Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
Передача ПДн работодателем в медицинские учреждения
Добрый день!
Скажите может ли работодатель (т.е. оператор по обработке ПДн своих сотрудников) передавать ПДн сотрудников в медицинские организации без согласия сотрудников? Ст.10 152ФЗ говорит только о передаче СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПДН, а речь идёт об обычных ПДн.
Любая обработка (в т.ч. передача) возможна либо с согласия, либо на основании закона. У вас есть законное основание для передачи ПДн медикам? (например, по ТК работодатель обязан проводить диспансеризацию работников и в рамках этого передает списки медикам, тогда можно)
Цитата
Сергей С. пишет:
Любая обработка (в т.ч. передача) возможна либо с согласия, либо на основании закона.
Кто же в здравом уме покусится на эту парадигму? [IMG]

Вопрос как раз в правовой обоснованности передачи ПДн в медицинские учреждения. Например, в целях заключения ДМС передача ПДн без согласия возможна? Вот кажется мне, что видел в каком-то медицинском ФЗ, такую лазейку.... Но не могу найти.
ДМС только с согласия
Цитата
Сергей С. пишет:
Любая обработка (в т.ч. передача) возможна либо с согласия, либо на основании закона. У вас есть законное основание для передачи ПДн медикам? (например, по ТК работодатель обязан проводить диспансеризацию работников и в рамках этого передает списки медикам, тогда можно)
Сергей С., а как же тогда быть со следующим раскладом:
Допустим работодатель в силу особенностей своей производственной деятельности должен в соответствии со ст. 212, 213 ТК обеспечивать "проведение за счет собственных средств" предварительных, периодических и внеочередных медицинских осмотров.
Своими силами провести данные осмотры не может (нет лицензии) - "на свои средства" привлекает поликлинику по договору.
Получается в чистом виде поручение обработки третьему лицу ч.3 ст. 6 152-ФЗ : "Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом..."
Как быть в данной ситуации?
Брать согласия на передачу третьей стороне в связи с поручением обработки?
Или все-таки второй вариант - иное предусмотрено - ссылаться на ТК?
alol, ты же сам на свой вопрос и ответил. именно ссылаться на ТК
Здравствуйте. Подскажите, пожалуйста, является ли ПДн :
1. обезличенный номер полиса ОМС;
2. номер полиса ОМС + пол + полных лет?
В ОМС спец-т по инф. безопасности ничего толком не сказал.
Yuri, я бы сказал что это считается "обезличенными ПДн", так как определить субъекта персональных данных по этим данным не возможно (если конечно в свободном доступе нет номеров полисов ОМС).

но подождите других ответов, если они будут...
Иван, в законодательной базе нет такого понятия "обезличенные ПДн", есть процесс обезличивания ПДн, но после осуществления процесса это уже считаются обезличенными данными.


Yuri, Соответственно по вашему вопросу обезличенный номер полиса ОМП не является ПДн, а по второму пункту, сложнее, если не происходило обезличивание то можно связать это с ПДн по косвенному признаку указывающему на субъекта ПДн.
Цитата
Иван пишет:
Yuri, я бы сказал что это считается "обезличенными ПДн", так как определить субъекта персональных данных по этим данным не возможно (если конечно в свободном доступе нет номеров полисов ОМС).

но подождите других ответов, если они будут...
В свободном доступе номеров полисов естественно нет, кроме ОМС и мед. учреждений с установленным программным обеспечением от ОМС.

Цитата
Николай пишет:
Yuri, Соответственно по вашему вопросу обезличенный номер полиса ОМП не является ПДн, а по второму пункту, сложнее, если не происходило обезличивание то можно связать это с ПДн по косвенному признаку указывающему на субъекта ПДн.
Николай, например, мужчина, 30 лет с № полиса ХХХ. Разве можно его идентифицировать без доступа к базе ОМС? Круг лиц огромен. Переводить из 4 категории в 3 лишь на таком обосновании?
Yuri, Так у вас в чем стоит вопрос? Являются ли вообще эти данные ПДн или выяснить УЗ?
Николай,
Цитата
Николай пишет:
alol, ты же сам на свой вопрос и ответил. именно ссылаться на ТК
Николай, смотрите:
во-первых, в ТК (ст. 212) нет четкого указания на то, что работодатель должен передавать третьему лицу, там сказано: "... обеспечивает за свой счет...".
Цитата
Сергей С. пишет:
по ТК работодатель обязан проводить диспансеризацию работников и в рамках этого передает списки медикам, тогда можно
Это не так. В ТК закреплена только обязанность работодателя и ничего больше.

