Приказ Минздрава Новосибирской области от 01.07.2014 N 2159 "Об утверждении типовых форм организационно-распорядительной документации, регламентирующей порядок защиты и обработки персональных данных"
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 1 июля 2014 г. № 2159
ОБ УТВЕРЖДЕНИИ ТИПОВЫХ ФОРМ
ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ,
РЕГЛАМЕНТИРУЮЩЕЙ ПОРЯДОК ЗАЩИТЫ
И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с требованиями Федеральных законов от 27.06.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами", приказываю:
1. Утвердить прилагаемый перечень типовых рекомендованных форм организационно-распорядительной документации, регламентирующей порядок защиты и обработки персональных данных в государственной медицинской организации Новосибирской области (далее - Перечень).
2. Руководителям государственных медицинских организаций, подведомственных министерству здравоохранения Новосибирской области, в срок до 31.07.2014:
2.1. Организовать разработку и утверждение организационно-распорядительной документации, регламентирующей порядок защиты и обработки персональных данных, в объемах не менее чем в соответствии с утвержденным перечнем.
2.2. Проверить наличие сведений в реестре операторов, осуществляющих обработку персональных данных, на портале Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по адресу http://pd.rkn.gov.ru/operators-registry/operators-list/.
2.3. Актуализировать (а в случае отсутствия - внести) сведения в реестре операторов, осуществляющих обработку персональных данных, направив информационное письмо о внесении изменений (а в случае отсутствия - о внесении) в сведения в реестре операторов, осуществляющих обработку персональных данных, в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Сибирскому федеральному округу.
3. Директору государственного казенного учреждения здравоохранения Новосибирской области "Медицинский информационно-аналитический центр" Нестеренко И.А. обеспечить контроль за полнотой исполнения пункта 2 настоящего приказа с представлением отчета об исполнении в министерство здравоохранения Новосибирской области в срок до 30.09.2014.
4. Контроль за исполнением настоящего приказа возлагаю на начальника отдела развития информационных технологий министерства здравоохранения Новосибирской области Ларина С.А.
Врио министра
О.И.ИВАНИНСКИЙ
Утвержден
приказом
Минздрава НСО
от 01.07.2014 № 2159
ПЕРЕЧЕНЬ
ТИПОВЫХ РЕКОМЕНДОВАННЫХ ФОРМ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ
ДОКУМЕНТАЦИИ, РЕГЛАМЕНТИРУЮЩЕЙ ПОРЯДОК ЗАЩИТЫ И ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОЙ МЕДИЦИНСКОЙ
ОРГАНИЗАЦИИ НОВОСИБИРСКОЙ ОБЛАСТИ
1) Согласие на обработку персональных данных.
2) Перечень информационных систем обработки персональных данных в медицинской организации.
3) Приказ о назначении ответственного за обработку персональных данных в медицинской организации.
4) Положение об обработке персональных данных, в том числе с использованием средств автоматизации, в МО.
5) Журнал учета обращений и запросов граждан.
6) Журнал ознакомления с нормативными документами об организации обработки персональных данных в МО, проведения инструктажа.
7) Список сотрудников, уполномоченных на обработку персональных данных сотрудников МО, граждан и их представителей, обратившихся в МО, и граждан, чьи интересы затронуты в обращении, в информационных системах персональных данных МО.
8) Перечень мест хранения материальных носителей персональных данных сотрудников МО, граждан или их представителей, обратившихся в МО, или граждан, чьи интересы затронуты в обращении в МО.
9) Перечень должностей в МО, исполнение обязанностей по которым связано с ответственностью за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
10) Порядок доступа сотрудников МО в помещения МО, в которых ведется обработка персональных данных.
11) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МО.
12) Правила работы с обезличенными данными в МО.
13) Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в МО.
14) Приказ о назначении ответственного за безопасность персональных данных в информационных системах персональных данных.
15) Модель нарушителя информационной безопасности информационных систем персональных данных медицинской организации (разрабатывается индивидуально для каждой МО).
16) Модель угроз информационных систем персональных данных (разрабатывается индивидуально для каждой МО).
