Шиловский Леонид, медицинский эксперт ЮК «Правовой Альянс»
Бежевец Алексей, Партнер ЮК «Правовой Альянс»
1 січня 2011 року вступив в дію Закон України «Про захист персональних даних». Сфера дії закону спрямована на впорядкування правовідносин, пов’язаних із захистом персональних даних під час їх обробки. Даний нормативно-правовий акт досить логічно кореспондується з відповідними нормоустановчими документами, які діють в ЄС в даній галузі:
Враховуючи, що Конвенція про захист осіб в зв’язку з автоматизованою обробкою персональних даних (далі - Конвенція) та Додатковий протокол до неї були ратифіковані Україною, слід відзначити тісний взаємозв’язок норм законодавства України в даній галузі із законодавством країн-учасниць Конвенції.
Наглядові органи, відповідальні за дотримання законодавства з захисту персональних даних
Відповідно до статті 28 Директиви 95/46/ЄС та додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних, щодо органів нагляду та транскордонних потоків даних3передбачалось, що кожна з держав-учасниць угоди ЄС створить державні органи, які будуть відповідати за моніторинг застосування в межах її території положень, прийнятих державами-членами відповідно до зазначеної Директиви, тобто за моніторинг дотримання положень по захисту персональних даних. Таким чином, була закріплена концепція створення системи захисту персональних даних в кожній країні ЄС.
Крім створення відповідного наглядового органу, дана концепція передбачала введення в дію в кожній країні одного чи декількох нормативних актів, що створюють відповідний правовий механізм захисту персональних даних. В Україні поряд з рештою європейських країн має місце аналогічна тенденція – на виконання положень Закону України «Про захист персональних даних» Указом Президента України № 1085/2010 «Про оптимізацію системи центральних органів виконавчої влади» було створено Державну службу України з питань захисту персональних даних. Стаття 23 закону визначає повноваження зазначеного уповноваженого центрального органу виконавчої влади з питань захисту персональних даних, наголошуючи на його інспекторській та міжурядовій складових. Інспекторська складова органу дозволяє здійснювати контроль за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до закону доступу до інформації, пов'язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка. Водночас про наявність міжурядової складової свідчить обов’язок даного органу брати участь в у роботі міжнародних організацій з питань захисту персональних даних. Такими міжнародними організаціями є Федеральна комісія з захисту персональних даних (Швейцарія), Іспанська служба захисту даних (Іспанія), Комісія Італії з захисту даних (Італія), Інспекція даних (Швеція), Австрійська комісія із захисту даних (Datenschutzkommission, Австрія), Уповноважена особа федеральної комісії із захисту даних (Німеччина), Національна комісія з інформатики та свобод (Commission Nationale de l' Informatique et des Libertes – CNIL, Франція).
Як зазначалось вище, норми, визначення та інституції країн-учасниць Конвенції є ідентичними, а тому поняття «персональних даних» та об’єм інформації, який закладається в це поняття, має однакове тлумачення – це інформація, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі – суб’єкт даних).4 Відповідно, функції уповноважених наглядових органів є подібними, різниця в їх діяльності полягає в об’ємі повноважень, які їм надаються в зв’язку із здійсненням покладених на них функцій. Однієї з основних спільних функцій є судовий позов, в результаті якого можливе застосування відповідних санкцій – штрафу або ув’язнення. Крім того, вирок, винесений судом, може бути опублікований у пресі. Наприклад, стаття 197 Кримінального кодексу Іспанії визначає що той, хто розповсюдив або надав третій особі отримані відомості особистого або сімейного характеру, які знаходились в інформаційних, електронних або телевізійних картотеках або інших приватних або суспільних архівах або реєстрах (базах даних), карається позбавленням волі на термін від 2 до 5 років.
