Политика обработки персональных данных

Политика обработки персональных данных в информационной системе

РИСЗ ВО ГБУЗ «ВОКХ»

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

УСТАНАВЛИВАЮЩАЯ ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОМ БЮДЖЕТНОМ УЧРЕЖДЕНИИ ЗДРАВООХРАНЕНИЯ «ВОЛГОГРАДСКИЙ ОБЛАСТНОЙ КЛИНИЧЕСКИЙ ХОСПИС», ВОЛГОГРАД

1. Общие положения

1.1. Настоящая Политика обработки персональных данных, устанавливающая процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – Правила) в информационной системе РИСЗ ВО ГБУЗ «ВОКХ» (далее – Организация) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных в информационных системах персональных данных (далее – ИС).

1.2. Целью Политики является определение условий и формирование требований для обеспечения защиты персональных данных (далее – ПДн) от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (далее по тексту – УБПДн).

1.3. Политика разработана в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положенияоб особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами и иными нормативными актами, действующими на территории Российской Федерации.

1.4. В Политике используются следующие термины:

 Безопасность персональных данных – состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в ИС.

 Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

 Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

 Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

 Конфиденциальность персональных данных – обязательное для соблюдения оператором (в данном случае Организации) или иным лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.

 Неавтоматизированная обработка персональных данных – обработка ПДн субъекта без использования средств вычислительной техники.

 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

 Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

 Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

 Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

 Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

 Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИС и (или) в результате которых уничтожаются материальные носители ПДн.

2. Область действия

2.1. Политика является обязательной для исполнения всеми работниками Организации, имеющими доступ к персональным данным.

3. Рекомендации по защите

3.1. Рекомендации содержат описание системы мер и принципов организации защиты ПДн в Организации.

3.2. Рекомендуется устанавливать в технических заданиях на создание (модернизацию) конкретных ИС и элементов информационно-телекоммуникационной инфраструктуры такой уровень требований по защите информации, который бы соответствовал или был строже рекомендаций, предложенных в настоящем разделе.

3.3. Работы по защите информации проводятся на основе реализации комплекса организационных и технических мероприятий.

3.4. Не допускается осуществление работниками Организации любых мероприятий и работ с использованием ПДн без принятия необходимых мер по защите информации.

3.5. Организация работ по обработке и защите информации в Организации возлагается на работника, ответственного за организацию обработки и обеспечение безопасности ПДн, назначенного приказом руководителя Организации, или на стороннюю организацию (далее – Уполномоченное лицо) по договору.

3.6. Методическое руководство, координация работ в области защиты информации и контроль эффективности мер защиты информации возлагаются на работника Организации, ответственного за организацию обработки и обеспечение безопасности ПДн.

3.7. Техническая защита конфиденциальной информации является лицензируемым видом деятельности и должна осуществляться на основе лицензий, выданных уполномоченными федеральными органами исполнительной власти. Для обеспечения технической защиты ПДн должны привлекаться организации, имеющие лицензии на указанный вид деятельности.

4. Обработка персональных данных субъектов персональных данных

4.1. Порядок получения персональных данных

4.1.1. Все ПДн субъекта ПДн следует получать работникам Организации, допущенным к обработке ПДн, у него самого. Если ПДнсубъекта возможно получить только у третьей стороны, за исключением случаев, предусмотренных законодательством Российской Федерации, субъект должен быть уведомлен об этом заранее в письменном виде по почте работником, ответственным за организацию обработки и обеспечение безопасности ПДн, или другим работником Организации по его поручению. Работник Организации, принимающий ПДн субъекта, должен сообщить субъекту ПДн следующую информацию:

 наименование, либо фамилия, имя, отчество и адрес Организации или его представителя;

 цель обработки ПДн и ее правовое основание;

 предполагаемые пользователи ПДн;

 установленные действующим законодательством РФ права субъекта ПДн.

4.2. Работники Организации не имеют права получать и обрабатывать ПДн субъектов, не соответствующие целям их обработки.

4.3. Обработка специальных категорий ПДн субъектов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, возможна только с их согласия либо без их согласия в случаях, установленных законодательством РФ.

4.4. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в письменной форме, если иное не установлено законодательством Российской Федерации. В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются работником, ответственным за организацию обработки и обеспечение безопасности ПДн, на основе нотариально заверенных доверенностей либо других документов, подтверждающих полномочия представителей, копии которых должны быть приложены к согласию.

4.5. Передавать ПДн субъектов для обработки третьим лицам можно только после получения Организацией от субъекта ПДн письменного согласия на передачу конкретному лицу (организации), кроме случаев, установленных действующим законодательством РФ. Передача ПДн на материальном носителе информации фиксируется в соответствующих журналах работниками, ответственными за документооборот в Организации. Передача ПДн в электронном виде по защищенным каналам связи фиксируется в электронных журналах средств защиты информации.

4.6. Письменное согласие субъекта ПДн на обработку его ПДн должно включать в себя:

 фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

 фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты и приложенная нотариальная копия (или оригинал) доверенности или иного надлежащего документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

 наименование и адрес Организации, получающего согласие субъекта ПДн;

 цель обработки ПДн;

 перечень ПДн, на обработку которых дается согласие субъекта ПДн;

 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка будет поручена такому лицу;

 перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Организацией способов обработки ПДн;

 срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено действующим законодательством РФ;

 подпись субъекта ПДн.

4.7. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн или в случае достижения целей обработки ПДн, Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, инициирует сбор, блокировку обработки с последующим уничтожением ПДн субъекта, кроме случаев, установленных законодательством РФ.

4.8. Письменные согласия субъектов передаются Работнику, ответственному за организацию обработки и обеспечение безопасности ПДн, и хранятся в специально предназначенном месте.

