Персональные данные в стоматологии: пошаговый алгоритм для частной клиники

Стоматология — характерный пример малого бизнеса с повышенными требованиями к защите персональных данных. Клиника обрабатывает не просто контакты, а данные о здоровье, а это специальная категория ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (статья 10 152-ФЗ) плюс врачебная тайна. Поэтому требования к ней выше, чем к обычному магазину или салону. Разберём весь путь по шагам — от 152-ФЗ и ПП-1119 и дальше.

Шаг 1. Признать себя оператором персональных данных

Любая клиника, ведущая картотеку пациентов, — оператор ПДн по 152-ФЗ. Какие данные собираются: ФИО, телефон и email, паспорт и полис ОМС/ДМС, а главное — диагнозы, план лечения, снимки, история приёмов. Сведения о здоровье относятся к специальной категории ПДн, и именно они определяют усиленный режим защиты.

Шаг 2. Определить цели и основания обработки

Для оказания медицинской помощи отдельное согласие на обработку данных о здоровье, как правило, не требуется: основанием служит пункт 4 части 2 статьи 10 152-ФЗ — обработка в медико-профилактических целях лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. А вот отдельное письменное согласие нужно на всё, что выходит за рамки лечения: рекламные рассылки и акции, фотографии «до и после» для сайта и соцсетей, передачу данных третьим лицам не в лечебных целях. Смешивать эти основания нельзя.

Шаг 3. Определить уровень защищённости по ПП-1119

Уровень защищённости считается по постановлению №1119 и зависит от категории данных, числа субъектов и типа актуальных угроз. Тип угроз определяется в модели угроз по методике ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. 2021 года с использованием банка данных угроз (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.); малый бизнес обычно обоснованно принимает угрозы 3-го типа (не связанные с недекларированными возможностями ПО). Получаем: специальная категория + угрозы 3-го типа + менее 100 000 пациентов = УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-3. Проверить расчёт за минуту можно в калькуляторе уровня защищённости, а сами уровни разобраны в статье про уровни защищённости ПДн.

Шаг 4. Уведомить Роскомнадзор

Уведомление об обработке ПДн подаётся в Роскомнадзор до начала обработки. В нём отдельно отмечается обработка специальных категорий. Подать его клиника может самостоятельно и бесплатно через сайт регулятора — подробнее в статье нужно ли регистрироваться оператором.

Шаг 5. Разработать комплект документов

Минимальный пакет клиники: политика обработки ПДн (опубликована и доступна на ресепшене), формы согласий (на обработку спецкатегорий сверх лечения, на фото, на рассылку), приказ о назначении ответственного за организацию обработки, перечень лиц, допущенных к обработке, перечень ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. (медицинская информационная система, программа записи, бухгалтерия), модель угроз и план мероприятий. Нужны и журналы — учёта обращений субъектов, учёта носителей, инцидентов.

Шаг 6. Внедрить меры защиты (приказ ФСТЭК №21)

Для УЗ-3 приказ ФСТЭК №21 задаёт базовый набор мер. На практике это: разграничение доступа в медицинской системе (у каждого врача своя учётная запись), сертифицированные антивирус и межсетевой экран, регистрация событий безопасности, резервное копирование, защищённое хранение снимков и медкарт, контроль съёмных носителей. Аттестация для негосударственной ИСПДн не обязательна — достаточно оценки эффективности принятых мер, которую клиника проводит самостоятельно.

Шаг 7. Оформить поручения обработчикам

Клиника почти всегда передаёт данные подрядчикам: облачная медицинская система, лаборатория, сервис записи и СМС-напоминаний, эквайринг, бухгалтерия на аутсорсе. С каждым нужно оформить поручение на обработку с условиями о конфиденциальности и безопасности (часть 3 статьи 6 152-ФЗ) — иначе передача данных неправомерна. Подробнее в статье про поручение на обработку.

Шаг 8. Учесть медицинскую специфику

Поверх 152-ФЗ действует врачебная тайна (статья 13 323-ФЗ): доступ к сведениям о здоровье ограничивается, разглашение запрещено. Если клиника передаёт данные в государственные системы здравоохранения (ЕГИСЗ, ФРМО/ФРМР), передача идёт по защищённым каналам с применением сертифицированных СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. — их поэкземплярный учёт ведётся по правилам ФАПСИ №152 и ФСБ №378. Соблюдаются и сроки хранения медицинской документации.

Шаг 9. Поддерживать режим

Дальше система должна жить: отвечать на запросы пациентов о их данных, удалять или обезличивать данные по достижении цели и истечении сроков, а при инциденте — действовать по алгоритму при утечке (уведомить Роскомнадзор за 24 часа, результаты расследования за 72 часа).

Главное

Стоматология работает со специальной категорией ПДн, поэтому её уровень — УЗ-3, а не минимальный УЗ-4. Но даже такой набор клиника малого размера способна выполнить сама: самое трудоёмкое здесь не оборудование, а грамотный комплект документов и его поддержание. ГрамотаИБ определяет уровень защищённости, подбирает меры и собирает документы под профиль медицинской организации — попробовать можно в сервисе.