання, обробки та використання даних відбувається обіг інформації.

Поширення обігу інформації про фізичну особу вказує на можливість її ідентифікації за певними параметрами: статтю, віком, місцем проживання, наявністю майна, звичок, страхових полисів, хвороб тощо. У свою чергу, ідентифікація особи за певними параметрами призводить до можливості використання персональних даних третіми особами у власних корисливих інтересах, що призводить до порушення законодавства у сфері захисту персональних даних. Тому в умовах розбудови правової держави та переходу від індустріального до інформаційного суспільства виникає необхідність у дотриманні законного обігу та використання персональних даних.

Проаналізувавши чинне законодавство у сфері захисту персональних даних, ми виявили відсутність поняття обігу персональних даних, крім того, у процесі обігу персональних даних спостерігаються неузгодженості спеціального закону з положеннями інших законодавчих актів, котрі регулюють отримання, створення та використання інформації про фізичну особу у сфері трудових, медичних та соціальних правовідносин. Вказані обставини зумовлюють дослідження даної проблематики.

Аналіз останніх досліджень та публікацій.

Захист персональних даних завжди був та залишається об'єктом підвищеної уваги науковців та юристів. Сучасні дослідники приділяють значну увагу проблемним питанням обігу інформації, що містить персональні дані. Серед них варто відзначити таких: А. Баранов, В. Брижко, Ю. Базанов, В. Галаган, А. Марущак, О. Жуковська, А. Пазюк, Р. Чанишев, А. Чернобай, К. Беннетт, Д. Боркінг, Л. Брендейс, С. Дейвіс, Р. Кларк, В. Котші, М. Кьорбі, Ч. Рааб, С. Уоррен, М. Шонбергер. Кожен з них зробив значний внесок у вивчення та дослідження персональних даних, але проблема обігу інформації, що містить персональні дані, потребує подальшого опрацювання.

Постановка завдання. Метою статті є дослідження процесу обігу інформації, що містить персональні дані, правового регулювання даного обігу в умовах розвитку інформаційного суспільства.

Для досягнення поставленої мети необхідно виділити наступні завдання: розглянути поняття обігу та обробки персональних даних, здійснити дослідження процесуальних особливостей обігу інформації, що містить персональні дані в медичній, трудовій та соціальних сферах, на підставі проведеного дослідження здійснити узагальнення та висновки щодо проблемних етапів обігу інформації, що містить персональні дані.

Виклад основного матеріалу дослідження. Прийняття спеціального закону у сфері захисту персональних даних, а саме Закону України «Про захист персональних даних» зумовило введення в дію ряд спеціальних термінів, котрі знайшли своє відображення у структурі закону.

Із системного аналізу положень закону вбачається, що він містить ЗО статей та ділиться на три частини: 1) Загальну, котра включає в себе блок статей щодо сфери дії закону, визначення термінів, законодавства про захист персональних даних, суб'єктів відносин, пов'язаних із персональними даними, об'єктів захисту, права суб'єкта персональних даних, повідомлення про обробку персональних даних вимоги збирання, накопичення та поширення, видалення або знищення персональних даних; 2) Основну, котра містить у собі контроль за додержанням законодавства про захист персональних даних, повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних, забезпечення захисту персональних даних, відповідальності за порушення законодавства про захист персональних даних; 3) Додаткову, котра містить міжнародне співробітництво та передачу персональних даних.

У свою чергу загальна частина блоку статей надає нам розуміння наступних термінів: бази персональних даних, володільця персональних даних, згоди суб'єкта персональних даних, знеособлення персональних даних, картотеки, обробки персональних даних, одержувача, персональних даних, розпорядника персональних даних, суб'єкта персональних даних, третю особу. Закон містить десять основних термінів, котрі містяться у статті 2 Закону України «Про захист персональних даних» та два додаткових поняття, а саме володільця та розпорядника персональних даних, які є в ст. 4 Закону України «Про захист персональних даних».

Відповідно до ст. 2 Закону України «Про захист персональних даних» обробка персональних даних це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем [3].

Згідно зі ст. 34 Конституції України зазначено, що кожен має право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб на свій вибір [1].

Слід зазначити, що збір, обробка, зберігання використання персональних даних використовуються в багатьох сферах діяльності суспільства та держави, а саме в освітній, фінансовій, податковій, економічній, медичній, трудовій діяльності. Наявність дій щодо збирання, накопичення, зберігання, поширення, видалення та зниження персональних даних зумовлює необхідність дослідження положень закону в даній частині.