4.9. При обработке ПДн субъекта, по его запросу могут быть предоставлены следующие данные:

 подтверждение факта обработки ПДн в Организации;

 правовые основания и цели обработки ПДн;

 цели и применяемые в Организации способы обработки ПДн;

 наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты ПДн на основании договора с Организации или на основании Федерального закона;

 обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

 сроки обработки ПДн, в том числе сроки их хранения;

 порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;

 наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка поручена или будет поручена такому лицу;

 иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими Федеральными законами.

4.10. В случае получения запросов от уполномоченного органа по защите прав субъектов ПДн работник, ответственный за организацию обработки и обеспечение безопасности ПДн, обязан представить документы и локальные акты, по обеспечению безопасности обработки ПДн субъектов и (или) иным образом подтвердить принятие необходимых мер в течение 10 (десяти) дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления работником, ответственным за организацию обработки и обеспечение безопасности ПДн, в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

4.11. Порядок обработки, передачи и хранения персональных данных

4.11.1. В соответствии с законодательством РФ в целях обеспечения прав и свобод человека и гражданина Организации и его представители при обработке ПДн субъекта должны соблюдать следующие общие требования:

 обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов РФ;

 при определении объема и содержания, обрабатываемых ПДнОрганизации должно руководствоваться действующим законодательством РФ и локальными нормативными актами Организации;

 при принятии решений, затрагивающих интересы субъекта, Организация не имеет права основываться на ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения;

 защита ПДн субъекта от неправомерного их использования или утраты обеспечивается Организацией в порядке, установленном действующим законодательством РФ;

 работники Организации должны быть ознакомлены под роспись с документами Организации, устанавливающими порядок обработки ПДн, а также об их правах и обязанностях в этой области;

 доступ Работников Организации к персональным данным субъектов ПДн в ИС регламентируется только на основании локальных нормативных актов Организации с указанием перечня допущенных лиц, прав доступа, необходимых для выполнения служебных обязанностей;

 обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

 уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление);

 уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными;

 при хранении материальных носителей ПДн должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.

4.12. При передаче ПДн субъекта Работниками должны соблюдаться следующие требования:

 не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных Федеральным законом;

 осуществлять передачу ПДн субъектов в пределах Организации в соответствии с нормативными документами внутреннего документооборота Организации.

4.13. Допускается передача ПДн субъектов сторонним организацией, если данная передача обусловлена законодательством Российской Федерации, либо соответствующим соглашением, и не нарушает прав субъекта ПДн.

4.14. Обязанности Организации по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.

4.14.1. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя или уполномоченного органа по защите прав субъектов ПДн должно быть осуществлено блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечено их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период внутренней проверки в Организации.

4.14.2. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн, должно быть осуществлено блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечено их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

4.14.3. В случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, должно быть проведено уточнение ПДн работником, ответственным за организацию обработки и обеспечение безопасности ПДн, либо обеспечено их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в течение семи рабочих дней со дня представления таких сведений и снято блокирование ПДн. Уточнение ПДн должно производиться на основании данных, полученных от субъекта ПДн.

4.14.4. В случае выявления неправомерной обработки ПДн, осуществляемой Организацией или лицом, действующим по поручению Организации, Организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки ПДн невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Организации обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

4.14.4.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Организация обязана с момента выявления такого инцидента работником, ответственный за организацию обработки и обеспечение безопасности ПДн, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

4.14.4.1.1. В течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

4.14.4.1.2. В течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4.14.5. В случае достижения цели обработки ПДнОрганизации обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и уничтожить персональные данные или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн, либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законодательством.

4.14.6. В случае отзыва субъектом ПДн согласия на обработку его ПДнОрганизации обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить персональные данные или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законодательством.

4.14.6.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

4.14.7. В случае невозможности уничтожения ПДн в течение срока, указанного в п.4.14.5 - 4.14.6, Организация осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.

5. Обработка персональных данных персональных данных работников Организации

5.1. Персональные данные работников обрабатываются Организацией, в частности, в целях выполнения требований:

 трудового законодательства и иных актов РФ, содержащих нормы трудового права РФ при трудоустройстве работников, предоставлении им гарантий и компенсаций, обучения, продвижения по службе, охраны труда и личной безопасности, контроля качества выполняемой ими работы, оплаты труда;

 налогового законодательства РФ, в частности, в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;

 пенсионного законодательства РФ при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;

 воинского учета.

5.2. Персональные данные членов семьи обрабатываются с целью выполнения трудового законодательства в отношении работника Организации, обеспечения получения страховых выплат при наступлении несчастного случая с работником, организации воинского учета и т.п. В соответствии с п. 5 ч. 1 ст. 6 Федерального закона «О персональных данных» допускается обработка персональных данных членов семьи без получения их согласия на обработку, в случае, если член семьи работника Организация будет являться выгодоприобретателем по договорам, заключенным Организацией.

5.3. В соответствии с п. 5 ч. 1 ст. 6 Федерального закона «О персональных данных», а также при самостоятельном размещении кандидатом на должность в Организации своего резюме в сети Интернет, доступного неограниченному кругу лиц, обработка персональных данных кандидата на должность в Организацию может осуществляться Организацией без его письменного согласия.

5.4. Перечень персональных данных

Категория ПДн

Кандидаты Работники Члены семьи

Форма согласия Электронная

Бумажная Х

Не требуется Х Х

Срок хранения 30 дней (за исключением случаев, предусмотренных законодательством) 5 лет 5 лет

Ф.И.О Х Х Х

Пол Х Х Х

Дата рождения Х Х Х

Место рождения Х

Паспортные данные Х Х

Адрес регистрации Х

Семейное положение Х

Образование Х Х

Трудовой стаж Х Х

Предыдущее место работы Х Х

Воинский учет Х

СНИЛС Х

ИНН Х

Телефон Х Х

Электронная почта Х Х

Заработная плата Х

Социальные льготы Х

Должность Х

Фотография Х

Банковские реквизиты Х

5.5. Допуск работников Организации к обработке персональных данных осуществляется после:

 ознакомления под роспись с локальными нормативными актами Организации по обработке и защите персональных данных;

 оформления письменного обязательство работника, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (см. типовые формы, утвержденные настоящим приказом);

 оформления письменного согласия на обработку персональных данных работников (см. типовые формы, утвержденные настоящим приказом);

 оформления письменного разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.

