В настоящей статье разбираем меры, необходимые для защиты персональных данных пациентов в медицинской организации.
В первую очередь, медицинская организация до начала обработки персональных данных обязана уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Порядок заполнения, направления, сроки рассмотрения уведомления о намерении осуществлять обработку персональных данных определен Приказом Роскомнадзора от 30.05.2017 №94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения". Электронная форма уведомления размещена на сайте Роскомнадзора, ее необходимо заполнить, направить в Территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом.
Меры по обеспечению безопасности персональных данных
Медицинская организация при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерных действий.
Общие меры, направленные на обеспечение безопасности персональных данных, приведены в статьях 18.1 и 19 Федерального закона "О персональных данных" от 27.07.2006 №152-ФЗ.
Состав и содержание мер и особенности их реализации уточнены в Постановлении Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее – Постановление Правительства №1119), а также в Приказе ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее – Приказ ФСТЭК России №21).
Так, в медицинской организации должны быть осуществлены, в частности, следующие меры:
1) Приказом руководителя медицинской организации должно быть назначено лицо, ответственное за организацию обработки персональных данных;
2) Должна быть разработана и утверждена приказом руководителя «Политика в отношении обработки персональных данных» (далее – Политика). Содержание Политики, в частности, должно определять порядок обработки, защиты, способы и цели обработки персональных данных пациентов. При этом важно отметить, что медицинская организация обязана опубликовать или иным образом обеспечить неограниченный доступ к Политике.
3) Должны быть разработаны локальные акты о порядке доступа к персональным данным, их хранении, ответственности. Данные документы могут быть изданы в форме инструкций, приказов, регламентов. С данными документами работники, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись;
4) В медицинской организации должен осуществляться внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства. В связи с этим в медицинской организации должно быть разработано Положение внутреннем контроле безопасности персональных данных, план мероприятий по внутреннему контролю безопасности персональных данных;
5) Определен тип угроз безопасности персональных данных, актуальных для информационной системы медицинской организации. Определение типа угроз производится медицинской организацией с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 ФЗ №152-ФЗ «О персональных данных».
6) Обеспечен требуемый уровень защищенности персональных данных. В Постановлении Правительства №1119 дается подробное описание того, как оценить требуемый уровень защищенности;
7) Выполнена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. Необходимо отметить, что форма оценки эффективности принимаемых мер по обеспечению безопасности персональных данных ФЗ №152-ФЗ «О персональных данных» не определена. Согласно пункту 6 Приказа ФСТЭК России №21 такая оценка может проводится медицинской организацией самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. В случае проведения оценки медицинской организацией самостоятельно должна быть разработана форма оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.
8) Разработан и утвержден документ, определяющий конкретные носители, на которых осуществляется обработка и хранение персональных данных;
9) Обеспечено ограничение доступа третьих лиц к персональным данным. Например, ограничение доступа к персональным данным, содержащихся на бумажных носителях, может обеспечиваться путем их хранения в запираемом шкафу или сейфе.
Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает медицинская организация или лицо, осуществляющее обработку персональных данных по поручению медицинской организации в соответствии с законодательством Российской Федерации.
Необходимо отметить, что для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.