Приложение N 3. Правила рассмотрения запросов субъектов персональных данных или их представителей. Приказ комитета здравоохранения Волгоградской области от 19.05.2015 N 1603 "О введении в действие документов, регламентирующих мероприятия по защите информации ограниченного доступа, обрабатываемой в комитете здравоохранения Волгоградской области" (с изменениями и дополнениями)

Приложение N 3

к приказу комитета здравоохранения

Волгоградской области

от 19.05.2015 года N 1603

Правила
рассмотрения запросов субъектов персональных данных или их представителей

1. Общие положения

1.1. Правила рассмотрения на запросы субъектов персональных данных (далее - Правила) разработаны в соответствии с Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - ФЗ N 152-ФЗ) и определяют порядок обработки обращений субъектов персональных данных с запросами о предоставлении комитетом здравоохранения Волгоградской области (далее - комитет или оператор) персональных данных (далее - ПДн), имеющихся в информационных системах обработки персональных данных.

1.2. Настоящие правила определяют порядок получения работниками комитета (далее - Работник/-ки) запросов субъектов ПДн, дальнейшие действия Работников при получении запросов субъектов ПДн, порядок обработки запросов ответственными в этой компетенции Работниками, порядок формирования ответов на запросы, а также порядок передачи ответов на запросы субъектам ПДн.

2. Порядок обращения субъекта ПДн к оператору, действия ответственного Работника оператора, принявшего запрос

2.1. Субъект ПДн имеет право обратиться к оператору с письменным запросом на получение следующих сведений, за исключением случаев, предусмотренных действующим законодательством Российской Федерации (далее - РФ):

подтверждение факта обработки ПДн оператором;

правовые основания и цели обработки ПДн;

цели и применяемые оператором способы обработки ПДн;

наименование и место нахождения оператора, сведения о лицах (за исключением Работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании действующего законодательства РФ;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен действующим законодательством РФ;

сроки обработки ПДн, в том числе сроки их хранения;

порядок осуществления субъектом ПДн прав, предусмотренных действующим законодательством РФ;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные действующим законодательством РФ.

2.2. Обращение может поступить как в письменном, так и в устном виде к оператору.

2.3. Запрос субъекта ПДн на предоставление информации, отраженной в п. 2.1 Правил, должен содержать следующую обязательную информацию:

номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя;

реквизиты доверенности законного представителя субъекта ПДн или иного документа, предусмотренного действующим законодательством РФ, на основании которого действует законный представитель;

сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Пдн оператором.

2.4. При предъявлении письменного запроса субъект ПДн обязан предъявить основной документ, удостоверяющий личность субъекта ПДн, а законный представитель субъекта ПДн должен предъявить оригинал нотариально заверенной доверенности от субъекта ПДн (или иной документ, предусмотренный действующим законодательством РФ) с указанием полномочий, в том числе получение сведений от оператора и предоставить оператору заверенную копию вместе с запросом.

2.5. В случае устного обращения субъекта персональных данных с требованием предоставить информацию о наличии персональных данных Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, обязан предоставить субъекту персональных данных бланк запроса, форма которого должна быть утверждена комитетом в установленном порядке. Учитывая тот факт, что в запросе содержится конфиденциальная информация субъекта, Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, обязан предоставить субъекту конверт для помещения запроса.

2.6. В случае получения запроса от субъекта ПДн почтовым отправлением Работник, получивший запрос, обязан направить его в адрес Работника, ответственного за организацию обработки и обеспечение безопасности ПДн либо уполномоченного им сотрудника.

2.7. Все обращения субъектов персональных данных должны быть переданы Работнику, ответственному за организацию обработки и обеспечение безопасности ПДн либо уполномоченного им сотрудника, в течение 1 (одного) рабочего дня от даты получения запроса. Одновременно с запросом направляется пояснительная записка в свободной форме, кто из Работников, когда и при каких обстоятельствах получил на руки запрос субъекта.

2.8. В случае получения запроса в электронной форме и подписанный электронной подписью в соответствии с требованиями федеральных законов РФ, также инициализируется процедура ответа субъекту в порядке, предусмотренном Правилами.

2.9. Сведения по запросам субъектов должны быть предоставлены субъекту ПДн в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

2.10. В случае, если сведения, указанные в п. 2.1 Правил, а также обрабатываемые ПДн, были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в п. 2.1 Правил и ознакомления с такими ПДн не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством РФ, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

2.11. Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 2.1 Правил, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в п. 2.10 Правил, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 2.1 Правил, должен содержать обоснование направления повторного запроса.

