Медичні персональні дані в Україні: практичний гайд для бізнесу

Українські лабіринти обробки медичних даних

Медичний заклад, лабораторія, телемедична платформа, психологічний сервіс, застосунок для контролю прийому ліків, носимий пристрій або навіть CRM для приватної клініки майже завжди передбачають обробку медичної інформації.

До неї належать дані про стан здоров’я пацієнта, його діагноз, відомості, отримані під час медичних оглядів і обстежень, а також медична документація та інша інформація, що стосується здоров’я людини.

Правова специфіка медичних даних полягає в тому, що вони:

• є персональними даними, а отже підпадають під регулювання Закону України “Про захист персональних даних”;
• одночасно підпадають під правовий режим лікарської таємниці;
• в окремих випадках (телемедицина, медичні інформаційні системи) підпадають під галузеві вимоги МОЗ та спеціальні процедури.

Ця стаття про те, як бізнесу законно і безпечно вибудувати роботу з медичними даними: від вибору правових підстав до документів, доступів, логів, інцидентів та перевірок.

Правовий фундамент: Конституція та ЗУ “Про захист персональних даних”

Першим рівнем регулювання є Конституція України. 

Так, ст. 32 формулює базовий принцип: збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди не допускаються, за винятком випадків, прямо передбачених законом.

Для бізнесу це означає просте, але принципове правило: згода суб’єкта персональних даних є відправною точкою, а не факультативною опцією. 

Закон України “Про захист персональних даних” (далі — Закон) розвиває цей підхід і відносить медичні дані до окремої, спеціально захищеної категорії. 

Відповідно до ст. 7 Закону, обробка персональних даних про стан здоров’я, статеве життя, біометричних або генетичних даних загалом заборонена.

На відміну від “звичайних” персональних даних, для яких Закон визначає перелік допустимих підстав обробки (ст. 11), у випадку медичних даних діє зворотна логіка: спочатку заборона, і лише потім чітко окреслені законом винятки. 

Серед тих, які мають практичне значення для бізнесу слід виділити наступні: 

1. Однозначна згода суб’єкта персональних даних

Це найбільш універсальний і зрозумілий для бізнесу варіант. 

Але для медичних даних “згода” це не просто галочка. Вона має бути явно відокремлена від згоди на звичайні контактні дані чи маркетинг, повинна бути інформованою (хто, що, навіщо, кому, як довго), добровільною і наданою під конкретну мету. 

Практичний наслідок очевидний: якщо застосунок збирає симптоми, діагнози, життєві показники, то згода на обробку таких даних повинна бути окремою і зрозумілою, а бізнес має вміти довести факт її надання (версія тексту, дата/час, user ID, лог події).

2. Захист життєво важливих інтересів

Вона працює лише в екстрених ситуаціях, коли людина не може надати згоду, а обробка потрібна для порятунку життя чи здоров’я. 

Для бізнесу це означає: це аварійний виняток, який не можна перетворювати на “постійну основу”. Коли екстреність зникає, потрібно перейти на іншу легальну підставу.

3. Цілі охорони здоров’я

Це найважливіша та найпоширеніша підстава для закладів охорони здоров’я, лабораторій, онлайн-платформ, фармацевтичних сервісів, health-tech-стартапів, розробників медичних застосунків і IoT-пристроїв.

Закон дозволяє обробку медичних даних для:

• встановлення медичного діагнозу;
• забезпечення піклування або лікування;
• надання медичних послуг;
• моніторингу дотримання умов надання медичних послуг;
• функціонування електронної системи охорони здоров’я.

Водночас ця підстава має критично важливе обмеження: право на обробку медичних даних з цією метою мають не всі суб’єкти.

Зокрема, таке право мають лише:

• медичні працівники;
• фахівці з реабілітації;
• працівники закладів охорони здоров’я або реабілітаційних закладів (у тому числі адміністративний і технічний персонал);
• фізичні особи-підприємці, які мають ліцензію на медичну практику, та їхні працівники.

Ключова умова: на осіб, які здійснюють обробку, повинні поширюватися вимоги законодавства про лікарську таємницю, а також обов’язки щодо забезпечення належного рівня захисту персональних даних. Без цього посилання на “цілі охорони здоров’я” не працює як легальна підстава.

