Защита персональных данных в системе здравоохранения Самбуев Зоригто Дашидондокович Начальник IT отдела РМИАЦ МЗ РБ Тел. +7 /3012/

К персональным данным (ПДн) относятся: любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация К специальным ПДн относятся: персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни К биометрическим ПДн относятся: сведения, характеризующие физиологические особенности человека и на основе которых можно установить его личность К геномным ПДн относятся: сведения, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности

Зарегистрироваться в качестве операторов ПД Получить письменные согласия пациентов Обеспечить информирование пациентов по их запросам Провести классификацию Организовать и поддерживать систему защиты конфиденциальной информации в соответствии с установленным классом.

СОГЛАСИЕ на обработку персональных данных Я, нижеподписавшийся, проживающий по адресу, паспорт, выдан, в соответствии с требованиями статьи 9 федерального закона от г. О персональных данных 152-ФЗ, подтверждаю свое согласие на обработку (далее Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС). Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией и территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну. Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет. Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия. Настоящее согласие дано мной и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи. Контактный(е) телефон(ы) и почтовый адрес Подпись субъекта персональных данных __________

Стадии реализации обязательных требований в области защиты ПДн 1. Стадия обследования объекта защиты ПДн 2. Стадия проектирования систем защиты ПДн 3. Стадия ввода в действие системы защиты ПДн

Стадия обследования объекта защиты ПДн: 1. Выявление процессов обработки персональных данных. 2. Выявление информационных ресурсов, содержащих персональные данные. 3. Определение технических и эксплуатационных характеристик информационных систем персональных данных. 4. Определение имеющихся мер и средств защиты информации в информационной системе персональных данных. 5. Выявление существующей организационно-распорядительной базы документов. Результат: 1. Отчет об обследовании объекта защиты ПДн. 2. Экспертное заключение, содержащее оценку результатов проведенного обследования на соответствие требованиям законодательства в области защиты ПДн.

Стадия проектирования системы защиты ПДн: разработка частной модели угроз безопасности ПДн при их обработке в информационной системе ПДн; проведение классификации информационных систем ПДн; разработка внутренних нормативно-регламентных документов по защите ПДн (положения, регламенты, акты, приказы, инструкции, журналы, планы); разработка внешних документов в области защиты ПДн (уведомление, договора, формы получения согласия и т.п.); разработка технического задания на создание системы защиты ПДн; разработка технического проекта; разработка рабочей документации по системе защиты ПДн

Стадия создания системы защиты: реализация проектных решений по СЗПДн (монтаж оборудования, установка программного обеспечения, настройка оборудования и программного обеспечения, пуско-наладочные работы); опытная эксплуатация СЗПДн; приемочные испытания и ввод в эксплуатацию СЗПДн; обучение лиц, использующих средства защиты информации, применяемые в СЗПДн, правилам работы с ними; проведение аттестации СЗПДн (по желанию Заказчика)

– сайт РМИАЦ содержит Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения.

Занарушение предусматривается гражданская, уголовная, административная, дисциплинарная и иная ответственность (ст ФЗ). Ниже представлены выдержки из ныне действующих кодексов с названием статей и величиной максимальных наказаний за невыполнение требований законодательства по защите персональных данных.

СтатьяКодексНазвание статьи Величина макс. наказания 5.39 КоАПОтказ в предоставлении гражданину информации руб КоАП Нарушение установленного законом порядка сбора, хранения, использования или распространение информации о гражданах (персональных данных) руб КоАП Нарушение правил защиты информации руб. + конфискация + приостановление деятельности на срок до 90 суток КоАП Незаконная деятельность в области защиты информации руб. + конфискация

Спасибо за внимание !!!