Организация автоматизированной обработки и защиты персональных данных в медицинском учреждении

3146

Конфиденциальность персональной информации не является новшеством последних лет. Конституция РФ декларирует право гражданина на неприкосновенность частной жизни и личной тайны (ст. 23) и устанавливает обязательность его согласия на сбор, хранение, использование и распространение таких сведений (ст. 24).

Этот вопрос не остался без внимания и в законодательстве, регулирующем оказание медицинской помощи. Так, “Основы законодательства Российской Федерации об охране здоровья граждан” (далее – Основы) относят к конфиденциальной информацию о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и лечении гражданина (ст. 61). Условия предоставления такой информации третьим лицам в отдельных случаях (при отсутствии согласия, несовершеннолетии или недееспособности гражданина) приведены в ст. 61 и 31 Основ.

Статья 192 Трудового кодекса, ст. 13.14 Кодекса об административных правонарушениях и ст. 137 Уголовного кодекса Российской Федерации предусматривают дисциплинарную, административную и уголовную ответственность за нарушения этих прав граждан. Однако на практике случаи наступления такой ответственности ранее были достаточно редки и касались, как правило, работников, непосредственно разгласивших конфиденциальные сведения.

Принятие Федерального закона “О персональных данных” от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ) (1) заставило руководителей медицинских организаций по новому взглянуть на проблему обеспечения конфиденциальности информации (как пациентов, так и работников).

Были конкретизированы права граждан – субъектов персональных данных, а также обязанности организаций, осуществляющих обработку персональных данных. Уполномоченным органом по защите прав субъектов персональных данных стала Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

К персональным данным относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (Указ Президента РФ от 06.03.1997 № 188 “Об утверждении перечня сведений конфиденциального характера”); любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных (ст. 3 Закона № 152-ФЗ).

Под обработкой персональных данных (далее – ПД) понимаются любые действия(операции) с персональными данными, включая: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение. Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД.

Конфиденциальность данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Новые требования к автоматизированной обработке ПД и обеспечению их конфиденциальности (помимо обязательного применения специальных программных и технических средств защиты информации) предопределяют необходимость изменения в организации рабочих процессов; уточнения должностных инструкций и регламентов взаимодействия между подразделениями; а также других локальных нормативных актов медицинского учреждения. Должна быть скорректирована и профессиональная подготовка персонала ЛПУ.

Во исполнение и для реализации требований Закона № 152-ФЗ Правительством РФ, Минкомсвязи России, Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности (ФСБ России) и Роскомнадзором был издан целый ряд нормативных документов, рекомендаций и разъяснений; организован официальный интернет-портал Роскомнадзора по вопросам защиты персональных данных (www.pd.rsoc.ru).

Минздравосцразвития России были подготовлены и опубликованы на его официальном сайте “Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости” (утв. 23.12.2009), “Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости” (утв.23.12.2009) и 26 приложений к ним (письмо Минздравсоцразвития России от 05.03.2010№ 328-29), “Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения” (письмо от 27.11.2009 № 240/2/4009). Федеральным фондом ОМС направлено письмо от 22.04.2008 № 2170/90-и “Об организации работ по технической защите информации”.

При создании комплексной системы защиты и безопасности информации ЛПУ потребуется подготовить и принять около 40 ранее необязательных организационно распорядительных документов (приказов, положений, инструкций, журналов, ведомостей и т. д.). Для этого нужны и время, и специальные знания.Важно Для проектирования и создания в ЛПУ системы защиты информации целесообразно привлекать специализированные организации, имеющие соответствующие лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности(ФСБ России)

Операторы персональных данных (медицинские организации, фонды ОМС, страховые медицинские организации) должны выполнить следующие действия:
• провести комиссионное обследование информационной системы (организации) и выделить в ее составе подсистемы, в которых обрабатываются персональные данные (далее – ИС ПД), провести их классификацию и оформить соответствующий акт в соответствии с “Порядком проведения классификации информационных систем персональных данных” (утв. приказом ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008);
• зарегистрироваться в качестве оператора ПД, для чего направить в территориальный орган Роскомнадзора уведомление, заполненное в соответствии с “Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных” (утв. приказом Роскомнадзора от 16.07.2010 № 482);
• организовать получение, учет и хранение письменного согласия субъектов ПД (как пациентов, так и работников своей организации) на обработку их персональных данных (ст. 6, 9 и 10 Закона № 152-ФЗ).Важно Частью 2 ст. 6 закона № 152-ФЗпредусмотрены случаи, не требующие оформления согласия на обработку ПД. К ним относятся случаи обработки ПД пациента при бесплатном оказании ему медицинской помощи по программе ОМС в соответствии с Федеральным законом от 29.11.2010 № 326-ФЗ “Об обязательном медицинском страховании в Российской Федерации”;