Окрім цього, Закон регламентує обов’язки володільців і розпорядників медичних персональних даних, права суб’єктів даних та інші важливі аспекти, які розглянемо в наступних розділах статті.

Коли законів не достатньо: підзаконні акти і регуляторна практика

Закони визначають загальні принципи та межі допустимого. Однак у сфері обробки медичних персональних даних не менш важливу роль відіграють підзаконні нормативно-правові акти та офіційні роз’яснення Уповноваженого Верховної Ради України з прав людини (далі — Уповноважений).

Саме ці документи дають відповіді на практичні питання, які найчастіше виникають у медичного бізнесу: як організувати процеси обробки даних, які документи необхідні, як діяти у типових і кризових ситуаціях.

Серед актів, які мають найбільше практичне значення, слід виділити наступні:

1. Типовий порядок обробки персональних даних

Типовий порядок обробки персональних даних деталізує вимоги Закону і переводить загальні положення у конкретні організаційні та процедурні обов’язки для бізнесу. Цей документ фактично встановлює мінімальний стандарт належної практики та часто використовується як орієнтир під час перевірок Уповноваженого.

Серед положень, які мають особливе практичне значення у сфері охорони здоров’я, варто виділити такі.

1. Фіксація згоди та інформування: типовий порядок вимагає зберігати документи або іншу інформацію, що підтверджують факт надання згоди та належного інформування суб’єкта персональних даних, протягом усього строку обробки. На практиці це означає, що для медичних сервісів недостатньо лише отримати згоду, необхідно мати можливість у будь-який момент підтвердити її зміст і спосіб отримання.
2. Реалізація прав суб’єктів персональних даних: документ конкретизує механізм реалізації прав пацієнтів, зокрема права вимагати припинення обробки або зміни складу даних. Такі звернення повинні розглядатися у встановлені строки, що на практиці потребує внутрішніх процедур, відповідальних осіб і зрозумілого процесу роботи із запитами.
3. Контроль доступу до персональних даних

Бізнес зобов’язаний:

• вести облік працівників, які мають доступ до медичних даних;
• визначати рівні доступу відповідно до їх службових обов’язків;
• застосовувати принцип “необхідного мінімуму”.

Працівники з доступом до медичної інформації повинні підписувати NDA, а доступ має припинятися одразу після їх звільнення або зміни функцій. Це безпосередньо впливає на кадрові процедури, управління IT-доступами та внутрішні політики безпеки.

4. Облік операцій з персональними даними: Типовий порядок передбачає фіксацію операцій із персональними даними (наприклад, збирання, зміну, перегляд, передачу або видалення) із зазначенням дати, мети та відповідальної особи. Для медичного бізнесу це фактично означає необхідність логування доступів і дій із медичною інформацією.
5. Відповідальна особа та реагування на порушення: у визначених випадках бізнес зобов’язаний призначити відповідальну особу або створити підрозділ із питань захисту персональних даних і повідомити про це Уповноваженого. Також необхідно документально фіксувати факти порушень процесів обробки та захисту даних.

Таким чином, Типовий порядок формує практичну дорожню карту впровадження вимог Закону і є базовим орієнтиром для медичних закладів і health-tech компаній, які вибудовують системний compliance, а не лише формальну відповідність.

2. Рекомендації Уповноваженого у сфері охорони здоров’я

Додатково варто враховувати рекомендації та підходи Уповноваженого. Навіть коли вони не створюють нових правових норм, вони відображають очікування під час перевірок та розгляду скарг. 

Ключові моменти цих рекомендацій:

1. Згода не є єдиною підставою обробки: Уповноважений прямо зазначає, що якщо обробка медичних даних здійснюється на іншій законній підставі, отримання згоди не є обов’язковим. Для бізнесу це означає необхідність правильно визначати правову підставу обробки, а не покладатися на згоду формально.
2. Обробка медичних даних як діяльність підвищеного ризику: обробка даних про стан здоров’я за загальним правилом вважається такою, що становить особливий ризик для прав і свобод осіб. У зв’язку з цим може виникати обов’язок повідомлення Уповноваженого та призначення відповідальної особи з питань захисту персональних даних.
3. Реальне забезпечення прав пацієнтів: заклади охорони здоров’я та медичні платформи повинні мати не лише декларативні положення у політиках, а й реальні процедури надання доступу до медичної інформації, строків реагування та відповідальних осіб.
4. План реагування на інциденти: рекомендації підкреслюють необхідність мати внутрішній порядок обробки персональних даних і план дій у разі інцидентів, зокрема несанкціонованого доступу, технічних збоїв або надзвичайних ситуацій.

У сукупності ці рекомендації формують практичний стандарт поведінки для медичного бізнесу та окреслюють питання, на які регулятор звертає першочергову увагу.

3. Наказ МОЗ №1695

Цим наказом затверджено порядок надання медичної та реабілітаційної допомоги із застосуванням телемедицини, що є ключовим галузевим актом для сервісів дистанційної медицини.

З точки зору обробки персональних даних про здоров’я увагу медичного бізнесу заслуговують такі моменти:

1. Широке визначення засобів телемедицини: до них віднесено не лише спеціалізовані платформи, а й інші інформаційно-комунікаційні системи, сервіси відеозв’язку, телеметричні рішення та програмно-апаратні комплекси. 
2. Персоніфікація відповідальності та управління доступом: порядок передбачає визначення відповідальних осіб, які організовують збір інформації та забезпечують доступ медичних працівників до систем.
3. Вимоги до конфіденційності та безпеки: телемедицина не є “спрощеним” режимом роботи з даними. Дистанційний формат не знижує стандартів безпеки, а навпаки підвищує вимоги до захисту каналів зв’язку, контролю доступу та надійності інформаційних систем.
4. Етичний аспект обробки даних: документ підкреслює необхідність дотримання принципу мінімізації даних і відповідності інтересам пацієнта навіть тоді, коли технічно можливий ширший збір інформації.

У результаті наказ формує галузеву рамку, в межах якої телемедичні сервіси повинні проєктувати свої технічні рішення та організаційні процеси.

Лікарська таємниця: коли Закон зустрічає Гіппократа

Обробка медичних персональних даних в Україні не зводиться лише до виконання вимог Закону. Паралельно діє окремий, значно старший правовий режим — лікарська таємниця.

На відміну від класичної логіки захисту персональних даних, яка оперує правовими підставами, цілями обробки та строками зберігання, інститут лікарської таємниці виходить з етичного та професійного обов’язку нерозголошення інформації про пацієнта. Для медичного бізнесу це означає накладання двох режимів регулювання, які потрібно враховувати одночасно.

Правову основу для лікарської таємниці становить Цивільний кодекс України, зокрема ст. 286, яка, серед іншого, покладає на осіб, яким медична інформація стала відома у зв’язку з виконанням службових або професійних обов’язків, обов’язок утримуватися від її поширення. 

Говорячи про обсяг лікарської таємниці, слід зазначити, що до неї належать на думку суду не лише діагноз чи результати обстежень, а фактично всі відомості, пов’язані зі здоров’ям людини, зокрема:

• обставини, що передували захворюванню;
• функціональні особливості організму;
• шкідливі звички;
• особливості психіки;
• інформація про інтимне та сімейне життя;
• відомості про стан здоров’я родичів і близьких осіб.

Важливо: суд також підкреслив, що обов’язок нерозголошення поширюється як на медичну, так і на немедичну інформацію про стан здоров’я, якщо вона стала відома у зв’язку з професійною діяльністю медичного працівника.

Додатково, ці положення деталізує Закон України “Основи законодавства України про охорону здоров’я”, який також передбачає:  

1. Право пацієнта на медичну інформацію: ст. 39 гарантує пацієнтові право на отримання повної та достовірної інформації про стан свого здоров’я, у тому числі:

• доступ до медичної документації;
• інформацію про діагноз, методи лікування та прогноз;
• роз’яснення ризиків, побічних реакцій і можливих наслідків лікування.

Водночас закон допускає обмежене надання інформації, якщо повне розкриття може зашкодити процесу лікування або стану здоров’я пацієнта.

2. Лікарську таємницю як професійний обов’язок: ст. 40 закріплює поняття лікарської таємниці як професійного обов’язку нерозголошення.

