Документ содержит информацию о подходах к организации работы с персональными данными в учреждениях медико-социальной экспертизы, ссылаясь на международные и российские законодательные акты. Описываются основные понятия, категории персональных данных, обязанности операторов по их обработке и меры безопасности для защиты данных. Также включены рекомендации по заполнению уведомления об обработке персональных данных и описание необходимых шагов для соблюдения законодательства.

1. Подходы к организации работы
с персональными данными
в учреждениях медико-социальной экспертизы
Ханты-Мансийск, 29.09.2009
Сергей Бурылин, ЗАО «АРМАДА СОФТ»

2. Истоки проблемы
Персональные данные
1 «Конвенция о защите физических лиц в отношении
автоматизированной обработки данных личного
характера (ETS N 108)»
2
Цель настоящей Конвенции состоит в обеспечении на территории каждой Стороны для каждого
физического лица независимо от его гражданства или местожительства, уважения его прав и основных
свобод, и в частности его права на неприкосновенность частной жизни, в отношении
автоматизированной обработки касающихся его данных личного характера (защита данных).
3
2
Страсбург, 28.01.1981,
Совет Европы
Конституция РФ, ст.23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей
чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных
сообщений. Ограничение этого права допускается только на основании судебного решения.
Федеральный закон от 19.12. 2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных»
Страсбург, 07.11.2001 Российская Федерация подписала Конвенцию

3. 152-ФЗ «О персональных данных»: основные понятия (ст.3)
Федеральный закон от 27.07.2006 №152-ФЗ
персональные данные – любая информация, относящаяся к определенному или определяемому на
основании такой информации физическому лицу (субъекту персональных данных), в том числе его
фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая информация
3
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо,
организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели
и содержание обработки персональных данных
обработка персональных данных – действия (операции) с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение), использование,
распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных
данных
информационная система персональных данных – информационная система, представляющая
собой совокупность персональных данных, содержащихся в базе данных, а также информационных
технологий и технических средств, позволяющих осуществлять обработку таких персональных данных
с использованием средств автоматизации или без использования таких средств
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным
получившим доступ к персональным данным лицом требование не допускать их распространение без
согласия субъекта персональных данных или наличия иного законного основания

4. 152-ФЗ «О персональных данных»: ключевые даты
Федеральный закон от 27.07.2006 №152-ФЗ
26.01.2007 – Закон вступил в силу (180 дней после официального
опубликования)
4
До 01.01.2008 – Операторы, осуществляющие обработку персональных
данных обязаны направить уведомление в уполномоченный орган по защите прав
субъектов персональных данных
Не позднее 01.01.2010 – Информационные системы персональных данных,
созданные до дня вступления в силу настоящего Федерального закона, должны
быть приведены в соответствие с требованиями настоящего Федерального закона
По состоянию на 28.09.2009 в реестре операторов, осуществляющих обработку
персональных данных (http://pd.rsoc.ru/), зарегистрированы только 12 ФГУ ГБ МСЭ
!!!

5. Регуляторы в сфере персональных данных
Кто является регуляторами?
5
(Постановление Правительства Российской Федерации от 02.06.2008 № 419)
Федеральная служба по надзору в сфере связи,
информационных технологий и массовых
коммуникаций (Роскомнадзор)
Федеральная служба по
техническому и
экспортному контролю
(ФСТЭК России)
Федеральная служба
безопасности
(ФСБ России)
Министерство связи и
массовых коммуникаций
Российской Федерации
(Минкомсвязь РФ)
http://www.rsoc.ru/

6. С чего начать?
Организация работы с персональными данными
ШАГ №1 – Подача уведомления об обработке персональных данных
6
ШАГ №2 – разработка внутренней нормативной документации (локальные акты
Оператора), регламентирующей деятельность сотрудников по работе с персональными
данными внутри учреждения (организации).
ШАГ №0 – Идентификация всех видов персональных данных, обработка которых
ведется в учреждении МСЭ
ШАГ №3 – Проведение организационных и технических мероприятий по организации
работы с персональными данными
Основные виды персональных данных в учреждении МСЭ:
Персональные данные
освидетельствуемых
лиц
Персональные данные
работников учреждения
Персональные данные,
получаемые при
обработке обращений
граждан

