X. Оценка рисков причинения вреда жизни, здоровью или имуществу человека либо имуществу юридического лица, ущерба обороне и (или) безопасности государства, иным охраняемым федеральным законом ценностям

40. В ходе реализации экспериментального правового режима могут возникать риски утечки персональных данных пациентов и информации ограниченного доступа в результате кибератак, технического сбоя, нарушения правил обработки персональных данных, режима защиты информации и информационной безопасности, правил эксплуатации информационной платформы, устройств, медицинских информационных систем, системы поддержки, недобросовестных действий субъектов и участников экспериментального правового режима.

41. Риски причинения вреда жизни и здоровью пациента могут возникать по следующим причинам:

а) назначение неправильного лечения лечащим врачом вследствие низкой диагностической ценности данных, полученных из устройства по причине некорректной работы устройства;

б) непоступление сигнальной информации по причине сбоя в работе информационной платформы;

в) сбой в работе информационной платформы, который может привести к приостановке оборота данных устройств;

г) поломка мобильного устройства пациента, на котором было установлено сопряженное с информационной платформой мобильное приложение, позволяющее осуществлять передачу данных в автоматическом и ручном режимах.

42. В целях устранения возможных последствий описанных рисков для целей оказания услуг в рамках экспериментального правового режима субъектами и участниками экспериментального правового режима, которые являются операторами информационных систем, предпринимаются меры по обеспечению безопасности персональных данных в соответствии с положениями законодательства Российской Федерации о персональных данных.

43. При установлении медицинской организацией факта назначения лечащим врачом неправильного лечения пациенту вследствие низкой диагностической ценности данных, полученных из устройства по причине его некорректной работы, медицинской организацией принимается решение о запрещении его дальнейшего использования, о чем медицинская организация уведомляет пациента и оператора информационной платформы в электронной форме, сообщает пациенту о необходимости замены устройства.

44. Недоброкачественное устройство, или устройство с заводским браком, или в котором возникла поломка, передается медицинской организацией производителю (изготовителю) для замены. Пациенту безвозмездно выдается новое устройство медицинской организацией.

45. После замены пациенту устройства медицинская организация сообщает оператору информационной платформы о необходимости привязки нового устройства к идентификационному номеру пациента.

46. Оператор информационной платформы в отношении недоброкачественного устройства проставляет в информационной платформе отметку о прекращении использования.

47. При выдаче нового устройства пациенту идентификационный номер пациента, данные предыдущего устройства сохраняются оператором информационной платформы в информационной платформе с привязкой к идентификационному номеру пациента нового устройства.

48. В случае сбоя в работе информационной платформы, приостановки оборота данных об устройствах оператор информационной платформы:

информирует медицинские организации, пациентов о возникновении сбоя в работе информационной платформы, приостановке оборота данных об устройствах в электронной форме;

восстанавливает оборот данных об устройствах, в том числе из систем резервного копирования;

локализует сбой в программно-аппаратном комплексе информационной платформы (при наличии);

устраняет ошибки в работе алгоритмов программного обеспечения информационной платформы (при наличии);

проверяет корректную работу сегментов сотовой сети связи общего пользования (при необходимости).

49. При восстановлении работы информационной платформы оператор информационной платформы в электронной форме сообщает медицинским организациям, пациентам о возобновлении работы информационной платформы и оборота данных об устройствах.

50. В случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, полученных в результате обезличивания, субъект экспериментального правового режима обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций в порядке, установленном частью 3.1 статьи 21 Федерального закона "О персональных данных".

51. Операторы информационных систем являются ответственными за соблюдение состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, устанавливаемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с частью 4 статьи 19 Федерального закона "О персональных данных".