Медико-правовой портал 103-law.org.ua
проект компании МедАдвокат

Проверки контролирующих органов: Государственная служба по защите персональных данных

Материал адресован руководителям медицинских учреждений. Содержит перечень вопросов, которые задаются в ходе проверки
Категория: Организация медицинского бизнеса
Комментировать
Вопросу о защите персональных данных в медицинской сфере посвящено ни одну публикацию.
Подготовленный материал адресован руководителям медицинских учреждений, а также сотрудникам, на которых возложены обязанности по сбору, обработке, использованию, сохранению и утилизации персональных данных сотрудников и пациентов лечебных учреждений.

Полномочия представителей Государственной службы Украины по вопросам защиты персональных данных (далее - Госслужба) представлены в Законе Украины «О защите персональных данных». Каждый желающий может с ним ознакомиться самостоятельно.

На одном из последних мероприятий – Конференции: «Защита персональных данных: право, практика, надзор», - Заместитель Главы Госслужбы, г-н В. Козак сказал, что в настоящий момент опубликован План проверок субъектов хозяйствования. Представители Госслужбы проводят плановые и внеплановые проверки.

Какие же вопросы могут задать руководителю медицинского учреждения представители Госслужбы во время проверки?

Данная статья как раз будет посвящена тем вопросам, которые представители будут заданы должностным лицам лечебно-профилактических учреждений.

Перечень вопросов для плановой проверки:


1.  Наличие у медицинского учреждения действительного факта обработки персональных данных: выяснения сферы деятельности (медицинская практика), категорий субъектов персональных данных (сотрудники, пациенты) и категорий персональных данных, которые обрабатываются (паспортные денные и т.д.).

2.  Наличие документов, регламентирующих деятельность субъекта проверки: учредительные и разрешительные документы.

3.  Статус медицинского уреждения по отношению к базам персональных данных: владелец, распорядитель или третье лицо.

4.  Наличие в медицинском учреждении документов, подтверждающих регистрацию баз персональных данных или копий документов относительно их отправки для регистрации в Госслужбу.

5.  Правовые основания для осуществления обработки персональных данных в базе персональных данных:
o  на основании разрешения, предоставленного в соответствии с законодательством Украины исключительно для осуществления полномочий;
o  на основании согласия, предоставленного субъектом персональных данных на обработку его персональных данных.

6.  Наличие нормативно-правового акта, учредительного или иного документа, регулирующего деятельность медицинского учреждения, который содержит или утверждает цель обработки персональных данных.

7.  Проверка соответствия цели обработки персональных данных целям, установленным нормативно-правовыми актами, учредительными или другими документами, а также цели, которая была указана руководством медицинского учреждения в заявлении на регистрацию базы персональных данных.

8.  Проверка соответствия определенной или установленной цели состава и содержания персональных данных, содержащихся в соответствующей базе персональных данных.

9.  Установление источников получения сведений о физическом лице.

10.  Наличие у медицинского учреждения персональных данных с особыми требованиями для их обработки, а также проверка наличия соответствующих правовых оснований для их обработки.

11.  Наличие добровольно предоставленного согласия субъекта персональных данных на обработку персональных данных, по которым установлены особые требования для их обработки.

12.  Законность осуществления медицинским учреждением составляющих процесса обработки персональных данных в соответствии с законодательством:
o  информирование субъекта персональных данных в течение десяти рабочих дней со дня включения его персональных данных в соответствующую базу персональных данных;
o  обеспечение целостности персональных данных и соответствующего режима доступа к ним;
o  проверка сроков обработки персональных данных в форме, допускающей идентификацию физического лица и правовые основания для установления именно таких сроков обработки персональных данных;
o  наличие и законность процедур распространения персональных данных;
o  законность процедур уничтожения персональных данных;
o  наличие уведомления субъекта персональных данных о включении в базу персональных данных, его права, определенные Законом, цель сбора данных и лиц, которым передаются его персональные данные;
o  соответствие данных и сведений, представленных медицинским учрежденим для регистрации баз персональных данных, фактическому состоянию обработки персональных данных в данном медицинском учреждении;
o  законность установленного в медицинском учреждении порядка доступа к персональным данным.

13.  Наличие у медицинского учреждения документов, устанавливающих процедуры обработки персональных данных и связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением, обезличением, уничтожением сведений о физическом лице (Положение об обработке персональных данных и т.д.).

14.  Установлением медицинским учреждением:
o  порядка внесения, изменения, обновления, использования, распространения, обезличивание, уничтожение персональных данных в базе персональных данных;
o  порядка защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним;
o  распространение на все действия субъекта проверки всех требований по защите персональных данных от незаконной обработки, а также от незаконного доступа к ним.

15.  Наличие в медицинском учреждении сотрудников - распорядителе базы персональных данных.

16.  Порядок доступа к персональным данным, которые обрабатываются медицинским учреждением, третьих лиц.

17.  Наличие трансграничной передачи персональных данных иностранным субъектам отношений, связанных с персональными данными. В случае наличия — установление соответствующих процедур.

18.  Наличие документа об определении структурного подразделения или ответственного лица, которые организуют работу, связанную с защитой персональных данных при их обработке, а также документов, регламентирующих его деятельность.

19.  Выполнение структурным подразделением или ответственным лицом лечебного учреждения задач по организации работы, связанной с защитой персональных данных при их обработке.

20.  Ведение медицинским учреждением учета фактов предоставления и лишения сотрудников права доступа к персональным данным и их обработки, а также попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.

21.  Разграничение режимов доступа сотрудников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.

22.  Организация обработки субъектом проверки персональных данных в форме информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных в соответствии с действующим законодательством.

23.  Выполнение руководством медицинского учреждения требований по внедрению организационных и технических мер защиты персональных данных при их обработке в форме картотек.

При внеплановой проверке со стороны Госслужбы проводится проверка наличия правонарушения, указанного в жалобе, на основании которой данная проверка проводится.

Данный материал был подготовлен и адаптирован под потребности медицинских учреждений на основании официальной информации, переданной для публикации в СМИ Главой Государственной службы Украины по вопросам защиты персональных данных Алексеем Мервинским.
Автор: Елена Беденко-Зваридчук Просмотров (6846) 25.05.2012 Теги: плановые и внеплановые проверки, руководитель медицинского учреждения, защита персональных данных
Добавить коментарий


Актуально


24.10.2016
Соціальний пакет для київського медика у 2017 році

13.10.2016
Особливості правового регулювання репродуктивної медицини та сурогатного материнства. Чи потрібні зміни?

22.08.2016
Новий зір отримають воїни АТО, учасники революції Гідності, члени їх сімей, а також малозабезпечені громадяни України