Информация Прокуратуры Ивановской области от 12.11.2009 Прокуратурой в рамках надзора за исполнением законодательства, направленною на защиту персональных данных граждан проведена проверка названного законодательства в деятельности МУЗ "П-я ЦРБ"

Информация Прокуратуры Ивановской области от 12 ноября 2009 г.

Палехской районной прокуратурой в рамках надзора за исполнением законодательства, направленною на защиту персональных данных граждан проведена проверка названного законодательства в деятельности МУЗ "Палехская ЦРБ".

При проведении проверки установлено, что в соответствии с Приказом N 39 по Палехской центральной районной больнице от 10 июня 2009 года "О назначении ответственных за конфиденциальность регистра застрахованных лиц" лицами, отвечающими за обеспечение сбора и сохранности персональных данных, поступающих в МУЗ "Палехская ЦРБ" граждан являются Караваева Л.К.. Иванова Е.В., Воробьева С.Н.

В МУЗ "Палехская ЦРБ" сбор и обработка персональных граждан данных ведется в электронном виде, данные заносятся в соответствующие справочные системы, содержащиеся на персональных рабочих компьютерах ответственных лиц МУЗ "Палехская ЦРБ".

В ходе проведенной проверки установлены существенные нарушения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Так, согласно ч. 1 ст. 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" /ФЗ-N152/ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Указанные требования содержаться и в подзаконном нормативно правовом акте, а именно Постановлении Правительства РФ от 17 ноября 2007 г об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" /далее Положение/. В соответствии с п. 2 Положения безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Однако, при проведении проверки установлено, что персональные компьютеры ответственных должностных лиц МУЗ "Палехская ЦРБ" за соблюдение названного законодательства средствами защиты от несанкционированного допуска к персональным данным не оборудованы (отсутствуют, в том числе шифровальные средства защиты).

Согласно п. 5 Положения средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия, при этом на момент проверки ввиду отсутствия средств защиты информационных систем процедуру оценки соответствия указанные системы не проходили.

Подобное положение при организации работы при сборе, обработке и защите персональных данных граждан свидетельствует о нарушении ответственными должностными лицами МУЗ "Палехская ЦРБ" положений ч. 1 ст. 7 ФЗ - N 152, согласно которой операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться их конфиденциальность, однако с учетом того, что персональные данные не обеспечены средствами защиты в соответствии с требованиями федеральною законодательства и, что допуск к информационным системам не зашифрован утверждать об их конфиденциальности не представляется возможным.

В силу ч. 1. ч. 2 ст. 6 ФЗ - N 152 обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Согласно ч. 4 ст. 9 ФЗ - N 152 в случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя ряд требований, содержащихся в затронутой статье ФЗ - N 152. В ходе проверки установлено, что письменного согласия обработку персональных данных с граждан работниками МУЗ "Палехская ЦРБ" не получались.

Также в рамках проведенной проверки данные о персональных данных поступают в МУЗ "Палехская ЦРБ" из иных источников, а не только непосредственно от граждан. В соответствии с ч.1 ст. 22 ФЗ - N 152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, однако данные требования ответственными сотрудниками МУЗ "Палехская ЦРБ" не исполняются.

Согласно ст. 24 ФЗ - 152 лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

По результатам проведенной проверки прокуратурой района в адрес главного врача МУЗ "Палехская ЦРБ" внесено представление с целью устранения выявленных нарушений, а также привлечения виновных должностных лиц к дисциплинарной ответственности. В отношении юридического лица МУЗ "Палехская ЦРБ" возбуждено дело об административном правонарушении по ст. 13.II КоАП РФ (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах /персональных данных/).