GDPR, зміна режиму в законодавстві про захист персональних даних: вебінаром Андре ден Екстера розпочав роботу лекторій Центру медичного права
Лекторій Центру медичного права
Андре ден Екстер
21.12.2022

21 грудня 2022 року у Вищій школі адвокатури НААУ відбувся вебінар «GDPR: зміна режиму в законодавстві про захист персональних даних», спікером якого виступив Андре ден Екстер, кандидат юридичних наук, старший викладач університету Еразма (м. Роттердам, Нідерланди), член Консультативної ради Європейської асоціації медичного права.

Відкрила захід Ірина Сенюта, адвокат, голова Комітету медичного і фармацевтичного права та біоетики НААУ, керівник Центру медичного права ВША НААУ, яка відзначила, що вебінаром започатковано проведення публічного онлайн-лекторію. Це новий освітній проєкт Центру медичного права, у рамках якого учасники матимуть можливість познайомитися з провідними європейськими та національними експертами у галузі медичного права.

Директор Вищої школи адвокатури НААУ Савва Кузьменко подякував лектору за можливість долучитися до онлайн-лекторію та поділитися досвідом захисту персональних даних у сфері охорони здоров’я. При цьому він висловив надію на подальшу співпрацю у контексті предметного обговорення захисту персональних даних в Європі крізь призму застосування Конвенції 108 та GDPR в українських реаліях.

Під час вебінару Андре ден Екстер розглянув питання актуальності GDPR для сектору охорони здоров’я у розрізі основоположних приписів щодо захисту персональних даних.

Право на захист персональних даних є складовою права на приватне життя. Закріплення та регулювання права на захист персональних даних здійснюється низкою міжнародно-правових актів Ради Європи та Європейського Союзу.

На рівні Ради Європи базовим документом є Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108), що застосовується до будь-якого процесу оброблення даних як у приватному, так і в державному секторах. Конвенція покликана забезпечити дотримання права на недоторканість приватного життя у зв’язку з автоматизованою обробкою персональних даних, що її стосуються.

Витоки цього права містяться також у статті 16 Договору про функціонування Європейського Союзу, якою встановлено право кожного на захист персональних даних, а також право Європейської Ради та Парламенту встановлювати спільні правила обробки персональних даних для всіх держав – членів ЄС.

У Хартії основних прав ЄС гарантовано право на приватність та встановлено гарантії персональних даних.

Однак спільне загальноєвропейське регулювання обробки та захисту персональних даних було встановлено саме Загальним регламентом про захист персональних даних – GDPR (EU) 2016/679, який прийшов на зміну рамковій Директиві 95/46/ЕС.

Регламент встановлює правила, що стосуються захисту фізичних осіб у зв’язку з обробкою персональних даних та вільного переміщення персональних даних. Також він захищає основні права і свободи фізичних осіб і, зокрема, їх право на захист персональних даних.

GDPR визначає принципи законної обробки персональних даних, що включає в себе організацію, збір, зберігання, структурування, використання, консультації, комбінування, передачу, обмеження, знищення або видалення персональних даних. До таких принципів віднесено:

  • обмеження мети;
  • чесність, законність та прозорість;
  • мінімізація даних;
  • обмеження періоду зберігання;
  • точність;
  • конфіденційність;
  • підзвітність.

Для законної обробки персональних даних потрібно отримати вільно надану, обґрунтовану, конкретну і недвозначну згоду. Право на згоду також опосередковує можливість відкликати свою згоду на обробку персональних даних у будь-який час.

Захист медичних даних підпадає під спеціальний режим правового регулювання через особливу чутливість інформації. Під медичними даними розуміються всі дані, що стосуються стану здоров’я суб’єкта даних, які розкривають інформацію, що стосується минулого/поточного/майбутнього стану фізичного/психічного здоров’я суб’єкта даних, а також генетичні дані.

За загальним правилом обробка медичних даних забороняється, за винятком, якщо:

  1. На те є явна згода;
  2. Обробка необхідна:
  • для цілей профілактичної або професійної медицини, лікування або управління медичними послугами;
  • з міркувань суспільного інтересу у сфері громадського здоров’я;
  • для досягнення цілей наукового чи історичного дослідження або статистичних цілей.

GDPR також дозволяє державам-членам встановлювати або мати додаткові умови, включаючи обмеження для обробки генетичних, біометричних даних та даних про стан здоров’я.

У процесі обробки персональних даних має бути вжито належних заходів технічного та організаційного характеру задля запобігання будь-якому несанкціонованому втручанню в операції з обробки даних. Такі заходи можуть включати в себе:

  • псевдонімізацію та шифрування персональних даних;
  • анонімізацію;
  • включення положень про конфіденційність.

Крім того, необхідним є визначення належного рівня безпеки, що відповідає ризику. Регламент прямо про це не згадує. Визначення належного рівня безпеки залежить від кількох обставин: по-перше, якою є природа ризиків та самої інформації, яку ми захищаємо; по-друге, які засоби захисту інформації є доступними. Визначення належного рівня безпеки є індивідуалізованим та відбувається у кожному окремому випадку.

Контролери та процесори персональних даних є відповідальними за зберігання персональних даних та мають вчиняти усі необхідні дії для виконання положень Регламенту не тільки після того, як відбувся витік, а задовго до цього.

Для цього на локальному рівні мають застосовуватися такі інструменти:

  1. Призначення осіб, що відповідатимуть за захист персональних даних (так званих офіцерів);
  2. Здійснення оцінки впливу перед початком діяльності з обробки даних відповідно до ступеню ризиків;
  3. Проведення попередніх консультацій з наглядовим органом;
  4. Розробка кодексів поведінки для контролерів та процесорів.

У разі виявлення порушень Регламенту, лікарні/госпіталі зобов’язані повідомити контролюючі органи про цю обставину протягом 72 годин після виявлення порушення стосовно обробки і захисту персональних даних.

На рівні держав-членів мають створюватися окремі незалежні дорадчі органи, що здійснюють моніторинг відповідності дотримання законодавства стосовно захисту персональних даних та притягнення до відповідальності за порушення.

Загальноєвропейським контролюючим органом виступає Європейська рада із захисту даних.

За умови порушень правил обробки персональних даних Регламент передбачає:

  • право на подання скарги до контролюючого органу;
  • право на ефективний судовий захист;
  • застосування санкцій.

GDPR має транскордонний ефект. Передача персональних даних до третьої країни або міжнародної організації може відбуватися, якщо Комісія вирішила, що третя країна, територія або один чи більше визначених секторів у цій третій країні, або міжнародна організація, про яку йдеться, забезпечує відповідний рівень захисту.

Підписавши Угоду про асоціацію з ЄС, Україна погодилась співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, документів Ради Європи, шляхом обміну інформацією та експертами. Наразі можемо говорити лише про часткове застосування положень Регламенту, у майбутньому очікується повноцінне застосування положень GDPR через створення відповідної нормативно-правової бази.

Трансляція заходу доступна за посиланням: https://bit.ly/3WDo5xw