Так, обов’язок зберігати лікарську таємницю покладається не лише на лікарів, а й на:

• медичних працівників усіх категорій;
• інших осіб, яким інформація стала відома у зв’язку з виконанням професійних або службових обов’язків (зокрема адміністративний, технічний персонал, ІТ-фахівців, підрядників).

Розголошення допускається виключно у випадках, прямо передбачених законодавством. 

Окремо, конфіденційність відомостей про стан психічного здоров’я особи та надання психіатричної допомоги врегульовано Законом України “Про психіатричну допомогу”. 

Для медичного бізнесу та health-tech компаній лікарська таємниця означає, що:

• навіть законна обробка медичних персональних даних не знімає обов’язку нерозголошення;
• доступ до даних має бути обмежений з урахуванням професійної етики;
• будь-які співробітники та підрядники, які мають доступ до медичної інформації, повинні бути формально залучені до режиму лікарської таємниці;
• внутрішні політики, договори, NDA та процедури доступу мають прямо враховувати цей режим, а не обмежуватися загальними положеннями про захист персональних даних.

У результаті лікарська таємниця стає не “додатковою вимогою”, а фундаментальним обмеженням, навколо якого має будуватися вся система роботи з медичними даними.

Контроль і нагляд: як працює enforcement в Україні

Система захисту персональних даних в Україні не є декларативною. 

Законодавство передбачає реальні механізми контролю, перевірок і реагування на порушення, які безпосередньо впливають на діяльність бізнесу, зокрема у сфері охорони здоров’я.

Відповідно до Закону, контроль за додержанням законодавства здійснюють Уповноважений та суди. 

Однак саме Уповноважений відіграє ключову роль у щоденному enforcement: проводить перевірки, розглядає звернення, видає приписи та формує практику застосування законодавства. Для цього він наділений правом:

• проводити планові та позапланові перевірки володільців і розпорядників персональних даних;
• вимагати документи, пояснення та доступ до приміщень і інформаційних систем;
• складати акти перевірок і видавати обов’язкові до виконання приписи;
• звертатися до суду у разі системних або істотних порушень.

Порядок здійснення такого контролю детально врегульований окремим нормативним актом і не зводиться до формальної перевірки документів, на практиці оцінюється реальна організація процесів обробки даних.

Згідно із щорічною доповіддю Уповноваженого за 2024 рік до нього надійшло 857 звернень, які містили 1409 повідомлень від фізичних і юридичних осіб у сфері захисту персональних даних, а за результатами перевірок видано 85 приписів, обов’язкових для виконання.

Аналіз результатів перевірок показує, що більшість порушень мають не технічний, а організаційно-правовий характер. Найчастіше фіксуються такі проблеми:

• неправильно визначені правові підстави обробки;
• недостатнє інформування суб’єктів персональних даних;
• відсутність або формальність внутрішніх документів;
• відсутність обліку операцій з персональними даними;
• неврегульоване знищення або видалення даних;
• відсутність планів реагування на інциденти.

Для медичного бізнесу це означає:

• перевірятимуть не лише наявність політик, а й їх фактичне застосування;
• формальні документи без робочих процедур не знижують ризики;
• основна увага приділяється правовим підставам, прозорості та контролю доступу;
• скарга одного пацієнта може стати підставою для перевірки всієї системи обробки даних.

У цьому сенсі compliance у сфері медичних персональних даних це не разова підготовка документів, а постійно діюча система управління ризиками.

Практичні кроки для медичного бізнесу

Якщо зібрати вимоги Закону й підзаконних актів у практичний вигляд, отримаємо набір обов’язків, які для медичного бізнесу стають “мінімальним стандартом”: 

