Порядок действий мед. учреждения при регистрации в качестве оператора персональных данных

11

Что медицинскому учреждению необходимо сделать в первую очередь при регистрации в качестве операто­ра персональных данных?

Заместитель главного врача, Липецкая область

Для определения перечня необходимых и достаточных мер и способов защиты персональных данных (далее - ПД), организа­ция в обязательном порядке должна провести обследование имею­щихся у нее информационных систем (далее - ИС), а также выде­лить и классифицировать те ИС, в которых обрабатываются ПД.

Порядок проведения классификации утвержден соответ­ствующим совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России.

Каждому классу ИС ПД соответствует свой набор требований к безопасности, на основании которых в соответствии с Положе­нием о методах и способах защиты информации в информацион­ных системах персональных данных определяется перечень мер и средств защиты информации (далее - СЗИ). Такой порядок по­зволяет унифицировать состав применяемых программных и технических средств, сократить затраты на проектирование и проведение испытаний системы защиты, оценку соответствия ИС установленным требованиям к безопасности информации.

Классификация ИС ПД проводится на основе таких критериев, как категория ПД, их объем, характеристики безопасности и структура ИС, наличие подключения к сети Интернет, режим об­работки ПД, режим разграничения прав доступа пользователей, местонахождение технических средств.

Рассмотрим эти критерии подробнее.

Обрабатываемые ПД могут быть отнесены к одной из следую­щих категорий:

  • обезличенные и (или) общедоступные ПД (четвертая катего­рия);
  • позволяющие идентифицировать субъекта ПД (третья катего­рия);
  • позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением относя­щихся к первой категории (вторая категория);
  • касающиеся личной жизни, в т. ч. состояния здоровья, нацио­нальной принадлежности, политических взглядов, религиоз­ных убеждений и т. д. (первая категория).

Объем ПД обозначается показателем Х . Его возможные значения приведены ниже и зависят от количества субъектов (паци­ентов или работников организации), ПД которых обрабатывают­ся ИС:

1       - ПД более чем 100 тыс. субъектов, или по субъекту РФ в це­лом, или по Российской Федерации в целом;

2       - ПД от 1 тыс. до 100 тыс. субъектов, или по отрасли эконо­мики РФ в целом, или по муниципальному образованию в целом;

3       - ПД менее чем 1 тыс. субъектов, или по конкретной органи­зации.

Характеристики безопасности - конфиденциальность, це­лостность и доступность данных. Целостность (или сохранность) ПД означает степень их защиты от любого (случайного или пред­намеренного) несанкционированного удаления или изменения, а доступность - защиты от блокирования доступа к данным (не­возможности их обработки или использования).

По структуре ИС может представлять собой автономные (т. е. не связанные между собой) компьютеры, локальную вычисли­тельную сеть, территориально распределенную сеть.

Режим обработки ПД может быть однопользовательским либо многопользовательским. Права доступа пользователей к ПД могут быть одинаковыми или разными.

Местонахождение технических средств учитывается как “в пределах РФ” или “за границей”.

ИС может быть отнесена к одному из четырех классов в зави­симости от возможных последствий нарушения безопасности данных (конфиденциальности, целостности, доступности) для субъектов ПД:

К1 - значительные негативные последствия;

К2 - негативные последствия;

К3 - незначительные негативные последствия;

К4 - отсутствие негативных последствий.

Очевидно, что самым “защищаемым” должны являться ИС класса К1, в то время как для ИС класса К4 специальные меры защиты ПД не требуются.

В зависимости от заданных характеристик безопасности ПД, системы подразделяются на типовые и специальные. В типовых ИС ПД предусмотрено обеспечение только конфиденциальности данных, в специальных - кроме этого еще и целостности и (или) доступности.

Все ИС ПД, в которых обрабатываются данные о здоровье, не­зависимо от значения классификационных характеристик (в т. ч. от объема обрабатываемых данных) относятся к классу К1 и явля­ются специальными.

При выделении в составе ИС медицинского учреждения от­дельных групп ИС ПД основными критериями являются:

  • состав субъектов, ПД которых обрабатываются;
  • категория обрабатываемых ПД (см. выше);
  • цель обработки ПД (назначение системы).

Для типовых ИС ПД построение модели угроз безопасности информации не является обязательным.

Регистрация оператора осуществляется в соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

Форма и порядок направления уведомления для регистрации учреждения в качестве оператора ПД определены приказом Роскомнадзора от 16.07.2010 № 482. Остановимся на том, как пра­вильно заполнить это уведомление.

В поле “цель обработки персональных данных” вносятся формулировки “в медико-профилактических целях”, “в целях установления медицинского диагноза” или “в целях оказания ме­дицинских и медико-социальных услуг” (пп. 3, 4 ч. 2 ст. 10 Закона № 152-ФЗ), а также цели деятельности учреждения (так, как это указано в учредительных документах).

В поле “категории персональных данных” в случае обработки ПД пациентов (ПД первой категории) перечисляются: Ф. И. О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхо­вания, сведения о наличии льгот, страховой номер индивидуально­го лицевого счета гражданина в системе персонифицированного учета Пенсионного фонда РФ (СНИЛС), сведения о случаях обра­щения за медицинской помощью, данные о состоянии здоровья.

Для обработки ПД работников учреждения (ПД второй кате­гории) - Ф. И. О., пол, дата и место рождения, адрес места житель­ства, реквизиты документа, удостоверяющего личность, реквизи­ты полиса медицинского страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учета (образование, квалифи­кация, должность и т. д.), сведения о заработной плате.

