Обработка персональных данных медицинской организацией, часть 3

Обработка персональных данных медицинской организацией, часть 3

Борисов Д.А. / 01 Февраля 2023 / просмотров 802

Национальная Ассоциация медицинских организаций

Саморегулируемая организация

УТВЕРЖДЕНО

Решением Правления

Протокол № 143 от «25» января 2023 года

Методические рекомендации

Соблюдение требований законодательства в области обработки персональных данных и сохранения врачебной тайны медицинской организацией, часть 3. Защита персональных данных

Уведомление Роскомнадзора, оборотные штрафы за утечку персональных данных, комплексный пример: определение уровней защищенности, требований и состава мер по защите персональных данных в информационной системе

под редакцией Председателя Правления Ассоциации к.э.н. Борисова Дмитрия Александровича

Москва 2023 г.

Содержание

1. Изменение закона о персональных данных

1.1 Срок и способы подачи уведомления об обработке персональных данных

1.2 Обязанность всех медицинских организаций уведомлять Роскомнадзор об обработке персональных данных сотрудников и пациентов

1.3 Пример заполнения уведомления об обработке персональных данных медицинской организацией

1.4 Порядок действий в случае неправомерного распространения персональных данных

2. Право потребителей на отказ от предоставления персональных данных

3. Судебная практика: штрафы за утечку персональных данных. Проект закона о штрафах в размере до 3% от выручки

4. Хранение копий документов субъектов персональных данных

5. Защита персональных данных

5.1 Меры по защите персональных данных при их обработке

5.2 Комплект документов для защиты персональных данных

5.3 Организация защиты персональных данных, хранящихся на бумажных носителях

5.4 Организация защиты персональных данных, обрабатываемых в информационных системах

5.5 Определение угроз безопасности персональных данных

5.6 Организационные и технические меры защиты информации

5.7 Обнаружение фактов несанкционированного доступа к персональным данным

5.8 Сертификация средств защиты информации

5.9 Оценка эффективности мер защиты и контроль, осуществляемый оператором

5.10 Комплексный пример: определение уровней защищенности, требований и состава мер по защите персональных данных в информационной системе

6. Государственный контроль и надзор в сфере защиты персональных данных

7. Аттестация информационной системы

8. Схемы передачи сведений в ЕГИСЗ

8.1 Подключение к государственной информационной системе субъекта РФ

8.2 Подключение к ЕГИСЗ напрямую

8.3 Передача сведений в ЕГИСЗ с помощью иной информационной системе

9. Критический анализ представления ФСБ на предмет устранения угроз безопасности в информационной системе обработки персональных данных

Перечень нормативных правовых и судебных актов

1. "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ

2. Федеральный закон от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации"

3. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

4. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

5. Федеральный закон от 27.12.2002 N 184-ФЗ "О техническом регулировании"

6. Закон Российской Федерации от 07.02.1992 N 2300-1 "О защите прав потребителей"

7. Закон Российской Федерации от 17.01.1992 N 2202 "О прокуратуре Российской Федерации"

8. Постановление Правительства РФ от 29.06.2021 N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных"

9. Постановление Правительства РФ от 01.06.2021 N 852 "О лицензировании медицинской деятельности (за исключением указанной деятельности, осуществляемой медицинскими организациями и другими организациями, входящими в частную систему здравоохранения, на территории инновационного центра "Сколково") и признании утратившими силу некоторых актов Правительства Российской Федерации"

10. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

11. Постановление Правительства РФ от 18.09.2012 N 940 "Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю"

12. Постановление Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

13. Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

14. Постановление Правительства РФ от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

15. Приказ Минцифры России от 15.11.2021 N 1187 "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных"

16. Приказ Роскомнадзора от 28.10.2022 N 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных"

17. Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

18. Приказ Роскомнадзора от 24.12.2021 N 253 "Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами"

19. Приказ ФСТЭК России от 29.04.2021 N 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну"

20. Приказ ФСТЭК России от 30.07.2018 N 131 "Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий"

21. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

22. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

23. Приказ ФСТЭК России от 06.12.2011 N 638 "Об утверждении требований к системам обнаружения вторжений"

24. Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

25. Приказ ФСБ России от 13.11.1999 N 564 "Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия"

26. Приказ Минздрава России от 24.12.2018 N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций"

27. Приказ Минтрудсоцзащиты РФ от 15.09.2016 N 522н "Об утверждении профессионального стандарта "Специалист по защите информации в автоматизированных системах"

28. "Методический документ. Методика оценки угроз безопасности информации", утв. ФСТЭК России 05.02.2021

29. "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утв. ФСТЭК России 15.02.2008

30. "Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности", утв. ФСБ России 31.03.2015 N 149/7/2/6-432

31. Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"

32. "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014, утв. распоряжением Банка России от 17.05.2014 N Р-399

Доступ ограничен

Доступ ограничен для неавторизованных пользователей

Для авторизации, выберите в верхнем меню пункт ВХОД, нажмите ссылку ВОЙТИ. Далее следуйте инструкциям

Подробнее см. процедуру авторизации