Приложение 1
Согласие
на обработку персональных данных
Я, ____________________________________________________________________
паспорт: серия ____________ номер _______________________________ кем выдан
___________________________________________________________________________
дата выдачи "____" ________________, адрес регистрации по месту жительства:
______________________________________________________ адрес регистрации по
месту пребывания: _________________________________________________________
с целью исполнения определенных сторонами условий трудового договора в
соответствии со статьей 9 Федерального закона от 27 июля 2006 года № 152-ФЗ
"О персональных данных" даю согласие ______________________ на обработку в
документальной и/или электронной форме нижеследующих персональных данных:
фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство;
знание иностранного языка; образование и повышение квалификации или наличие
специальных знаний; профессия (специальность); общий трудовой стаж,
сведения о приемах, перемещениях и увольнениях по предыдущим местам работы,
размер заработной платы; семейное положение, состав семьи, место работы или
учебы членов семьи и родственников; паспортные данные, адрес места
жительства, дата регистрации по месту жительства; номер телефона;
идентификационный номер; номер страхового свидетельства государственного
пенсионного страхования; сведения, включенные в трудовую книжку; сведения о
воинском учете; фотография; сведения о состоянии здоровья, которые
относятся к вопросу о возможности выполнения работником трудовой функции.
Настоящее согласие действует в течение всего срока действия трудового
договора. Настоящее согласие может быть отозвано мной в письменной форме.
"____" ______________ 20____ г. _____________________________
Зарегистрировано в журнале учета документов о согласии на обработку
персональных данных работников "____" ______________ 20____ г. № _________.
Приложение 2
Перечень
информационных систем обработки персональных
данных в "наименование МО" (далее ИСПДн)
Наименование ИСПДн
Место размещения ИСПДн
ИСПДн "Единая электронная регистратура Новосибирской области"
ГКУЗ НСО "Медицинский информационно-аналитический центр" по адресу: г. Новосибирск, ул. Семьи Шамшиных, 46б
ИСПДн "Медицинская информационная система"
ИСПДн "Информационная система финансово-хозяйственного учета в медицинских организациях Новосибирской области"
ИСПДн "Регистр медицинских работников"
ИСПДн "Информационная система отпуска льготного лекарственного обеспечения граждан"
ИСПДн "Информационная система учета заработной платы"
Наименование, адрес
ИСПДн "Наименование ИСПДн"
Приложение 3
(на фирменном бланке медицинской организации)
Приказ
о назначении ответственного за обработку персональных данных
В рамках исполнения Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", для проведения мероприятий по защите персональных данных и надлежащего контроля за безопасностью и организацией обработки персональных данных в "наименование МО" приказываю:
1. Назначить ответственным за организацию обработки персональных данных в "наименование МО" "должность специалиста" "наименование отдела" "Ф.И.О. специалиста".
2. Контроль за исполнением настоящего приказа оставляю за собой.
Руководитель МО _____________________________
Приложение 4
Правила
обработки персональных сотрудников "наименование МО",
граждан и их представителей, обратившихся в "наименование
МО", или граждан, чьи интересы затронуты в обращении,
в том числе с использованием средств автоматизации
I. Общие положения
1.1. Настоящие Правила обработки персональных данных сотрудников _________________, граждан и их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, в том числе с использованием средств автоматизации (далее - Правила), разработаны в соответствии с:
1.1.1. Трудовым кодексом Российской Федерации.
1.1.2. Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
1.1.3. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.1.4. Постановлением Правительства Российской Федерации от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
1.1.5. Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.1.6. Правилами внутреннего трудового распорядка _________________.
1.2. Для целей настоящих Правил используются следующие основные понятия:
1.2.1. Персональные данные сотрудника _________________ - любая информация, относящаяся к определенному или определяемому на основании такой информации сотруднику _________________.
