[ЖЖ][ЕРУНДА]закон о персональных данных

Все это описано в нормативных актах. Тебе их проще почитать :)

Хм. У нас это дело практически обошло меня стороной. Меня заставили только выделить отдельную машину для хранения данных, к которой, внимание, нет доступа по сети. Машину я выделил, сеть оторвал. Дальше уже их проблемы.

а какие притензии к разработчику могут быть? Система не удовлетворяет ФЗ, использовать ее нельзя, но причем тут разработчик?

короче в терминах 152 ФЗ - все претензии к оператору

>>а какие притензии к разработчику могут быть? Система не удовлетворяет ФЗ, использовать ее нельзя, но причем тут разработчик?

система еще только будет разрабатываться. поэтому и интересуюсь что изначально заложить.

> поясните какие требование предоставляются к платформе и конкретной реализации. Требования должен предоставлять заказчик. «Соответствие ФЗ № такой-то такой-то» ИМХО слишком размыто.

>>Требования должен предоставлять заказчик. «Соответствие ФЗ № такой-то такой-то» ИМХО слишком размыто.

если бы заказчик еще осознавал все это. сегодня на совещании я конечно поднял данный вопрос но если честно х.з.

Жопоголики из ЖЖ давно ответили на этот твой вопрос: тебе проще и, кстати, выгоднее, не разрабатывать эту программу, а если ты наёмный программист, то вообще отказаться от работы по профессии в этой стране и либо идти работать дворником, либо сп***ть наконец уже сраный трактор.

Если чуть посерьёзнее: поковыряй вот этот бложек, там авторы вроде как в теме.

Ну, откровенно говоря, этот впронадо бы поизучать. Я помог совему приятелю с их небольшой информационной системой. Их компания, совсем малюсенькая, занимается организацией лечения за рубежом (все организационные вопросы, переводчики, авто, проживание). То есть это агент между зарубежной клиникой и пациентом здесь. Само собой разумеется, что всякие анамнезы, результаты МРТ и других анализов, истории болезни, заключения врачей со стороны лечащих врачей здесь и клиник попадают в расопряжение компании-агента. А клиентики-то очень непростые, фамилии многих известны практически всем, а некоторые широко известны. Однако фирма же не занимается медицинской деятельностью, оказанием медицинских услуг.

Короче, я сразу приятелю посоветовал все шифровать, так как информация чувствительная. У фирмы часть людей находится за рубежом все время (резиденты), а пара-тройка человек здесь. Два компа iMac и NAS. Это они сами себе покупали. Поэтому я им сделал так (в двух словах): NAS шифрованный (Debian GNU/Linux под armel, dm-crypt, разлочка при помощи key-file на секретной флешке при загрузке системы), iMac шифрованный (FileVault, бекап на NAS по через Time Machine), почта между подразделениями шифрованная (Thunderbird + Enigmail + GPG), SSH на NAS по ключу, 1С бухгалтерия и банк-клиент работает на Windows 7 на iMac (база 1С на шифрованном разделе, разлочка базы по keyfile на секретной флешке), периодически делаются бекапы всей информации с NAS на переносной винт, который тоже шифрован (потеря этого винта или хищение из автомобиля вполне вероятны). Файлы, которые нужно унести домой, записываются на шифрованную флешку (потерять можно только так). Секретная флешка с keyfile только у ген.дира. Вообще, все это шифрование сделано не для того, чтобы от спецслужб спасаться, разумеется, а только для предотвращения просмотра данных случайными людьми в случае утери носителя или гарантийного ремонта iMac.

>Ну, откровенно говоря, этот вопрос надо бы поизучать.

Это предложение я написал, так как ты меня озадачил. Подпадает ли такой вид деятельности под какие-то особые условия хранения информации. То, что я видел в законах касалось частных клиник, то есть организаций, которые оказывают именно медицинские услуги. Оказывает ли посредник между пациентом и клиникой медицинские услуги, мне сейчас неведомо. Мне кажется, что нет.

