Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
RSS
[ Закрыто ] Что делать, если субъект отказывается давать разрешение на обработку своих ПДн, ... бывают и такие неадекватные субъекты, сам сегодня столкнулся
Цитата
Stas Lutatovsky пишет:
Вопрос в том, что субъект еще учится, т.е. состоит с нами в договорных отношениях (с ним заключен договор на подготовку специалиста) и собирается учиться еще 5 лет. А отзывает разрешение на обработку своих ПДн уже сейчас.

Наши юристы склонны предложить ему расторгнуть договор, а если он откажется, то продолжать обработку ПДн в целях исполнения договора.
1. Договор заключен после 26 января 2007 года?
2. До этого были описан порядок обработки персональных данных?
если ответы
1. да
2. нет
то к сожалению отказав Вам он не отменяет действующий договор. Это ошибка Ваших юристов.
Эдак можно и умом тронутся если у каждого выпрашивать разрешение. Почему просто не уведомить его в письменной форме о необходимости согласия на обработку ПДн (прям форму согласия приложить к письму, чтоб только подпись поставить осталось). В случае неполучения оного - договор разорвать. И все. Пускай у него голова болит - это ему учится надо. И Роскомнадзор я думаю поймет - о необходимости обработки оповещен, безопасность обеспечена.

PS. Исключительно на правах ИМХО
Будут еще с этим согласием казусы.
А вот если больницу какую-нить взять? Там по скорой везут и алкоголиков неадекватных и стариков, которые в силу возраста впали в состояние параноидальной подозрительности. Что с ними делать? Мед помощь не оказывать? Преступление... Оказать, но при этом перс. данные не обработать? Лечение не будет оплачено.... Обработать перс данные, несмотря на невозможность получить согласие на их обработку? Снова преступление.....
Цитата
Гость пишет:
Будут еще с этим согласием казусы.
А вот если больницу какую-нить взять? Там по скорой везут и алкоголиков неадекватных и стариков, которые в силу возраста впали в состояние параноидальной подозрительности. Что с ними делать? Мед помощь не оказывать? Преступление... Оказать, но при этом перс. данные не обработать? Лечение не будет оплачено.... Обработать перс данные, несмотря на невозможность получить согласие на их обработку? Снова преступление.....
На этот случай в 152-ФЗ есть исключение - согласие не требуется...
Цитата
Гость пишет:
В случае неполучения оного - договор разорвать. И все. Пускай у него голова болит - это ему учится надо. И Роскомнадзор я думаю поймет - о необходимости обработки оповещен, безопасность обеспечена.
Боюсь, что Рособрнадзор не поймет, да и прокуратура тоже.
Кстати на сайте Роскомнадзора появились FAQ: http://pd.rsoc.ru/faq/
И вот, что они пишут по поводу обсуждаемого в этой ветке вопроса:
Вопрос: Что можно сообщить работнику о последствиях его отказа дать письменное согласие на получение персональных данных (ст. 86 ТК РФ), если ни федеральными законами РФ, ни нормативными правовыми актами РФ ответственность работника за последствия такого отказа не предусмотрена?
Ответ: Ч. 2 ст. 9 Федерального закона «О персональных данных» приведены случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Прикалываются они чтоли? Им про Ерему, они про Фому.
А вот к юристам вопрос - это не злоупотребление правом со стороны субъекта? (ст. 10 ГК РФ, ч. 1)
Цитата
Simon пишет:
А вот к юристам вопрос - это не злоупотребление правом со стороны субъекта? (ст. 10 ГК РФ, ч. 1)
нет к сожалению оператора.
на выставке данный вопрос поднимали в кругу юристов - ответ простой - обрабатывайте на бумаге и неавтоматизировано!!!
Вот так!
Цитата
Гость пишет:
Будут еще с этим согласием казусы. А вот если больницу какую-нить взять? Там по скорой везут и алкоголиков неадекватных и стариков, которые в силу возраста впали в состояние параноидальной подозрительности. Что с ними делать? Мед помощь не оказывать? Преступление... Оказать, но при этом перс. данные не обработать? Лечение не будет оплачено.... Обработать перс данные, несмотря на невозможность получить согласие на их обработку? Снова преступление.....

Вот, друзья, я как раз отвечаю за ПД в "Какой нибудь больнице" краевой. Медицинская ИСПДН 1 класса. Попадаются истерички и идиоты. Им просто нравится скандалить и поливать помоями других. Они подписывать отказываются. При любых попытках объясниться только орут. Но по медицинскому законодательству мы им должны оказывать помощь в любом случае. Никаких рычагов давления просто нет. Ставили вопрос ребром перед департаментом здравоохранения, росздравнадзором, а в ответ тишина, неформально же "Да чёрт его знает что делать". Получается что любой человек может послать нас с согласием куда подальше, а лечить мы его должны. И кроме закона, утверждающего бланки первичной медицинской документации, нигде больше нет упоминания что для процесса "лечения" больного нам необходимы его ПД.
Может у кого нибудь есть мысли по этому поводу?
Медики, подскажите, есть ли наработки в этом направлении, все ведь с ФОМСа кормимся.
Цитата
Гость пишет:
Вот, друзья, я как раз отвечаю за ПД в "Какой нибудь больнице" краевой. Медицинская ИСПДН 1 класса. Попадаются истерички и идиоты. Им просто нравится скандалить и поливать помоями других. Они подписывать отказываются. При любых попытках объясниться только орут. Но по медицинскому законодательству мы им должны оказывать помощь в любом случае. Никаких рычагов давления просто нет. Ставили вопрос ребром перед департаментом здравоохранения, росздравнадзором, а в ответ тишина, неформально же "Да чёрт его знает что делать". Получается что любой человек может послать нас с согласием куда подальше, а лечить мы его должны. И кроме закона, утверждающего бланки первичной медицинской документации, нигде больше нет упоминания что для процесса "лечения" больного нам необходимы его ПД.

Может у кого нибудь есть мысли по этому поводу?

Медики, подскажите, есть ли наработки в этом направлении, все ведь с ФОМСа кормимся.

Я конечно не юрист, но по-моему с больницами то все в порядке. П.2 ст. 9 ФЗ "О ПД": "Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи ОБЯЗАТЕЛЬНОГО предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, ЗДОРОВЬЯ, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства".
Раз субъект ОБЯЗАН предоставить свои ПД, то согласие от него на обработку ПД не требуется. ИМХО.
ЗДОРОВЬЯ, прав и законных интересов других лиц

тут по-моему имеется здоровье других лиц ввиду
Тоже столкнулся с такой проблемой. Объект - стоматологическая поликлиника. Некоторые "субъедки", назовем их так, пишут отказ от предоставления своих сведений. Как тут быть? Ведь нужны данные для предоставления в ФОМС, чтобы оттуда потом оплачивали сделанную работу. А отказать больному нельзя!
Вот что нашел:

В ФЗ 152 статья 9 часть 2:
"Настоящим федеральным законом и другими федеральными законами предусматриваются случаи ОБЯЗАТЕЛЬНОГО ПРЕДОСТАВЛЕНИЯ субъектом персональных данных своих ПД в целях защиты основ конституционного строя, нравственности, ЗДОРОВЬЯ, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

ВОПРОС: является ли этот пункт основанием того, что все пациенты, пришедшие в мед.учреждение должны, подчеркиваю "ДОЛЖНЫ", подписывать "согласие субъекта персональных данных на обработку своих ПД"?
На основании какого закона(кроме 152 ФЗ) и какие документы они предоставляют? В законе об охране здоровья ничего не нашел (хотя может плохо искал). И какое минимальное "обязательных" ПД потребуется с пациента? (желательно бы ссылкой на закон или нормативный акт).
Какие санкции мы можем применить к этому пациенту? Можем ли мы его отправить туда, откуда пришел?

А вот еще
СТАТЬЯ 10. Вырезки
1. ... Обработка специальных категорий ПД, касающихся ..., состояния здоровья... не допускается за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи категорий ПД допускаестя..:
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, при условии что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

РАЗМЫШЛЕНИЯ: Из этого пункта следует, что обрабатывать специальные категории ПД могут лишь лица, имеющие дипломы(документы подтверждающие образование) по мед.деятельности и которые в договоре подписали пункт "о сохранении врачебной тайны" либо "о не разглашении сведений конфиденциального характера"?
Или из этого следует, что мы (как лица имеющие профессиональное образование по медицине и сохраняющие врачебную тайну) можем не брать с пациента "согласие субъекта персональных данных на обработку своих ПД"?
Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи ОБЯЗАТЕЛЬНОГО предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, ЗДОРОВЬЯ, прав и законных интересов ДРУГИХ лиц, обеспечения обороны страны и безопасности государства.

Тут всё понятно, это не вариант

СТАТЬЯ 10. Вырезки
1. ... Обработка специальных категорий ПД, касающихся ..., состояния здоровья... не допускается за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи категорий ПД допускаестя..:
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, при условии что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.


Эх, если бы только врачи имели доступ к данным... Ведь ещё программистов целый отдел, они то не врачи. А доступ имеют, без них никак. Врачей - программистов и админов не встречал еще :). А если прикопаться, то средний мед. персонал и прочие сотрудники вполне могут получить доступ к материальным носителям ПД (истории болезни, например).

Есть ли ещё мнения?
я бы посоветовал обратится в вышестоящий орган(ФОМС получается, ну или куданить кто у вас там выше=)
ясно что случай не единичный, и вы не первые. может подскажут.
ИМХО
Цитата
Павел пишет:
ВОПРОС: является ли этот пункт основанием того, что все пациенты, пришедшие в мед.учреждение должны, подчеркиваю "ДОЛЖНЫ", подписывать "согласие субъекта персональных данных на обработку своих ПД"?
На основании какого закона(кроме 152 ФЗ) и какие документы они предоставляют? В законе об охране здоровья ничего не нашел (хотя может плохо искал). И какое минимальное "обязательных" ПД потребуется с пациента? (желательно бы ссылкой на закон или нормативный акт).
Какие санкции мы можем применить к этому пациенту? Можем ли мы его отправить туда, откуда пришел?
В этой статье, видимо, речь идет не о любом обращении больного, а о состоянии здоровья, которое может быть опасно для других граждан или может быть даже безопасности государства.
Вообще, в Вашем случае, я бы посоветовал проводить разъяснительные беседы с такими упертыми, что, мол, если он такого согласия не даст, то Вы не сможете на законных основаниях осуществлять его лечение, так как требуется то то или то то. Объясните, что это требование ФОМС, а если субъект отказывается предоставлять такие данные, то ему придется платить не самостоятельно, а ФОМС не сможет ему компенсировать его расходы. Давите на жадность. Как правило, такие отказы сыпятся от жадных субъектов (упускаю случаи неадекватных и недееспособных). Можете даже что-то вроде правил разработать и повесить для всеобщего обозрения. Мол для субъектов, желающих остаться инкогнито, в связи с невозможностью по этой причине получить оплату из ФОМС, придется платить наличными из собственного кармана. Сошлитесь на закон об обязательном медицинском страховании и т.д. А еще лучше, сделайте что-то вроде договорчика на оказание услуг здравоохранения и в нем предусмотрите такой пункт с согласием и в большинстве случаев разъяснять ничего не придется.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Спасибо за ответы. Все это, конечно, правильно. Но вот как это юридически обосновать? Ведь не будешь перед регулятором "сиси мять" и бла...бла...бла (прошу прощения за выражения, но это на то и будет походить). А придется тыкать в конкретную статью федерального закона, в котором будет прописано что-то типа

"в случае непредоставления пациентом согласия на обработку в ЛПУ следующих данных (список данных), пациенту не может быть оказана плановая, высокотехнологическая и т.д (все виды кроме неотложной) медицинская помощь на бесплатной основе по программе ОМС/ДМС"
или другую фразу
"пациент обязан в целях осуществления программы ОМС предоставить согласие на обработку своих ПД (список ПД)и передачи их в ФОМС, организации-страховщику и т.д."

Я уже перерыл Основы и закон об ОМС, но что-то не нашел ничего подобного, нахожу только права пациентов, а вот про обязанности - например, предоставить свои персональные данные я ничего не нашел. И опять же, на основании отказа в согласии на обработку ПД я не нашел в законах статей, где бы говорилось, что мы можем отказать пациенту в предоставлении помощи.
Очень признателен если скинете конкретную ссылку на статью закона по моему вопросу.
Цитата
Павел пишет:
Спасибо за ответы. Все это, конечно, правильно. Но вот как это юридически обосновать? Ведь не будешь перед регулятором "сиси мять" и бла...бла...бла (прошу прощения за выражения, но это на то и будет походить). А придется тыкать в конкретную статью федерального закона, в котором будет прописано что-то типа
Так я же Вам и предложил, разработайте небольшой документ, что-то вроде правил оказания услуг для клиентов-пациентов, утвердите его и предъявляйте регуляторам при проверке, зачем бла-бла-бла? Можете согласовать его на вышестоящем уровне даже. Вы не забывайте, что оператор обязан осуществлять и организационные меры. А такие правила будут как-раз организационно-распорядительным документом. Но... При этом права субъектов не должны нарушаться. То есть в данном документе должно быть все аргументировано и доступным языком написано, чтобы любой понял. Можете этот документ под роспись клиентам давать до подписания договора. Прочитал, ознакомился, согласился или нет его право. Если согласился, подпишет согласие, не согласился - уйдет в другую клинику или будет оплачивать из собственного кармана.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Как раз отказать пациенту мы не можем - так как он пойдет в другую клинику. Там в коммерческой клинике получит услугу, а потом стоимость этой услуги вычтут с гос. мед. учреждения, которое его не приняло. Так как оно обязано принять пациента по закону "Основы законодательства РФ об охране здоровья граждан. Раздел IV. ПРАВА ГРАЖДАН В ОБЛАСТИ ОХРАНЫ ЗДОРОВЬЯ". Там ничего нет о праве отказать. А вот если мы напишем такое правило, что можем отказать, то тогда будет прямое нарушение закона. И наши правила будут филькиной грамотой.
Цитата
Павел пишет:
Как раз отказать пациенту мы не можем - так как он пойдет в другую клинику.
Отказать Вы естественно не можете, об этом и речи нет.

Цитата
Павел пишет:
А вот если мы напишем такое правило, что можем отказать, то тогда будет прямое нарушение закона. И наши правила будут филькиной грамотой.
Не совсем так. Правила оказания услуг Вы должны иметь вне зависимости от формы собственности организации (учреждения...) и вот в них Вы и должны прописать, что в связи с 152-ФЗ обязаны получать согласие на обработку, так как без такого согласия обрабатывать ПД не имеете права, и кроме того, для компенсации затрат на лечение необходимо эти ПД передавать в ФОМС, который осуществляет компенсирование, но, что ФОМС не имеет возможности компенсировать затраты на лечение анонимным пациентам-клиентам. Как-то так. И не будет никаких нарушений. Я же говорю, нужно разъяснение что и для чего нужно и по каким причинам. Предусмотрено в законодательстве оказание услуг анонимным клиентам? Вот по этому формату и надо действовать и не будет нарушений. Правильно сформулируйте документ и будет Вам щасье.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Кстати, вот кто-то на форуме козырял вот такой ссылочкой - http://www.volgatfoms.ru/vpravda030309.html
Может быть для Вашего разъяснения подойдут кое-какие ответы из этого текста. вроде как представитель ФОМС дает интервью. Изложение конечно вольное, но кое-что для пользы дела использовать можно.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 8, пользователей: 0, из них скрытых: 0)