1.2.1.1. К персональным данным сотрудника _________________ относятся:
1) фамилия, имя, отчество;
2) год, месяц, дата и место рождения, а также иные данные, содержащиеся в документе, удостоверяющем личность сотрудника _________________;
3) паспортные данные;
4) данные о семейном, социальном и имущественном положении;
5) данные об образовании сотрудника _________________, наличии специальных знаний или подготовки;
6) данные о профессии, специальности и занимаемой должности сотрудника _________________;
7) сведения о трудовом и общем стаже;
8) сведения о доходах сотрудника _________________;
9) содержание трудового договора;
10) данные медицинского характера, в случаях, предусмотренных законодательством Российской Федерации;
11) данные о составе и членах семьи сотрудника _________________ (отец, мать, муж/жена, родные братья, сестры, дети (в т.ч. усыновленные);
12) данные о месте жительства, почтовый адрес, телефон сотрудника _______________________, а также членов его семьи;
13) место работы или учебы членов семьи;
14) характер взаимоотношений в семье;
15) наличие судимостей;
17) данные, содержащиеся в трудовой книжке сотрудника _________________ и его личном деле, страховом свидетельстве государственного пенсионного страхования, свидетельстве о постановке на налоговый учет;
19) сведения о воинском учете (при их наличии);
20) иные персональные данные.
1.2.1.2. Персональные данные обратившегося гражданина или его представителя и гражданина, чьи интересы затрагиваются в обращении, - любая информация, относящаяся к определенному или определяемому на основании такой информации гражданину.
К персональным данным гражданина или его представителя, обратившегося в _________________, или гражданина, чьи интересы затрагиваются в обращении, относятся:
1) фамилия, имя, отчество;
2) год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности гражданина;
3) паспортные данные;
4) данные о семейном, социальном и имущественном положении;
5) данные об образовании гражданина, наличии специальных знаний или подготовки;
6) данные о профессии, специальности и занимаемой должности гражданина;
7) сведения о трудовом и общем стаже;
8) сведения о доходах гражданина;
9) данные медицинского характера;
10) данные о составе и членах семьи гражданина;
11) данные о месте жительства, почтовый адрес, телефон гражданина, а также членов его семьи;
12) место работы или учебы членов семьи;
13) характер взаимоотношений в семье;
14) наличие судимостей;
15) иные персональные данные.
1.2.2. Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных сотрудника __________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении.
1.2.3. Субъект персональных данных - сотрудник _________________, гражданин или его представитель, обратившийся в _________________ или гражданин, чьи интересы затронуты в обращении.
1.2.4. Конфиденциальность персональных данных - обязательное для соблюдения назначенным должностным лицом, получившим доступ к персональным данным сотрудников ________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, требование не допускать их распространения без согласия сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, или иного законного основания.
1.2.5. Распространение персональных данных - действия, направленные на передачу персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, каким-либо иным способом.
1.2.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые сотрудником _______________________________ в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
1.2.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, в том числе их передачи.
1.2.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, или в результате которых уничтожаются материальные носители персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении.
1.2.9. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному сотруднику _________________, гражданину или его представителю, обратившемуся в _________________, или гражданину, чьи интересы затронуты в обращении.
1.2.10. Общедоступные персональные данные - персональные данные, доступные неограниченному кругу лиц, которые предоставлены с согласия сотрудника _________________, гражданина или его представителя, обратившегося в _________________ или гражданина, чьи интересы затрагиваются в обращении, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.2.11. Информация - сведения (сообщения, данные) независимо от формы их представления.
1.2.12. Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.3. Правила определяют порядок и условия обработки персональных данных в _________________ с использованием средств автоматизации и без использования таких средств, а также устанавливают ответственность сотрудников _________________, имеющих доступ к персональным данным сотрудника _________________ и обратившихся в _________________ граждан или их представителей, за невыполнение требований нормативных правовых актов, регулирующих обработку и защиту персональных данных.
1.4. Обработка персональных данных в _________________ осуществляется в целях:
1.4.1. Ведения кадровой работы.
1.4.2. Работы с обращениями и заявлениями граждан, поступившими в _________________.
1.4.3. Обеспечения сохранности имущества _________________.
1.4.4. Решения статистических задач в _________________.
1.5. Сотрудники _________________, в обязанность которых входит ведение персональных данных сотрудников _________________, обязаны обеспечить каждому сотруднику _________________ возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством Российской Федерации.
