С 1 сентября 2022 года все медицинские организации должны уведомлять Роскомнадзор об обработке персональных данных сотрудников и пациентов
Борисов Д.А. / 18 Октября 2022 / просмотров 976
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образованииПример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных медицинской организацией
Борисов Д.А.
Выделить главное вкл выкл
Содержание
1. Срок и способы подачи уведомления об обработке персональных данных
3. Пример заполнения уведомления об обработке персональных данных медицинской организацией
1. Срок и способы подачи уведомления об обработке персональных данных
С 1 сентября 2022 года все операторы (юридические лица, осуществляющие обработку персональных данных) должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных.
Рассмотрим информацию Роскомнадзора "Об изменениях в законодательстве о персональных данных". С 1 сентября 2022 года вступают в силу изменения в закон "О персональных данных". Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации. Все медицинские организации осуществляют с использованием средств автоматизации (компьютерной техники) персонифицированный кадровый учет и передачу сведений в ЕГИСЗ.
Электронные формы см. по адресу https://pd.rkn.gov.ru/operators-registry/notification/
Формы уведомлений будут утверждены приказом Роскомнадзора. До этого оператор вправе заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе по форме, утвержденной Приказом от 30.05.2017 N 94.
На портале Роскомнадзора оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:
1. В бумажном виде.
2. В электронном виде с использованием усиленной квалифицированной электронной подписи.
3. В электронном виде с использованием средств аутентификации ЕСИА.
После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.
Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.
2. Обязанность всех медицинских организаций уведомлять Роскомнадзор об обработке персональных данных сотрудников и пациентов
В связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ утратили силу с 1 сентября 2022 года пункты 1) - 6) части 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — закон N 152-ФЗ), на основании которых оператор был вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных. Чем мы собственно и пользовались.
Среди исключенных пунктов два основных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных.
Остался только пункт 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации. Однако поскольку мы ведем персонифицированный учет сотрудников и передаем отчеты в пенсионный фонд в электронном виде, а также передаем сведения в ЕГИСЗ, то к нам данный пункт не применим.
Таким образом, медицинские организации должны уведомить Роскомнадзор.
Основной проблемой, по-мнению автора, является то, что Уведомление должно содержать следующие сведения (см. часть 3 статьи 22 закона N 152-ФЗ):
- описание мер, предусмотренных статьями 18.1 (организационные меры — пакет документов) и 19 (технические меры) настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств (пункт 7);
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации (пункт 11).
Дело в том, что эти меры медицинские как и все остальные организации должны были осуществлять и ранее, но Роскомнадзор можно было об этом не уведомлять.
Среди организационных мер, подразумевающих разработку пакета документов, на мой взгляд, наиболее сложным и затратным является определение угроз безопасности персональных данных — т. н. модель угроз и модель нарушителя. Именно на основании данных моделей определяется перечень программно-аппаратных средств для защиты персональных данных (антивирусы, шифрованные каналы, средства криптографии, машинные носители, замки, видеокамеры и т. п.), принимаются организационные и технические меры обеспечения информационной безопасности и защиты персональных данных, включая:
1. Сертификация средств защиты информации.
2. Формирование электронных подписей в автоматическом режиме.
3. Резервное копирование данных.
4. Обезличивание сведений о лицах, которым оказывается медицинская помощь.
Доступ ограничен
Доступ ограничен для неавторизованных пользователей
Для авторизации, выберите в верхнем меню пункт ВХОД, нажмите ссылку ВОЙТИ. Далее следуйте инструкциям
Подробнее см. процедуру авторизации