К сожалению, все это не сертифицированные ФСТЭК (от несанкционированного доступа) и ФСБ (криптозащита) средства. По этому, если придет Роскомнадзор или ФСТЭК с проверкой, ответственность будет такая же как и если ничего не делать.

Правда тут вроде как еще и примешивается внешнеэкономическая деятельность, эту тему я не смотрел. Но подразумеваю, что здесь гайки будут закручены еще поболее.

>>Подпадает ли такой вид деятельности под какие-то особые условия хранения информации. То, что я видел в законах касалось частных клиник, то есть организаций, которые оказывают именно медицинские услуги. Оказывает ли посредник между пациентом и клиникой медицинские услуги, мне сейчас неведомо. Мне кажется, что нет.

заказчиком выступает минздрав. я попросил сформировать требования по защите информации. возможно даже обойдемся без этого если договоримся заполнять достаточно абстрактную информацию о абоненте необходимую только для быстрого вникание в суть проблемы последующих уровней обработки.

>заказчиком выступает минздрав. я попросил сформировать требования по защите информации.

Минздрав — это уже серьезно.

возможно даже обойдемся без этого если договоримся заполнять достаточно абстрактную информацию о абоненте необходимую только для быстрого вникание в суть проблемы последующих уровней обработки.

Есть еще вариант дать персональной информации на человека идентификационный номер, чтобы нельзя было при утечке соотнести документ с конкретным человеком. Так делают.

>По этому, если придет Роскомнадзор или ФСТЭК с проверкой, ответственность будет такая же как и если ничего не делать.

Надо все-таки мне, наверное, почитать про требования и кому эти требования предъявляются вообще. Компания же в уставе при регистрации не зарегистрирована как осуществляющая медицинские услуги. Приход этого Роскомнадзора или ФСТЭК не очень вероятен, но тему знать надо, да. И предупредить человека на всякий случай.

Ну, ИМХО, тут всё равно обработка персональных данных, тем более содержащих сведения медицинского характера. К1. Сертификация. Хреново. У тебя ещё эта, трансграничная, что-ли, передача данных. Но тут бы нормально соображающего в этом мутном законе человека.

И там что-то есть про то, что с проверками просто так могут и не нагрянут, а вот если будет утечка, узнают откуда, тогда натянут по самые помидоры...

То, что персональные данные есть — это уже достаточное условие для того, чтобы говорить о необходимости защиты. Вот пока сделали так, как сделали. Врагу будет сложнее. :) Вообще, подавляющее большинство похожих компаний (а их много) вообще никаких шагов не предпринимают — стоят себе винды вирусованные, вордик там, флешечки. А потом и читаешь на компромат.ру про болезни. За это и голову потом открутить могут, если не ФСТЭК, то эти самые пациенты. В лес вывезут. :)

Вот тут мне ссылочку прислали позавчера, случай в США: http://safe.cnews.ru/news/line/index.shtml?2011/08/15/451214

А сертификация — это боль, конечно.

>заказчиком выступает минздрав.

Они какой-то документ вывалили у себя на сайте с описанием модели угроз (ссылка PDF под названием):

http://www.minzdravsoc.ru/docs/mzsr/informatics/4

Ссылку обнаружил через другой сайт, на котором речь шла о ФЗ про защиту персональных данных.

Ага, есть один момент. Сейчас почитал всякие обзорчики. Кое-какие проблемки смягчаются, если в договор прописать, что пациент дает согласие на обработку его персональных данных и передачу их клиникам. Этого же пациент и хочет. Например, в этом случае не надо уведомлять Роскомнадзор.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 
...
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
...

>Есть еще вариант дать персональной информации на человека идентификационный номер, чтобы нельзя было при утечке соотнести документ с конкретным человеком. Так делают.

Делают. И если не ошибаюсь, для того чтобы эти системы не считалась одной испдн, они должны быть разделены межсетевым экраном, однако если в этой системе не будет фио, но будет информация об здоровье и другая информация, по которой можно идентифицировать личность (например место жительства и возраст или номер страхового полиса), то это вновь будет персданными первой категории, то есть эту инфу тоже надо выносить в отдельную ис.