5.6. Согласно ч. 1 ст. 6 Федерального закона «О персональных данных» обработка персональных данных работников Организации может осуществляться только с их письменного согласия, за исключением следующих случаев:

 согласно п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных», если обработка персональных данных работников необходима для достижения целей, установленных законодательством РФ при выполнении Организации функций и обязанностей, возложенных на нее законодательством РФ;

 согласно п. 5 ч. 2 ст. 6 Федерального закона «О персональных данных», если обработка персональных данных работника необходима во исполнение договора, стороной которой или выгодоприобретателем является работник;

 согласно п. 3 ч. 2 ст. 10 Федерального закона «О персональных данных», если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника Организации и получение согласия работника Организации невозможно;

 согласно п. 2.3 ч. 2 ст. Федерального закона «О персональных данных», если обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях.

5.7. Работники Организации, имеющие допуск к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения служебных (трудовых) обязанностей.

5.8. Хранение персональных данных субъектов осуществляется на бумажных и машинных носителях информации в информационных системах Организации, обеспечивающих сохранность персональных данных и их защиту от несанкционированного доступа на территории Российской Федерации.

5.9. Хранение персональных данных в Организации осуществляется с использованием базы данных, расположенной в пределах помещений Организации, неконтролируемый доступ в которые ограничен, или без использования средств автоматизации.

5.10. Копировать и делать выписки из документов, содержащих данные субъектов персональных данных, разрешается специально уполномоченным работникам в служебных целях или по письменному заявлению субъекта персональных данных.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Работники Организации несут персональную ответственность за сохранность ПДн, к которым они имеют доступ.

6.2. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, могут быть привлечены к ответственности, предусмотренной действующим законодательством РФ и локальными нормативными актами Организации.

7. Оценка угроз безопасности информации

7.1. Информация, обрабатывающаяся в ИС Организации, телекоммуникационных сетях, представляет интерес для конкурентов, коммерческих организаций и криминальных структур.

7.2. Материальными носителями ПДн, применяющимися в технических средствах и системах, являются: бумажные носители, накопители на жестких магнитных дисках, оптические и магнитные диски и ленты, флэш-память.

7.3. Основные виды угроз и источники угроз безопасности представлены в «Модели угроз безопасности ПДн».

8. Организационные мероприятия по защите персональных данных при их обработке и передаче в информационных системах персональных данных

8.1. В общем случае организационные мероприятия по защите ПДн связаны с формированием системы документов по защите ПДн, их разработкой, официальным оформлением и доведением до исполнителей, а также организацией контроля за соблюдением установленных этими документами правил и требований.

8.2. Мероприятия должны исключить возможность утечки информации, обрабатываемой в ИС, и обеспечить запрет передачи ПДн по открытым каналам связи без применения установленных мер по ее защите, а также исключить возможность внесения в контролируемую зону устройств регистрации и накопления информации без соответствующего разрешения.

9. Система документов по защите информации

9.1. Система документов по защите информации включает действующее законодательство РФ и локальные нормативные акты Организации.

9.2. Состав внутренних документов, разрабатываемых на основании действующего законодательства РФ и локальных нормативных актов Организации, определяется на этапе приведения процессов обработки ПДн в Организации в соответствие требованиям законодательства. Состав документов определяется Организацией при возможном привлечении организаций-лицензиатов.

9.3. В подразделении, обслуживающем ИС, рекомендуется иметь комплект эксплуатационной и технической документации на ИС, в том числе на систему защиты ПДн.

9.4. Обязанность поддерживать комплект документов по защите ПДн в актуальном состоянии возлагается на работника, ответственного за организацию обработки и обеспечение безопасности ПДн.

10. Организационные мероприятия по защите ПДн, обрабатываемых на автоматизированном рабочем месте

10.1. Организационные мероприятия по защите ПДн, обрабатываемых на автоматизированном рабочем месте (далее по тексту – АРМ), должны быть связаны с обеспечением:

 сохранности машинных носителей информации, материалов печати и исключения доступа к ним посторонних лиц;

 ограничения физического доступа и контроль доступа к изменению конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.);

 исключения возможностей несанкционированного просмотра изображений с монитора АРМ (терминала) через дверные проемы, окна – в том числе с использованием средств телевизионной, фотографической и визуальной оптической разведки, находящихся за границами контролируемой зоны;

 режима блокирования доступа к АРМ (терминалу) во время отсутствия Пользователя;

 режима блокирования доступа в помещение с установленным АРМ (терминалом) во внерабочее время и в рабочее время при отсутствии Пользователя.

11. Организационные мероприятия по защите ПДн в локальных вычислительных сетях (далее по тексту – ЛВС)

11.1. Указанные мероприятия должны, включать:

 обеспечение режима запрета на вхождение в сеть под чужой учетной записью;

 обеспечение периодической смены паролей Пользователями;

 обеспечение хранения файлов с информацией в групповых каталогах (каталогах, информация в которых является доступной для определенной группы лиц), структура которых однозначно отображает организационную структуру подразделения (управления, отдела, группы и др.) и разрешения доступа к нему только Работников соответствующей структурной единицы;

 обеспечение файлового обмена информацией между Пользователями подразделений через создаваемый каталог общего использования, информация в котором является доступной для имеющих санкционированный доступ в ЛВС Пользователей;

 обеспечение создания для каждого пользователя локальной вычислительной сети личного сетевого каталога, предназначенного для хранения пользовательских данных, и предоставление ему всех прав (чтение, запись, создание, удаление, переименование) в отношении информации указанного каталога, за исключением права изменения привилегий доступа;

 обеспечение контроля присвоения Пользователям учетных записей и их удаление или блокирование при увольнении Работника;

 обеспечение резервного копирования электронных информационных ресурсов;

 обеспечение режима разграничения и контроля доступа к аппаратным и программным ресурсам локальных вычислительных сетей и АРМ.