Безумовно, передача інформації, яка визначається як персональні дані, від розпорядника інформації до її володільця, який знаходиться в іншій країні, несе високий ризик втрати контролю та нагляду за законністю використання такої інформації. А тому, враховуючи міжурядовий характер Державної служби з питань захисту персональних даних, слід мати на увазі, що є достатньо підстав говорити про тісну та активну співпрацю в галузі захисту та обробки персональних даних, притягнення до відповідальності, проведення спільних розслідувань та тощо, тим більше, що вимоги до робочої термінології в даному чи не єдиному в законодавстві України випадку є абсолютно уніфікованими для органів внутрішніх справ країн ЄС. Дійсно, обов’язок співробітництва між наглядовими органами встановлений статтею 13 Конвенції. Окреме зацікавлення викликає пункт b) частини 3 згаданої статті Конвенції, згідно якого орган, призначений однією Стороною, на прохання органу, призначеного іншою Стороною, відповідно до свого внутрішнього законодавства та виключно з метою захисту недоторканості приватного життя вживає всіх відповідних заходів для надання фактичної інформації стосовно конкретної автоматизованої обробки, яка здійснюється на його території, але за винятком персональних даних, що обробляються.
Аналіз перелічених норм права свідчить про можливість застосування санкцій до суб’єктів господарювання, зареєстрованих на території країн-учасниць Конвенції (країни ЄС), які порушують її норми в результаті діяльності в Україні. Іншими словами, за порушення в сфері захисту та обробки персональних даних громадян України, скоєні українським підрозділом (представництвом) компанії-резидента країни ЄС, даний суб’єкт господарювання може нести відповідальність згідно законодавства тієї країни ЄС, в якій його зареєстровано .
Наприклад, база даних лікарів (до яких здійснюють візити медичні представники або які приймають участь в клінічному дослідженні (далі - КД) в якості дослідників), яка зберігається/використовується в штаб-квартирі європейської компанії, теж підлягає автоматизованій обробці та реєстрації, а отже підпадає під регулювання зазначених директив та Конвенції, оскільки ані директиви, ані Конвенція не визначають обов’язковою умовою дії норм захисту персональних даних громадянство тих осіб, дані яких містяться в базі даних.
Хто має право повідомляти наглядовому органу про порушення?
Згідно установленої практики в країнах-учасниках Конвенції, завдання повідомляти наглядовому органу про порушення покладене на суб’єктів даних та асоціації, що їх представляють, а також на будь-які зацікавлені треті сторони.
Хто має право надсилати запити до наглядового органу, володільця або розпорядника персональних даних?
Відповідно до згаданого вище законодавства, суб’єкт, який знає, що його персональні дані знаходяться в законному чи незаконному володінні іншого суб’єкта (фізичної чи юридичної особи), має можливість звертатись як до розпорядника/володільця таких даних, так і до наглядового органу з вимогою витребувати інформацію про наявність його персональних даних в інших осіб та просити про проведення перевірки стосовно законності використання його персональних даних.
Правові засади захисту персональних даних відповідно до Конвенції про захист прав людини і основоположних свобод та практики Європейського суду з прав людини
Тлумачення права захисту невтручання в особисте життя в досить деталізованому та розкритому вигляді ми знаходимо в практиці Європейського суду з прав людини (ЄСПЛ). Так, відповідно до частини 1 статті 8 Європейської конвенцій з прав людини (ЄКПЛ), «Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції». Як свідчить практика Європейського суду з прав людини мова йде саме про захист «приватного та сімейного життя», яке містить таку складову приватного життя, як «особисту ідентичність». Таким чином, під даним поняттям Європейський суд розуміє:
Охорона даних особистого характеру, і особливо медичних даних, має основоположне значення для здійснення права на повагу до приватного і сімейного життя. Дотримання конфіденційності відомостей про здоров’я становить основний принцип правової системи всіх держав-учасниць Конвенції. Він є важливим не лише для захисту приватного життя хворих, а й для збереження їхньої довіри до працівників медичних закладів і системи охорони здоров’я взагалі. Національне законодавство має забезпечувати відповідні гарантії, щоб унеможливити будь-яке повідомлення чи розголошення даних особистого характеру стосовно здоров’я, якщо це не відповідає гарантіям, передбаченим статтею 8 Конвенції».5 Крім того, ЄСПЛ підкреслює, що «розголошення інформації може мати руйнівні наслідки для приватного і сімейного життя відповідної особи та для її соціального і професійного становища, виставляючи її на безчестя і наражаючи на небезпеку ізоляції».6 Безумовно, не існує абсолютного права пацієнта знати всі медичні дані стосовно стану свого здоров’я,7 але як зазначалось вище, наявність в кримінальних кодексах ряду країн відповідних деліктів та досить жорстокої відповідальності за них свідчить про існування абсолютної заборони для інших осіб розголошувати персональні дані людини.
