26/06/2026 08:45

Перевірка додержання вимог законодавства у сфері захисту персональних Бершадською окружною лікарнею інтенсивного лікування на Вінниччині

Головним спеціалістом Відділу сприяння роботі регіональних представництв Секретаріату Уповноваженого Верховної Ради України з прав людини Ігорем Олійником здійснено планову безвиїзну перевірку комунального некомерційного підприємства «Бершадська окружна лікарня інтенсивного лікування Бершадської міської ради» (далі – суб’єкт перевірки, лікарня) на додержання законодавства про захист персональних даних .

Перевірка охоплювала виконання положень Закону України «Про захист персональних даних» (далі – Закон), Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02-14 (далі — Типовий порядок) та Порядку повідомлення Уповноваженого про обробку персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних (далі – Порядок повідомлення).

Під час перевірки встановлено низку порушень у сфері захисту персональних даних, які можуть створювати ризики для прав пацієнтів та працівників лікарні, а саме:

• внутрішні документи закладу не визначали належної мети обробки персональних даних, пов’язаної з наданням медичної допомоги, діагностикою та лікуванням пацієнтів. Так, від працівників вимагали надання згоди на обробку персональних даних у випадках, коли така обробка здійснюється роботодавцем на підставі прямих вимог Кодексу законів про працю України та не потребує отримання згоди.

Перевіркою встановлено, що у лікарні не забезпечено належного обліку окремих операцій з персональними даними, зокрема під час їх передачі та використання поза межами медичної інформаційної системи. Відсутність системної фіксації таких дій унеможливлює повноцінний контроль за законністю обробки персональних даних, їх рухом та колом осіб, які отримують доступ до конфіденційної інформації, що створює додаткові ризики для забезпечення права людини на захист персональних даних і збереження лікарської таємниці.

Окрему увагу звернуто на те, що працівники кадрової служби мали технічний доступ до медичної інформаційної системи, в якій містяться відомості про стан здоров’я пацієнтів, хоча такі повноваження не прописані в їхніх посадових обов’язках, подібна практика створює ризики для збереження лікарської таємниці та конфіденційності медичної інформації.

Крім того, встановлено порушення вимог щодо інформування суб’єктів персональних даних про порядок обробки та передачі їхніх персональних даних, так документи лікарні не містили належного обґрунтування підстав, мети та отримувачів персональних даних, що є важливою складовою забезпечення прозорості їх обробки.

Також встановлено порушення порядку інформування Уповноваженого про обробку персональних даних, що становлять особливий ризик для прав і свобод людини.

Медичні дані належать до найбільш чутливих категорій персональної інформації, а тому їх обробка потребує особливої відповідальності, прозорості та належного рівня захисту з боку закладів охорони здоров’я. Дотримання цих вимог є необхідною умовою забезпечення права людини на повагу до приватного життя та збереження конфіденційності інформації про стан здоров’я.

За результатами проведеної планової безвиїзної перевірки складено Акт перевірки та винесено обов’язковий Припис про усунення порушення вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки, які скеровані комунальному некомерційному підприємстві «Бершадська окружна лікарня інтенсивного лікування Бершадської міської ради».