С чего начать…
Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями Федерального закона №152 от 27 июля 2006 года «О персональных данных» не позднее 1 июля 2011 года (Законопроект № 444277-5 «О внесении изменений в статью 25 Федерального закона «О персональных данных»).
Все новые системы, должны строиться с учетом требований нормативных документов. Для этого предстоит провести предварительный анализ информационных ресурсов учреждения. Это можно сделать самостоятельно или пригласить стороннюю организацию, имеющую оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Первый этап. Назначить ответственного за обеспечение безопасности.
На первом этапе необходимо назначить ответственных за обеспечение безопасности персональных данных в учреждении.
Второй этап. Установить перечень персональных данных.
На следующем этапе необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются в учреждении, и оформить документ «Перечень персональных данных». Главным критерием отнесения информации к персональным данным является ее принадлежность к физическому лицу (гражданину). Например, персональные данные сотрудников (представленные их личными делами и записями в базе данных программ для расчета заработной платы); данные пациентов (представленные медицинскими картами и записями в базе данных программ для сбора медицинской статистики) и т.д.
Третий этап. Определить цель обработки персональных данных.
После этого необходимо определиться с целями обработки каждого вида персональных данных. Целями могут быть: исполнение договора, одной из сторон которого является субъект персональных данных; реализация трудовых отношений, медицинского учета, а также при осуществлении медицинской деятельности больничных учреждений широкого профиля и др. Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты» и т.д..
Четвертый этап. Определить способы обработки персональных данных.
На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный.
- Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях. Кроме того неавтоматизированной считается обработка на компьютере, но без использования средств автоматизации. Например, если персональные данные обрабатываются в текстовом редакторе.
- Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование средств автоматизации, например, таких как автоматизированные системы управления, системы управления базами данных (СУБД) и т.д. («1С –Зарплата и кадры», «Единая поликлиника», «МедСтаф» и др.).
- Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто.
Пятый этап. Разработать письменное согласие субъекта персональных данных.
Для обработки персональных данных в учреждении требуется письменное согласие субъекта персональных данных, кроме случаев, когда обработка персональных данных осуществляется на основании федерального закона (например, трудового кодекса); персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например, договор подряда). Письменное согласие субъекта персональных данных на обработку своих персональных данных должно соответствовать части 4 статьи 9 Федерального закона № 152 от 27 июля 2006 года «О персональных данных».
Шестой этап. Зарегистрироваться в Роскомнадзоре.
Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадзоре. Для этого необходимо подать «Уведомление об обработке персональных данных».
Случаи, когда уведомление не требуется, описаны в части 2, статьи 22 Федерального закона №152 от 27 июля 2006 года «О персональных данных».
Уведомление отправляется в электронном виде (заполнение формы на сайте http://76.rsoc.ru/forms/personal_data/)и дублируется в бумажном виде с подписью руководителя и печатью.
Седьмой этап. Учесть обращения субъектов.
Субъект (человек, персональные данные которого обрабатываются в учреждении) имеет право запросить сведения о наличии в учреждении его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы: «Инструкция по работе с обращениями субъектов персональных данных», журнал для регистрации таких обращений и набор бланков для ответов субъекту.