С чего начать…

Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями Федерального закона №152 от 27 июля 2006 года «О персональных данных» не позднее 1 июля 2011 года (Законопроект № 444277-5 «О внесении изменений в статью 25 Федерального закона «О персональных данных»).

Все новые системы, должны строиться с учетом требований нормативных документов. Для этого предстоит провести предварительный анализ информационных ресурсов учреждения. Это можно сделать самостоятельно или пригласить стороннюю организацию, имеющую оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Первый этап. Назначить ответственного за обеспечение безопасности.

На первом этапе необходимо назначить ответственных за обеспечение безопасности персональных данных в учреждении.

Второй этап. Установить перечень персональных данных.

На следующем этапе необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются в учреждении, и оформить документ «Перечень персональных данных». Главным критерием отнесения информации к персональным данным является ее принадлежность к физическому лицу (гражданину). Например, персональные данные сотрудников (представленные их личными делами и записями в базе данных программ для расчета заработной платы); данные пациентов (представленные медицинскими картами и записями в базе данных программ для сбора медицинской статистики) и т.д.

Третий этап. Определить цель обработки персональных данных.

После этого необходимо определиться с целями обработки каждого вида персональных данных. Целями могут быть: исполнение договора, одной из сторон которого является субъект персональных данных; реализация трудовых отношений, медицинского учета, а также при осуществлении медицинской деятельности больничных учреждений широкого профиля и др. Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты» и т.д..

Четвертый этап. Определить способы обработки персональных данных.

На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный.

  • Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях. Кроме того неавтоматизированной считается обработка на компьютере, но без использования средств автоматизации. Например, если персональные данные обрабатываются в текстовом редакторе.
  • Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование средств автоматизации, например, таких как автоматизированные системы управления, системы управления базами данных (СУБД) и т.д. («1С –Зарплата и кадры», «Единая поликлиника», «МедСтаф» и др.).
  • Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто.

Пятый этап. Разработать письменное согласие субъекта персональных данных.

Для обработки персональных данных в учреждении требуется письменное согласие субъекта персональных данных, кроме случаев, когда обработка персональных данных осуществляется на основании федерального закона (например, трудового кодекса); персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например, договор подряда). Письменное согласие субъекта персональных данных на обработку своих персональных данных должно соответствовать части 4 статьи 9 Федерального закона № 152 от 27 июля 2006 года «О персональных данных».

Шестой этап. Зарегистрироваться в Роскомнадзоре.

Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадзоре. Для этого необходимо подать «Уведомление об обработке персональных данных».
Случаи, когда уведомление не требуется, описаны в части 2, статьи 22 Федерального закона №152 от 27 июля 2006 года «О персональных данных».
Уведомление отправляется в электронном виде (заполнение формы на сайте http://76.rsoc.ru/forms/personal_data/)и дублируется в бумажном виде с подписью руководителя и печатью.

Седьмой этап. Учесть обращения субъектов.

Субъект (человек, персональные данные которого обрабатываются в учреждении) имеет право запросить сведения о наличии в учреждении его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы: «Инструкция по работе с обращениями субъектов персональных данных», журнал для регистрации таких обращений и набор бланков для ответов субъекту.