Письмо от 15.11.2013 г № 09-01/12728
О персональных данных
Министерство здравоохранения Республики Татарстан в целях выполнения требований Федерального закона Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" напоминает о необходимости неукоснительного выполнения требований данного Закона.
В своей деятельности по защите персональных данных необходимо руководствоваться следующими основными нормативно-правовыми актами по вопросам безопасности информации и персональных данных:
Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных".
Федеральный закон Российской Федерации от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".
Федеральный закон Российской Федерации от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
Федеральный закон Российской Федерации от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ.
Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Постановление Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
Постановление Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (вместе с "Положением о лицензировании деятельности по технической защите конфиденциальной информации").
Постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
Следует учитывать, что медицинское учреждение как оператор персональных данных должно соблюдать требования следующих нормативных актов:
1.Федеральный закон Российской Федерации от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления".
Статья 10.Организация доступа к информации о деятельности государственных органов и органов местного самоуправления, размещаемой в сети Интернет.
1.Государственные органы, органы местного самоуправления для размещения информации о своей деятельности используют сеть Интернет, в которой создают официальные сайты с указанием адресов электронной почты, по которым пользователем информацией может быть направлен запрос и получена запрашиваемая информация.
2.Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
Статья 18.1.Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом .
2.Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
3.Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211.
Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.
Однако по состоянию на 01.11.2013 не все медицинские учреждения опубликовали на своих сайтах документы, связанные с политикой в отношении обработки персональных данных, а ряд медицинских учреждений и вообще не имеют собственного сайта (прил.).
Кроме того, постоянное обновление нормативной документации по защите персональных данных требует доработки внутриучрежденческих документов. В соответствии с отчетами медицинских учреждений работа по формированию документации проведена однократно и датирована 2011 - 2012 гг.
Ужесточены требования к обязательности проведения обучения всех сотрудников, участвующих в обработке персональных данных. В настоящее время в ряде медицинских учреждений обучен один, максимум двое - трое ответственных, а в ряде учреждений обучение не проводилось.
Учитывая участившиеся проверки сотрудниками Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций медицинских учреждений в других регионах, необходимо организовать приведение в соответствие с требованиями ФЗ 152 "О персональных данных" нормативной документации по учреждению, обязательное размещение на сайте документов, связанных с политикой в отношении обработки персональных данных, обучение максимального количества сотрудников, работающих с персональными данными.
Обращаем внимание на то, что заключение договоров на проведение работ по защите информации, обучению персонала должно быть только с организациями, имеющими необходимые лицензии на выполнение подобного рода работ. Типовое техническое задание с перечнем требований к исполнителю неоднократно было доведено до медицинских учреждений.
Отчет по выполнению учрежденческих планов на 2013 г. по защите персональных данных необходимо будет представить в РМИАЦ во время сдачи годовых отчетов.
Просим взять под личный контроль организацию исполнения Федерального закона Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных".
Министр
А.Ю.ВАФИН