7. Уведомление об обработке персональных данных
Подготовка уведомления
7
Руководителю Управления
Федеральной службы по надзору в
сфере связи и массовых
коммуникаций по Иркутской
области
В.Ф. Миронову
Халтурина, д. 7
г. Иркутск, 664011
1. Оформляется на бланке Оператора
УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных
данных
_____________________________________________________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь
_____________________________________________________________________________
(правовое основание обработки персональных данных)
с целью
_____________________________________________________________________________
(цель обработки персональных данных)
осуществляет обработку:
________________________________________________________________________
(категории персональных данных)
_____________________________________________________________________________
принадлежащих:
_____________________________________________________________________________
(категории субъектов, персональные данные которых
_____________________________________________________________________________
обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем
_____________________________________________________________________________
(Перечень действий с персональными данными, общее описание используемых оператором
_____________________________________________________________________________
способов обработки персональных данных)
2. На имя руководителя территориального
органа Роскомнадзора
3. Текст Уведомления заполняется по
форме, утвержденной Приказом
Россвязькомнадзора от 17.07.2008
№08 «Об утверждении образца
формы уведомления об обработке
персональных данных»

8. Уведомление об обработке персональных данных.
Рекомендации по заполнению
Тип оператора
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
Явных указаний не содержит
Возможные варианты заполнения:
• Физическое лицо
• Юридическое лицо
• Государственный орган
Возможные ошибки:
В ряде случаев в Реестр операторов учреждение МСЭ попадает как «Юридическое
лицо», что не совсем корректно
8

9. Наименование (Ф.И.О), адрес оператора
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
4.3. Для государственных, муниципальных органов (операторов):
• полное и сокращенное наименование государственного, муниципального органа;
• местонахождение (в соответствии с учредительными документами и свидетельством о
постановке юридического лица на учёт в налоговом органе, контактная информация);
• индивидуальный номер налогоплательщика (ИНН).
При указании наименования (фамилии, имени, отчества), адреса оператора, а также
направления деятельности рекомендуется использовать ссылки на код(ы) классификаторов
(ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).
Рекомендации по заполнению:
• Указать коды главного бюро по максимальному количеству классификаторов
• Здесь же перечислить одним списком сведения обо всех филиалах (наименование филиала
и адрес местонахождения)
• Все адреса приводить с почтовыми индексами
Уведомление об обработке персональных данных.
Рекомендации по заполнению 9

10. Правовое основание обработки персональных данных
8. В поле «правовое основание обработки персональных данных» указываются:
- Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-
правовой акт, закрепляющий основание и порядок обработки персональных данных.
- Номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с
указанием лицензионных условий, закрепляющих запрет на передачу персональных данных
третьим лицам без согласия в письменной форме субъекта персональных данных.
Рекомендации по заполнению:
• Указать нормативные документы, которые устанавливают необходимость и порядок
обработки персональных данных:
• Федеральные законы (181-ФЗ, 152-ФЗ, трудовой кодекс и т.д),
• актуальные на данный момент Постановления/Распоряжения Правительства РФ,
• приказы Минздравсоцразвития, ФМБА России,
• Устав и локальные акты МСЭ.
• Желательно указывать ссылки на конкретные статьи перечисленных выше нормативных
документов
Возможные ошибки:
Следует избегать упоминания утративших силу нормативно-правовых актов,
например, таких как Распоряжение Правительства РФ от 16.12.2004 №1646, ссылка
на Устав, утвержденный Росздравом и т.д.
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
Уведомление об обработке персональных данных.
Рекомендации по заполнению 10

11. Цель обработки персональных данных
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
5. В поле «цель обработки персональных данных» указываются цели обработки персональных
данных (а также их соответствие полномочиям оператора).
Примечание. Под «целью обработки персональных данных» понимаются, как цели, указанные
в учредительных документах оператора, так и цели фактически осуществляемой
оператором деятельности по обработке персональных данных.
Рекомендации по заполнению:
• Можно напрямую процитировать формулировки из соответствующих нормативных актов,
например:
• В части проведения медико-социальной экспертизы - из ПП №805 и №95;
• По кадровым вопросам – из гл.14 ТК РФ;
• По вопросам обработки обращений граждан – из Федерального закона от 02.05.2006
N 59-ФЗ.
Уведомление об обработке персональных данных.
Рекомендации по заполнению 11