1.6. Сотрудники _________________, в соответствии со своими полномочиями владеющие информацией о сотрудниках _________________ и гражданах или их представителях, обратившихся в _________________, или гражданах, чьи интересы затронуты в обращении, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.7. Сбор, хранение, обработка, использование и распространение информации о частной жизни сотрудника _________________ без его письменного согласия не допускаются. Персональные данные сотрудника _________________ и обратившихся в _________________ граждан или их представителей или граждан, чьи интересы затронуты в обращении, относятся к категории конфиденциальной информации.
1.8. Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75 лет срока их хранения или продлевается на основании заключения экспертной комиссии _________________, если иное не определено законодательством Российской Федерации. Состав экспертной комиссии _________________ утверждается приказом _________________.
II. Организация защиты персональных данных
2.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
2.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
2.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий достаточно надежную безопасность информации в процессе управленческой деятельности _________________.
2.4. Внутренняя защита.
2.4.1. Для защиты персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, необходимо соблюдать следующее:
ограничение и регламентация состава сотрудников _________________, функциональные обязанности которых связаны с работой с конфиденциальной информацией;
строгое избирательное и обоснованное распределение документов и информации между сотрудниками _________________, руководителями подразделений _________________;
рациональное размещение рабочих мест сотрудников _________________, при котором исключена возможность бесконтрольного использования защищаемой информации;
знание сотрудниками _________________ требований нормативных документов по защите конфиденциальной информации и сохранению тайны;
наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
организация порядка уничтожения информации;
своевременное выявление нарушения требований разрешительной системы доступа сотрудниками _________________;
воспитательная и разъяснительная работа с сотрудниками _________________ по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
допускается выдавать личные дела сотрудников _________________ только на рабочие места руководителя, его заместителей, а также начальника отдела кадровой работы _________________;
недопущение передачи персональных данных граждан или их представителей, обратившихся в _________________, или персональных данных граждан, чьи интересы затронуты в обращении, лицам, не имеющим права на обработку таких персональных данных;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
2.4.2. Общую организацию и контроль защиты персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, и персональных данных граждан, чьи интересы затронуты в обращении, осуществляет ответственный за организацию обработки персональных данных _________________.
2.4.3. Организацию и контроль защиты персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, и персональных данных граждан, чьи интересы затронуты в обращении, в структурных подразделениях _________________, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
2.4.4. Защите подлежит:
информация о персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, и персональные данные граждан, чьи интересы затронуты в обращении;
документы, содержащие персональные данные сотрудников _________________, граждан или их представителей, обратившихся в _________________, и персональные данные граждан, чьи интересы затронуты в обращении;
персональные данные сотрудников _________________, граждан или их представителей, обратившихся в _________________, и персональные данные граждан, чьи интересы затронуты в обращении, содержащиеся на электронных носителях.
2.5. Внешняя защита.
2.5.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
2.5.2. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
2.5.3. Недопустима передача третьим лицам технологии составления, оформления, ведения и хранения документов, дел и рабочих материалов, установленных в _________________.
2.5.4. Для защиты персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, и граждан, чьи интересы затронуты в обращении, необходимо соблюдать ряд установленных правил и норм:
порядок приема, учета и контроля деятельности посетителей _________________;
технические средства охраны, сигнализации;
организация защиты доступа в локальную вычислительную сеть с применением межсетевого экранирования;
требования к защите информации при интервьюировании и собеседованиях.
2.5.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, и граждан, чьи интересы затронуты в обращении, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
2.5.6. Все лица, связанные с получением, обработкой и защитой персональных данных сотрудников _________________, обязаны заключать обязательство о неразглашении персональных данных сотрудников _________________.
III. Права и обязанности сотрудников
_________________ при обработке
их персональных данных
3.1. Закрепление прав сотрудников _________________, регламентирующих защиту их персональных данных, обеспечивает сохранность полной и точной информации о них.
3.2. Сотрудники _________________ и их представители должны быть ознакомлены под роспись с нормативно-правовыми актами Российской Федерации в области обработки персональных данных, а также локальными нормативными актами _________________, устанавливающими порядок обработки персональных данных сотрудников _________________, а также об их правах и обязанностях в этой области.
3.3. В целях защиты персональных данных, хранящихся в _________________, сотрудники _________________ обязаны:
передавать в _________________ комплекс достоверных, документированных персональных данных, состав которых установлен законодательством Российской Федерации;
своевременно (в течение 3-х рабочих дней с момента изменения) предоставлять документы, подтверждающие изменение персональных данных (фамилии, имени, отчества, даты рождения и т.д.), в отдел кадровой работы _________________.
3.4. В целях защиты персональных данных, хранящихся в _________________, сотрудники _________________ имеют право на:
получение полной информации об их персональных данных и обработке этих данных (в том числе автоматизированной);
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящими Правилами;
уточнение, исключение или исправление неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для представителя работодателя персональных данных. При отказе сотрудника _________________, в чьи обязанности входит обработка персональных данных сотрудников _________________, или лица, осуществляющего обработку персональных данных по поручению сотрудника _________________, исключить или исправить персональные данные сотрудника _________________, он имеет право заявить в письменной форме руководителю_________________ о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник _________________ имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении _________________ всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника _________________, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия _________________ при обработке и защите его персональных данных.
3.5. Сотрудники _________________ имеют право на свободный доступ к своим персональным данным, включая право на получение копии любой записи, за исключением следующих случаев:
обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
IV. Права и обязанности сотрудников
__________________________________ при обработке
персональных данных сотрудников _________________
и обратившихся граждан или их представителей
4.1. При обработке персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, в целях реализации возложенных на _________________ полномочий, уполномоченные сотрудники _________________, а также лицо, имеющее доступ к персональным данным на основании заключенного с ним _________________ соглашения, обязаны соблюдать следующие требования:
4.1.1. Объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных.
4.1.2. Защита персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации, а также законодательством Новосибирской области.
4.1.3. Обработка персональных данных граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, не допускается без письменного согласия вышеуказанных субъектов персональных данных, за исключением случаев, установленных законодательством Российской Федерации.
В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных субъекта персональных данных, имеющихся в _________________, либо отсутствует письменное согласие данного субъекта персональных данных на передачу его персональных данных, _________________ вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.
4.2. Опубликование и распространение персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, или граждан, чьи интересы затронуты в обращении, допускается в случаях, установленных законодательством Российской Федерации.
4.3. Обработка биометрических и специальных категорий персональных данных сотрудников _________________, граждан или их представителей, обратившихся в _________________, граждан, чьи интересы затронуты в обращении, осуществляется с их письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных. Использование и хранение биометрических и специальных категорий персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
V. Ответственность за нарушение норм,
регулирующих обработку и защиту персональных
данных сотрудников ___________________________
5.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
5.2. Руководитель, разрешающий доступ сотрудника _________________ к конфиденциальному документу, несет персональную ответственность за данное разрешение.
5.3. Каждый сотрудник _________________, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
5.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудников _________________, обратившихся граждан или их представителей или граждан, чьи интересы затронуты в обращении, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
5.5. Разглашение персональных данных сотрудников _________________, обратившихся граждан или их представителей или граждан, чьи интересы затронуты в обращении (передача их посторонним лицам, в том числе сотрудникам _________________, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные сотрудников _________________, обратившихся граждан или их представителей или граждан, чьи интересы затронуты в обращении, а также иные нарушения обязанностей по их защите и обработке, установленных настоящими Правилами, локальными нормативными актами (приказами, распоряжениями) ______________________, влечет наложение на сотрудника _________________, имеющего доступ к персональным данным, дисциплинарного взыскания, предусмотренного Трудовым кодексом РФ.
5.6. В соответствии с Трудовым кодексом РФ сотрудники _________________, имеющие доступ к персональным данным сотрудников _________________, обратившихся граждан или их представителей или граждан, чьи интересы затронуты в обращении, и совершившие указанный дисциплинарный проступок, несут полную материальную ответственность в случае причинения его действиями ущерба _________________.
5.7. В соответствии с Уголовным кодексом РФ сотрудники _________________, имеющие доступ к персональным данным сотрудников _________________, обратившихся граждан или их представителей или граждан, чьи интересы затронуты в обращении, виновные в незаконном разглашении или использовании персональных данных сотрудников _________________, обратившихся граждан или их представителей или граждан, чьи интересы затронуты в обращении, без их согласия из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность.