Отже, відповідно до ч. 1 ст. 12 Закону України «Про захист персональних даних» зазначено, що збирання персональних даних є складовою частиною процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу [3].

Згідно з положеннями ч. 1, 2 ст. 13 Закону України «Про захист персональних даних» зазначено, що накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них [3].

Відповідно до ч. 1 ст. 14 Закону України «Про захист персональних даних» зазначено, що поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних [3].

За таких обставин, проаналізувавши поняття «обробка персональних даних» та зазначені вище норми закону, можна зазначити, що обробка персональних даних включає в себе наступні обов'язкові структурні складові елементи: по-перше, це дія або сукупність дій, які зумовлені необхідністю отримання персональних даних, по-друге, можливість суб'єкта персональних даних, вираження даної дії у формі реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання та поширення інформації, що містить персональні дані, по-третє, наявність повноважень у володільця або розпорядника інформації проводити знеособлення, зниження персональних даних із використанням інформаційних систем.

За наявності дій, можливості їх вираження та повноважень призводять до обігу інформації у формі накопичення, використання, зберігання, вилучення або знищення та, в кінцевому результаті, до обігу персональних даних. У зв'язку з цим слід погодитися з думкою науковця Різак М.В., котрий зазначив, що під обігом персональних даних слід розуміти будь-яку дію або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, вилучення, поновлення, копіювання і поширення (розповсюдження, реалізація, передача), в тому числі з використанням інформаційних (автоматизованих) систем щодо персональних даних, у результаті яких ці дані не змінюються [7, с. 26]. Зазначені обставини вказують на необхідність внесення змін до Закону України «Про захист персональних даних» шляхом його доповненням терміном «обіг персональних даних».

У свою чергу використання інформації, що містить персональні дані, зумовлює процесуальні особливості обігу персональних даних із використанням норм Закону України «Про захист персональних даних» та інших нормативного правових актів.

Дослідивши норми Закону України «Про захист персональних даних» в частині застосування законодавства в медичної сфері, було встановлено законодавчу невизначеність надання медичних послуг або обробку даних про фізичну особу без отримання згоди суб'єкта персональних даних.

Згідно з вимогами ст. 2 Закону України «Про захист персональних даних» зазначено, що згода суб'єкта персональних даних добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене в письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб'єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб'єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки [3].

З метою створення електронного реєстру пацієнтів Кабінетом Міністрів України було прийнято постанову «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 року №546 [4].

Відповідно до п. З положення «Про електронний реєстр пацієнтів» зазначено, що реєстр є єдиною інформаційною системою збирання, реєстрації, накопичення, зберігання, оновлення, використання і поширення шляхом розповсюдження, реалізації, передачі, а також знищення відомостей про фізичну особу та отриману нею медичну допомогу [4].

Згідно з п. 5 положення «Про електронний реєстр пацієнтів» зазначено, що заклади охорони здоров'я всіх форм власності зобов'язані вносити до реєстру відомості про: фізичну особу, що містяться в затверджених наказами Міністерством охорони здоров'я України медичних облікових формах, заклад охорони здоров'я, в якому пацієнтові надано медичну допомогу, вид наданої пацієнтові медичної допомоги, лікарські засоби та вироби медичного призначення, закуплені для лікування пацієнта за кошти державного та місцевих бюджетів, згоду пацієнта на обробку персональних даних за встановленою Міністерством охорони здоров'я України формою [4].

Відповідно до п. 9 цього Положення зазначено, що володільці реєстру за наявності згоди пацієнтів на обробку їх персональних даних вносять інформацію до реєстру, обробляють її та забезпечують захист персональних даних, що вносяться до реєстру [4].

За таких обставин в електронному реєстрі пацієнтів має зберігатися, оброблятися та використовуватися значна кількість інформації, що містить чутливі персональні дані про наявність хвороби, стадії її лікування, діагнозу, історії хвороби, виписаних рецептів, що мають вагоме значення для пацієнта. Проте функціонування даного реєстру є неможливим та неефективним за відсутності згоди пацієнта на обробку його персональних даних, адже норми постанови Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 року № 546 містять обов'язкову вимогу отримання згоди від пацієнта.