во-вторых, читаем ч.3 ст.6 152-ФЗ "в праве поручить, с согласия субъекта, если иное не предусмотрено федеральным законом..." Порядок проведения медицинских осмотров (в частности необходимость привлечения по договору ГПХ медицинских организаций с лицензиями) определен Приказом (приказ явно не закон) Минздравсоцразвития РФ от 12.04.2011 №302н (ред. от 05.12.2014, см. приложение 3). И медикам он передает не только списки, там есть еще направления на проведение мед. осмотра...
Именно федеральным законом, не законодательством (более широкая формулировка включающая в себя, в т.ч. подзаконные акты, приказы и распоряжения уполномоченных органов).

Подтверждением моих измышлений на рассматриваемую тему является закон о связи, где черным по белому написано следующее:
В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется.
Приведенный выше абзац (примерно такой же есть в законе, в соответствии с которым расчеты за ЖКХ и проч. производятся), является тем самым примером, когда " иное определено федеральным законом" и на поручение обработки не требуется согласия.


Таким образом, с учетом всего, что я тут понаписал, получается следующая картина:
При условии, если считать, что тот самый договор ГПХ, в соответствии с которым Работодатель организует проведение медосмотров, является поручением обработки ПДн третьему лицу, то Работодателю нужно брать согласие с субъекта, т.к. фактически оснований не брать нет.


Мысли есть по этому поводу?
В какой форме брать согласие это уже другой вопрос =)
Николай,
Цитата
Николай пишет:
Иван, в законодательной базе нет такого понятия " обезличенные ПДн ", есть процесс обезличивания ПДн , но после осуществления процесса это уже считаются обезличенными данными.
=) Так все-такие есть понятие обезличенные или нет?
Если понятия такого нет, то и считаться обезличенными они могут только в обиходе.
Нужно быть последовательным =)
Цитата
Николай пишет:
Yuri, Соответственно по вашему вопросу обезличенный номер полиса ОМП не является ПДн, а по второму пункту, сложнее, если не происходило обезличивание то можно связать это с ПДн по косвенному признаку указывающему на субъекта ПДн.
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных - собственно определение из ФЗ =)

Т.о. "обезличенный номер полиса ОМС" - является персональными данными, принадлежность которых конкретному субъекту ПДн определить не возможно без использования дополнительной информации. В обиходе - используется термин "обезличенные ПДн".
На практике в локальных нормативных актах юридического лица, можно ввести данный термин и дать его соответствующее определение.
Цитата
Николай пишет:
Yuri, Так у вас в чем стоит вопрос? Являются ли вообще эти данные ПДн или выяснить УЗ?
Сначала выяснить, являются ли ПДн, потом установить категорию (1-4), класс (1-4) и т.д. для организации защиты ПДн

Тема - организация телемедицины. Суть в том, что из отдаленных областей передаются исследования с аппаратуры на сервер, специалист удаленно заходит, делает и направляет по ним описание, а лечащий врач на месте удаленно забирает описание, а затем ставит диагноз.
Нюанс в том, что с одной стороны медицинская деят-ть вся 1 класса, а с другой, специалисту направляются обезличенные данные (пол, возраст)+ исследования какого-либо органа и он не ставит конечный диагноз.
Соответственно, обеспечивать в каждом переферийном, а порой весьма отдаленном мед.заведении 1 класс весьма затратно, этого никто не потянет. Вот и рассматриваем возможные варианты понижения класса.


Номер ОМС планируется ввести только для отчетности перед ОМС по оказанным услугам, в самой схеме процесса он не нужен.
Yuri,
Цитата
Yuri пишет:
Цитата
Николай пишет:
Yuri, Так у вас в чем стоит вопрос? Являются ли вообще эти данные ПДн или выяснить УЗ?
Сначала выяснить, являются ли ПДн, потом установить категорию (1-4), класс (1-4) и т.д. для организации защиты ПДн
Если речь идет только о номере ОМС, отдельно взятом то не является.
Но вы так и не ответили на вопрос Николая.

Непонятно о каких классах идет речь? Их уже нет давно как. У нас уже уровни защищенности (УЗ, как писал Николай). Погуглите: Приказ 156/786/461 - это про отмену классификации. ПП РФ 1119. Приказ ФСТЭК №21 и №17.
Про обезличивание почитайте: Приказ Роскомнадзора №996 от 05.09.2013 "об утверждении требований и методов по обезличиванию персональных данных"
Цитата
alol пишет:
Yuri,
Цитата
Yuri пишет:
Цитата
Николай пишет:
Yuri, Так у вас в чем стоит вопрос? Являются ли вообще эти данные ПДн или выяснить УЗ?
Сначала выяснить, являются ли ПДн, потом установить категорию (1-4), класс (1-4) и т.д. для организации защиты ПДн
Если речь идет только о номере ОМС, отдельно взятом то не является.
Но вы так и не ответили на вопрос Николая.
alol, Я не сообразил, что это за сокращение. Уровни значимости информации из 17 Приказа или уровни защищенности из 21. Вообще-то нужно все по данной теме :)
Цитата
alol пишет:
Про обезличивание почитайте: Приказ Роскомнадзора №996 от 05.09.2013 "об утверждении требований и методов по обезличиванию персональных данных"
Вот за это ОГРОМНОЕ СПАСИБО! А методические рекомендации к нему - вещь!
Цитата
Yuri пишет:
Цитата
alol пишет:
Yuri,
Цитата
Yuri пишет:
Цитата
Николай пишет:
Yuri, Так у вас в чем стоит вопрос? Являются ли вообще эти данные ПДн или выяснить УЗ?
Сначала выяснить, являются ли ПДн, потом установить категорию (1-4), класс (1-4) и т.д. для организации защиты ПДн
Если речь идет только о номере ОМС, отдельно взятом то не является.
Но вы так и не ответили на вопрос Николая.
alol, Я не сообразил, что это за сокращение. Уровни значимости информации из 17 Приказа или уровни защищенности из 21. Вообще-то нужно все по данной теме
Цитата
alol пишет:
Про обезличивание почитайте: Приказ Роскомнадзора №996 от 05.09.2013 "об утверждении требований и методов по обезличиванию персональных данных"
Вот за это ОГРОМНОЕ СПАСИБО! А методические рекомендации к нему - вещь!
Наверное так будет проще)))))

Федеральные законы:

  • Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 06.04.2011, с изм. от 21.07.2011);
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 25.07.2011);
  • Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
  • Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Указы:

  • Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».

Постановления правительства:

  • Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Документы, разработанные Минкомсвязью:

  • Приказ Минкомсвязи РФ от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
  • Приказ Минкомсвязи РФ от 21.12.2011 № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
  • Письмо Минкомсвязи РФ от 13.05.2009 № ДС-П11-2502 «Об осуществлении трансграничной передачи персональных данных».

Документы, разработанные Роскомнадзором:

  • Приказ Роскомнадзора от 5.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Методические рекомендации по применению приказа Роскомнадзора от 5.11.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Документы, разработанные ФСТЭК:

  • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России 200 8) ;
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России 200 8) ;
  • Методический документ «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014).
Документы, разработанные ФСБ:

  • Приказ ФСБ России от 10.07.2014 № 378 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные ФСБ России 21.02.2008 № 149/54-144;
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные ФСБ России 21.02.2008 № 149/6/6-622.
Взято мной отсюда http://stulovaelena.blogspot.ru/ (не реклама, просто нашел случайно, а авторство есть авторство)))))))) Ну это конечно же не все))))) Но вам для начала сойдет))))
Yuri,
Цитата
Yuri пишет:
Вот за это ОГРОМНОЕ СПАСИБО!А методические рекомендации к нему - вещь!
Да не за что.
Посмотрите вот эту ссылочку =)
Там очень интересно про методические рекомендации написано.
http://www.itsec.pro/2013/12/blog-post_20.html#more

Там хорошие примеры =)
но лучше начать с этого =) http://www.itsec.pro/2013/08/blog-post_28.html#more
Господа, что так никто и не поможет мне в моих терзаниях?
Пост №12. Есть у кого мысли?
Цитата
alol пишет:
Господа, что так никто и не поможет мне в моих терзаниях?
Пост №12. Есть у кого мысли?
У меня логический вопрос, где взаимосвязь между Законом о связи и исполнением ТК Работодателем? Работодатель являясь оператором ПДн, не является оператором связи. Выкиньте закон о связи из своих измышлений.
Страницы: 1 2 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)