56663a36248e598282f6974356ec227a.ppt
- Количество слайдов: 13
Защита персональных данных в системе здравоохранения Самбуев Зоригто Дашидондокович Начальник IT отдела РМИАЦ МЗ РБ sambuev@burmiac. ru Тел. +7 /3012/ 55 -25 -47
СУЩНОСТЬ – ПЕРСОНАЛЬНЫХ ДАННЫХ К персональным данным (ПДн) относятся: любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация К специальным ПДн относятся: персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни К биометрическим ПДн относятся: сведения, характеризующие физиологические особенности человека и на основе которых можно установить его личность К геномным ПДн относятся: сведения, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности
УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ ДОЛЖНЫ: Ø Ø Ø Зарегистрироваться в качестве операторов ПД Получить письменные согласия пациентов Обеспечить информирование пациентов по их запросам Провести классификацию Организовать и поддерживать систему защиты конфиденциальной информации в соответствии с установленным классом.
СОГЛАСИЕ на обработку персональных данных Я, нижеподписавшийся <Ф. И. О. полностью>, проживающий по адресу <по месту регистрации>, паспорт <серия и номер>, выдан <дата и название выдавшего органа>, в соответствии с требованиями статьи 9 федерального закона от 27. 06 г. “О персональных данных” № 152 -ФЗ, подтверждаю свое согласие на обработку <название и адрес медицинского учреждения> (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС). Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией <название> и территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну. Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет <двадцать пять лет>. Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия. Настоящее согласие дано мной <дата> и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи. Контактный(е) телефон(ы) <. . . > и почтовый адрес <. . . > Подпись субъекта персональных данных _____
ОПЫТ РЕАЛИЗАЦИИ ПРОЕКТОВ ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКИХ УЧРЕЖДЕНИЯХ Стадии реализации обязательных требований в области защиты ПДн 1. Стадия обследования объекта защиты ПДн 2. Стадия проектирования систем защиты ПДн 3. Стадия ввода в действие системы защиты ПДн
СТАДИЯ ОБСЛЕДОВАНИЯ ОБЪЕКТА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Стадия обследования объекта защиты ПДн: 1. Выявление процессов обработки персональных данных. 2. Выявление информационных ресурсов, содержащих персональные данные. 3. Определение технических и эксплуатационных характеристик информационных систем персональных данных. 4. Определение имеющихся мер и средств защиты информации в информационной системе персональных данных. 5. Выявление существующей организационно-распорядительной базы документов. Результат: 1. Отчет об обследовании объекта защиты ПДн. 2. Экспертное заключение, содержащее оценку результатов проведенного обследования на соответствие требованиям законодательства в области защиты ПДн.
СТАДИЯ ПРОЕКТИРОВАНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Стадия проектирования системы защиты ПДн: • разработка частной модели угроз безопасности ПДн при их обработке в информационной системе ПДн; • проведение классификации информационных систем ПДн; • разработка внутренних нормативно-регламентных документов по защите ПДн (положения, регламенты, акты, приказы, инструкции, журналы, планы); • разработка внешних документов в области защиты ПДн (уведомление, договора, формы получения согласия и т. п. ); • разработка технического задания на создание системы защиты ПДн; • разработка технического проекта; • разработка рабочей документации по системе защиты ПДн
СТАДИЯ ВВОДА В ДЕЙСТВИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Стадия создания системы защиты: • реализация проектных решений по СЗПДн (монтаж оборудования, установка программного обеспечения, настройка оборудования и программного обеспечения, пуско-наладочные работы); • опытная эксплуатация СЗПДн; • приемочные испытания и ввод в эксплуатацию СЗПДн; • обучение лиц, использующих средства защиты информации, применяемые в СЗПДн, правилам работы с ними; • проведение аттестации СЗПДн (по желанию Заказчика)
www. burmiac. ru – сайт РМИАЦ содержит Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения.
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ МИНЗДРАВСОЦРАЗВИТИЯ РФ ДЛЯ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ» За нарушение предусматривается гражданская, уголовная, административная, дисциплинарная и иная ответственность (ст. 24 № 152 -ФЗ). Ниже представлены выдержки из ныне действующих кодексов с названием статей и величиной максимальных наказаний за невыполнение требований законодательства по защите персональных данных.
Статья Кодекс Название статьи Ко. АП Отказ в предоставлении гражданину информации 5. 39 Величина макс. наказания 3 000 руб 13. 11 Ко. АП Нарушение 10 000 руб. установленного законом порядка сбора, хранения, использования или распространение информации о гражданах (персональных данных) 13. 12 Ко. АП Нарушение правил защиты информации 20 000 руб. + конфискация + приостановление деятельности на срок до 90 суток 13. 13 Ко. АП Незаконная деятельность в области защиты информации 20 000 руб. + конфискация
Спасибо за внимание !!!
56663a36248e598282f6974356ec227a.ppt