С 1 сентября 2022 года все медицинские организации должны уведомлять Роскомнадзор об обработке персональных данных сотрудников и пациентов

Статья
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образовании

Пример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных медицинской организацией

18 Октября 202210 019 зн.5 A42 000 руб.# 1610Выделить главное вкл выкл 1072

Содержание

1. Срок и способы подачи уведомления об обработке персональных данных

2. Обязанность всех медицинских организаций уведомлять Роскомнадзор об обработке персональных данных сотрудников и пациентов

3. Пример заполнения уведомления об обработке персональных данных медицинской организацией

 

1. Срок и способы подачи уведомления об обработке персональных данных

С 1 сентября 2022 года все операторы (юридические лица, осуществляющие обработку персональных данных) должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных.

Рассмотрим информацию Роскомнадзора "Об изменениях в законодательстве о персональных данных". С 1 сентября 2022 года вступают в силу изменения в закон "О персональных данных". Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации. Все медицинские организации осуществляют с использованием средств автоматизации (компьютерной техники) персонифицированный кадровый учет и передачу сведений в ЕГИСЗ.

Электронные формы см. по адресу https://pd.rkn.gov.ru/operators-registry/notification/

Формы уведомлений будут утверждены приказом Роскомнадзора. До этого оператор вправе заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе по форме, утвержденной Приказом от 30.05.2017 N 94.

На портале Роскомнадзора оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:

1. В бумажном виде.

2. В электронном виде с использованием усиленной квалифицированной электронной подписи.

3. В электронном виде с использованием средств аутентификации ЕСИА.

После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.

Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.

 

2. Обязанность всех медицинских организаций уведомлять Роскомнадзор об обработке персональных данных сотрудников и пациентов

В связи с принятием Федерального закона от 14.07.2022 N 266-ФЗ утратили силу с 1 сентября 2022 года пункты 1) - 6) части 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — закон N 152-ФЗ), на основании которых оператор был вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных. Чем мы собственно и пользовались.

Среди исключенных пунктов два основных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных.

Остался только пункт 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации. Однако поскольку мы ведем персонифицированный учет сотрудников и передаем отчеты в пенсионный фонд в электронном виде, а также передаем сведения в ЕГИСЗ, то к нам данный пункт не применим.

Таким образом, медицинские организации должны уведомить Роскомнадзор.

Основной проблемой, по-мнению автора, является то, что Уведомление должно содержать следующие сведения (см. часть 3 статьи 22 закона N 152-ФЗ):

- описание мер, предусмотренных статьями 18.1 (организационные меры — пакет документов) и 19 (технические меры) настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств (пункт 7);

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации (пункт 11).

Дело в том, что эти меры медицинские как и все остальные организации должны были осуществлять и ранее, но Роскомнадзор можно было об этом не уведомлять.

Среди организационных мер, подразумевающих разработку пакета документов, на мой взгляд, наиболее сложным и затратным является определение угроз безопасности персональных данных — т. н. модель угроз и модель нарушителя. Именно на основании данных моделей определяется перечень программно-аппаратных средств для защиты персональных данных (антивирусы, шифрованные каналы, средства криптографии, машинные носители, замки, видеокамеры и т. п.), принимаются организационные и технические меры обеспечения информационной безопасности и защиты персональных данных, включая:

1. Сертификация средств защиты информации.

2. Формирование электронных подписей в автоматическом режиме.

3. Резервное копирование данных.

4. Обезличивание сведений о лицах, которым оказывается медицинская помощь.

 

Доступ ограничен

Доступ предоставляется авторизованным пользователям

См. процедуру заказа и стоимость доступа к материалу

Для авторизации, нажмите в верхнем меню ссылку Войти. Далее следуйте инструкциям

См. подробную инструкцию по авторизации