Управление по …,  31.03.2025 № , 

Директору медицинской организации об устранении причин и условий, способствовавших совершению административного правонарушения.

Руководствуясь статьей 29.13 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ), УФСБ России по … обращает Ваше внимание на то, что в медицинской организации выявлены нарушения требований законодательных и иных нормативных актов Российской Федерации о персональных данных, задокументированные протоколом об административном правонарушении от ________ № .

В этой связи, по результатам рассмотрения дела об административном правонарушении № __, лицо, ответственное за обеспечение безопасности персональных данных – директор медицинской организации подвергнут административному наказанию в виде штрафа по ч. 6 ст. 13.12 КоАП РФ).

Как следует из материалов дела об административном правонарушении, в информационной системе персональных данных медицинской организации осуществляется автоматизированная обработка персональных данных посредством установленных программных средств.

В соответствии с требованиями п.п. 1, 2 и 9 ч. 2 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности: определением угроз безопасности и применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных; а так же контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Согласно п. 2 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с ч. 5 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Установлено, что в медицинской организации мероприятия по определению угроз безопасности и уровней защищенности персональных данных при их обработке в ИСПДн не проведены, что не позволяет определить достаточность принимаемых организационных и технических мер, составляющих систему защиты персональных данных.

Передача персональных данных между местами расположением медицинских изделий, «филиалами» медицинской организации, т. е. от подразделения медицинской организации № 1 к подразделению медицинской организации № 2 и обратно, в нарушение п. 8.13 Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», осуществляется по открытому каналу связи в интернете.

Причинами, способствовавшими совершению указанного административного правонарушения, явилось ненадлежащее исполнение в медицинской организацией требований к защите информации, в частности, защите персональных данных при их обработке в информационных системах персональных данных, установленных ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Требования № 1119), Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Условием, способствовавшим совершению указанного административного правонарушения, явилась недостаточная организация работы по выполнению требований, установленных действующими нормативно-правовыми актами.

Для устранения причин и условий, способствовавших совершению административного правонарушения, необходимо:

– осуществить мероприятия, предусмотренные ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 7 Требований №1119, по определению уровней защищенности персональных данных при их обработке в ИСПДн (т. н. «бумажная безопасность», включая разработку модели угроз и других локальных актов);

– обеспечить применение в медицинской организации при обработке персональных данных в информационной системе защиты персональных данных (ИСПДн) средств защиты информации, предусмотренных Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 11.02.2013 № 17, приказом ФСТЭК России от 18.02.2013 № 21, для соответствующего уровня защищенности: посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных при взаимодействии информационной системы или отдельных ее сегментов с иными информационными системами и информационно-телекоммуникационными сетями (перечень оборудования и программ, рекомендованных ФСБ для защиты данных см. далее);

– принять меры по недопущению последующих нарушений требований российского законодательства о персональных данных, обеспечить надлежащий контроль за их соблюдением в медицинской организации.

Непринятие мер по устранению причин и условий, способствующих совершению административного правонарушения, может повлечь за собой административную ответственность по ст. 19.6 КоАП РФ (влечет наложение административного штрафа на должностных лиц в размере ________________).

Предлагается рассмотреть представление и в месячный срок со дня его получения сообщить о принятых мерах в УФСБ России.

Начальник подразделения УФСБ России

Представление получил(а) и ознакомлен(а): __________________.