Федеральный закон №152 «О персональных данных»

С точки зрения 152 ФЗ оператором персональных данных является медицинская организация — поскольку именно она (в лице руководства и сотрудников) организует и осуществляет обработку персональных данных, а также определяет её цели и содержание.

Операторы персональных должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах ЛПУ, и предпринять ряд действий:

  1. Уведомление Роскомнадзора об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3)
  2. Проведение классификации информационной системы
  3. Разработка модели угроз безопасности персональным данным
  4. Выбор средств защиты инструмента обработки персональных данных (средства защиты должны быть сертифицированными, либо пройти сертификацию)
  • Контроль доступа к сети;
  • Средства контроля утечек персональных данных;
  • Сертифицированные по РД ФСТЭК межсетевые экраны (Firewalls);
  • Сертифицированные ФСТЭК, ФСБ средства антивирусной защиты;
  • Сертификация средств защиты:

5. Выбор испытательной лаборатории
6. Проведение испытаний
7. Подготовка организационно-распорядительных документов

  • Положение об обработке персональных данных
  • Положение о защите персональных данных
  • Положение о подразделении по защите информации
  • Должностные регламенты лиц, ответственных за защиту персональных данных
  • План мероприятий по защите персональных данных
  • План внутренних проверок состояния защиты персональных данных
  • Приказы о назначении ответственных лиц по защите персональных данных
  • Договора с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных, выписки из ЕГРЮЛ и т.д.
  • Журнал по учету мероприятий по контролю
  • Журнал учёта обращений субъектов персональных данных о выполнении их законных прав
  • Копия уведомления РКН с исходящим номером и датой подписания
  • Типовая форма и письменные согласия субъекта персональных данных на обработку персональных данных
  • Список лиц, обрабатывающих персональные данные, утверждённый оператором или уполномоченным лицом
  • Инструкции администраторов безопасности персональных данных
  • Инструкции пользователей по работе с персональными данными
  • Электронный журнал обращений пользователей информационной системы к персональным данным
  • Журналы (книги) учёта персональных данных
  • Правила пользования средствами защиты информации
  • Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке
  • Эксплуатационная и техническая документация
  • Отражение в трудовом договоре (контракте) ответственности работника за разглашение персональных данных

8. Оформление и утверждение документов
9. Аттестация инструмента обработки персональных данных
10. Проверка Роскомнадзора, ФСТЭК и ФСБ
11. Получение письменного согласия субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4)
12. Уведомление субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4)
13. Прохождение внеплановых проверок