Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 1
к приказу Минздрава PC (Я)
от 19.06.2014 N 01-07/1074
Положение
об обработке и защите персональных данных граждан, государственных гражданских служащих и работников Министерства здравоохранения Республики Саха (Якутия)
I. Общие положения
1.1. Положение об обработке и защите персональных данных граждан, государственных служащих и работников Министерства здравоохранения Республики Саха (Якутия) (далее - Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Министерства здравоохранения Республики Саха (Якутия) (далее - Минздрав PC (Я)).
1.2. Настоящее Положение разработано в соответствии:
Трудовым кодексом Российской Федерации (далее - Трудовой кодекс Российской Федерации);
Кодексом Российской Федерации об административных правонарушениях;
Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации";
Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");
Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации",
Указом Президента РФ от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
постановлением Правительства Российской Федерации от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
постановлением Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
постановлением Правительства Российской Федерации от 21.03.2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
Законом Республики Саха (Якутия) 214-З N 433-III от 30.03.2005 г. "О государственной гражданской службе Республики Саха (Якутия)",
другими нормативными документами.
1.3. Обработка персональных данных в Минздраве PC (Я) осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
1.4. В настоящем Положении используются следующие основные понятия (в соответствии со статьей 3 Федерального закона "О персональных данных"):
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональные данных с использованием средств автоматизации или без использования таких средств;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.5. К персональным данным, обрабатываемым в Минздраве PC (Я), относятся:
персональные данные государственных гражданских служащих и работников Минздрава PC (Я) (далее - сотрудники);
персональные данные граждан, обратившихся в целях трудоустройства, кандидатов на должность государственной гражданской службы (далее - соискатели на вакантные должности);
персональные данные уволенных сотрудников;
персональные данные граждан, обратившихся в Минздрав PC (Я) с заявлением, жалобой или иным обращением (далее - заявитель, обращение);
персональные данные лиц, выполняющих поставки, работы, услуги по договорам гражданско-правового характера (далее - контрагенты);
персональные данные иных субъектов персональных данных (далее - граждане).
1.6. Все права по обработке персональных данных предоставляются сотрудникам Минздрава PC (Я), согласно утвержденного перечня должностей, которым для исполнения должностных обязанностей необходим доступ к персональным данным.
Все остальные сотрудники допускаются к обработке персональных данных в объеме, определяемом министром здравоохранения Республики Саха (Якутия) или лицом его замещающим, заместителями министра здравоохранения Республики Саха (Якутия) (далее - руководство Минздрава PC (Я)).
II. Цели и состав обработки персональных данных
2.1. Обработка персональных данных граждан, заявителей и сотрудников в Минздраве PC (Я) осуществляется исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ.
2.2. Обработка персональных данных сотрудников, осуществляется в целях:
регулирования трудовых отношений между Минздравом PC (Я) и сотрудниками, содействия сотрудникам в выполнении ими своих функциональных обязанностей, обучении, карьерного продвижения по работе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Минздрава PC (Я), очередности предоставления отпусков, установления и расчета размера заработной платы;
оформления страховых свидетельств государственного пенсионного страхования и обязательного медицинского страхования;
обеспечения пропускного режима Минздрава PC (Я), а также в иных целях, необходимых Минздраву PC (Я) в связи с трудовыми отношениями с сотрудниками Минздрава PC (Я) и обеспечением сотрудникам социальных гарантий.
Обработка персональных данных контрагентов осуществляется в целях контроля количества и качества выполняемой работы, выполнения договорных обязательств Минздрава PC (Я) перед контрагентом (в т.ч. в части оплаты услуг), обеспечения пропускного режима Минздрава PC (Я).
Обработка персональных данных соискателей на вакантные должности, осуществляется с целями принятия решения о возможности заключения с ними трудового договора.
Обработка персональных данных заявителей осуществляется с целью рассмотрения по существу поданного обращения, выяснения всех обстоятельств обращения, и направления заявителю ответа.
Обработка персональных данных иных субъектов персональных данных осуществляется в целях предоставления государственных услуг населению, а также выполнения иных требований законодательства РФ.
2.3. К персональным данным сотрудника, получаемым Минздравом PC (Я) и подлежащим обработке и хранению в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие данные:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
фотография;
сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
сведения о пребывании за границей;
информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация о наличии или отсутствии судимости; информация об оформленных допусках к государственной тайне; государственные награды, иные награды и знаки отличия; сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
сведения о доходах, об имуществе и обязательствах имущественного характера;
номер расчетного счета;
номер банковской карты;
иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2. настоящего Положения.