12. Технические мероприятия по защите персональных данных

12.1. Технические мероприятия по защите информации разрабатываются по результатам обследования объекта информатизации, предназначенного для обработки ПДн, и оценки возможностей реализации замысла защиты на основе применения организационных мер защиты и активизации встроенных механизмов защиты используемых операционных систем и аппаратного обеспечения. Соответствующие требования излагаются в техническом задании на проектирование системы защиты.

12.2. Требуется осуществлять следующие технические мероприятия:

 применение сертифицированных для использования на территории Российской Федерации уполномоченными органами программных и (или) аппаратных средств защиты информации от несанкционированного доступа, контроля целостности, регистрации и учета действий пользователей ИС;

 применение сертифицированных для использования на территории Российской Федерации уполномоченными органами средств криптографической защиты конфиденциальной информации при ее передаче по открытым каналам связи;

 предотвращение несанкционированной записи ПДн на съемные носители информации или вывода ПДн на печать;

 регулярный анализ защищенности системы защиты ПДн;

 защита ПДн при межсетевом взаимодействии;

 применение средств антивирусной защиты информации.

13. Контроль состояния системы защиты персональных данных

13.1. В рамках проверок состояния защиты ПДн рекомендуется осуществлять контроль:

 наличия в подразделениях нормативных документов по защите информации и доведения их до персонала с фиксацией факта ознакомления с документами;

 знания и выполнения работниками требований локальных нормативных актов Организации по защите ПДн при их обработке в ИС Организации;

 наличия и комплектности эксплуатационной и технической документации на систему защиты ПДн, а также факта ознакомления работников Организации с инструкциями пользователей и администраторов средств защиты информации с соответствующей отметкой об ознакомлении в инструкциях;

 работоспособности системы защиты ПДн;

 задания требований по безопасности ПДн при разработке (модернизации) ИС.

13.2. Контроль состояния защиты ПДн осуществляется в плановом и внеплановом порядке ответственным за организацию обработки и обеспечение безопасности ПДн Работником (либо комиссией), назначаемым Организацией.

13.3. Результаты проверок оформляются в виде отчетов о проведении проверки.

ПРИЛОЖЕНИЕ № 1

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В СЛУЧАЕ ОБЕЗЛИЧИВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящие Правила работы с обезличенными данными в случае обезличивания персональных данных (далее - Правила) в информационной системе РИСЗ ВО ГБУЗ «ВОКХ» (далее – Организация) разработаны с учетом Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «Оперсональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

2. Термины и определения

2.1. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

 персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

 обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

 обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Условия обезличивания

3.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Способы обезличивания при условии дальнейшей обработки персональных данных:

 уменьшение перечня обрабатываемых сведений;

 замена части сведений идентификаторами;

 обобщение некоторых сведений;

 понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)

 деление сведений на части и обработка в разных информационных системах;

 другие способы.

3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

3.4. Для обезличивания персональных данных годятся любые способы, явно незапрещенные законодательно.

3.5. Ответственными за проведение мероприятий по обезличиванию обрабатываемых персональных данных в организации являются руководители подразделений Организации.

4. Порядок работы с обезличенными персональными данными

4.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

4.2. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.

4.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

 правил создания и использования паролей пользователей;

 правил применения антивирусных средств;

 правил работы со съемными носителями (если они используется);

 правил резервного копирования;

 порядка доступа в помещения, где расположены элементы информационных систем.

4.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

 правил хранения бумажных носителей;

 правил доступа к ним и в помещения, где они хранятся.

4.5. При необходимости обезличивания должностное лицо, ответственное за обезличивание данных, методами, указанными в п.3.2 настоящего документа, проводит обезличивание персональных данных.

4.6. После обезличивания данные передаются исполнителям и обрабатываются специалистами в режиме, принятом для документов.

4.7. После обработки специалистами обезличенных данных результат обработки передается должностному лицу, ответственному за подготовку ответа, в виде отчета, либо аналитической записки, либо информационного письма, с обязательным приложением исходных обезличенных данных.

4.8. Должностное лицо, исходя из состава, цели запроса и наличии в его распоряжении методов кодирования (шифрования) информации, принимает решение о подготовке ответа субъекту с указанием первоначальных персональных данных, либо без указания последних.

ПРИЛОЖЕНИЕ № 2

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ «О ПЕРСОНАЛЬНЫХ ДАННЫХ», ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ

 

1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в том числе постановления Правительства Российской Федерации от 21 марта 2012 г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в информационной системе РИСЗ ВО ГБУЗ «ВОКХ» (далее – Организация) организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных, принятым в соответствии с ним нормативным правовым актам и локальным актам Организации (далее - проверки).

3. Проверки проводятся на основании ежегодного плана или на основании поступившего в Организацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

4. Ежегодный план внутренних проверок разрабатывается и утверждается Организацией для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом «О персональных данных».

5. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

6. Проверки организуются ответственным за организацию обработки персональных данных. В проведении проверки не может участвовать работник, прямо или косвенно заинтересованный в ее результатах.

7. Основанием для проведения внеплановой проверки является поступившее в Организацию письменное обращение субъекта персональных данных или его представителя (далее - заявитель) о нарушении правил обработки персональных данных.

8. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.

9. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.

10. Лица, уполномоченные на осуществление проверки, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

11. По результатам каждой проверки оформляется протокол.

12. По существу поставленных в обращении (жалобе) вопросов лицо, осуществляющее проверку, в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.

ПРИЛОЖЕНИЕ № 3

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

1. Общие положения

1.1. Правила рассмотрения на запросы субъектов персональных данных или их представителей (далее - правила) разработаны в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ № 152-ФЗ) и определяют порядок обработки обращений субъектов персональных данных с запросами о предоставлении РИСЗ ВО ГБУЗ «ВОКХ» (далее – Организация, оператор) персональных данных и иной защищаемой информации (далее – ПДн, ЗИ), имеющихся в информационныхсистемахОрганизации.

1.2. Настоящие правила определяют порядок получения работниками Организации (далее - Работник/-ки) запросов субъектов ПДн, дальнейшие действия Работников при получении запросов субъектов ПДн, порядок обработки запросов ответственными в этой компетенции Работниками, порядок формирования ответов на запросы, а также порядок передачи ответов на запросы субъектам ПДн.

2. Порядок обращения субъекта ПДн к оператору, действия ответственного Работника оператора, принявшего запрос

2.1. Субъект ПДн имеет право обратиться к оператору с письменным запросом на получение следующих сведений, за исключением случаев, предусмотренных действующим законодательством Российской Федерации (далее - РФ):

 подтверждение факта обработки ПДн оператором;

 правовые основания и цели обработки ПДн;

 цели и применяемые оператором способы обработки ПДн;

 наименование и место нахождения оператора, сведения о лицах (за исключением Работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании действующего законодательства РФ;

 обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен действующим законодательством РФ;

 сроки обработки ПДн, в том числе сроки их хранения;

 порядок осуществления субъектом ПДн прав, предусмотренных действующим законодательством РФ;

 информацию обосуществленной или о предполагаемой трансграничной передаче данных;

 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

 иные сведения, предусмотренные действующим законодательством РФ.

2.2. Обращение может поступить как в письменном, так и в устном виде к оператору.

2.3. Запрос субъекта ПДн на предоставление информации, отраженной в п. 2.1 Правил, должен содержать следующую обязательную информацию:

 номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя;

 реквизиты доверенности законного представителя субъекта ПДн или иного документа, предусмотренного действующим законодательством РФ, на основании которого действует законный представитель;

 сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Пдн оператором.

2.4. При предъявлении письменного запроса субъект ПДн обязан предъявить основной документ, удостоверяющий личность субъекта ПДн, а законный представитель субъекта ПДн должен предъявить оригинал нотариально заверенной доверенности от субъекта ПДн (или иной документ, предусмотренный действующим законодательством РФ) с указанием полномочий, в том числе получение сведений от оператора и предоставить оператору заверенную копию вместе с запросом.

2.5. В случае устного обращения субъекта персональных данных с требованием предоставить информацию о наличии персональных данных Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, обязан предоставить субъекту персональных данных бланк запроса, форма которого должна быть утверждена Организацией в установленном порядке. Учитывая тот факт, что в запросе содержится конфиденциальная информация субъекта, Работник, ответственный за организацию обработки и обеспечение безопасности ПДн,обязан предоставить субъекту конверт для помещения запроса.

2.6. В случае получения запроса от субъекта ПДн почтовым отправлением Работник, получивший запрос, обязан направить его в адрес Работника, ответственного за организацию обработки и обеспечение безопасности ПДн либо уполномоченного им сотрудника.

2.7. Все обращения субъектов персональных данных должны быть переданы Работнику, ответственному за организацию обработки ПДн либо уполномоченного им сотрудника, в течение 1 (одного) рабочего дня от даты получения запроса. Одновременно с запросом направляется пояснительная записка в свободной форме, кто из Работников, когда и при каких обстоятельствах получил на руки запрос субъекта.

2.8. В случае получения запроса в электронной форме и подписанный электронной подписью в соответствии с требованиями федеральных законов РФ, также инициализируется процедура ответа субъекту в порядке, предусмотренном Правилами.

2.9. Сведения по запросам субъектов должны быть предоставлены субъекту ПДн в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

2.10. В случае, если сведения, указанные в п. 2.1 Правил, а также обрабатываемые ПДн, были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в п. 2.1правил и ознакомления с такими ПДн не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством РФ, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

2.11. Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 2.1 правил, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в п.2.10, правил, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 2.1правил, должен содержать обоснование направления повторного запроса.

2.12. Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.2.10, 2.11 правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

3. Порядок регистрации запроса субъекта ПДн

3.1. Работник, ответственный за организацию обработки ПДн, либо уполномоченное им лицо, в день получения запроса обязан зарегистрировать принятый запрос.

3.2. При поступлении запроса на бумажном носителе его обработка должна проводиться с учетом принятого вОрганизации порядка делопроизводства.

3.3. При поступлении запроса в электронном виде, работником, принявшим запрос, распечатывается запрос, проверяется электронная подпись (при наличии) и далее его обработка должна проводиться с учетом требований Приказа Организации«О делопроизводстве».

3.4. Все запросы и ответы на них должны храниться в помещении Организации, защищенном от несанкционированного доступа третьих лиц.

4. Проверка наличия/отсутствия персональных данных субъекта персональных данных в информационных системах оператора

4.1. По факту регистрации запроса Работник, ответственный за организацию обработки ПДн, либо уполномоченное им лицо внимательно изучает запрос на предмет соответствия требованиям действующего законодательства РФ. Если возникают сомнения в правильности оформления запроса, то он обязан получить консультацию Работника отдела правового обеспечения Организации.

4.2. В случае, если запрос оформлен ненадлежащим образом, а именно: в нем отсутствует информация о субъекте ПДн, подпись субъекта или его законного представителя или иная информация, которая должна быть отражена в соответствии с формой запроса на предоставление сведений, утвержденной оператором, то Работник, ответственный за организацию обработки ПДн либо уполномоченное им лицо оформляет отказ в предоставлении информации.

4.3. В случае, если запрос оформлен в соответствии с требованиями законодательства РФ, то Работник, ответственный за организацию обработки ПДн, либо уполномоченное им лицо с привлечением пользователей информационной системы, в которой обрабатывается искомая информация, находит всю информацию о субъекте ПДн и распечатывает отчет по персональным данным субъекта из информационной системы оператора, или констатирует факт, что ПДн о субъекте в информационной системе отсутствуют. В зависимости от результатов поиска ПДн субъекта ПДн Работник, ответственный за обработку запросов, составляет ответ на запрос субъекта ПДн.

4.4. Работник, ответственный за организацию обработки ПДн, либо уполномоченное им лицо в целях скорейшего сбора информации может направить запрос о субъекте пользователям информационных систем Организации по электронной почте, поставив в копию непосредственного руководителя отдела или сектора Организации. Пользователи информационных систем Организации должны в течение 5 суток отреагировать на запрос ответственного Работника за обработку запросов и предоставить всю информацию по субъекту ПДн, а если она отсутствует, сообщить об этом.

5. Оформление и содержание ответа на запрос при наличии или отсутствии персональных данных субъекта в информационных системах оператора

5.1. В случае если в информационных системах оператора имеется или отсутствует информация о ПДн субъекта, обратившегося с запросом, Работник, ответственный за обработку запроса, составляет ответ на запрос субъекта в произвольной форме по существу вопросов.

5.2. Работник, ответственный за организацию обработки ПДн, либо уполномоченное им лицо:

 подписывает ответ на запрос с приложением отчета по персональным данным субъекта, ставит печать Организации, делает копию отчета из информационной системы, формирует опись документов и один экземпляр описи с подготовленными документами упаковывает в конверт для отправки посредством почтового отправления с уведомлением о вручении, либо готовит ответ с описанными в настоящем пункте документами для вручения субъекту ПДн или его законному представителю способом, указанным в запросе, под подпись;

 дубликат ответа с иными перечисленными в описи документами, а также с оригиналом описи, отправленной почтовым отправлением или врученной субъекту ПДн или его законному представителю под подпись, прикладываются к запросу и хранятся вместе с запросом;

 в журнале учета обращений субъектов персональных данных по выполнению их законных прав делает отметку об ответе на запрос, краткое содержание ответа (положительный, отрицательный, отказ), отражает дату отправления ответа, способ его отправления (почтовое отправление, отправление на объект Организации для передачи субъекту через ответственного Работника Организации, лично в руки субъекту или его законному представителю), а также ставит свою подпись в разделе «подпись работника, ответственного за обработку запроса» журнала регистрации запросов.

5.3. При почтовом отправлении конверт с подготовленными ответом и приложенными документами запечатывается в почтовом отделении в присутствии Работника почтового отделения. В конверт вкладывается один экземпляр почтовой описи со штампом почтового отделения. При почтовом отправлении конверт с ответом, приложенными документами и описью отправляется субъекту ПДн с уведомлением о вручении.

5.4. Если субъект ПДн выразит желание получить лично на руки ответ или через своего законного представителя, Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, передает лично подготовленные документы под подпись. Дубликат ответа с оригинальной подписью субъекта ПДн или его законного представителя после должен быть передан незамедлительно Работнику, ответственному за организацию обработки и обеспечение безопасности ПДн, для хранения.

5.5. Срок ответа на запрос субъекта персональных данных не может превышать 30 (тридцати) календарных дней от даты получения запроса от субъекта, если иной срок не будет установлен действующим законодательством РФ.

5.6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

ПРИЛОЖЕНИЕ № 4

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОРЯДОК ДОСТУПА РАБОТНИКОВ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Порядок доступа в помещения, в которых ведется обработка персональных данных и иной защищаемой информации, к техническим средствам защиты информации, а также в помещения и сооружения, в которых они установлены (далее - Порядок) определяет технические меры по обеспечению контроля и управления физическим доступом в информационной системеРИСЗ ВО ГБУЗ «ВОКХ» (далее – Организация).

2. Доступ в помещения, в которых ведется обработка персональных данных

2.1. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только работники и должностные лица Организации, получившие доступ к персональным данным на основании приказа Организации.

2.2. Нахождение в помещениях, в которых ведется обработка персональных данных и иной защищаемой информации, лиц не являющихся работниками и должностными лицами Организации, получившими доступ к персональным данным, возможно только в присутствии работников и должностных лиц Организации, получивших доступ к персональным данным на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных функций и (или) осуществлением полномочий в рамках договоров, заключенных с Организацией.

2.3. Работники и должностные лица Организации, получившие доступ к персональным данным не должны покидать помещение, в котором ведется обработка персональных данных, оставляя в нем без присмотра посторонних лиц, включая работников Организации, не уполномоченных на обработку персональных данных.

2.4. После окончания рабочего дня дверь каждого помещения закрывается на ключ.

2.5. Ответственными за организацию доступа в помещения Организации, в которых ведется обработка персональных данных, являются должностные лица Управления комплексной безопасности и взаимодействия с правоохранительными органами Организации.

2.6. Выявление фактов несанкционированного доступа в контролируемую зону Организации (по факту происшествия) осуществляется с помощью камер наблюдения, установленных службой охраны здания, в котором располагается Организация. Выявление фактов несанкционированного доступа в контролируемую зону осуществляется сотрудникамиОрганизации, ответственными за физическую безопасность.

3. Ответственные за организацию контроля и управления физическим доступом к техническим средствам защиты информации.

