Нормативные правовые акты

Анализ принятых поправок к Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

В новой редакции Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее-Закона), произошедшей 25 июля 2011г., из наиболее значимых для медицинских информационных систем положений следует отметить:

1, Согласно ч. 1 ст. 22 Закона оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку ПДн. Операторы, которые осуществляли обработку персональных данных до 01.07.2011г., обязаны представить в уполномоченный орган по защите прав субъектов персональных данных следующие данные:

-правовое основание обработки персональных данных;
-фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
-сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
-сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

2, Согласно ч. 1 ст. 22 Закона оператор вправе осуществлять обработку ПДн без уведомления уполномоченного органа по защите прав субъектов ПДн в случаях персональных данных:

-обрабатываемых в соответствии с трудовым законодательством;
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
-относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
-сделанных субъектом персональных данных общедоступными;
-включающих в себя только фамилии, имена и отчества субъектов персональных данных;
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

-включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
-обрабатываемых без использования средств автоматизации в соответствии с федеральными законамиили иными нормативными правовыми актамиРоссийской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
обрабатываемых в случаях, предусмотренных законодательствомРоссийской -Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3, Согласно ст. 22.1 Закона оператор назначает лицо, ответственное за организацию обработки персональных данных, которое получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Закона.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

-осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
-доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
-организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

 4, Согласно ч.3 ст.18 Закона если ПДн получены не от субъекта ПДн, оператор, за исключением случаев, предусмотренных ч.4 ст.18 Закона, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

-наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
-цель обработки персональных данных и ее правовое основание;
-предполагаемые пользователи персональных данных;
-установленные настоящим Федеральным законом права субъекта персональных данных;
-источник получения персональных данных.

5, Согласно ч.4 ст.9 Закона в случаях, предусмотренных Законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом ЭЦП.

6, Согласно ч.5 ст.21 Закона в случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом или другими федеральными законами.

7, Согласно п.2 ст.18.1 Закона оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн. Оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

8, Согласно п.3 ст.6 Закона оператор имеет право поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом. В поручении оператора должны быть определены перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Закона.  Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн. В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн х по поручению оператора, несет ответственность перед оператором.