Хотя если заказчик Минздрав... Что им будет если они не полностью будут соответствовать 152'му, не отзовут же лицензию на основной вид деятельности? -)

>>Ага, есть один момент. Сейчас почитал всякие обзорчики. Кое-какие проблемки смягчаются, если в договор прописать, что пациент дает согласие на обработку его персональных данных и передачу их клиникам. Этого же пациент и хочет. Например, в этом случае не надо уведомлять Роскомнадзор.

у нас скорее получается некая экстренная служба. по закону емнип нужно письменное заявление на согласие а тут дело такое что важно как можно скорее помочь человеку а не выпытывать из него согласие/несогласие/прочее.

В законе прописано, что обрабатывать пдн можно и без согласия если это необходимо для спасения жизни:

Статья 6. Условия обработки персональных данных

... 2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях: ... 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Да, тут да. Просто в начале поста не ясно. Хотя Минздраву-то ничего не будет. Тут оперторами являются ведомственные санатории, больнички и т. д. Несоблюдение правил - административное правонарушение.

Я сейчас у приятеля уточнил, у них в договоре с каждым пациентом есть пункт:

Стороны обеспечивают конфиденциальность
документации, информации и результатов предоставления медицинской
помощи, о которых сторонам стало известно в ходе исполнения настоящего
Договора. Стороны обязаны обеспечить соблюдение конфиденциальности
теми лицами, которым стороны дали возможность ознакомления с этими
сведениями в процессе исполнения Договора.
 6.2. Пациент освобождает всех врачей по отношению к Фирме от
соблюдения врачебной тайны.  

Но все равно я человека напряг, чтобы он с юристом обсудил, насколько этого достаточно. То есть прописано, что конфиденциальность, но не прописана защита (входит ли защита в конфиденциальность?). Да и сам поизучаю.

Как мне рассказывал человек из Роскомнадзора: в любой компании есть персональные данные. Во внутренних распоряжениях есть поблажка для тех компаний, в которых эти данные касаются только отношений с работниками. НО как только кто-то в организации получил налоговый вычет, вся эта поблажка идет лесом, так как возникли отношения другого плана: передача этих данных в налоговую и т.д. Так что он сказали, что во-первых обязательно регистрируйтесь как оператор персональных данных, на сайте Роскомнадзора есть анкета. Во-вторых, если организация не зарегистрировалась, то для них это повод прийти с проверкой. Правда сейчас они шерстят в основном по ТСЖ и по всяким разным крупным операторам ПД, так что шанс нарваться на проверку сейчас минимальный, разве что кто-то подаст на контору жалобу в Роскомнадзор.

Но если все делать по требованиям, то все это в такую охрененную копейку влетает, что может вообще возникать вопрос целесообразности бизнеса для маленьких контор. Поэтому нужно ждать и искать прецеденты, может контролирующие органы как-то будут смягчаться в своих требованиях. У нас же всегда под законом стоят куча внутреведомственных распоряжений :-)

Есть еще вариант: найти хорошего спеца безопасника, который для многих дыр накатает регламенты для организационного решения вопросов. Кстати, в гос. конторах часто так и делается. Инфа из источника :-)

>Так что он сказали, что во-первых обязательно регистрируйтесь как оператор персональных данных, на сайте Роскомнадзора есть анкета.

А вот это, похоже, необязательно. ФЗ 152, ст. 22, а говорит, что если есть договор с субъектом ПД, то уведомлять надзорный орган не нужно. статья 6 говорит, что в случае договора согласия субъекта ПД на обработку ПД не требуется.

http://pd.rsoc.ru/inter-services/forum/dep46/topic3380/

Во-вторых, если организация не зарегистрировалась, то для них это повод прийти с проверкой.

Можно подумать, что если организация зарегистрировалась, то это для них уже не повод прийти с проверкой. Как раз-таки проще в план проверок на год добавить. Выборочно из базы. :)

Да, но это только то, что касается уведомления и согласия субъекта ПД. Это все, понятное дело, не избавляет от необходимости использования соответсвующей информационной системы.