• организовать информирование пациентов (по их запросам) о целях, способах и сроках обработки и хранения их ПД, лицах, имеющих к ним доступ (ч. 4 ст. 14 Закона № 152-ФЗ), а также об обработке их ПД, полученных от третьих лиц (ст. 18 Закона № 152-ФЗ). Ответ на запрос пациента должен быть подготовлен и направлен ему в течение десяти рабочих дней. Напомним, что согласно ст. 31 Основ пациент имеет право непосредственно знакомиться с медицинской документацией, отражающей его состояние здоровья, и получать копии документов, если в них не затрагиваются интересы третьей стороны.Важно Пациент имеет право ознакомиться со своими персональными данными, которые обрабатывает оператор, и, в случае обнаружения их недостоверности или неправомерных действий сними, запретить оператору их обрабатывать (ст. 21 Закона № 152-ФЗ);

• создать и поддерживать систему защиты информации, представляющую собой совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованных и функционирующих по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. Состав применяемых методов и средств защиты информации определяется в соответствии с классом ИС ПД. Самые жесткие требования к защите информации установлены для ИС ПД класса К1:, предусматривается обязательное применение специальных сертифицированных средств защиты информации;
• получить лицензию на техническую защиту информации (письмо ФСТЭК России от 18.06.2010 № 240/2/2520);
• провести аттестацию объекта информатизации, на котором эксплуатируется ИС, по требованиям к безопасности информации, установленным для ИС ПД данного класса (письмо управления ФСТЭК России по ЦФО от 24.06.2010 № 957).

Объектом информатизации является совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств),в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-2006 “Защита информации. Объект информатизации. Факторы, воздействующие на информацию”).

Должно быть предусмотрено обучение персонала и выделение необходимых финансовых и материальных средств на создание, ввод в действие и эксплуатацию системы защиты информации в учреждении. Безусловно, в первую очередь необходимо соответствующими приказами определить ответственных за обеспечение защиты информации, определить перечень конфиденциальных сведений, утвердить приказом список работников, имеющих к ним допуск, и их полномочия по работе с этой информацией.

Контроль и надзор за выполнением операторами установленных требований к обработке персональных данных осуществляется органами Роскомнадзора, ФСТЭК России и ФСБ России.

Процедуры проверки операторов регламентируются следующими документами:
• Правилами подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей (утв. Постановлением Правительства РФ от 30.06.2010 № 489);
• Типовым регламентом проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв.руководством ФСБ России 08.08.2009);
• Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. приказом Роскомнадзора от 01.12.2009 № 630).

В следующей статье будет рассказано о том, как должно проводиться обследование информационной системы медицинского учреждения; как правильно определить и выделить подсистемы, в которых обрабатываются персональные данные, определить класс информационной системы учреждения в целом; как оформить акт классификации и подготовить уведомление в органы Роскомнадзора для регистрации в качестве оператора персональных данных.

Авторы будут признательны всем, кто пришлет свои замечания и предложения по рассмотренным вопросам по электронной почте на адрес AP100Lbov@mail.ru.

Примечание

1 На рассмотрении Государственной Думы находится новая редакция этого закона.

Организация автоматизированной обработки и защиты персональных данных в медицинском учреждении
Организация автоматизированной обработки и защиты персональных данных в медицинском учреждении



Ваша персональная подборка
    Рекомендации по теме

    Мероприятия

    Мероприятия

    Повышаем квалификацию

    Посмотреть

    Самое выгодное предложение

    Самое выгодное предложение

    Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

    Живое общение с редакцией

    А еще...







    Наши продукты






















    © 2006–2018 ООО «МЦФЭР», медиагруппа «Актион-МЦФЭР»

    Журнал «Здравоохранение» –
    практический журнал для главного врача.

    Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Здравоохранение».
    Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

    Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
    Свидетельство о регистрации СМИ ПИ № ФС77-64203 от 31.12.2015.

    
    • Мы в соцсетях
    Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
    Сайт предназначен для медицинских работников!

    Чтобы скачать документ на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 12 000 статей
    — 8 000 ответов на вопросы
    — 200 видеосеминаров
    — готовые формы и образцов документов
    — бесплатная правовая база
    — полезные сервисы

    Вы также получите подарок — pdf- журнал «Здравоохранение»

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Сайт предназначен для медицинских работников!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    ×
    Сайт предназначен для медицинских работников!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Сайт предназначен для медицинских работников!


    Чтобы скачать файл на портале ZDRAV.RU, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Скачать файл может только медицинский работник!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Скачать файл может только медицинский работник!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Скачать файл может только медицинский работник!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Скачать файл может только медицинский работник!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Скачать файл может только медицинский работник!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Изображение предназначено для медицинских работников!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Изображение предназначено для медицинских работников!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Изображение предназначено для медицинских работников!


    Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

    Читайте экспертные
    материалы

    Скачивайте готовые
    формы и СОПы

    Смотрите
    бесплатные вебинары

    13 000 статей

    1 500 инструкций

    200 записей

    Абонемент в электронную медицинскую библиотеку в подарок!

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    ×