Як саме визначається захист персональних даних при проведенні КД в країнах-учасницяхКонвенції ?
Відповідно до частини 1 статті 30 Директиви 2005/28/ЄС від 08.04.2005 року, яка встановлює принципи та детальні настанови належної клінічної практики, які стосуються досліджуваних ЛЗ для вживання людиною, а також вимог надання дозволу на виготовлення або імпорт таких продуктів, країни-учасниці ЄС зобов’язані приймати всі необхідні заходи, які забезпечують дотримання конфіденційності інспекторами та іншими спеціалістами. Стосовно персональних даних суб’єктів клінічних випробувань необхідно дотримуватись вимог Директиви 95/46/ЄС, яка була прийнята Європейським парламентом та Радою 24.10.1995 року. Лаконічною характеристикою вимог Директиви 95/46/ЄС є постулат, згідно з яким дані, які за своєю природою можуть порушити основні свободи і таємницю приватного життя, не повинні оброблятися доти, доки суб'єкт даних не дасть своєї згоди.8
Наказ МОЗ від 23.09.2009 року № 690 «Про затвердження Порядку проведення клінічних випробувань лікарських засобів та експертизи матеріалів клінічних випробувань і Типового положення про комісії з питань етики» пропонує типову форму заяви інформованої згоди. Проте, даний наказ не встановлює вимог до заяви інформованої згоди, лише в загальних рисах окреслюючи необхідність наявності такої заяви. Відповідно, на практиці, в заявах інформованої згоди, які пропонуються дослідниками, часто не йде мова про наявність застережень та прохання дозволити використання персональних даних пацієнтів, які беруть участь в дослідженні. Слід також окремо відзначити вимогу заповнення індивідуальних реєстраційних форм (ІРФ) на пацієнтів, які беруть участь в КД. ІРФ містять фактичну вимогу надання виключного анамнезу життя та здоров’я пацієнта, що вимагається для прийняття рішення щодо включення такого пацієнта в КД. В даних випадках мова йде про можливість порушення положення, яке передбачається частиною 38 Директиви 95/46 від 24.10.1995 року: «Враховуючи, що для того, щоб обробка даних була справедливою, суб'єкт даних повинен могти взнати про існування факту обробки і, якщо дані отримані від нього, повинен одержати точну і повну інформацію з урахуванням обставин збору даних». Тобто, мова в директиві йде не тільки про відкриття персональних даних третій стороні (навіть на законних підставах), але і про факт їх статистичної обробки.
2 згідно статті 29 Директиви 95/46/ЄС в 1996 році була створена постійно діюча Робоча група з метою гармонізації європейського права в сфері захисту персональних даних та консультацій
3 прийнятий 8.11.2001 року в Страсбурзі та ратифікований Верховною радою 06.07.2010 року
4 Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних, частина а) статті 2
5 рішення у справі «M.S. проти Швеції» (M.S. c. Suede) від 27.08.1997 року, Recueil 1997, п. 41
6 рішення у справі «Z проти Фінляндії»: встановлення в рамках кримінальної справи дати виявлення ВІЧ в організмі обвинувачуваного
7 DR 84, c. 169: відмова в розголошенні історії хвороби психічнохворого
8 Директива 95/46/ЄС, частина 33 преамбули
Подія присвячена трансформації сфери інтелектуальної власності України на шляху до євроінтеграції.
Покращення доступу населення України до безпечних та доступних лікарських засобів є одним із пріоритетів Уряду країни. Проєкт SAFEMed (2017-2025) підтримав такі зусилля через застосування найкращих практик вдосконалення системи охорони здоров’я.
30 років LA Law Firm — це насамперед історія людей. Від перших студентських перемог у судах до масштабних реформ, що змінюють країну. «Юридична Газета» зібрала розповіді команди, яка зростала разом із фірмою та зберегла головне — віру в професію й бездоганну репутацію.
30 років LA Law Firm — це насамперед історія людей. Від перших студентських перемог у судах до масштабних реформ, що змінюють країну. «Юридична Газета» зібрала розповіді команди, яка зростала разом із фірмою та зберегла головне — віру в професію й бездоганну репутацію.
