+7 (3452) 595-805 (многоканальный)
+7 (499) 215-29-99

Роскомнадзор: горячая линия с регулятором

Компания КБ-Информ активно сотрудничает с Управлением Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу – Югре и Ямало-Ненецкому автономному округу в части повышения осведомленности Операторов ПДн по вопросам выполнения требований закона "О персональных данных". Предлагаем Вашему вниманию первую часть материала из цикла "ВОПРОС-ОТВЕТ: горячая линия с Регулятором".

Пожалуйста, направляйте свои вопросы на наш почтовый ящик и мы обязательно опубликуем официальный ответ Регулятора.

ВОПРОС-ОТВЕТ:

На что в первую очередь обращают внимание специалисты Роскомнадзора при проведении проверок?

Специалисты при проверке в первую очередь обращают внимание на ряд моментов: подано ли уведомление об обработке персональных данных; если уведомление подано, то содержит ли данное уведомление полные и достоверные сведения; приняты ли оператором меры по обеспечению безопасности персональных данных и другие. Подробный перечень документов, которые проверяют сотрудники Управления, содержится на официальном сайте Роскомнадзора по Тюменской области http://72.rsoc.ru в разделе Направления деятельности / Персональные данные.

Если для выдачи приказа или иного документа берется копия паспорта субъекта ПДн, нужно согласие?

Согласно пункту 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая хранение. В соответствии с частью 1 статьи 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с согласия субъекта персональных данных. Согласно части 1 статьи 9 Закона №152-ФЗ согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Вместе с тем, обращаем внимание, согласно статье 5 Закона № 152-ФЗ обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Количество нарушений говорит о том, что, в частности, в медицине в большинстве больниц даже нет должностей по защите информации! Что с этим делать?

1 вариант. Ввести должность специалиста по защите информации.
2 вариант. Возложить дополнительные обязанности специалиста по защите информации на работника организации.

Как правильно документально оформить проведение видеосъемки в помещениях?

В организации должна быть разработана и принята инструкция о порядке осуществления видеосъемки в помещениях данной организации. В инструкции должны быть закреплены порядок, места установки систем видеонаблюдения, места и сроки хранения материалов видеосъемки, сроки и способы уничтожения материалов видеосъемки. В организации должен быть утвержден перечень лиц, имеющих доступ к материалам видеосъемки, перечень лиц, ответственных за осуществление видеосъемки. Работники организации, имеющие доступ к материалам видеосъемки, должны быть ознакомлены под роспись с соответствующими приказами. В должностных инструкциях лиц, ответственных за осуществление видеосъемки, должна быть закреплена ответственность. В случае, если проведение видеосъемки в организации осуществляет сторонняя охранная организация, то между организацией и сторонней охранной организацией должен быть заключен договор, предусматривающий условия обеспечения конфиденциальности полученных материалов видеосъемки. В качестве приложения к договору может быть инструкция сторонней охранной организации о порядке проведения видеосъемки и порядке хранения, уничтожения материалов видеосъемки.

Нужно ли брать согласия на обработку данных с пациентов? На каком основании требовать с пациентов согласия на обработку ПДн? Если пациент отказывается давать согласие, как лечить?

Согласно требованиям Закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных. Согласно пункту 5 части 1 статьи 6, пункту 4 части 2 статьи 10 Закона № 152-ФЗ в исключительных случаях закон разрешает медицинским учреждениям обрабатывать специальные категории персональных данных пациентов (касающиеся состояния их здоровья) без их согласия. Вместе с тем предлагать пациентам подписать согласие на обработку персональных данных в иных целях закон не запрещает.

Есть ли ссылки на документы, подтверждающие введение должностей по защите ПДн?

Статья 18.1 Закона № 152-ФЗ устанавливает обязанность оператора принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом и принятыми в соответствии с ним нормативными правовыми актами. Часть 1 статьи 22.1 Закона № 152-ФЗ предусматривает, что оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Вместе с тем в Законе № 152-ФЗ указано, что оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом № 152-ФЗ или другими федеральными законами. К таким мерам могут, в частности, относиться назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

Каков срок хранения персональных данных после смерти человека?

Согласно части 7 статьи 5 Закона № 152-ФЗ хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни (часть 7 статьи 9 Закона № 152-ФЗ).

Законно ли требование о предъявлении паспорта и запись данных в журнал?

В случае если в здании, где расположено государственное учреждение либо иная организация, установлен внутриобъектовый и пропускной режим, который обеспечивает организация, осуществляющая охранную деятельность, то данная организация вправе осуществлять допуск лиц на объекты охраны, на которых установлен пропускной режим, при предъявлении документов, дающих право на вход (выход) лиц, въезд (выезд) транспортных средств, внос (вынос), ввоз (вывоз) имущества на объекты охраны (с объектов охраны) и требовать от посетителей соблюдения внутриобъектового и пропускного режима. Правила соблюдения внутриобъектового и пропускного режима не должны противоречить законодательству Российской Федерации.