Источник: журнал «Медицинская статистика и оргметодработа в учреждениях здравоохранения».

Васильева О.В. Эксперт компании «Кейсистемс-Безопасность»

В статье рассматриваются требования законодательства в сфере защиты персональных данных и вопросы подготовки медицинских организаций к проверке представителями Роскомнадзора.

В лечебно-профилактических учреждениях обрабатывается большое количество персональных данных пациентов и медицинского персонала. Принятый в 2006 году Федеральный закон № 152-ФЗ «О персональных данных» определяет принципы и условия обработки персональных данных, за соблюдением которых следит Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). С этой целью Роскомнадзор проводит плановые и внеплановые проверки, а также мероприятия систематического наблюдения.

Как показывает практика, в большинстве медицинских учреждений работа по защите персональных данных проводится силами сотрудников, не обладающих достаточной компетенцией в данном вопросе, или не проводится совсем, а руководство плохо знакомо с требованиями законодательства. Поэтому зачастую знакомство с ФЗ-152 происходит уже во время проверки контролирующего органа – Роскомнадзора.

Виды проверок Роскомнадзора

Проверки подразделяются на плановые и внеплановые. Последние чаще всего проводятся на основании выявленных нарушений в действиях оператора (организации, осуществляющей обработку персональных данных) и в случае поступления в Роскомнадзор обращений и жалоб граждан на незаконную обработку персональных данных (динамику их поступления см. на графике 1). О внеплановой проверке Роскомнадзор предупреждает всего за 24 часа до начала проверки, поэтому готовым нужно быть всегда.

График 1. Динамика поступления обращений граждан по вопросам защиты персональных данных.

Предупреждение о плановой проверке Роскомнадзор присылает не позднее чем за 3 рабочих дня до даты ее начала. Такие проверки проводятся в соответствии с утвержденным на год планом, поэтому к ним можно и нужно заранее подготовиться. Чтобы узнать, стоит ли ожидать плановой проверки, можно зайти на сайт Управления Роскомнадзора Вашего региона и найти План деятельности управления на текущий год. Как правило, план публикуется в пункте 5 раздела I Плана деятельности. Там же указываются дата начала проверки и сроки ее проведения (от 5 до 20 рабочих дней).

С этого года отдельным пунктом в Плане деятельности стали выделять мероприятия систематического наблюдения. Под систематическим наблюдением следует понимать, что сайт вашей организации будет периодически проверяться на отсутствие нарушений требований ФЗ-152. Например, опубликована ли Политика в отношении обработки персональных данных или не размещены ли личные данные сотрудников ЛПУ без их согласия (ФИО, фотография, должность). Роскомнадзор не публикует список организаций, которые попадают под такие мероприятия, но выделяет сферы деятельности таких организаций (государственные и муниципальные органы, образовательные учреждения, финансово-кредитные учреждения, учреждения здравоохранения и другие). Если в ходе систематического наблюдения будут выявлены нарушения, то регулятор выдаст ЛПУ предписание об устранении нарушений в трехдневный срок и, возможно, организует внеплановую проверку.

Как подготовиться к проверке

Поскольку подготовка к проверке и ее прохождение требуют знаний законодательства и требований регуляторов, то зачастую организации прибегают к привлечению специалистов со стороны, которые соберут всю необходимую информацию, разработают документацию и проследят за ее утверждением. Однако в нормативную базу регулярно вносятся изменения, а требования контролирующих органов расширяются. При этом в самой организации тоже постоянно происходят изменения: меняется кадровый состав, структура организации, техническое оснащение. Документация же должна быть актуальна на текущий день, что потребует повторных обращений к специалистам и, как следствие, регулярных платежей за обновление документации.

Теоретически подготовиться к проверке можно самостоятельно. Однако отсутствие квалифицированных специалистов, знаний тонкостей законодательства, опыта прохождения проверки препятствуют успешному прохождению проверки и приводят к выдаче предписаний по устранению нарушений по итогам контрольно-надзорного мероприятия и наложению штрафов.

Все чаще организации прибегают к применению специальных сервисов, позволяющих автоматизировать процессы по защите информации и поддерживать документацию в актуальном состоянии. Одним из таких сервисов является онлайн-сервис «АльфаДок» – собственная разработка компании «Кейсистемс-Безопасность». Сотрудник компании вносит необходимую информацию и на выходе получает готовую документацию, которую нужно утвердить. В случае возникновения вопросов по заполнению полей, требований законодательства или прохождению проверки пользователи могут обратиться за поддержкой к квалифицированным специалистам.

В целом для подготовки к проверке необходимо выполнить следующие шаги:

1. Провести внутренний аудит в целях анализа процессов обработки персональных данных в учреждении. В рамках аудита необходимо определить:

- перечень информационных систем, в которых обрабатываются персональные данные (ИСПДн). В ЛПУ такими могут быть системы «Кадровый учет», «Бухгалтерский учет» и «Медицина», в состав которой входят программные комплексы, обрабатывающие персональные данные пациентов;

- цели обработки. Для ЛПУ основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению;

- категории обрабатываемых в ЛПУ персональных данных. Например, ФИО, дата рождения, адрес, семейное положение, место работы, сведения о состоянии здоровья. Такой перечень в ЛПУ может содержать более ста видов сведений;

- категории субъектов, персональные данные которых обрабатываются в ЛПУ: пациенты, сотрудники учреждения.

