Защита персональных данных в клинике NICA MEDICA

1.

19.08.2022
Шурхай А.В.

2.

Что такое персональные данные (далее ПД) ? Словарь по ключевым
понятиям
Нормативно-правовая акты, регламентирующие защиту ПД (далее НПА)
Обязанности оператора (NICA MEDICA)
Права субъектов ПД
Специфика защиты ПД в организациях здравоохранения
Правовые принципы работы с персональными данными
Комплекс мер по защите ПД в организации здравоохранения:
1. назначение ответственных лиц (ОЛ)
2. Подготовка локальных правовых актов
3. Ознакомление работников
4. Прохождение обучения ответственного лица в НЦЗПД (Шурхай А.В.)
5. Установление порядка доступа
6. Техническая и криптографическая защита
7. Прекращение обработки персональных данных
Ответственность

3.

15 ноября 2021 г. вступил в силу Закон Республики Беларусь от 07.05.2021 № 99-З
«О защите персональных данных» (далее—Закон)
Под персональными данными подразумевается любая информация, относящаяся
к идентифицированному физическому лицу или физическому лицу, которое может
быть идентифицировано.
Субъект персональных данных - это физическое лицо, в отношении которого
осуществляется обработка персональных данных.
Оператор (NICA MEDICA)- это государственный орган, юридическое лицо
Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный̆
предприниматель, самостоятельно или совместно с указанными лицами
организующие и (или) осуществляющие обработку персональных данных.
В п. 3 ст. 4 Закона закреплено, что обработка персональных данных
осуществляется с согласия субъекта персональных данных!

4.

• текстовая информация на бумажном или электронном носителе
• фотоизображение
• видеозапись
• объективные данные (например, имя, возраст, место работы)
• субъективные мнения или оценки (например, уровень платежеспособности,
результаты аттестации нанимателем работника)
Информация относится к лицу, когда эта информация:
о каком-то лице (например, фото лица, история его болезни, обстоятельства
рождения, место работы и др.);
не о самом лице, но она может быть использована для его оценки или влияния
на поведение, реализации его прав и обязанностей (например, сведения GPS,
определяющие место нахождения транспортного средств, могут быть
использованы для оценки маршрута водителя, история звонков с рабочего
телефона – для оценки использования средств связи нанимателя работником в
личных целях).

5.

ЗАКОН Республики Беларусь от 07.05.2021 № 99-З «О защите персональных
данных» - закрепляет общие понятия и принципы работы с персональными
данными.
УКАЗ Президента Республики Беларусь № 422 от 28.10.2021 «О мерах
по совершенствованию защиты персональных данных» - регулирует вопросы
персональных данных.
ПОСТАНОВЛЕНИЕ Минздрава РБ №74 от 07.06.2021 «О формах и порядке
дачи и отзыва согласия на внесение и обработку персональных данных
пациента»

6.

- устанавливать и поддерживать в актуальном состоянии перечень
информационных ресурсов (систем), содержащих персональные данные,
собственниками (владельцами) которых они являются
- категории персональных данных, подлежащие включению в такие ресурсы
(системы): ◆ общедоступные персональные данные;
◆ специальные персональные данные (кроме биометрических
и генетических персональных данных);
◆ биометрические и генетические персональные данные;
◆ персональные данные, не являющиеся общедоступными или
специальными;
- перечень уполномоченных лиц, если обработка персональных данных
осуществляется уполномоченными лицами
- хранить ПД не дольше, чем это требуют заявленные цели обработки
- принимать меры по обеспечению достоверности обрабатываемых им ПД,
при необходимости обновлять их (а также корректировать по запросам
субъектов данных)
- предоставлять субъекту данных информацию обо всех условиях обработки
ПД

7.

- Предоставлять пользователю отдельный документ ( в письменном или электронном
виде), в котором простым и ясным языком разъяснить субъекту данных его права,
механизм реализации прав, последствия дачи согласия или отказа
- Получать согласие на обработку ПД от субъектов данных
- Обеспечивать защиту ПД
- - соблюдать процедуры и условия трансграничной передачи данных
- При получении заявления от субъекта ПД при наличии установленных оснований
прекратить обработку данных, осуществить их удаление и уведомить субъекта об
этом
- По запросу субъекта ПД предоставлять ему в доступной форме информацию о том,
какие его данные обрабатываются и как, кому они передавались
- В установленном порядке уведомлять уполномоченный орган по защите прав
субъектов ПД о нарушениях систем защиты ПД

8.

◆ на отзыв согласия;
◆ на получение информации об обработке данных;
◆ на изменение персональных данных;
◆ на получение информации о предоставлении данных третьим лицам;
◆ требовать удаления данных или прекращения их обработки.

9.

Все организации здравоохранения обязаны:
◆ обеспечивать соблюдение режима врачебной тайны в соответствии
с Законом Республики Беларусь от 18.06.1993 № 2435-XII «О
здравоохранении» (в ред. от 11.12.2020);
◆ соблюдать правила обработки информации ограниченного
распространения согласно Закону Республики Беларусь от 10.11.2008 № 455З «Об информации, информатизации и защите информации» (в ред.
от 24.05.2021);
◆ выполнять требования Закона Республики Беларусь от 07.05.2021 № 99-З
«О защите персональных данных» (далее—Закон).

10.

Принцип минимизации:
объем данных всегда должен
соответствовать целям, для
достижения которых они
были собраны
Принцип прозрачности:
данные всегда должны
обрабатываться прозрачно
Правовые принципы
работы с персональными
данными
Принцип точности: оператор
персональных данных
должен обеспечивать их
достоверность
Принцип ограничения
хранения: персональные
данные не должны
обрабатываться после
достижения заявленных целей

11.

1. Назначение ответственных лиц
2. Подготовка локальных правовых актов
3. Ознакомление работников
4. Прохождение обучения ответственного лица в НЦЗПД (Шурхай А.В.)
5. Установление порядка доступа
6. Техническая и криптографическая защита
7. Прекращение обработки персональных данных

12.

Администраторы
Сбор, хранение, обработка,
взятие согласия, принятие
заявления об удалении
данных, удаление
Колл-центр
Главный
администратор
Ранцевич И.Г.
Главный
администратор
Сбор, обработка данных
Ранцевич И.Г.
Врачи
Врач стомотологхирург
Сбор, обработка данных
Медсестры
Имеют доступ
Администрация
Имеют доступ
Бузук И.В.
Главная медсестра
Лясота И.М.

13.

Администрация
Сбор, обработка,
хранение,
удаление
Помощник
руководителя
Кадровик
Дополнительно:
Сбор, обработка,
хранение, удаление
ПД прочих лиц
(соискатели)
Главный
бухгалтер,
бухгалтерэкономист
Дополнительно:
Осуществление
внутреннего
контроля по
защите ПД в
клинике

14.

РАЗРАБОТАНО:
ПОЛИТИКА организации здравоохранения «В отношении обработки
персональных данных»
ПОЛОЖЕНИЕ «Об обработке и защите персональных данных»
ПОЛОЖЕНИЕ «О порядке обеспечения конфиденциальности при обработке
информации, содержащей персональные данные»
Общий регламент защиты персональных данных (GDPR)
ПОЛОЖЕНИЕ О правовом режиме защиты персональных данных в МЧУП
«НИКА Дент»
ПОЛОЖЕНИЕ «О персональных данных», перечень задач и функций
ПРИКАЗ О назначении ответственных лиц в отношении персональных данных

15.

ЖУРНАЛ учета допуска к персональным данным
ОБЯЗАТЕЛЬСТВО о неразглашении персональных данных
Утвержденная форма СОГЛАСИЯ (ОТКАЗА), ОТЗЫВА СОГЛАСИЯ
пациента в МЧУП «НИКА Дент»
ПОЛОЖЕНИЕ «О порядке уничтожения персональных данных»
ЖУРНАЛ регистрации удаления персональных данных

16.

Перечень лиц, имеющих доступ к персональным данным субъектов
персональных данных:
-
Директор - главный врач
Главный бухгалтер
Помощник руководителя
экономист-бухгалтер
Специалист по кадрам
Главная медицинская сестра
Главный медицинский регистратор
Врач стоматолог-хирург
Врач стоматолог-ортопед
Врач стоматолог-ортодонт
Врач стоматолог-терапевт
Врач-рентгенолог
Врач-дерматовенеролог
Врач-косметолог
Врач-онколог
Врач-оториноларинголог
Медицинская сестра по стоматологии
Медицинская сестра по косметологии
Техник-массажист
Медицинский регистратор-кассир
Специалист по маркетингу контакт-центра
Зубной техник ?
Медицинская сестра по физиотерапии
Медицинская сестра по массажу

17.