3.1. В случае приема и сдачи помещений Организации под охрану данный факт должен фиксироваться в соответствующем журнале.

ПРИЛОЖЕНИЕ № 5

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО РАБОТНИКА, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩЕГО ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, В СЛУЧАЕ РАСТОРЖЕНИЯ С НИМ ТРУДОВОГО ДОГОВОРА ПРЕКРАТИТЬ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, СТАВШИХ ИЗВЕСТНЫМИ ЕМУ В СВЯЗИ С ИСПОЛНЕНИЕМ ДОЛЖНОСТНЫХ ОБЯЗАННОСТЕЙ

Я,____________________________________________________________________________________________________________________________________________________[Должность, Фамилия, инициалы], обязуюсь прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей, в случае расторжения со мной трудового договора.

В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что работники ______________________ и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные, ставшие известными мне в связи с исполнением должностных обязанностей, без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

Положения законодательства Российской Федерации, предусматривающие ответственность за нарушение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», мне разъяснены.

______________[Дата] _________________[Подпись]

ПРИЛОЖЕНИЕ № 6

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

ТИПОВАЯ ФОРМА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ _______________, ИНЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я,_____________________________________________________,[Должность, Фамилия, инициалы] зарегистрированный(-ая) по адресу: _______________________________________________________________________________,

паспорт серия №___________, выдан _______________ ________________________

(кем и когда)

_______________________________________________________________________________, свободно, своей волей и в своем интересе даю согласие уполномоченным должностным лицам __________________________ (далее – Организация), расположенного адресу: _________________ на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение) а также на передачу такой информации третьим лицам в случаях, установленных законодательством РФ, следующих персональных данных:

 фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения; сведения о том, когда, где и по какой причине они изменялись);

 дата рождения (число, месяц и год рождения);

 место рождения;

 вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;

 фотография;

 сведения о гражданстве;

 адрес и дата регистрации по месту жительства (места пребывания);

 адрес фактического проживания (места нахождения);

 сведения о семейном положении, о составе семьи;

 реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

 сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата);

 сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);

 сведения о владении иностранными языками и языками народов Российской Федерации;

 сведения о трудовой деятельности до поступления на работу в Организацию;

 сведения о родителях, детях, сестрах, братьях, о супруге (бывшем или бывшей супруге) (дата рождения, место рождения, места работы (службы), домашний адрес);

 сведения о государственных наградах, иных наградах и знаках отличия;

 реквизиты страхового свидетельства обязательного пенсионного

 страхования, содержащиеся в нем сведения;

 идентификационный номер налогоплательщика;

 реквизиты страхового медицинского полиса обязательного медицинского страхования, содержащиеся в нем сведения;

 сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;

 сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруга (супруги) и несовершеннолетних детей;

 номера контактных телефонов (домашнего, служебного, мобильного);

 иные сведения, которые я пожелал(а) сообщить о себе.

Вышеуказанные персональные данные предоставляю для обработки в целях обеспечения соблюдения в отношении меня законодательства Российской Федерации, заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений, направления на повышение квалификации, повышения квалификации и профессиональной переподготовки, отражения информации в кадровых документах, начисления заработной платы, исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионноестрахование, представления работодателем установленной законодательством отчетности в отношении физических лиц, предоставления сведений в банк для оформления банковской карты с целью перечисления на нее заработной платы, предоставления сведений третьим лицам для оформления полиса обязательного медицинского страхования.

Персональные данные, а именно: фамилию, имя, отчество (при наличии) разрешаю использовать в качестве общедоступных в электронной почте и системе электронного документооборота Организации и органов исполнительной власти города Москвы, а также в иных случаях, предусмотренных законодательством Российской Федерации об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления.

Персональные данные, а именно: дату рождения (число, месяц и год рождения) и фотографию разрешаю/не разрешаю (нужное подчеркнуть) использовать в качестве общедоступных для публикации на информационном порталеОрганизации, а также в иных случаях, предусмотренных законодательством Российской Федерации об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления.

Я ознакомлен(а), что:

 согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока государственной гражданской службы (работы) в учреждении (организации, подведомственной учреждению);

 согласие на обработку персональных данных может быть отозвано на основании письменного заявления в произвольной форме;

 в случае отзыва согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

 после прекращения трудовых отношений персональные данные хранятся в Организации в течение срока хранения документов, предусмотренного действующим законодательством Российской Федерации в области архивного дела;

 персональные данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в целях осуществления и выполнения функций, возложенных законодательством Российской Федерации на Организацию.

 

Дата начала обработки персональных данных:

 

______________[Дата] _________________[Подпись]

 

ПРИЛОЖЕНИЕ № 7

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

ТИПОВАЯ ФОРМА РАЗЪЯСНЕНИЯ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ЮРИДИЧЕСКИХ ПОСЛЕДСТВИЙ ОТКАЗА ПРЕДОСТАВИТЬ СВОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Мне,___________________________________________________,[Должность, Фамилия, инициалы] разъяснены юридические последствия отказа предоставить свои персональные данные уполномоченным лицам ____________________.

В соответствии со статьями 26 и 42 Федерального закона от 27 июля 2004 г. №79-ФЗ «О государственной гражданской службе Российской Федерации», статьями 65 и 86 Трудового кодекса Российской Федерации _________________ определен перечень персональных данных, который субъект персональных данных обязан предоставить уполномоченным лицам ____________________ в связи с поступлением, прохождением и прекращением работы.

Без представления субъектом персональных данных обязательных для заключения служебного контракта (трудового договора) сведений служебный контракт (трудовой договор) не может быть заключен.

 

______________[Дата] _________________[Подпись]

 

ПРИЛОЖЕНИЕ № 8

К ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ДОГОВОР ПОРУЧЕНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. _______________ "__" _________ г.

