Защита персональных данных пациентов

9. Защита персональных данных пациентов

9.1.        Учреждение-оператор при обработке персональных данных пациентов обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2.        Обеспечение безопасности персональных данных пациентов достигается, в частности:

1)    определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2)    применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3)    применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4)    оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5)    учетом машинных носителей персональных данных;

6)    обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7)    восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8)    установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9)    контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

9.3.        Для обеспечения безопасности персональных данных пациентов при неавтоматизированной обработке предпринимаются следующие меры:

9.3.1.  Определяются места хранения персональных данных (согласно настоящего Положения), в которых организуется режим обеспечения безопасности и которые оснащаются следующими средствами защиты:     

-   В кабинетах, где осуществляется хранение документов, содержащих персональные данные пациентов, имеются сейфы, шкафы, стеллажи, тумбы.

-   Дополнительно кабинеты, где осуществляется хранение документов, содержащих персональные данные пациентов, оборудованы замками, системой пожарной и охранной сигнализации.

9.3.2.   Все действия при неавтоматизированной обработке персональных данных пациентов осуществляются только должностными лицами Учреждения-оператора, допущенных к персональным данным, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

9.3.3.   При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:

1)     при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;

2)     при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

Персональные данные пациентов, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении персональных данных.

Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

9.3.4.   Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9.4.        Для обеспечения безопасности персональных данных пациентов при автоматизированной обработке предпринимаются следующие меры:

9.4.1.  Все действия при автоматизированной обработке персональных данных пациентов осуществляются только должностными лицами, допущенных к персональным данным, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

9.4.2.  Персональные компьютеры, имеющие доступ к базам хранения персональных данных пациентов, защищены паролями доступа. Пароли устанавливаются работниками отдела АСУП и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных пациентов на данном ПК.

9.4.3.  Иные меры, предусмотренные Положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

9.4.4.   Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства РФ от 01.11.2012 N 1119"Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

9.5.        Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, в соответствии с Приказами по архивному делу, или продлевается на основании заключения экспертной комиссии Учреждения-оператора, если иное не определено законодательством РФ.