Приложение N 1. Политика в отношении обработки персональных данных в комитете здравоохранения Волгоградской области. Приказ комитета здравоохранения Волгоградской области от 19.05.2015 N 1603 "О введении в действие документов, регламентирующих мероприятия по защите информации ограниченного доступа, обрабатываемой в комитете здравоохранения Волгоградской области" (с изменениями и дополнениями)

Приложение N 1

к приказу комитета здравоохранения

Волгоградской области

от 19.05.2015 года N 1603

Политика
в отношении обработки персональных данных в комитете здравоохранения Волгоградской области

1. Общие положения

Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - ПП N 1119), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ними нормативными правовыми актами, операторами являющимися государственными или муниципальными органами" (далее - ПП N 211) и устанавливает единый порядок обработки персональных данных в комитете здравоохранения Волгоградской области (далее - комитет).

В документе используются следующие термины и понятия:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Основные условия проведения обработки персональных данных

Обработка персональных данных осуществляется:

после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;

после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Волгоградской области, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;

после принятия необходимых мер по защите персональных данных.

В комитете приказом руководителя назначается сотрудник, ответственный за организацию обработки персональных данных и определяется перечень лиц, допущенных к обработке персональных данных.

Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим документом (далее - политика) и подписывают обязательство о неразглашение информации, содержащей персональные данные, по форме утвержденной приказом по комитету.

Запрещается:

обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

осуществлять ввод персональных данных под диктовку.

3. Порядок определения защищаемой информации

Комитет создает в пределах своих полномочий, установленных в соответствии с федеральными законами, информационные системы, в целях обеспечения реализации прав объектов персональных данных.

В комитете на основании "Перечня сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации 06.03.1997 N 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - защищаемая информация) и перечень информационных систем персональных данных.

На стадии проектирования каждой информационной системы определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.

4. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации

Обработка персональных данных в информационных системах комитета с использованием средств автоматизации осуществляется в соответствии с требованиями ПП N 1119 и ПП N 211, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

Оператором осуществляется определение уровня защищенности информационных систем в соответствии с ПП N 1119 в зависимости от категории обрабатываемых данных, их количества и наличия трудовых взаимоотношений с комитетом.

Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России 18.02.2013