Если в ИС хранятся и обрабатываются фотографии пациентов и (или) работников учреждения, то помимо перечисленного в этом поле необходимо также указать (привести) биометрические персональные данные (фотографии) (соответственно работников или пациентов).

Для хранения в ИС фотографии пациента или работника в электронном виде обязательно получение его письменного согла­сия (ст. 11 Закона № 152-ФЗ).

В поле “категории субъектов, персональные данные которых обрабатываются” указывается “работники (или пациенты) учре­ждения - граждане РФ (или стран СНГ, иностранные граждане, лица без гражданства)”.

В поле “правовое основание обработки персональных дан­ных” делается ссылка на пп. 3, 4 ч. 2 ст. 10 Закона № 152-ФЗ, ст. 31 Основ законодательства РФ об охране здоровья граждан, ст. 20 Федерального закона от 29.11.2010 № 326 (если учреждение ока­зывает медицинскую помощь в рамках обязательного медицин­ского страхования). Кроме того, при обработке ПД пациентов нужно указать реквизиты соответствующих лицензий (напри­мер, на медицинскую деятельность), при обработке ПД работни­ков учреждения - ст. 85-90 Трудового кодекса РФ.

В поле “перечень действий с персональными данными, об­щее описание используемых оператором способов обработки персональных данных” делается запись “смешанная обработка - ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”. Если в ЛПУ формируются массивы ПД для передачи во внешние органи­зации (страховые медицинские организации, фонд ОМС, меди­цинский информационно-аналитический центр и т. п.), то нужно указать, каким образом они передаются - на машинных носите­лях, по защищенным каналам связи и т. п.

При описании мер, которые оператор обязуется осущест­влять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке указы­вают класс ИС ПД. В качестве организационных и технических мер можно привести формулировки, “охрана, физическая защи­та и контроль доступа в помещения, в которых осуществляется обработка ПД; разграничение, контроль и учет доступа к данным в информационной системе; использование программных и тех­нических средств защиты информации; учет и контроль машин­ных носителей информации, содержащих персональные данные” и т. д.

При использовании в ЛПУ средств защиты информации, сер­тифицированных ФСТЭК России (обязательно для К1), или средств криптографической защиты информации, сертифициро­ванных ФСБ России, они должны быть перечислены в уведомле­нии с указанием индексов, условных наименований и регистрационных номеров, присвоенных им соответственно ФСТЭК Рос­сии или ФСБ России.

В поле “срок или условие прекращения обработки персо­нальных данных” можно указать “ликвидация или прекращение деятельности учреждения”.

Напомним также, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в Роскомнадзор.

На основании уведомлений органы Роскомнадзора формиру­ют и ведут единый реестр операторов ПД. Расходы на рассмотре­ние уведомлений и ведение реестра осуществляются за счет средств федерального бюджета. Регламент ведения реестра утвер­жден приказом Минкомсвязи России от 30.01.2010 № 18.

Решение о включении оператора в реестр принимается в тече­ние 30 дней с момента поступления уведомления. Роскомнадзор вправе проверять содержащиеся в уведомлении сведения, запра­шивать и получать информацию, необходимую для осуществле­ния своих полномочий, как у физических, так и у юридических лиц на безвозмездной основе. Ответ по запросу органов Роскомнадзора должен быть представлен в течение семи рабочих дней.

При включении в реестр каждому оператору присваивается регистрационный номер.

Нормативные и методические документы по теме:

  • Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”;
  • Положение об обеспечении безопасности персональных дан­ных при их обработке в информационных системах персо­нальных данных (утв. постановлением Правительства России от 17.11.2007 № 781);
  • Порядок проведения классификации информационных систем персональных данных (утв. приказом ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008);
  • Положение о методах и способах защиты информации в ин­формационных системах персональных данных (утв. прика­зом ФСТЭК России от 05.02.2010 № 58);
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных дан­ных (утв. ФСТЭК России 15.02.2008);
  • Методика определения актуальных угроз безопасности персо­нальных данных при их обработке в информационных систе­мах персональных данных (утв. ФСТЭК России 14.02.2008);
  • Методические рекомендации по организации защиты инфор­мации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. Минздравсоцразвития России 23.12.2009);
  • Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учрежде­ний и организаций здравоохранения, социальной сферы, тру­да и занятости (утв. Минздравсоцразвития России 23.12.2009);
  • Модель угроз типовой медицинской информационной систе­мы типового лечебно-профилактического учреждения (утв. Минздравсоцразвития России, согласована с ФСТЭК России, письмо от 27.11.2009 № 240/2/4009);
  • Административный регламент Федеральной службы по надзо­ру в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции “Ве­дение реестра операторов, осуществляющих обработку персо­нальных данных” (утв. приказом Минкомсвязи России от 30.01.2010 № 18);
  • Образец формы уведомления об обработке персональных дан­ных (утв. приказом Роскомнадзора от 16.07.2010 № 482).



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

Интервью

Врачей обяжут сообщать о потенциальных донорах

Врачей обяжут сообщать о потенциальных донорах

Алексей ПИНЧУК: журналу «Здравоохранение». Главные темы беседы – изменение правового поля донорства в России


Рассылка



Наши продукты




















© МЦФЭР, 2006 – 2016. Все права защищены.

Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009


  • Мы в соцсетях
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — журнал в формате pdf

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль