С точки зрения 152 ФЗ оператором персональных данных является медицинская организация — поскольку именно она (в лице руководства и сотрудников) организует и осуществляет обработку персональных данных, а также определяет её цели и содержание.
Операторы персональных должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах ЛПУ, и предпринять ряд действий:
- Уведомление Роскомнадзора об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3)
- Проведение классификации информационной системы
- Разработка модели угроз безопасности персональным данным
- Выбор средств защиты инструмента обработки персональных данных (средства защиты должны быть сертифицированными, либо пройти сертификацию)
- Контроль доступа к сети;
- Средства контроля утечек персональных данных;
- Сертифицированные по РД ФСТЭК межсетевые экраны (Firewalls);
- Сертифицированные ФСТЭК, ФСБ средства антивирусной защиты;
- Сертификация средств защиты:
5. Выбор испытательной лаборатории
6. Проведение испытаний
7. Подготовка организационно-распорядительных документов
- Положение об обработке персональных данных
- Положение о защите персональных данных
- Положение о подразделении по защите информации
- Должностные регламенты лиц, ответственных за защиту персональных данных
- План мероприятий по защите персональных данных
- План внутренних проверок состояния защиты персональных данных
- Приказы о назначении ответственных лиц по защите персональных данных
- Договора с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных, выписки из ЕГРЮЛ и т.д.
- Журнал по учету мероприятий по контролю
- Журнал учёта обращений субъектов персональных данных о выполнении их законных прав
- Копия уведомления РКН с исходящим номером и датой подписания
- Типовая форма и письменные согласия субъекта персональных данных на обработку персональных данных
- Список лиц, обрабатывающих персональные данные, утверждённый оператором или уполномоченным лицом
- Инструкции администраторов безопасности персональных данных
- Инструкции пользователей по работе с персональными данными
- Электронный журнал обращений пользователей информационной системы к персональным данным
- Журналы (книги) учёта персональных данных
- Правила пользования средствами защиты информации
- Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке
- Эксплуатационная и техническая документация
- Отражение в трудовом договоре (контракте) ответственности работника за разглашение персональных данных
8. Оформление и утверждение документов
9. Аттестация инструмента обработки персональных данных
10. Проверка Роскомнадзора, ФСТЭК и ФСБ
11. Получение письменного согласия субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4)
12. Уведомление субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4)
13. Прохождение внеплановых проверок