VI. Рассмотрение запросов субъектов персональных
данных или их представителей в _________________
6.1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон), за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Для этого по запросу субъекта персональных данных сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме в течение 30 дней, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.3. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором.
Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 6.3, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пунктах 6.2, 6.3, должен содержать обоснование направления повторного запроса.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 6.2 и 6.3. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
6.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.5. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.
6.5.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
6.5.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного нормативно-правового акта, являющегося основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
6.5.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.5.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
6.5.5. Обращения и запросы субъектов персональных данных подлежат обязательному учету в Журнале учета обращений граждан.
Приложение 5
Журнал
учета обращений и запросов граждан
№ п/п
Сведения о запрашивающем лице (Ф.И.О.)
Краткое содержание обращения
Цель запроса
Отметка о предоставлении информации или отказе в ее предоставлении
Дата передачи информации/отказа в предоставлении информации
Подпись ответственного лица
Примечание
Приложение 6
Журнал
ознакомления с нормативными документами
об организации обработки персональных данных
в "наименование МО", проведения инструктажа
N№ п/п
Ф.И.О.
Должность, подразделение, отдел
Дата ознакомления
Отметка об ознакомлении, проведении инструктажа
Приложение 7
Список сотрудников "наименование МО", уполномоченных на
обработку персональных данных сотрудников "наименование МО",
граждан и их представителей, обратившихся в "наименование
МО", и граждан, чьи интересы затронуты в обращении,
в информационных системах персональных
данных "наименование МО"
"Ф.И.О. сотрудника 1"
-
"должность, отдел"
"Ф.И.О. сотрудника 2"
-
"должность, отдел"
"Ф.И.О. сотрудника 3"
-
"должность, отдел"
Приложение 8
Перечень
мест хранения материальных носителей
персональных данных сотрудников "наименование МО",
граждан или их представителей, обратившихся в
"наименование МО", или граждан, чьи интересы
затронуты в обращении, в "наименование МО"
Наименование материальных носителей
Место хранения материальных носителей
Личные дела сотрудников
"наименование организации, адрес, номера кабинетов, место"
Трудовые книжки сотрудников
Комплект документов кандидатов, соискателей
Приказы о выплатах заработных плат, приказы о назначении/повышении сотрудников на должности, справки с предыдущих мест работы
"наименование организации, адрес, номера кабинетов, место"
Расчетные листы
Листы нетрудоспособности
Обращения граждан, ответы на обращения граждан, иные документы, связанные с обращениями граждан
"наименование организации, адрес, номера кабинетов, место"
Согласие пациентов на обработку их персональных данных
"наименование организации, адрес, номера кабинетов, место"
"Наименование документа 1"
"наименование организации, адрес, номера кабинетов, место"
"Наименование документа 2"
Приложение 9
Перечень
должностей в "наименование МО", исполнение обязанностей по
которым связано с ответственностью за проведение мероприятий
по обезличиванию обрабатываемых персональных данных
1. "Наименование должности, отдел 1".
2. "Наименование должности, отдел 2".
3. "Наименование должности, отдел 3".
Приложение 10
Порядок
доступа сотрудников "наименование МО"
в помещения "наименование МО", в которых
ведется обработка персональных данных
1. Настоящий Порядок устанавливает единые требования к доступу в служебные помещения, занимаемые "наименование МО", в которых ведется обработка персональных данных (далее - помещения), в целях предотвращения нарушения прав субъектов персональных данных в "наименование МО" и обеспечения соблюдения требований законодательства о персональных данных и обязателен для применения и исполнения всеми "сотрудниками МО".
2. В помещениях должна быть исключена возможность бесконтрольного проникновения посторонних лиц и обеспечена сохранность находящихся в этих помещениях документов и средств автоматизации.
3. Входные двери оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время.
4. По завершении рабочего дня помещения закрываются.
5. Вскрытие помещений производят "сотрудники МО", работающие в этих помещениях и имеющие доступ к персональным данным.
