Подготовка ЛПУ к работе с персональными данными по 152 ФЗ

С точки зрения 152 ФЗ оператором персональных данных является клиника - поскольку именно она (в лице руководства и сотрудников) организует и осуществляет обработку персональных данных, а также определяет ее цели и содержание.

Операторы персональных должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах ЛПУ, и предпринять ряд действий:

1.     Уведомление Роскомнадзора об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3)

2.     Проведение классификации информационной системы

3.     Разработка модели угроз безопасности персональным данным

4.     Выбор средств защиты инструмента обработки персональных данных (средства защиты должны быть сертифицированными, либо пройти сертификацию)

- Контроль доступа к сети;

- Средства контроля утечек персональных данных;

- Сертифицированные по РД ФСТЭК межсетевые экраны (Firewalls);

- Сертифицированные ФСТЭК, ФСБ средства антивирусной защиты;

- Сертификация средств защиты:

5.     Выбор испытательной лаборатории

6.     Проведение испытаний

7.     Подготовка организационно-распорядительных документов

- Положение об обработке персональных данных

- Положение о защите персональных данных

- Положение о подразделении по защите информации

- Должностные регламенты лиц, ответственных за защиту персональных данных

- План мероприятий по защите персональных данных

- План внутренних проверок состояния защиты персональных данных

- Приказы о назначении ответственных лиц по защите персональных данных

- Договора с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных, выписки из ЕГРЮЛ и т.д.

- Журнал по учету мероприятий по контролю

- Журнал учёта обращений субъектов персональных данных о выполнении их законных прав

- Копия уведомления РКН с исходящим номером и датой подписания

- Типовая форма и письменные согласия субъекта персональных данных на обработку персональных данных

- Список лиц, обрабатывающих персональные данные, утверждённый оператором или уполномоченным лицом

- Инструкции администраторов безопасности персональных данных

- Инструкции пользователей по работе с персональными данными

- Электронный журнал обращений пользователей информационной системы к персональным данным

- Журналы (книги) учёта персональных данных

- Правила пользования средствами защиты информации

- Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке

- Эксплуатационная и техническая документация

- Отражение в трудовом договоре (контракте) ответственности работника за разглашение персональных данных

8.     Оформление и утверждение документов

9.     Аттестация инструмента обработки персональных данных

10.    Проверка Роскомнадзора, ФСТЭК и ФСБ

11.    Получение письменного согласия субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4)

12.    Уведомление субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4)

13.    Прохождение внеплановых проверок

Компания ООО «Мастер Лаб» может оказать необходимую консультацию и помощь в разработке необходимой документации для проведения вышеуказанных мероприятий.