Аналогічне положення містить в розділі 4 п. 1 наказу Міністерства охорони здоров'я України від 23.12.2015 року № 890 «Про затвердження Положення про реєстр пацієнтів, що потребують інсулінотерапії», відповідно до якого зазначено, що інформація про пацієнта вноситься до Реєстру користувачами І рівня за умови надання пацієнтом письмової інформованої добровільної згоди на обробку його персональних даних згідно з формою, наведеною в додатку 1 до цього Положення, або надання законним представником пацієнта письмової інформованої добровільної згоди законного представника на обробку персональних даних згідно з формою, наведеною в додатку 2 до цього Положення [5].

Без отримання відповідної згоди функціонування даного реєстру є, по суті, таким, який буде працювати з порушенням норм закону, також неотримання даної згоди призводить до відмови в наданні медичної допомоги, що є порушенням норм Конституції України.

Відповідно до ст. 49 Конституції України зазначено, що кожен має право на охорону здоров'я, медичну допомогу та медичне страхування. Охорона здоров'я забезпечується державним фінансуванням відповідних соціально-економічних, медико-санітарних і оздоровчо-профілактичних програм. Держава створює умови для ефективного і доступного для всіх громадян медичного обслуговування. У державних і комунальних закладах охорони здоров'я медична допомога надається безоплатно, існуюча мережа таких закладів не може бути скорочена. Держава сприяє розвиткові лікувальних закладів усіх форм власності [1].

Крім того, станом на сьогоднішній день спостерігається відсутність системи нормативно-правових актів, котрі б регулювали процес створення, функціонування, тестування, запуску електронного реєстру пацієнту, оскільки Положення про електронний реєстр пацієнтів, яке затверджене постановою Кабінету Міністрів України від 06.06.2012 року № 546, не врегульовує коло суспільних відносин у даних сферах та не зазначає, як само повинен діяти даний реєстр, як повинен створюватися та функціонувати, яка повинна бути взаємодія між державними органами і медичними закладами та громадськими організаціями для створення відповідного реєстру.

Відсутність законодавчого врегулювання взаємодії державних органів, медичних закладів та громадських формувань у сфері розробки та наповнення електронного реєстру пацієнтів призводить до порушення прав пацієнтів та до незаконного обігу і передачі персональних даних від медичних закладів, які є розпорядниками персональних даних, до громадських формувань чи IT-фірм, котрі здійснюють розробку та наповнення відповідного реєстру без відповідної згоди пацієнта.

Передача чутливих персональних даних від державних органів до громадських організацій та IT-фірм є порушенням п. З ст. 4 Закону України «Про захист персональних даних». Відповідно до п. З ст. 4 цього Закону зазначено, що розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу [3].

За таких обставин з будови даної норми закону вбачається, що розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, може бути лише: по-перше, підприємство державної форми власності, по-друге, підприємство комунальної форми власності. Тим часом громадські організації та приватні IT-фірми не є органами державної влади чи місцевого самоврядування та підприємствами державної або комунальної форм власності, а тому у відповідності до п. З ст. 4 Закону України «Про захист персональних даних» не мають права передавати отримані персональні дані іншим організаціям та підприємствам. Зазначені обставини вказують на необхідність внесення змін до Закону України «Про захист персональних даних».

Схожа ситуація спостерігається у співвідношенні норм Кодексу законів про працю України (далі КЗПП України) щодо обігу персональних даних.

Зокрема, згідно зі ст. 1 КЗПП України зазначено, що даний кодифікований акт регулює трудові відносини всіх працівників, сприяючи зростанню продуктивності праці, поліпшенню якості роботи, підвищенню ефективності суспільного виробництва і піднесенню на цій основі матеріального і культурного рівня життя трудящих, зміцненню трудової дисципліни і поступовому перетворенню праці на благо суспільства в першу життєву потребу кожної працездатної людини. Законодавство про працю встановлює високий рівень умов праці, охорону трудових прав працівників [2].

Таким чином, КЗПП України визначає правові основи та гарантії реалізації конституційного права на використання праці працівників та отримання працівниками роботи за необхідності надання необхідних документів для укладання трудового договору.

Перелік документів для укладання трудового договору міститься у ст. 24 КЗПП України, таким чином, згідно з вимогами даної статті зазначено, що, укладаючи трудовий договір, громадянин зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи [2].

Крім даних документів, у відповідності до вимог ст. 2 Закону України «Про захист персональних даних» в особи, котра бажає укласти трудовий договір, отримують згоду щодо обробки персональних даних.