2.4. Персональные данные сотрудников содержатся в следующих документах:
трудовой договор;
личные дела работников;
карточки унифицированной формы Т-2 "Личная карточка работника";
трудовые книжки работников;
копии документов об образовании, о квалификации, о профессиональной переподготовке, о наличии специальных знаний, умений;
ведомости начисления заработной платы, налоговые карточки по учету доходов и налога на доходы физических лиц;
обязательства о неразглашении сведений конфиденциального характера;
копии листков нетрудоспособности;
исполнительные листы;
копии свидетельств о рождении;
расходно-кассовых документах;
журнал учета обращений граждан;
журнал учета выданных согласий о передачи / предоставлении персональных данных третьим лицам / законным представителям сотрудника;
иных документах, в которых с учетом специфики деятельности Минздрава PC (Я) и в соответствии с законодательством РФ должны указываться персональные данные сотрудников и граждан.
2.5. К персональным данным контрагентов, получаемым Минздравом PC (Я) и подлежащим обработке и хранению, подлежащими защите, относятся:
фамилия, имя, отчество;
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
номер расчетного счета;
номер банковской карты.
2.6. К персональным данным соискателей на вакантные должности, получаемым Минздравом PC (Я) и подлежащим обработке и хранению, подлежащими защите, относятся:
фамилия, имя, отчество;
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
семейное положение;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, а также сведения о прежнем месте работы;
сведения о трудовой деятельности, стаже работы, наименование предприятий, должность, выполняемые обязанности по должности;
сведения о воинском учете;
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
фотография;
информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия.
2.7. К персональным данным заявителей получаемыми Минздравом PC (Я) и подлежащими обработке и хранению, подлежащими защите, относятся:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
иная предоставленная заявителем информация личного характера.
2.8. Состав персональных данных граждан, получаемый Минздравом PC (Я) и подлежащий обработке и хранению, определяется регламентами предоставления государственных услуг, который подлежат утверждению министром здравоохранения Республики Саха (Якутия).
2.9. Документы, содержащие персональные данные, создаются путем:
получения оригиналов необходимых документов (заявление, обращение, трудовая книжка, автобиография, иные документы);
внесения сведений, в том числе в используемые учетные формы (на бумажных и электронных носителях);
формирования персональных данных в ходе кадровой работы; копирования оригиналов документов;
внесения персональных данных в информационные системы персональных данных.
III. Основные условия обработки и хранения персональных данных граждан
3.1. Обращения граждан регистрируются секретарем приемной в Журнале регистрации обращений граждан и в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращения граждан Российской Федерации" (Приложение N 1).
В случае поступления документа непосредственно в какое-либо структурное подразделение Минздрава PC (Я), он должен быть передан секретарю приемной для регистрации. Рассмотрение и передача на исполнение незарегистрированных обращений граждан не допускается.
Регистрация и учет производится в день поступления письма. В правом нижнем углу поступившего письма ставится порядковый регистрационный номер и дата поступления. С момента поступления обращений и регистрации начинается отсчет срока их исполнения. Конверты к ним сохраняются и прикладываются к документу.
При личном приеме граждан руководством Минздрава PC (Я) их письменные и устные обращения регистрируются секретарем приемной в Журнале учета приема посетителей (Приложение N 2).
При поступлении документа проводится проверка на постоянность обращения. Обращение считается повторным, если оно поступило от одного и того же лица в течение текущего года. Ему присваивается один и тот же номер с указанием даты поступления письма, а в правом верхнем углу заявления (жалобы) ставится отметка "Повторно". По коллективным письмам в левом верхнем углу на регистрационно-контрольной карточке делается отметка "Коллективное".
Письма согласно резолюции руководства Минздрава PC (Я) направляются ответственному сотруднику для рассмотрения по существу обращения.
Заявления с отметкой "Лично" передаются тем сотрудникам, которым они адресованы без вскрытия и регистрации.
Запрещается направлять жалобы граждан для рассмотрения тем должностным лицам и структурным подразделениям, действия которых обжалуются.
3.2. Заявления граждан рассматриваются и разрешаются в срок до одного месяца, а не требующие дополнительного изучения, безотлагательно, но не более 15 дней со дня их поступления.
Если в течение месяца не могут быть решены поставленные вопросы, то исполнитель дает промежуточный ответ автору с указанием причин задержки, срока окончательного ответа и письмо ставится на дополнительный контроль до полного осуществления намеченных мер. Ответственность за своевременное и полное разрешение обращений возлагается на назначенного ответственного сотрудника.
Если в предложениях, заявлениях и жалобах граждан решение поставленных вопросов не относится к ведению Минздрава PC (Я), они направляются не позднее чем в 5-дневный срок в соответствующий орган, а копия сопроводительного письма направляется автору.