12. Категории персональных данных
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
6. В поле «категории персональных данных» указываются одна или несколько категорий
персональных данных, подлежащих обработке:
6.1. Персональные данные (любая информация, относящаяся к определённому или
определяемому на основе такой информации физическому лицу, в том числе его фамилия, имя,
отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное
положение, имущественное положение, образование, профессия, доходы и другие категории
персональных данных, обрабатываемые оператором, не указанные в настоящем пункте).
6.2. Специальные категории персональных данных (расовая принадлежность, национальная
принадлежность, политические взгляды, религиозные убеждения, философские убеждения,
состояние здоровья, состояние интимной жизни).
6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические
особенности человека и на основе которых можно установить его личность).
Рекомендации по заполнению:
• Желательно привести как можно более полное перечисление всех категорий персональных
данных, которые реально обрабатываются в учреждении
• При этом для каждой категории персональных данных при необходимости нужно уметь
дать объяснение, с какой целью эти данные собираются и каковы основания для их сбора
Уведомление об обработке персональных данных.
Рекомендации по заполнению 12

13. Категории субъектов, персональные данные которых обрабатываются
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
7. В поле «категории субъектов, персональные данные которых обрабатываются» указываются
категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами),
персональные данные которых обрабатываются. Например: работники (субъекты), состоящие в
трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир,
заёмщик, вкладчик, страхователь, заказчик и др.), субъекты, состоящие в договорных и иных
гражданско-правовых отношениях с юридическим лицом (оператором) и др.
Рекомендации по заполнению:
• Следует перечислить все категории субъектов, персональные данные которых
обрабатываются в учреждении МСЭ, например:
• лица, обратившиеся для прохождения медико-социальной экспертизы и(или) их
законные представители;
• граждане, подавшие в бюро МСЭ обращения, подлежащие обязательной
регистрации;
• сотрудники учреждения (в рамках трудовых отношений).
Возможные ошибки:
• Примеры не самых удачных формулировок: «инвалиды всех групп», «инвалиды и
пострадавшие на производстве»
• Не стоит забывать про трудовые отношения с собственными сотрудниками
Уведомление об обработке персональных данных.
Рекомендации по заполнению 13

14. Перечень действий с персональными данными
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
9. В поле «перечень действий с персональными данными, общее описание используемых
оператором способов обработки персональных данных», указываются действия, совершаемые
оператором с персональными данными (например: сбор, систематизация, накопление,
хранение, уточнение (обновление, изменение), использование, распространение (в том числе
передача), обезличивание, блокирование, уничтожение), а также описание используемых
оператором способов обработки персональных данных (например: неавтоматизированная
обработка персональных данных; или исключительно автоматизированная обработка
персональных данных с передачей полученной информации по сети или без таковой; или
смешанная обработка персональных данных).
Примечание. При автоматизированной обработке персональных данных либо смешанной
обработке, необходимо указать, передается ли полученная в ходе обработки персональных
данных информация по внутренней сети юридического лица (информация доступна лишь для
строго определенных сотрудников юридического лица), либо информация передается с
использованием сети общего пользования Интернет, либо без передачи полученной
информации).
Рекомендации по заполнению:
• Чаще всего, в учреждении МСЭ совершается практически все перечисленные действия над
персональными данными, при этом способы обработки могут быть разными для разных
категорий ПДн. Возможно, будет уместно явно указать, какие данные обрабатываются без
использования средств автоматизации, а какие - только в автоматизированном режиме и т.д.
• Стоит проконсультироваться в территориальном органе Роскомнадзора, нужно ли явно
указывать названия программных продуктов, используемых при автоматизированной
обработке персональных данных
Уведомление об обработке персональных данных.
Рекомендации по заполнению 14

15. Описание мер, которые оператор обязуется осуществлять […]
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
10. В поле «описание мер, которые оператор обязуется осуществлять при обработке
персональных данных, по обеспечению безопасности персональных данных при их обработке»,
указываются:
а) класс информационной системы персональных данных оператора (пункт 14 приказа ФСТЭК
России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/8б/20 «Об утверждении
Порядка проведения классификации информационных систем персональных данных»);
б) организационные и технические меры, применяемые для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, распространения персональных данных.
В случае использования оператором, осуществляющим обработку персональных данных,
шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производители используемых криптографических
средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.
Предоставление данной информации осуществляется в соответствии с Методическими
рекомендациями по обеспечению с помощью криптосредств безопасности персональных
данных при их обработке в информационных системах персональных данных с использованием
средств автоматизации, утвержденными руководством 8 Центра Федеральной службы
безопасности Российской Федерации 21.02.2008 № 149/5-144.
Уведомление об обработке персональных данных.
Рекомендации по заполнению 15

