<Письмо> ФФОМС от 10.01.2013 N 49/90-и
ФЕДЕРАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ
ПИСЬМО
от 10 января 2013 г. N 49/90-и
ОБ ОРГАНИЗАЦИИ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Федеральный фонд обязательного медицинского страхования (далее - Федеральный фонд) направляет рекомендации по применению "Положения о контроле за деятельностью страховых медицинских организаций и медицинских организаций в сфере обязательного медицинского страхования территориальными фондами обязательного медицинского страхования" (далее - Положение), утвержденного приказом Федерального фонда от 16.04.2012 N 73 (зарегистрирован в Минюсте России 26.04.2012 N 23953), в работе по обеспечению безопасности персональных данных застрахованных лиц и сведений об оказанной им медицинской помощи, обрабатываемых в системе обязательного медицинского страхования.
Статьей 44 Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" определено, что в сфере обязательного медицинского страхования ведется персонифицированный учет сведений о застрахованных лицах, а также персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам, и что эти сведения относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
Таким образом, субъекты и участники обязательного медицинского страхования обязаны обеспечить выполнение требований по защите вышеуказанной информации ограниченного доступа в соответствии с законодательством Российской Федерации и нормативными документами органов исполнительной власти, осуществляющих реализацию государственной политики в области обеспечения безопасности информации.
Обращаем внимание на то, что в соответствии с частью 2 статьи 91 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" органы управления территориальных фондов обязательного медицинского страхования (далее - Территориальные фонды) являются операторами информационных систем в сфере здравоохранения в части, касающейся персонифицированного учета в системе обязательного медицинского страхования (операторами информационных систем персональных данных).
Как операторы информационных систем персональных данных в системе обязательного медицинского страхования органы управления Территориальных фондов в соответствии с частью 1 статьи 19 Федерального закона от 27.07.2006 "О персональных данных" (далее - Закон N 152-ФЗ) обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Пунктом 16.6 Положения на Территориальные фонды возложена обязанность по проверке осуществления страховыми медицинскими организациями (далее - СМО) сбора и обработки данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, обеспечение их сохранности и конфиденциальности.
В ходе проведения вышеуказанной проверки Территориальным фондам следует:
1. Руководствоваться требованиями законодательства Российской Федерации, в частности, статьей 19 Закона N 152-ФЗ. Пунктом 2 указанной статьи определено, что обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
2. Требованиями нормативно-методических документов уполномоченных федеральных органов исполнительной власти по защите информации.
Выявленные в деятельности СМО нарушения и недостатки установленных требований по сбору и обработке данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, а также по обеспечению их сохранности и конфиденциальности, следует в соответствии с пунктом 23.3. Положения указать в акте проверки со сроками их устранения или сроками представления плана мероприятий по их устранению.
В последующем согласно пункту 29 Положения Территориальный фонд осуществляет контроль за представлением и исполнением плана мероприятий по устранению выявленных нарушений и недостатков (в случае установления срока устранения нарушений и недостатков - контроль за устранением выявленных нарушений и недостатков в установленный срок). Одновременно пунктами 4, 5 Положения Территориальным фондам предписывается возможность проведения, внеплановых проверок в связи с истечением срока исполнения СМО требований Территориального фонда об устранении нарушений и недостатков, а также контрольных проверок, при которых рассматриваются результаты работы СМО по устранению выявленных нарушений и недостатков.
Федеральный фонд считает, что в случае неисполнения СМО (филиалом СМО) требований об устранении выявленных нарушений в установленные сроки Территориальный фонд вправе направить соответствующую информацию и материалы проверки в уполномоченный орган по защите прав субъектов персональных данных.
Председатель
Н.Н.СТАДЧЕНКО