Обов’язок	Зміст норми	Практичне значення для медичного бізнесу
Дотримання принципів обробки	Обробка має здійснюватися для конкретних і законних цілей, бути прозорою, адекватною меті, дані мають бути точними, не надмірними та зберігатися не довше, ніж це необхідно (ст. 6).	Бізнес має заздалегідь зафіксувати цілі обробки, не збирати медичні дані “про запас” та визначити строки їх  зберігання медичних даних. У питанні строків зберігання персональних даних ключове значення мають спеціальні галузеві вимоги. Так, наприклад, історії хвороби стаціонарних хворих мають зберігатися не менше 25 років, а амбулаторних – не менше 5 років після вибуття.
Наявність законної підстави для обробки медичних даних	Обробка даних про здоров’я допускається лише за наявності однієї з підстав, прямо передбачених ст. 7 Закону (згода, охорона здоров’я, захист життєво важливих інтересів тощо).	Кожен сценарій обробки (реєстрація пацієнта, аналітика) має бути “прив’язаний” до конкретної правової підстави. Без цього обробка є незаконною.
Забезпечення прав суб’єктів персональних даних	Суб’єкти мають право на доступ, виправлення, знищення даних, відкликання згоди, заперечення проти обробки тощо (ст. 8, 15, 20).	Необхідно впровадити процедури для обробки запитів пацієнтів: окремий канал звернень, відповідальних осіб, контроль строків та якості відповіді.
Повідомлення Уповноваженого про ризикову обробку	Володілець зобов’язаний повідомити Уповноваженого ВРУ з прав людини про обробку, що становить особливий ризик для прав і свобод осіб (ст. 9), зокрема обробку медичних даних.	Для медичного бізнесу обов’язковим є подання такого повідомлення у визначеній формі та порядку, після чого необхідно перевірити факт його оприлюднення на офіційному вебсайті Уповноваженого.
Належне використання персональних даних	Дані можуть використовуватися лише за умови створення належних умов захисту; доступ працівників надається виключно в межах трудових обов’язків; обов’язок нерозголошення діє і після звільнення (ст. 10).	Потрібні NDA, політики доступу на основі ролей, логування доступів до медичних записів.
Інформування суб’єкта про обробку	Суб’єкт має бути повідомлений про володільця, склад даних, мету, свої права та отримувачів даних  під час збору або протягом 30 робочих днів (ст. 12).	Політика приватності для застосунку або закладу охорони здоров’я має бути обов’язковим і змістовним документом, який прямо відображає специфіку обробки медичних даних, описує реальні процеси їх збору, використання та передачі.
Дотримання правил поширення даних	Поширення без згоди можливе лише у випадках, прямо передбачених законом; суб’єкт у визначених випадках повідомляється про передачу третім особам (ст. 14, 21).	Передача даних має бути юридично оформлена та узгоджена із згодою пацієнта або законом.
Дотримання порядку доступу до даних	Доступ третіх осіб визначається згодою або законом; особа, яка отримує доступ, має взяти на себе зобов’язання щодо захисту даних; строки розгляду запитів — до 10 робочих днів (ст. 16–19).	Контракти з підрядниками повинні містити положення про захист персональних даних і відповідальність за порушення.
Забезпечення безпеки персональних даних	Володільці та розпорядники зобов’язані захищати персональні дані від втрати, знищення, незаконного доступу чи обробки (ст. 24).	Необхідні організаційні та технічні заходи: контроль доступу, шифрування, резервне копіювання, розмежування середовищ, внутрішні політики безпеки тощо.
Дотримання правил транскордонної передачі	Передача за кордон допускається лише за умови належного рівня захисту або за спеціальними підставами; у період воєнного стану діють окремі винятки для телемедицини (ст. 29, 30).	Використання іноземних хмар, SaaS-рішень чи лікарів за кордоном потребує окремого юридичного аналізу та фіксації підстав передачі.

Хто може допомогти з побудовою комплаєнс системи для роботи з медичними даними в Україні?

Legal IT Group мають глибоку експертизу у сфері захисту медичних персональних даних в Україні та допомагають медичним закладам, телемедичним платформам і MedTech-компаніям вибудовувати комплаєнс-системи відповідно до Закону України “Про захист персональних даних”, режиму лікарської таємниці, вимог МОЗ і практики Уповноваженого ВРУ з прав людини. Команда супроводжує весь цикл роботи з медичними даними: від визначення правових підстав обробки та підготовки згод і політик приватності до розробки внутрішніх порядків обробки, моделей доступу, логування та планів реагування на інциденти. Юристи Legal IT Group також допомагають впровадити режим лікарської таємниці для працівників і підрядників, підготувати NDA та договори з розпорядниками даних. Такий системний підхід дозволяє бізнесу не лише мінімізувати регуляторні ризики, а й вибудувати прозору та безпечну модель роботи з медичними даними.