Организация автоматизированной обработки и защиты персональных данных в медицинском учреждении

3075

Конфиденциальность персональной информации не является новшеством последних лет. Конституция РФ декларирует право гражданина на неприкосновенность частной жизни и личной тайны (ст. 23) и устанавливает обязательность его согласия на сбор, хранение, использование и распространение таких сведений (ст. 24).

Этот вопрос не остался без внимания и в законодательстве, регулирующем оказание медицинской помощи. Так, “Основы законодательства Российской Федерации об охране здоровья граждан” (далее – Основы) относят к конфиденциальной информацию о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и лечении гражданина (ст. 61). Условия предоставления такой информации третьим лицам в отдельных случаях (при отсутствии согласия, несовершеннолетии или недееспособности гражданина) приведены в ст. 61 и 31 Основ.

Статья 192 Трудового кодекса, ст. 13.14 Кодекса об административных правонарушениях и ст. 137 Уголовного кодекса Российской Федерации предусматривают дисциплинарную, административную и уголовную ответственность за нарушения этих прав граждан. Однако на практике случаи наступления такой ответственности ранее были достаточно редки и касались, как правило, работников, непосредственно разгласивших конфиденциальные сведения.

Принятие Федерального закона “О персональных данных” от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ) (1) заставило руководителей медицинских организаций по новому взглянуть на проблему обеспечения конфиденциальности информации (как пациентов, так и работников).

Были конкретизированы права граждан – субъектов персональных данных, а также обязанности организаций, осуществляющих обработку персональных данных. Уполномоченным органом по защите прав субъектов персональных данных стала Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

К персональным данным относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (Указ Президента РФ от 06.03.1997 № 188 “Об утверждении перечня сведений конфиденциального характера”); любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных (ст. 3 Закона № 152-ФЗ).

Под обработкой персональных данных (далее – ПД) понимаются любые действия(операции) с персональными данными, включая: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение. Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД.

Конфиденциальность данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Новые требования к автоматизированной обработке ПД и обеспечению их конфиденциальности (помимо обязательного применения специальных программных и технических средств защиты информации) предопределяют необходимость изменения в организации рабочих процессов; уточнения должностных инструкций и регламентов взаимодействия между подразделениями; а также других локальных нормативных актов медицинского учреждения. Должна быть скорректирована и профессиональная подготовка персонала ЛПУ.

Во исполнение и для реализации требований Закона № 152-ФЗ Правительством РФ, Минкомсвязи России, Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности (ФСБ России) и Роскомнадзором был издан целый ряд нормативных документов, рекомендаций и разъяснений; организован официальный интернет-портал Роскомнадзора по вопросам защиты персональных данных (www.pd.rsoc.ru).

Минздравосцразвития России были подготовлены и опубликованы на его официальном сайте “Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости” (утв. 23.12.2009), “Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости” (утв.23.12.2009) и 26 приложений к ним (письмо Минздравсоцразвития России от 05.03.2010№ 328-29), “Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения” (письмо от 27.11.2009 № 240/2/4009). Федеральным фондом ОМС направлено письмо от 22.04.2008 № 2170/90-и “Об организации работ по технической защите информации”.

При создании комплексной системы защиты и безопасности информации ЛПУ потребуется подготовить и принять около 40 ранее необязательных организационно распорядительных документов (приказов, положений, инструкций, журналов, ведомостей и т. д.). Для этого нужны и время, и специальные знания.Важно Для проектирования и создания в ЛПУ системы защиты информации целесообразно привлекать специализированные организации, имеющие соответствующие лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности(ФСБ России)

Операторы персональных данных (медицинские организации, фонды ОМС, страховые медицинские организации) должны выполнить следующие действия:
• провести комиссионное обследование информационной системы (организации) и выделить в ее составе подсистемы, в которых обрабатываются персональные данные (далее – ИС ПД), провести их классификацию и оформить соответствующий акт в соответствии с “Порядком проведения классификации информационных систем персональных данных” (утв. приказом ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008);
• зарегистрироваться в качестве оператора ПД, для чего направить в территориальный орган Роскомнадзора уведомление, заполненное в соответствии с “Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных” (утв. приказом Роскомнадзора от 16.07.2010 № 482);
• организовать получение, учет и хранение письменного согласия субъектов ПД (как пациентов, так и работников своей организации) на обработку их персональных данных (ст. 6, 9 и 10 Закона № 152-ФЗ).Важно Частью 2 ст. 6 закона № 152-ФЗпредусмотрены случаи, не требующие оформления согласия на обработку ПД. К ним относятся случаи обработки ПД пациента при бесплатном оказании ему медицинской помощи по программе ОМС в соответствии с Федеральным законом от 29.11.2010 № 326-ФЗ “Об обязательном медицинском страховании в Российской Федерации”;