Обращения граждан о результатах рассмотрения, которых необходимо сообщать в органы государственной власти Российской Федерации, администрацию Президента РФ, аппарат Правительства РФ, органы законодательной и исполнительной власти Республики Саха (Якутия), средства массовой информации, берутся на особый контроль.
3.3. Обращения граждан считаются разрешенными, если рассмотрены все поставленные в них вопросы, приняты необходимые меры и даны исчерпывающие ответы. Датой снятия с контроля является дата ответа заявителю. После исполнения письма в учетно-контрольном журнале делается отметка об исполнении (номер и дата ответа), копия ответа и запрос подшиваются в соответствующее дело (в соответствии с номенклатурой дел).
Решение о снятии с контроля обращений принимает руководитель структурного подразделения, на которого резолюцией возложена ответственность по исполнению данного документа.
3.4. Ответы по предложениям, заявлениям, жалобам граждан должны излагаться в конкретной и понятной форме, не допускающей возможности различного толкования. Причем в ответах должны быть даны разъяснения по всем вопросам, затронутым заявителем.
Ответы на обращения граждан, требующие правового обоснования или ссылки на действующее законодательство, исполняются сотрудником ответственным за правовое обеспечение.
3.5. Ответы на устные обращения граждан даются руководством Минздрава PC (Я). Ответы даются в устной и письменной форме. В случае устного ответа делается соответствующая запись в Журнале учета личного приема граждан.
Обращения граждан после их окончательного разрешения со всеми относящимися к ним материалами возвращается сотруднику ответственному за организацию делопроизводства вместе с ответом, где формируется дело по порядку регистрационных номеров.
Ответы на запросы по письмам граждан, поступившим из министерств и ведомств Республики Саха (Якутия), возвращаются с приложением письма заявителя. При этом необходимо упоминание о дубликате ответа, отосланном автору. Ответные письма должны содержать ссылку на дату и номер входящего документа.
3.6. Секретарь проверяет правильность оформления ответов (наличие подписи, даты, номера, виз на копии и др.), вносит необходимые записи в регистрационные карточки и журналы. Рассмотренные письма граждан (или их копии) не позднее следующего дня после их исполнения помещает вместе с копиями ответов в номенклатурные дела по вопросам, направлениям или видам деятельности Минздрава PC (Я).
3.7. При формировании дел проверяется правильность направления документов в дело, их полнота (комплектность). Неразрешенные обращения граждан, а также неправильно оформленные документы подшивать в дела запрещается.
3.8. Дела с обращениями граждан и ответами на них хранятся в соответствии с утвержденными в номенклатуре дел сроками хранения, после чего уничтожаются в установленном порядке. В необходимых случаях решением Экспертной комиссии может быть принято решение об увеличении срока хранения или постоянном хранении наиболее ценных предложений граждан. Решение Экспертной комиссии по увеличению сроков хранения подлежит обязательному утверждению министра здравоохранения Республики Саха (Якутия).
3.9. Документы, содержащие персональные данные граждан являющихся соискателями вакантных должностей, регистрируются сотрудником ответственным за кадровую работу в соответствующем журнале и хранятся в специально отведенном номенклатурном деле в течение 1 года, затем уничтожаются в установленном порядке.
IV. Основные условия получения и обработки персональных данных сотрудников
4.1. В Минздраве PC (Я) назначаются уполномоченные должностные лица, которые имеют право получать, обрабатывать, хранить, передавать и любым другим способом использовать персональные данные, и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты (далее - уполномоченные лица), и определяются места хранения документов, содержащих персональные данные.
4.2. При определении объема и содержания, обрабатываемых персональных данных сотрудников Минздрава PC (Я) руководствуется Конституцией РФ, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом "О персональных данных", иными федеральными законами и нормативными актами.
Запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
Запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.3. Сотрудник Минздрава PC (Я) предоставляет документы, содержащие его персональные данные, лично либо через своего представителя.
Если персональные данные сотрудника, возможно, получить только у третьей стороны, то сотрудник ответственный за кадровую работу обязан заранее уведомить об этом сотрудника и получить его письменное согласие (Приложение N 3).
Сотрудник ответственный за кадровую работу должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Минздрава PC (Я) вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия (Приложение N 4).
4.4. Письменное согласие сотрудника на обработку своих персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.
4.5. Согласие сотрудника на обработку персональных данных не требуется в следующих случаях:
обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
обработка персональных данных осуществляется в целях исполнения трудового договора;
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов сотрудника, если получение его согласия невозможно.
4.6. Минздрав PC (Я) не получает и не обрабатывает персональные данные сотрудника о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
4.7. При принятии решений, затрагивающих интересы сотрудника, представитель нанимателя не имеет права основываться на персональных данных сотрудника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.8. Минздрав PC (Я) производит обработку персональных данных сотрудников в информационных системах персональных данных с надлежащими условиями защиты этих данных от несанкционированного доступа.