У свою чергу, за відсутності надання документів про освіту чи про стан здоров'я або в разі відмови від надання згоди щодо обробки персональних даних, фізичній особі може бути відмовлено в наданні робочого місця та в укладанні трудового договору.

За таких обставин дана відмова є порушенням норм Конституції України, а саме ст. 43 Конституції України, відповідно до якої зазначено, що кожен має право на працю, що включає можливість заробляти собі на життя працею, яку він вільно обирає або на яку вільно погоджується. Держава створює умови для повного здійснення громадянами права на працю, гарантує рівні можливості у виборі професії та роду трудової діяльності, реалізовує програми професійно-технічного навчання, підготовки і перепідготовки кадрів відповідно до суспільних потреб [1].

Обіг персональних даних спостерігається із застосуванням законодавства у сфері надання субсидій. Зокрема, відповідно до постанови Кабінету Міністрів України «Про удосконалення порядку надання житлових субсидій» від 28.02.2015 року № 106 було затвердження форми бланків заяви про призначення житлової субсидії, декларації про доходи і витрати осіб, які звернулися за призначенням житлової субсидії [6].

Так, дослідивши затверджену форму заяви про призначення житлової субсидії, було встановлено, що дана заява вимагає надання згоди на обробку персональних даних про заявника та членів сім'ї заявника. Відсутність даної згоди призводить до отримання відмови в отриманні соціальної допомоги у вигляді субсидії, що є порушенням ст. 46 Конституції України, відповідно до якої зазначено, що громадяни мають право на соціальний захист, який включає право на забезпечення їх у разі повної, часткової або тимчасової втрати працездатності, втрати годувальника, безробіття з незалежних від них обставин, а також у старості та в інших випадках, передбачених законом [1].

Аналогічна ситуація спостерігається в банківській сфері щодо використання та обігу персональних даних, тому варто погодитися з думкою Новицького А.М., що в частині електронного банкінгу під час здійснення організаційно-правового забезпечення необхідною умовою є дотримання законодавства про захист персональних даних [8, с. 295].

Висновки

З урахуванням вищенаведеного, пропонуємо внесення змін до норм ст. 2 Закону України «Про захист персональних даних», та викласти термін обіг персональних даних в такій редакції:

«Обіг персональних даних» це відносини зі збирання, реєстрації зберігання, використання та поширення інформації, що містять персональні дані з використанням інформаційних (автоматизованих) систем, в результаті яких ці дані не змінюються.

Крім того, в разі процесуального обігу інформації, що містить персональні дані, необхідно також удосконалення чинного законодавства в галузі медицини, праці та отримання соціальних пільг. Зокрема, в галузі медицини з метою дотримання норм ст. 49 Конституції України пропонується виключення з постанови Кабінету Міністрів України «Про затвердження Положення про електронний реєстр пацієнтів» від 06.06.2012 року № 546 та наказу Міністерства охорони здоров'я України від 23.12.2015 року № 890 «Про затвердження Положення про реєстр пацієнтів, що потребують інсулінотерапії» норми про обов'язкову вимогу надання згоди щодо обробки персональних даних шляхом внесення відповідних змін.

Виключення даної згоди надасть можливість реалізації правової норми закону п. 6 ст. 7 Закону України «Про захист персональних даних», в яких щодо обробки персональних даних є виключення в частині, коли така обробка необхідна в цілях охорони здоров'я, встановлення медичного діагнозу для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних, та на якого поширюється законодавство про лікарську таємницю.

У частині ведення реєстру внести відповідні зміни до вказаних вище постанов, про те, що розробниками програмного забезпечення з функціонування електронного реєстру пацієнтів можуть бути громадські організації та IT-фірми, але після передачі даного програмного забезпечення його наповнення здійснюється виключно розпорядником персональних даних за умови використання персональних даних в медичних цілях.

З метою дотримання спрощеного порядку надання соціальної допомоги у формі субсидій в умові економічної кризи пропонується виключення з постанови Кабінету Міністрів України «Про удосконалення порядку надання житлових субсидій» від 28.02.2015 року № 106 положення про надання згоди щодо обробки персональних даних з урахуванням положення ст. 2 Закону України «Про захист персональних даних», в якій зазначено, що дана згода надається з урахуванням принципу добровільного волевиявлення фізичної особи, а не імперативного надання даної інформації, дане положення також слід застосовувати у трудовій діяльності.

Список літератури