🚩 Внимание! Просим Вас обращать внимание на дату выхода публикации, в связи с изменениями в законодательстве представленный материал может утратить актуальность частично или полностью в более поздние даты.
Утечка персональных данных в медицинской организации — это ситуация, которая затрагивает не только IT-инфраструктуру, но и врачебную тайну, права пациентов и юридическую ответственность клиники.
В таких случаях важно действовать быстро и строго в рамках законодательства.
Шаг 1. Срочно остановить утечку
Первое действие — локализация инцидента:
немедленно пресечь источник утечки
заблокировать доступ к информационным системам
Задача — остановить распространение персональных данных.
Шаг 2. Подключить ответственных
Инцидент должен быть сразу передан:
руководству клиники
юристу
специалисту по информационной безопасности
Шаг 3. Зафиксировать факт утечки
Необходимо документально зафиксировать:
сам факт инцидента
состав скомпрометированных данных
обстоятельства произошедшего
Это важно для дальнейшего взаимодействия с регулятором.
Шаг 4. Уведомить Роскомнадзор (в течение 24 часов)
Согласно п. 1 ч. 3.1 ст. 21 Федерального закона № 152-ФЗ «О персональных данных», оператор обязан уведомить Роскомнадзор в течение 24 часов с момента выявления утечки.
Роскомнадзор ведёт специальный реестр таких инцидентов (ч. 10 ст. 23 Федерального закона № 152-ФЗ).
Уведомление подаётся:
в бумажном виде
или через портал Роскомнадзора (с авторизацией через ЕСИА и электронной подписью)
В уведомлении необходимо указать:
сведения об инциденте (включая скомпрометированную базу данных)
предполагаемые причины
возможный вред субъектам персональных данных
принятые меры
контактное лицо
данные оператора (клиники)
Шаг 5. Провести внутреннее расследование
Клиника обязана инициировать внутреннее расследование инцидента. Для этого оформляется соответствующий приказ или решение.
В ходе расследования необходимо:
установить причины утечки
выявить уязвимости
принять меры по их устранению
усилить систему защиты персональных данных
Для членов НАКЭМ доступен шаблон такого документа в Базе документов.
Шаг 6. Повторное уведомление (в течение 72 часов)
В течение 72 часов с момента выявления утечки необходимо направить дополнительную информацию в Роскомнадзор. Требования установлены: — п. 5, 7 Порядка, утверждённого Приказом Роскомнадзора от 14.11.2022 № 187
В уведомлении указывается:
причины инцидента
оценка вреда
принятые меры
реквизиты решения о внутреннем расследовании
сведения о виновных лицах (при наличии)
Если сведения окажутся неполными, Роскомнадзор вправе запросить уточнения. Срок ответа — 3 рабочих дня.
При отдельном требовании регулятора — 1 рабочий день.
Шаг 7. Обучить персонал
После инцидента необходимо:
провести обучение сотрудников
пересмотреть регламенты работы с персональными данными
усилить контроль доступа
Ответственность
За нарушение обязанности по уведомлению Роскомнадзора предусмотрена административная ответственность: ч. 10 ст. 13.11 КоАП РФ
для должностных лиц: от 400 000 до 800 000 рублей
для юридических лиц: от 1 000 000 до 3 000 000 рублей
Главное правило
При утечке персональных данных важно не просто «реагировать», а действовать:
быстро
последовательно
строго в рамках законодательства
НАКЭМ отслеживает изменения в регулировании и помогает клиникам выстраивать процессы работы с персональными данными — от профилактики до действий в случае инцидентов.
Утечка персональных данных в медицинской организации – это серьезная проблема, которая может привести к разглашению врачебной тайны, утрате конфиденциальности пациентов, а также к юридическим последствиям.