Семинар открыла ведущий юрист компании "ИнфоТехноПроект" Анастасия Шилина. В своем докладе она рассказала об особенностях обработки персональных данных в коммерческих медицинских организациях. Говоря о неоднозначности понятия "персональные данные" в законодательных актах, она сделала важный акцент на том, что "…оператору (любому юридическому лицу, в том числе медицинской организации) до начала обработки персональных данных необходимо сформулировать понятие "персональные данные" применительно к своей сфере деятельности, описав, какие именно данные являются для него персональными и закрепив это документально, для последующего обеспечения этих данных соответствующими мерами защиты".
Для коммерческих медицинских компаний такой шаг является очень важным в организации обработки персональных данных клиентов. При этом нельзя умолчать и о следующем. Компаниям необходимо не только определить для себя, что считать персональными данными, но и разграничивать такие понятия как "персональные данные" и "медицинская тайна". Эти понятия совпадают далеко не всегда. Кроме того, обращения с информацией, подпадающей под эти два определения, регулируются разными нормативными актами, требует разной степени защиты информации. Эту проблему в своем докладе подробно осветил юрист компании "ИнфоТехноПроект" Алексей Мунтян.
Все эти доклады аудитория слушала с большим интересом. В прочем, как и доклад Натальи Самойловой о деятельности регуляторов и об ответственности за нарушения законодательства о персональных данных. Внимание публики к ее сообщению четко давало понять, что далеко не всем операторам ПДн в области коммерческой медицины удалось разобраться не только в тонкостях, но и в основах обработки персональных данных.
По этой причине небезынтересным был и доклад руководителя кадрового агентства "КОРДЭК" Татьяны Сабельниковой. Она рассказала о первых шагах в организации обработки персональных данных оператором. "Для начала необходимо четко определить позиции, от которых в основном будет зависеть соблюдение требований Федерального закона "О персональных данных" и величина затрат на защиту персональных данных. Это, во-первых, категории обрабатываемых персональных данных, во-вторых, их объем и, в-третьих, цели обработки. Проще говоря, что обрабатываем, как и зачем. В результате этих действий в компании должен появиться блок административно-распорядительных документов, регламентирующих деятельность организации в сфере персональных данных".
Вообще же, судя по вопросам из зала, многие новоявленные операторы персональных данных до сих пор не могут похвастаться базовыми познаниями в вопросах защиты ПДн. "Нужно ли брать согласие клиента на передачу данных третьим лицам?", "Кто вообще такие эти третьи лица?", "Зачем регистрироваться в реестре?", "Если медицинское учреждение регистрируется в реестре операторов ПДн, значит ли это, что регулятор незамедлительно после регистрации явится с проверкой?". Изрядно удивляли докладчиков доводы из зала о том, что "закон ведь еще не действует".
В общем и целом, семинар показал, что далеко не все операторы персональных данных осведомлены о своих правах и обязанностях и о порядке организации обработки ПДн в своих информационных системах.
Комментариев нет:
Отправить комментарий