Перечень лиц, осуществляющих обработку персональных данных субъектов
персональных данных:
-
Директор - главный врач
Главный бухгалтер
Помощник руководителя
экономист-бухгалтер
Специалист по кадрам
Главная медицинская сестра ?
Главный медицинский регистратор
Врач стоматолог-хирург
Врач стоматолог-ортопед
Врач стоматолог-ортодонт
Врач стоматолог-терапевт
Врач-рентгенолог
Врач-дерматовенеролог
Врач-косметолог
Врач-онколог
Врач-оториноларинголог
Медицинская сестра по косметологии
Техник-массажист
Медицинский регистратор-кассир
Специалист по маркетингу контакт-центра
Медицинская сестра по физиотерапии
Медицинская сестра по массажу

18.

Техническая и криптографическая защита персональных данных осуществляется в порядке,
установленном Оперативно-аналитическим центром при Президенте РБ в соответствии с
классификацией информационных ресурсов (систем), содержащих персональные данные.
ПЕРЕЧЕНЬ информационных ресурсов (систем)
№
п/п
Информационные ресурсы
(системы), содержащие ПД
Категории ПД, подлежащих
включению в
информационные ресурсы
(системы)
1.
Программное обеспечение
1С:Предприятие
Специальные ПД; ПД, не
являющиеся общедоступными
или специальными
2.
Официальный сайт nicamedica.by и
другие ресурсы клиники в интернете
общедоступные ПД
3.
Электронная почта
[email protected]
ПД, не являющиеся
общедоступными или
специальными
4.
Чат «НИКА-сотрудники» в
мессенджере (viber)

19.

Согласно Закона субъект персональных данных имеет право потребовать
прекращения обработки персональных данных, включая их удаление. В таком
случае оператор обязан прекратить обработку персональных данных субъекта при
отсутствии оснований для обработки персональных данных, предусмотренных
Законом и иными законодательными актами.
Также в соответствии с Законом при отсутствии оснований для обработки
персональных данных, предусмотренных данным Законом и иными
законодательными актами, оператор персональных данных:
◆ прекращает обработку персональных данных, а также удаляет или блокирует их;
◆ обеспечивает прекращение обработки персональных данных, а также их удаление
или блокирование уполномоченным лицом.
Нормативно-правовые акты NICA MEDICA:
1. ПОЛОЖЕНИЕ «Об уничтожении персональных данных»
2. ПРИКАЗ Об утверждении порядка уничтожения персональных данных и
помещения для хранения и уничтожения персональных данных
3. ПРИКАЗ О создании комиссии по уничтожению персональных данных
4. Журнал регистрации удаления персональных данных

20.

Административная
Уголовная
Умышленные незаконные сбор,
обработка, хранение или
предоставление ПД физ лица либо
нарушение его прав, связанных с
обработкой ПД, влекут штраф до 50 БВ
(ч.1 ст. 23.7 КоАП)
Планируется ужесточить уголовную
ответственность за незаконное раскрытие ПД (на
рассмотрении в Парламенте находится проект
изменений в УК). В частности, предлагается ввести
уголовную ответственность за умышленное
незаконное предоставление информации о частной
жизни и ПД другого лица без его согласия,
повлекшее причинение существенного вреда
правам, свободам и законным интересам
гражданина, совершенное в том числе в отношении
лица или его близких в связи с осуществлением им
служебной деятельности или выполнением
общественного долга
Деяния, совершенные лицом, которому
ПД известны в связи с его
профессиональной или служебной
деятельностью, влекут штраф от 4 до
100 БВ (ч.2 ст.23.7 КоАП)
Умышленное незаконное
распространение ПД физ лиц влечет
штраф до 200 БВ (ч.3 ст. 23.7 КоАП)
Сейчас в ст. 179 УК предусмотрена ответственность
только за незаконное предоставление сведений о
частной жизни (личная или семейная тайна), и не
упоминаются ПД
Несоблюдение мер обеспечения защиты
ПД физ лиц влечет штраф от 2 до 10 БВ,
на ИП – от 10 до 25 БВ, на юр лицо – от
20 до 50 БВ (ч.4 ст. 23.7 КоАП)
Уголовная ответственность предусмотрена за
разглашение тайны усыновления (удочерения)
(ст.177 УК), разглашение врачебной тайны (ст.178
УК).