___________________________________________________, [Наименование организации] именуемое в дальнейшем «Доверитель», в лице _____________________________________________________________________, [Должность, Фамилия, инициалы] действующего на основании _______________________, [Устава, положения] с одной стороны, и _____________________________________, [Наименование организации] именуемое в дальнейшем "Поверенный", в лице _____________________________________________________________________, [Должность, Фамилия, инициалы] действующего на основании __________________________________, [Устава, положения] с другой стороны, заключили настоящий Договор о нижеследующем:

1. ПРЕДМЕТ ДОГОВОРА

1.1. Доверитель поручает, а Поверенный принимает на себя обязательство совершать обработку персональных данных лиц, использующих ИС РЦ ЮО.

Целью обработки персональных данных является исполнение обязательств по __________________________ [Договор] от «_» _______ ____ г. № ____________.

1.2. Доверитель гарантирует:

персональные данные получены законными способами, цели сбора персональных данных совместимы с целями, указанными в п. 1.1 настоящего Договора;

имеется согласие субъектов персональных данных на их обработку;

своевременное доведение до Поверенного информации в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.

1.3. Поверенный гарантирует:

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, в том числе по настоящему Договору;

обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки в рамках настоящего Договора или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

обеспечение условий обработки персональных данных, конфиденциальности и безопасности персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.4. Цель обработки персональных данных в информационной системе персональных данных: ______________________________________________________.

1.5. Перечень действий (операций) по обработке персональных данных в рамках Договора: _________________________________________________________________. [сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение]

1.6. Перечень обрабатываемых данных в рамках договора:

Перечень обрабатываемых данных Цели обработки Срок обработки

1.7. Поверенный выполняет Поручение лично.

1.8. В случае обращения к Поверенному субъекта персональных данных с запросом, основанным на ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Поверенный информирует об этом Доверителя и действует в соответствии с его инструкциями.

1.9. Настоящий Договор не регулирует иные правоотношения по обработке персональных данных Доверителем или иными лицами по его поручению.

2. КОНФИДЕНЦИАЛЬНОСТЬ

2.1. Стороны обязуются соблюдать режим конфиденциальности в отношении данных, ставших им известными при исполнении настоящего Договора.

2.2. При обработке персональных данных Поверенный обеспечивает их безопасность комплексом организационных и технических мер в необходимых для достижения указанной цели объемах. В частности безопасность достигается применением по мере необходимости следующих мер:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

2.3. Персональные данные, переданные Поверенному, подлежат уничтожению по достижении целей обработки.

2.4. Режим конфиденциальности в отношении настоящего Договора действует в течение 3 лет с момента его прекращения.

3. ОБЯЗАННОСТИ И ПРАВА СТОРОН

3.1. Поверенный обязуется:

3.1.1. Своевременно и качественно выполнить Поручение с соблюдением требований ст. ст. 18, 18.1, 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.1.2. Принимать исчерпывающие меры по обеспечению безопасности персональных данных при выполнении Поручения.

3.1.3. Соблюдать обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований представленных в данном договоре.

3.1.4. Не использовать персональные данные для целей, не связанных с исполнением ____________________________ [Договор] от «__» _____ ____ г. № __________.

3.2. Доверитель обязуется:

3.2.1. Предоставить Поверенному доступ к персональным данным, необходимым для исполнения Договора.

3.2.2. Не препятствовать Поверенному в доступе к персональным данным, необходимым для исполнения Договора.

4. ВОЗНАГРАЖДЕНИЕ ПОВЕРЕННОГО

4.1. Настоящий договор является безвозмездным.

5. ОТВЕТСТВЕННОСТЬ СТОРОН

5.1. Ответственность перед субъектом персональных данных за действия Поверенного с персональными данными, связанные с исполнением настоящего Договора, несет Доверитель.

5.2. В случае, если Поверенный является иностранным физическим или юридическим лицом, то ответственность перед субъектом персональных данных за действия указанных лиц несет Доверитель и Поверенный.

5.3. Поверенный за действия с персональными данными, связанные с исполнением настоящего Договора, несет ответственность перед Доверителем.

5.4. Стороны освобождаются от ответственности за неисполнение или ненадлежащее исполнение своих обязательств по Договору, если оно произошло вследствие непреодолимой силы, то есть чрезвычайных и непредотвратимых обстоятельств, включая, но не ограничиваясь, наводнение, землетрясение, ураган, смерч, пожар и другие стихийные бедствия, военные действия и гражданские волнения, изменения законодательства РФ, препятствующие сторонам в исполнении своих обязательств по договору.

6. СРОК ДЕЙСТВИЯ, ИЗМЕНЕНИЕ И ДОСРОЧНОЕ РАСТОРЖЕНИЕ ДОГОВОРА

6.1. Договор заключен на срок ____________________________________________.

6.2. Все изменения и дополнения к Договору действительны, если совершены в письменной форме и подписаны обеими Сторонами. Соответствующие дополнительные соглашения Сторон являются неотъемлемой частью Договора.

7. РАЗРЕШЕНИЕ СПОРОВ

7.1. Стороны будут стремиться к разрешению всех возможных споров и разногласий, которые могут возникнуть по Договору или в связи с ним, путем переговоров.

7.2. Споры, не урегулированные путем переговоров, передаются на рассмотрение суда в порядке, предусмотренном действующим законодательством РФ.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Договор вступает в силу со дня его подписания Сторонами.

8.2. Договор составлен в двух экземплярах, по одному для каждой из Сторон.

РЕКВИЗИТЫ И ПОДПИСИ СТОРОН:

Доверитель:

[Введите должность представителя]

_________________ [Фамилия, инициалы] Поверенный:

[Введите должность представителя]

_________________ [Фамилия, инициалы]