2. Назначить лиц, ответственных за организацию обработки и за обеспечение безопасности персональных данных. Как правило, в лечебно-профилактических учреждениях ответственным за организацию обработки персональных данных является заместитель главного врача или сам главный врач. В качестве ответственного за обеспечение безопасности персональных данных обычно назначают системного администратора или программиста.

3. Разработать и утвердить необходимую документацию. Пакет документов обязательно должен включать в себя Политику в отношении обработки персональных данных. Это основной документ, определяющий все отношения, связанные с обработкой персональных данных в организации. В нем должны быть описаны принципы и условия обработки персональных данных пациентов, сотрудников учреждения. Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться. Мы рекомендуем публиковать Политику на официальном сайте ЛПУ, тем более что зачастую там происходит сбор персональных данных (электронная регистратура).

Помимо Политики, должны быть подготовлены и утверждены приказы, положения, инструкции, которые позволяют выполнить все требования законодательства.

4. Подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор, а в случае каких-либо изменений подать информационное письмо с перечнем этих изменений. Уведомление об обработке персональных данных можно отправить в электронном виде с сайта Роскомнадзора. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение будет внесено в реестр операторов персональных данных.

Что проверяет Роскомнадзор

В первую очередь представители Роскомнадзора проверят, направляло ли Ваше учреждение уведомление об обработке персональных данных и соответствует ли информация в нем действительности. Поэтому очень важно уведомлять Роскомнадзор о произошедших изменениях, например, о смене ответственного лица или цели обработки.

Представители Роскомнадзора обязательно изучат документацию о защите персональных данных в организации и проверят ее содержимое на предмет выполнения требований законодательства. В соответствии с этими требованиями учреждение обязано:

- проводить периодические внутренние проверки режима обработки и защиты персональных данных;

- уничтожать персональные данные по достижении цели обработки;

- обеспечить безопасность носителей данных и организовать контролируемый доступ в помещения, в которых размещены информационные системы персональных данных;

- собрать с сотрудников обязательства о неразглашении конфиденциальной информации, ознакомить их с внутренними документами, регламентирующими обработку персональных данных;

- завести и регулярно заполнять необходимые журналы и выполнять иные мероприятия, обозначенные в ФЗ-152 и подзаконных нормативно-правовых актах.

Выполнение всех вышеуказанных мероприятий должно быть документально оформлено.

Представители Роскомнадзора обязательно ознакомятся с формой согласия на обработку персональных данных, в которой указываются перечень персональных данных, цель обработки, сроки ее прекращения. В случае передачи организацией данных третьему лицу (например, банку, централизованной бухгалтерии) форма должна содержать согласие субъекта на поручение обработки такому лицу, а в заключенном с третьим лицом договоре отдельным пунктом обязательно должны быть прописаны условия конфиденциальности.

Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных, вступившего в силу с 1 сентября 2015 года. Это означает, что информация о местонахождении баз данных должна быть указана в Политике и уведомлении или в информационном письме, если уведомление было отправлено ранее.

Особое внимание уделяется обработке специальных категорий персональных данных, куда, в том числе, относится информация о состоянии здоровья и интимной жизни. Такие данные должны обрабатываться только строго с письменного согласия пациента.

Еще одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами учреждения по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.

Ответственность за нарушение законодательства

Если во время проверки были выявлены нарушения, то Роскомнадзор оформляет акт о выявлении нарушений с предписанием об их устранении и передает информацию в суд.

Кодекс об административных правонарушениях предусматривает за нарушение порядка сбора, хранения, использования или распространения персональных данных штрафы на должностное лицо в размере до 1 000 рублей, на юридическое лицо – до 10 000 рублей. За нарушение неприкосновенности частной жизни, отказ в предоставлении информации или неправомерный доступ к компьютерной информации по Уголовному кодексу РФ возможно наложение штрафа до 500 000 рублей, исправительные или принудительные работы, лишение права занимать определенные должности или заниматься определенной деятельностью, а также лишение свободы.

Стоит иметь в виду, что в 2015 году Государственная Дума в первом чтении приняла законопроект об увеличении ответственности за нарушение требований обработки персональных данных до 50 000 рублей. В случае, когда речь идет об обработке информации, касающейся расовой и национальной принадлежности, политических и философских взглядов, состояния здоровья, интимной жизни и судимостей, максимальный штраф составит 300 000 рублей для юридических лиц.

Заключение

В целом, секрет успешного прохождения проверки состоит в разработке полного комплекта документации, его регулярной актуализации и изучении опыта прохождения проверок другими лечебно-профилактическими учреждениями (результаты проведения проверок публикуются на сайтах региональных управлений Роскомнадзора). В случае если уверенности в собственных силах для подготовки к проверке нет, то мы рекомендуем обратиться к профессионалам.

Источник: журнал «Медицинская статистика и оргметодработа в учреждениях здравоохранения» 2016/07