• организовать информирование пациентов (по их запросам) о целях, способах и сроках обработки и хранения их ПД, лицах, имеющих к ним доступ (ч. 4 ст. 14 Закона № 152-ФЗ), а также об обработке их ПД, полученных от третьих лиц (ст. 18 Закона № 152-ФЗ). Ответ на запрос пациента должен быть подготовлен и направлен ему в течение десяти рабочих дней. Напомним, что согласно ст. 31 Основ пациент имеет право непосредственно знакомиться с медицинской документацией, отражающей его состояние здоровья, и получать копии документов, если в них не затрагиваются интересы третьей стороны.Важно Пациент имеет право ознакомиться со своими персональными данными, которые обрабатывает оператор, и, в случае обнаружения их недостоверности или неправомерных действий сними, запретить оператору их обрабатывать (ст. 21 Закона № 152-ФЗ);

• создать и поддерживать систему защиты информации, представляющую собой совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованных и функционирующих по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. Состав применяемых методов и средств защиты информации определяется в соответствии с классом ИС ПД. Самые жесткие требования к защите информации установлены для ИС ПД класса К1:, предусматривается обязательное применение специальных сертифицированных средств защиты информации;
• получить лицензию на техническую защиту информации (письмо ФСТЭК России от 18.06.2010 № 240/2/2520);
• провести аттестацию объекта информатизации, на котором эксплуатируется ИС, по требованиям к безопасности информации, установленным для ИС ПД данного класса (письмо управления ФСТЭК России по ЦФО от 24.06.2010 № 957).

Объектом информатизации является совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств),в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-2006 “Защита информации. Объект информатизации. Факторы, воздействующие на информацию”).

Должно быть предусмотрено обучение персонала и выделение необходимых финансовых и материальных средств на создание, ввод в действие и эксплуатацию системы защиты информации в учреждении. Безусловно, в первую очередь необходимо соответствующими приказами определить ответственных за обеспечение защиты информации, определить перечень конфиденциальных сведений, утвердить приказом список работников, имеющих к ним допуск, и их полномочия по работе с этой информацией.

Контроль и надзор за выполнением операторами установленных требований к обработке персональных данных осуществляется органами Роскомнадзора, ФСТЭК России и ФСБ России.

Процедуры проверки операторов регламентируются следующими документами:
• Правилами подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей (утв. Постановлением Правительства РФ от 30.06.2010 № 489);
• Типовым регламентом проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв.руководством ФСБ России 08.08.2009);
• Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. приказом Роскомнадзора от 01.12.2009 № 630).

В следующей статье будет рассказано о том, как должно проводиться обследование информационной системы медицинского учреждения; как правильно определить и выделить подсистемы, в которых обрабатываются персональные данные, определить класс информационной системы учреждения в целом; как оформить акт классификации и подготовить уведомление в органы Роскомнадзора для регистрации в качестве оператора персональных данных.

Авторы будут признательны всем, кто пришлет свои замечания и предложения по рассмотренным вопросам по электронной почте на адрес AP100Lbov@mail.ru.

Примечание

1 На рассмотрении Государственной Думы находится новая редакция этого закона.

Организация автоматизированной обработки и защиты персональных данных в медицинском учреждении
Организация автоматизированной обработки и защиты персональных данных в медицинском учреждении



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

Интервью

Врачей обяжут сообщать о потенциальных донорах

Врачей обяжут сообщать о потенциальных донорах

Алексей ПИНЧУК: журналу «Здравоохранение». Главные темы беседы – изменение правового поля донорства в России


Опрос

Где и как вы планируете встречать Новый год?

  • Дома 75.06%
  • В гостях 10.15%
  • В путешествии 1.55%
  • В ресторане 0.88%
  • На дежурстве 7.28%
  • 31-го определимся:) 5.08%
Другие опросы

Рассылка



Наши продукты




















© МЦФЭР, 2006 – 2016. Все права защищены.

Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009


  • Мы в соцсетях
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — журнал в формате pdf

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль