<Письмо> ФФОМС от 10.01.2013 N 49/90-и "Об организации работ по защите информации"
ФЕДЕРАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ
от 10 января 2013 г. N 49/90-и
ОБ ОРГАНИЗАЦИИ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Федеральный фонд обязательного медицинского страхования (далее - Федеральный фонд) направляет рекомендации по применению "Положения о контроле за деятельностью страховых медицинских организаций и медицинских организаций в сфере обязательного медицинского страхования территориальными фондами обязательного медицинского страхования" (далее - Положение), утвержденного приказом Федерального фонда от 16.04.2012 N 73 (зарегистрирован в Минюсте России 26.04.2012 N 23953), в работе по обеспечению безопасности персональных данных застрахованных лиц и сведений об оказанной им медицинской помощи, обрабатываемых в системе обязательного медицинского страхования.
Статьей 44 Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" определено, что в сфере обязательного медицинского страхования ведется персонифицированный учет сведений о застрахованных лицах, а также персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам, и что эти сведения относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
Таким образом, субъекты и участники обязательного медицинского страхования обязаны обеспечить выполнение требований по защите вышеуказанной информации ограниченного доступа в соответствии с законодательством Российской Федерации и нормативными документами органов исполнительной власти, осуществляющих реализацию государственной политики в области обеспечения безопасности информации.
Обращаем внимание на то, что в соответствии с частью 2 статьи 91 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" органы управления территориальных фондов обязательного медицинского страхования (далее - Территориальные фонды) являются операторами информационных систем в сфере здравоохранения в части, касающейся персонифицированного учета в системе обязательного медицинского страхования (операторами информационных систем персональных данных).
Как операторы информационных систем персональных данных в системе обязательного медицинского страхования органы управления Территориальных фондов в соответствии с частью 1 статьи 19 Федерального закона от 27.07.2006 "О персональных данных" (далее - Закон N 152-ФЗ) обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Пунктом 16.6 Положения на Территориальные фонды возложена обязанность по проверке осуществления страховыми медицинскими организациями (далее - СМО) сбора и обработки данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, обеспечение их сохранности и конфиденциальности.
В ходе проведения вышеуказанной проверки Территориальным фондам следует:
1. Руководствоваться требованиями законодательства Российской Федерации, в частности, статьей 19 Закона N 152-ФЗ. Пунктом 2 указанной статьи определено, что обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
2. Требованиями нормативно-методических документов уполномоченных федеральных органов исполнительной власти по защите информации.
Выявленные в деятельности СМО нарушения и недостатки установленных требований по сбору и обработке данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, а также по обеспечению их сохранности и конфиденциальности, следует в соответствии с пунктом 23.3. Положения указать в акте проверки со сроками их устранения или сроками представления плана мероприятий по их устранению.
В последующем согласно пункту 29 Положения Территориальный фонд осуществляет контроль за представлением и исполнением плана мероприятий по устранению выявленных нарушений и недостатков (в случае установления срока устранения нарушений и недостатков - контроль за устранением выявленных нарушений и недостатков в установленный срок). Одновременно пунктами 4, 5 Положения Территориальным фондам предписывается возможность проведения, внеплановых проверок в связи с истечением срока исполнения СМО требований Территориального фонда об устранении нарушений и недостатков, а также контрольных проверок, при которых рассматриваются результаты работы СМО по устранению выявленных нарушений и недостатков.
Федеральный фонд считает, что в случае неисполнения СМО (филиалом СМО) требований об устранении выявленных нарушений в установленные сроки Территориальный фонд вправе направить соответствующую информацию и материалы проверки в уполномоченный орган по защите прав субъектов персональных данных.
Н.Н.СТАДЧЕНКО
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления