Письмо Минздрава РТ от 15.11.2013 N 09-01/12728 "О персональных данных"
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ ТАТАРСТАН
ПИСЬМО
от 15 ноября 2013 г. № 09-01/12728
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Министерство здравоохранения Республики Татарстан в целях выполнения требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" напоминает о необходимости неукоснительного выполнения требований данного Закона.
В своей деятельности по защите персональных данных необходимо руководствоваться следующими основными нормативно-правовыми актами по вопросам безопасности информации и персональных данных:
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных";
Федеральный закон Российской Федерации от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральный закон Российской Федерации от 19.12.2005 № 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
постановление Правительства Российской Федерации от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (вместе с "Положением о лицензировании деятельности по технической защите конфиденциальной информации");
постановление Правительства РФ от 16.04.2012 № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
Следует учитывать, что медицинское учреждение, как оператор персональных данных, должно соблюдать требования следующих нормативных актов:
1. Федеральный закон Российской Федерации от 9 февраля 2009 г. № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления".
Статья 10. Организация доступа к информации о деятельности государственных органов и органов местного самоуправления, размещаемой в сети Интернет.
1. Государственные органы, органы местного самоуправления для размещения информации о своей деятельности используют сеть Интернет, в которой создают официальные сайты с указанием адресов электронной почты, по которым пользователем информацией может быть направлен запрос и получена запрашиваемая информация.
2. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом (введена Федеральным законом от 25.07.2011 № 261-ФЗ).
2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
3. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211.
Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.
Однако по состоянию на 01.11.2013 не все медицинские учреждения опубликовали на своих сайтах документы, связанные с политикой в отношении обработки персональных данных, а ряд медицинских учреждений и вообще не имеют собственного сайта (прил.).
Кроме того, постоянное обновление нормативной документации по защите персональных данных требует доработки внутриучрежденческих документов. В соответствии с отчетами медицинских учреждений работа по формированию документации проведена однократно и датирована 2011 - 2012 гг.
Ужесточены требования к обязательности проведения обучения всех сотрудников, участвующих в обработке персональных данных. В настоящее время в ряде медицинских учреждений обучен один, максимум двое - трое ответственных, а в ряде учреждений обучение не проводилось.
Учитывая участившиеся проверки сотрудниками Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций медицинских учреждений в других регионах, необходимо организовать приведение в соответствие с требованиями ФЗ 152 "О персональных данных" нормативной документации по учреждению, обязательное размещение на сайте документов, связанных с политикой в отношении обработки персональных данных, обучение максимального количества сотрудников, работающих с персональными данными.
Обращаем внимание на то, что заключение договоров на проведение работ по защите информации, обучению персонала должно быть только с организациями, имеющими необходимые лицензии на выполнение подобного рода работ. Типовое техническое задание с перечнем требований к исполнителю неоднократно было доведено до медицинских учреждений.
Отчет по выполнению учрежденческих планов на 2013 г. по защите персональных данных необходимо будет представить в РМИАЦ во время сдачи годовых отчетов.
Просим взять под личный контроль организацию исполнения Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных".
Министр
А.Ю.ВАФИН
Приложение
ПЕРЕЧЕНЬ
УЧРЕЖДЕНИЙ, НЕ ИМЕЮЩИХ САЙТА
1. Государственное автономное учреждение здравоохранения "Актюбинский психоневрологический диспансер".
2. Государственное автономное учреждение здравоохранения "Станция скорой медицинской помощи г. Казани".
3. Государственное автономное учреждение здравоохранения "Центральная городская клиническая больница № 18".
4. Государственное автономное учреждение здравоохранения "Городская поликлиника № 4 (Студенческая)" г. Казани.
5. Государственное автономное учреждение здравоохранения "Городская поликлиника № 6".
6. Государственное автономное учреждение здравоохранения "Городская поликлиника № 10".
7. Государственное автономное учреждение здравоохранения "Детская городская поликлиника № 11".
8. Государственное автономное учреждение здравоохранения "Стоматологическая поликлиника № 4".
9. ООО "Стоматологическая поликлиника № 5".
10. Государственное автономное учреждение здравоохранения "Детская стоматологическая поликлиника № 4" г. Казани.
11. Государственное автономное учреждение здравоохранения "Городская больница № 2" г. Наб. Челны.
12. Государственное автономное учреждение здравоохранения "Детская городская поликлиника № 2" г. Наб. Челны.
13. Государственное автономное учреждение здравоохранения "Детская городская поликлиника № 3" г. Наб. Челны.
14. Государственное автономное учреждение здравоохранения "Врачебно-физкультурный диспансер" г. Наб. Челны.
15. Государственное автономное учреждение здравоохранения "Городская поликлиника № 11" г. Наб. Челны.
16. Государственное автономное учреждение здравоохранения "Детская стоматологическая поликлиника № 1" г. Наб. Челны.
17. Государственное автономное учреждение здравоохранения "Центр реабилитации слуха" г. Наб. Челны.
18. Государственное автономное учреждение здравоохранения "Центр медицинской профилактики" г. Нижнекамска.
19. Государственное автономное учреждение здравоохранения "Нижнекамский детский терапевтический санаторий".
20. Государственное автономное учреждение здравоохранения "Мензелинская центральная районная больница".
21. Государственное автономное учреждение здравоохранения "Спасская центральная районная больница".
22. Государственное автономное образовательное учреждение среднего профессионального образования "Мензелинское медицинское училище".
------------------------------------------------------------------