2.12. Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 2.10, 2.11 Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

3. Порядок регистрации запроса субъекта ПДн

3.1. Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, в день получения запроса обязан зарегистрировать принятый запрос.

3.2. Все запросы и ответы на них должны храниться в помещении комитета, защищенном от несанкционированного доступа третьих лиц.

4. Проверка наличия/отсутствия персональных данных субъекта персональных данных в информационных системах оператора

4.1. По факту регистрации запроса Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, либо уполномоченное им лицо внимательно изучает запрос на предмет соответствия требованиям действующего законодательства РФ. Если возникают сомнения в правильности оформления запроса, то он обязан получить консультацию Работника отдела правового обеспечения комитета.

4.2. В случае, если запрос оформлен ненадлежащим образом, а именно: в нем отсутствует информация о субъекте ПДн, подпись субъекта или его законного представителя или иная информация, которая должна быть отражена в соответствии с формой запроса на предоставление сведений, утвержденной комитетом, то Работник, ответственный за организацию обработки и обеспечение безопасности ПДн либо уполномоченное им лицо оформляет отказ в предоставлении информации.

4.3. В случае, если запрос оформлен в соответствии с требованиями законодательства РФ, то Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, либо уполномоченное им лицо с привлечением пользователями информационной системы, в которой обрабатывается искомая информация, находит всю информацию о субъекте ПДн и распечатывает отчет по персональным данным субъекта из информационной системы оператора, или констатирует факт, что ПДн о субъекте в информационной системе отсутствуют. В зависимости от результатов поиска ПДн субъекта ПДн Работник, ответственный за обработку запросов, составляет ответ на запрос субъекта ПДн.

4.4. Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, либо уполномоченное им лицо в целях скорейшего сбора информации может направить запрос о субъекте пользователям информационных систем комитета по электронной почте, поставив в копию непосредственного руководителя отдела или сектора комитета. Пользователи информационных систем комитета должны в течение 5 суток отреагировать на запрос ответственного Работника за обработку запросов и предоставить всю информацию по субъекту ПДн, а если она отсутствует, сообщить об этом.

5. Оформление и содержание ответа на запрос при наличии или отсутствии персональных данных субъекта в информационных системах оператора

5.1. В случае если в информационных системах оператора имеется или отсутствует информация о ПДн субъекта, обратившегося с запросом, Работник, ответственный за обработку запроса, составляет ответ на запрос субъекта в произвольной форме по существу вопросов.

5.2. Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, либо уполномоченное им лицо:

подписывает ответ на запрос с приложением отчета по персональным данным субъекта, ставит печать комитета, делает копию отчета из информационной системы, формирует опись документов и один экземпляр описи с подготовленными документами упаковывает в конверт для отправки посредством почтового отправления с уведомлением о вручении, либо готовит ответ с описанными в настоящем пункте документами для вручения субъекту ПДн или его законному представителю способом, указанным в запросе, под подпись;

дубликат ответа с иными перечисленными в описи документами, а также с оригиналом описи, отправленной почтовым отправлением или врученной субъекту ПДн или его законному представителю под подпись, прикладываются к запросу и хранятся вместе с запросом;

в журнале учета обращений субъектов персональных данных по выполнению их законных прав делает отметку об ответе на запрос, краткое содержание ответа (положительный, отрицательный, отказ), отражает дату отправления ответа, способ его отправления (почтовое отправление, отправление на объект комитета для передачи субъекту через ответственного Работника комитета, лично в руки субъекту или его законному представителю), а также ставит свою подпись в разделе "подпись работника, ответственного за обработку запроса" журнала регистрации запросов.

5.3. При почтовом отправлении конверт с подготовленными ответом и приложенными документами запечатывается в почтовом отделении в присутствии Работника почтового отделения. В конверт вкладывается один экземпляр почтовой описи со штампом почтового отделения. При почтовом отправлении конверт с ответом, приложенными документами и описью отправляется субъекту ПДн с уведомлением о вручении.

5.4. Если субъект ПДн выразит желание получить лично на руки ответ или через своего законного представителя, Работник, ответственный за организацию обработки и обеспечение безопасности ПДн, передает лично подготовленные документы под подпись. Дубликат ответа с оригинальной подписью субъекта ПДн или его законного представителя после должен быть передан незамедлительно Работнику, ответственному за организацию обработки и обеспечение безопасности ПДн, для хранения.

5.5. Срок ответа на запрос субъекта персональных данных не может превышать 30 (тридцати) календарных дней от даты получения запроса от субъекта, если иной срок не будет установлен действующим законодательством РФ.