Утечка персональных данных в медицинской организации — это ситуация, которая затрагивает не только IT-инфраструктуру, но и врачебную тайну, права пациентов и юридическую ответственность клиники.
В таких случаях важно действовать быстро и строго в рамках законодательства.
Шаг 1. Срочно остановить утечку
Первое действие — локализация инцидента:
- немедленно пресечь источник утечки
- заблокировать доступ к информационным системам
Задача — остановить распространение персональных данных.
Шаг 2. Подключить ответственных
Инцидент должен быть сразу передан:
- руководству клиники
- юристу
- специалисту по информационной безопасности
Шаг 3. Зафиксировать факт утечки
Необходимо документально зафиксировать:
- сам факт инцидента
- состав скомпрометированных данных
- обстоятельства произошедшего
Это важно для дальнейшего взаимодействия с регулятором.
Шаг 4. Уведомить Роскомнадзор (в течение 24 часов)
Согласно п. 1 ч. 3.1 ст. 21 Федерального закона № 152-ФЗ «О персональных данных», оператор обязан уведомить Роскомнадзор в течение 24 часов с момента выявления утечки.
Роскомнадзор ведёт специальный реестр таких инцидентов
(ч. 10 ст. 23 Федерального закона № 152-ФЗ).
Уведомление подаётся:
- в бумажном виде
- или через портал Роскомнадзора (с авторизацией через ЕСИА и электронной подписью)
В уведомлении необходимо указать:
- сведения об инциденте (включая скомпрометированную базу данных)
- предполагаемые причины
- возможный вред субъектам персональных данных
- принятые меры
- контактное лицо
- данные оператора (клиники)
Шаг 5. Провести внутреннее расследование
Клиника обязана инициировать внутреннее расследование инцидента.
Для этого оформляется соответствующий приказ или решение.
В ходе расследования необходимо:
- установить причины утечки
- выявить уязвимости
- принять меры по их устранению
- усилить систему защиты персональных данных
Для членов НАКЭМ доступен шаблон такого документа в Базе документов.
Шаг 6. Повторное уведомление (в течение 72 часов)
В течение 72 часов с момента выявления утечки необходимо направить дополнительную информацию в Роскомнадзор.
Требования установлены:
— п. 5, 7 Порядка, утверждённого Приказом Роскомнадзора от 14.11.2022 № 187
В уведомлении указывается:
- причины инцидента
- оценка вреда
- принятые меры
- реквизиты решения о внутреннем расследовании
- сведения о виновных лицах (при наличии)
Если сведения окажутся неполными, Роскомнадзор вправе запросить уточнения.
Срок ответа — 3 рабочих дня.
При отдельном требовании регулятора — 1 рабочий день.
Шаг 7. Обучить персонал
После инцидента необходимо:
- провести обучение сотрудников
- пересмотреть регламенты работы с персональными данными
- усилить контроль доступа
Ответственность:
За нарушение обязанности по уведомлению Роскомнадзора предусмотрена административная ответственность:
ч. 10 ст. 13.11 КоАП РФ
- для должностных лиц: от 400 000 до 800 000 рублей
- для юридических лиц: от 1 000 000 до 3 000 000 рублей
Главное правило:
При утечке персональных данных важно не просто «реагировать», а действовать:
- быстро
- последовательно
- строго в рамках законодательства
НАКЭМ отслеживает изменения в регулировании и помогает клиникам выстраивать процессы работы с персональными данными — от профилактики до действий в случае инцидентов.
Утечка персональных данных в медицинской организации – это серьезная проблема, которая может привести к разглашению врачебной тайны, утрате конфиденциальности пациентов, а также к юридическим последствиям.