16. Дата начала обработки персональных данных
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
11. В поле «дата начала обработки персональных данных» указывается конкретная дата начала
совершения действий с персональными данными, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование, распространение (в том числе
передачу), обезличивание, блокирование, уничтожение персональных данных (указывается
фактическая дата начала обработки персональных данных).
Рекомендации по заполнению:
• Ключевое слово – «фактическая» дата. При этом явно не указано, что имеется ввиду только
автоматизированная обработка
Возможные ошибки:
• Иногда дата начала обработки персональных данных указывается такой же, что и
дата подачи уведомления об обработке персональных данных. Это, как правило,
неверно
Уведомление об обработке персональных данных.
Рекомендации по заполнению 16

17. Срок или условие прекращения обработки персональных данных
Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08
11. В поле «срок или условие прекращения обработки персональных данных» указывается
конкретная дата или основание (условие), наступление которого повлечёт прекращение
обработки персональных данных.
Рекомендации по заполнению:
• Как правило, явно установить дату прекращения обработки персональных данных
затруднительно. Поэтому разумным вариантом является указание именно условия
прекращения такой обработки. Например: «внесение изменений в учредительные документы,
изменение правовых оснований обработки, ликвидация или приостановка деятельности
учреждения».
Возможные ошибки:
• Пример не самой удачной формулировки: «По указанию Федерального агентства
по здравоохранению и социальному развитию»
Уведомление об обработке персональных данных.
Рекомендации по заполнению 17

18. Рекомендуемый порядок подачи уведомления
Рекомендуемый порядок работы
при подготовке и подаче уведомления
1
Сайт территориального органа Роскомнадзора →
Раздел по работе с персональными данными. Узнать:
Ф.И.О. руководителя, контактные данные
ответственных специалистов. Скачать: бланк
уведомления, рекомендации по заполнению.
2
Заполнение уведомления, договориться по телефону
со специалистом Роскомнадзора о возможности
согласования текста подготовленного уведомления по
электронной почте и проведение такого согласования
3
Печать согласованного текста уведомления, его
подписание и направление в территориальный орган
Роскомнадзора официальным письмом (на бланке, с
исх. номером и т.п.)
http://www.rsoc.ru/ → http://86.rsoc.ru/
18

19. Как происходит включение в Реестр Операторов
Включение в реестр операторов, осуществляющих
обработку персональных данных
1
… в течение 30 дней с даты поступления Уведомления принимается решение о
включении Оператора в Реестр, которое оформляется в виде приказа
руководителя Службы или заместителя руководителя Службы о включении
Оператора в Реестр.
3
2 3
30 дней 3 дня
Согласно «Положения о ведении реестра операторов, осуществляющих обработку
персональных данных»:
2
1 Дата поступления уведомления в территориальный орган Роскомнадзора
Информация о внесении Оператора в Реестр должна быть опубликована на
официальном сайте Службы в сети Интернет не позднее 3 (трех) дней с даты
подписания приказа
http://pd.rsoc.ru/
Регистрационный номер
19

20. Внесение изменений после включения в Реестр Операторов
Внесение изменений после включения в реестр
операторов, осуществляющих обработку ПДн
1
… Оператор обязан уведомить об изменениях Службу в течение 10 (десяти) рабочих
дней с даты возникновения таких изменений. Внесение указанных изменений в
Реестр производится на основании приказа руководителя Службы или заместителя
руководителя и не приводит к изменению регистрационного номера соответствующей
записи в Реестре
2
10 дней
Согласно «Положения о ведении реестра операторов, осуществляющих обработку
персональных данных»:
2
1 Дата фактического изменения сведений (например: смена адреса учреждения или
его филиалов, внесение изменений в реквизиты, учредительные документы и проч.)
Текст скорректированного
уведомления (полностью)
Информационное письмо +
20

21. Контактная информация
Спасибо за внимание
21