6. При отсутствии "сотрудников МО", работающих в этих помещениях и имеющих доступ к персональным данным, помещения могут быть вскрыты комиссией, созданной по указанию "руководителя МО".
7. Уборка в помещениях, где ведется обработка персональных данных, производится только в присутствии "сотрудников МО", работающих в этих помещениях и имеющих доступ к персональным данным.
8. При обнаружении повреждений замков или других признаков, указывающих на возможное проникновение посторонних лиц в помещения, помещения не вскрываются, а составляется акт. О случившемся ставится в известность ответственный за обеспечение безопасности персональных данных "наименование МО". Ответственный за обеспечение безопасности персональных данных "наименование МО" информирует "руководителя МО".
Одновременно принимаются меры по охране места происшествия и до прибытия работников правоохранительных органов в эти помещения никто не допускается.
Приложение 11
Правила
осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к
защите персональных данных в "наименование МО"
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение в "наименование МО" нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в "наименование МО".
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в "наименование МО" проводятся периодические проверки условий обработки персональных данных.
3. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в "наименование МО", назначенным приказом "руководителя МО", либо комиссией, образуемой приказом "руководителя МО" (далее - комиссия).
4. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного "руководителем МО" ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в "наименование МО" письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил обработки персональных данных в "наименование МО";
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных в "наименование МО", либо члены комиссии при проведении проверки соответствия обработки персональных данных имеют право:
1) запрашивать у "сотрудников МО" информацию, необходимую для реализации полномочий;
2) требовать от уполномоченных на обработку персональных данных "сотрудников МО" уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить "руководителю МО" предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить "руководителю МО" предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
7. Проверка должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных либо председатель комиссии докладывает "руководителю МО" в форме письменного заключения (протокола).
Приложение 12
Правила работы с обезличенными данными в "наименование МО"
1. В "наименование МО" применяются следующие способы обезличивания:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение;
4) понижение точности некоторых сведений;
5) деление сведений на части и обработка в разных информационных системах;
6) другие способы.
2. Обезличивание персональных данных осуществляют "сотрудниками МО", ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
3. Обезличенные персональные данные не подлежат разглашению.
4. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
5. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
1) парольной политики;
2) антивирусной политики;
3) правил работы со съемными носителями (если они используются);
4) правил резервного копирования;
5) правил доступа в помещения, где расположены элементы информационных систем.
6. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) правил хранения бумажных носителей;
2) правил доступа к обезличенным персональным данным и в помещения, где они хранятся.
Приложение 13
Форма разъяснения субъекту персональных данных
юридических последствий отказа предоставить
свои персональные данные в "наименование МО"
Мне, __________________________________________________________________
(фамилия, имя, отчество)
паспорт (иной документ, удостоверяющий личность) _________________________,
(серия, номер, кем
и когда выдан)
проживающему(ей) по адресу: _______________________________________________
(указать адрес места жительства)
в соответствии с частью 2 статьи 18 Федерального закона от 27.07.2006
№ 152-ФЗ "О персональных данных" разъяснены юридические последствия отказа
предоставить персональные данные в ________________________________________
(указать наименование
структурного подразделения)
в целях ___________________________________________________________________
(указать цели обработки персональных данных)
"____" ______________ 20____ г. ______________________________
(подпись, расшифровка подписи)
Юридические последствия отказа предоставить персональные данные
разъяснил(а):
________________________ ___________________ ______________________________
(должность) (подпись) (Ф.И.О.)
Приложение 14
(на фирменном бланке медицинской организации)
Приказ
о назначении ответственного за безопасность персональных
данных в информационных системах персональных данных
В рамках исполнения Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", для проведения мероприятий по защите персональных данных и надлежащего контроля за безопасностью и организацией обработки персональных данных в министерстве здравоохранения Новосибирской области приказываю:
1. Назначить "Ф.И.О. специалиста" ответственным за безопасность персональных данных в информационных системах персональных данных в "наименование МО" "должность специалиста" "наименование отдела".
2. Контроль за исполнением настоящего приказа оставляю за собой.
Руководитель МО _____________________________
------------------------------------------------------------------