Как обеспечить конфиденциальность ПДн при создании сайта-агрегатора врачей: получение разрешения, уведомление РКН, политика и техзащита

Добрый день!

1. Если вы создадите сайт-агрегатор всех врачей на основе только информации с сайтов медицинских учреждений, то вы становитесь оператором персональных данных (ПДн) в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных".

2. Вы не обязаны получать разрешение от врачей на перепубликацию их ПДн, так как указанные на сайте медицинского учреждения данные являются общедоступными и публикуются организацией без согласия субъекта ПДн.

3. Уведомление Роскомнадзора о начале персональной обработки ПДн не требуется, если вы не собираете их с использованием сети Интернет и не осуществляете распространение персональных данных.

4. Вам необходимо обеспечивать конфиденциальность ПДн, что означает защиту их от несанкционированного доступа, обработки, уничтожения, ограничения доступа к ним и т.д. Это основывается на пункте 1 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".

5. Выпуск политики и обеспечение технических средств защиты ПДн на сайте является необходимым, так как вы являетесь оператором ПДн. Это основывается на пунктах 1 и 2 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".

Спасибо за обращение!

1. Да, при создании сайта-агрегатора всех врачей на основе информации с сайтов медучреждений вы становитесь оператором персональных данных (ПДн) в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ "О персональных данных".

2. Необходимости получения разрешения от врачей на перепубликацию их персональных данных нет, поскольку информация об участниках медицинского процесса, включая персональные данные медицинских работников, может находиться в открытом доступе в соответствии с требованиями законодательства.

3. Уведомление Роскомнадзора о начале обработки ПДн не требуется, если обработка персональных данных производится оператором только для личных, семейных, домашних или иных подобных нужд.

4. Оператор персональных данных обязан обеспечить конфиденциальность персональных данных и принимать необходимые меры для защиты их от несанкционированного доступа, уничтожения, изменения, блокирования, копирования и распространения.

5. Для обработки персональных данных на сайте необходимо разработать и утвердить политику в отношении обработки ПДн, определить процедуру доступа к персональным данным и соответствующие методы их защиты. Техзащиту ПДн также следует обеспечить путем принятия мер по защите информационных систем, в которых хранятся персональные данные.

1. Статья 4 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон о ПДн), определяющая понятие "оператор ПДн".
2. Статья 6 Закона о ПДн, которая устанавливает требования к обработке ПДн, в том числе необходимость получения согласия субъекта ПДн на обработку его персональных данных.
3. Статья 20.1 Закона о ПДн, требующая обязательного уведомления Роскомнадзора о начале обработки ПДн.
4. Статья 19 Закона о ПДн, закрепляющая право субъекта ПДн на защиту своих прав и интересов при обработке его ПДн и требующая обеспечения конфиденциальности этих данных.
5. Статьи 18 и 19 Закона о ПДн, обязывающие оператора ПДн разработать и утвердить политику в отношении обработки ПДн и принимать меры по обеспечению их технической и организационной защиты.