Размер шрифта

Цвета сайта

Изображения

Дополнительно

Междустрочный интервал

Межбуквенный интервал

Шрифт

Тюмень
Ваш город Тюмень?
Все верноВыбрать город
Адрес клиники
625013 г. Тюмень, ул. Пермякова, 1, с. 5
Круглосуточно. Анонимно
Telegram MAX

Регламент реагирования на инциденты с персональными данными

Регламент реагирования на инциденты с персональными данными

Внутренний документ ООО «Осознание». Версия 1.0 от 26.04.2026.

1. Цель регламента

Установить порядок выявления, локализации и устранения инцидентов с персональными данными (ПД) пациентов и сотрудников в соответствии с статьёй 21.1 ФЗ-152 «О персональных данных».

2. Что считается инцидентом

  • Несанкционированный доступ к базе данных пациентов
  • Утрата или копирование носителей с ПД (флешки, диски, бумаги)
  • Кибератака на сайт или CRM с потенциальным доступом к ПД
  • Случайное отправление информации о пациенте третьим лицам
  • Передача ПД сотрудником без согласия субъекта
  • Уязвимость, обнаруженная в коде сайта/инфраструктуре, потенциально дающая доступ к ПД

3. Роли и ответственные

  • DPO (Data Protection Officer / уполномоченный по защите ПД) — главный врач клиники.
    Контакт: dpo@klinika-osoznanie.ru
  • Технический директор — отвечает за локализацию и устранение технических причин.
  • Юрист — оформление уведомлений в Роскомнадзор и субъектов ПД.
  • Любой сотрудник, обнаруживший инцидент — обязан сообщить DPO в течение 1 часа.

4. Алгоритм реагирования

  1. Час 0: Сотрудник сообщает DPO. DPO фиксирует инцидент в журнале (форма Ж-1).
  2. Часы 0–4: Локализация — отключение скомпрометированного канала, смена паролей, ротация ключей. Технический директор готовит отчёт о масштабе.
  3. Часы 4–24: Подготовка уведомления в Роскомнадзор (по форме на pd.rkn.gov.ru). Содержит:
    • описание инцидента, дата и время выявления
    • категории и количество затронутых субъектов ПД
    • предполагаемые причины и риски
    • принятые меры
    Срок отправки — 24 часа с момента выявления (ст. 21.1 ч.1 ФЗ-152).
  4. Часы 24–72:Уведомление субъектов ПД (пациентов), чьи данные могли быть затронуты — по email/SMS/звонком. Содержит:
    • описание инцидента доступным языком
    • возможные риски (например, утечка ФИО + телефона = риск спама/мошенничества)
    • рекомендации по защите (сменить пароль, не отвечать на подозрительные звонки)
    • контакт для вопросов
  5. Часы 72+: Внутреннее расследование, root cause analysis, обновление регламентов, обучение сотрудников.

5. Контакты регуляторов

  • Роскомнадзор (территориальное управление по ЮФО): 350000, г. Краснодар, ул. Орджоникидзе, 60. Тел. +7 (861) 210-10-00. Сайт: 61.rkn.gov.ru
  • Реестр операторов ПД:pd.rkn.gov.ru
  • Telegram-бот Роскомнадзора: @rkn_official_bot (для оперативных вопросов)

6. Штрафы за нарушение сроков

Согласно КоАП РФ:

  • ст. 13.11 ч.1 (неисполнение оператора по уведомлению): для юр.лиц 300 000 — 700 000 ₽
  • ст. 13.11 ч.2 (мед.данные = спец.категория): для юр.лиц 500 000 — 1 500 000 ₽ за каждый эпизод
  • ст. 13.11.1 (ущерб в крупном размере): возможен оборотный штраф 5% от выручки за прошлый год

7. Журнал инцидентов

Все инциденты фиксируются в журнале формы Ж-1 (хранится у DPO 5 лет):

  • № инцидента, дата и время выявления
  • Тип, описание, источник
  • Затронутые субъекты ПД (категории, число)
  • Принятые меры
  • Дата уведомления Роскомнадзора
  • Дата уведомления субъектов
  • Статус: открыт / в работе / закрыт
  • Ответственный

Документ доступен сотрудникам по внутренней ссылке. Публикация на сайте — для прозрачности и соответствия принципу публичности оператора ПД.

ПозвонитьПерезвонимTelegramMAX