4.9. Члены общественных организаций и комиссий, созданных для защиты прав сотрудников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, могут быть допущены к сведениям, содержащим персональные данные, на основании вступивших в силу решений об их избрании.
При этом они знакомятся только с теми персональными данными, которые необходимы им для выполнения возложенных на них функций.
К таким комиссиям могут быть отнесены:
профсоюзный комитет;
ревизионная комиссия;
конкурсная комиссия;
комиссия по противодействию коррупции;
комиссии, назначаемые для проведения служебного расследования;
иные комиссии, создаваемые в Минздраве PC (Я).
4.10. Обработка персональных данных ведется ответственными сотрудниками по кадровой, финансовой и правовой работе на рабочих местах, выделенных для исполнения ими должностных обязанностей.
Членами общественных организаций и комиссий обработка персональных данных может производиться в помещениях, где проходит заседание данной общественной организации или комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их хранения.
4.11. Личные дела, содержащие персональные данные сотрудников, должны вестись в соответствии с требованиями нормативных документов и действующих в Минздраве PC (Я) инструкций.
4.12. В Минздраве PC (Я) могут создаваться документы, содержащие персональные данные сотрудников, предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления, таблички на служебных кабинетах и т.п.) с согласия сотрудника. Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших их.
Внутренние телефонные справочники выдаются в структурные подразделения под роспись с указанием количества выданных в подразделение экземпляров. При этом старые справочники возвращаются и уничтожаются лицами, ответственными за их изготовление и выдачу.
Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего пользования, содержащие персональные данные, запрещается.
4.13. К общедоступным источникам персональных данных в Минздраве PC (Я) относятся информация о должностных лицах (фамилия, имя, отчество, должность, номер рабочего кабинета, номер рабочего телефона), размещаемая в средствах массовой информации и на официальном интернет-сайте.
Фотография сотрудника и сведения о его квалификации, образовании, стаже работы в средствах массовой информации, информационных стендах и на официальном интернет-сайте размещается с письменного согласия сотрудника.
4.14. Обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом производится в объеме, согласованном с сотрудником, и с его письменного согласия (Приложение N 5).
4.15. В Минздраве PC (Я) не предусмотрена обработка биометрических персональных данных сотрудников (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Минздравом PC (Я) для установления личности субъекта персональных данных).
Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
4.16. Обработка персональных данных в Минздраве PC (Я) осуществляется на автоматизированных рабочих местах, отвечающих требованиям по безопасности информации.
4.17. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
4.18. Уполномоченный сотрудник Минздрава PC (Я), ответственный за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, обеспечивает:
своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Минздраве PC (Я) и руководство Минздрава PC (Я);
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных;
знание и соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.19. Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств защиты информации.
4.20. Доступ сотрудников Минздрава PC (Я) к персональным данным, обрабатываемым в информационных системах персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
4.21. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
V. Сроки обработки и условия хранения персональных данных
5.1. Документы, содержащие персональные данные сотрудников Минздрава PC (Я) и граждан хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях.
Срок хранения документов определяется утвержденной номенклатурой дел. По истечении сроков хранения документы по решению Экспертной комиссии подлежат уничтожению в установленном порядке.
5.2. В процессе хранения персональных данных должны обеспечиваться:
- требования нормативных документов, устанавливающих правила хранения сведений конфиденциального характера;
- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
5.3. Личное дело сотрудника формируется после издания приказа о назначении гражданина Российской Федерации на должность и ведется на протяжении всего периода трудовой деятельности в Минздраве PC (Я).
По миновании надобности личные дела передаются на ответственное хранение в архив Минздрава PC (Я) (срок хранения - 75 лет).
5.4. Трудовые книжки действующих сотрудников хранятся в сейфе. Хранение трудовых книжек сотрудников осуществляется в соответствии с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовых книжек и обеспечения ими представителя нанимателя, утвержденными Постановлением Правительства Российской Федерации от 16 апреля 2003 г. N 225.
5.5. Иные документы внутреннего обращения, содержащие персональные данные сотрудников, создаются уполномоченными сотрудниками, хранятся в определенных местах и уничтожаются по исполнении целей обработки в соответствии с общим порядком делопроизводства.
5.6. В каждом служебном кабинете, в котором производится обработка и хранение персональных данных, назначается сотрудник ответственный за выполнение мер по защите информации.
5.7. Сотрудникам, допущенным к обработке персональных данных, запрещается:
передавать третьим лицам и сотрудникам, не допущенным к обработке персональных данных, сведения, ставшие им известными при исполнении должностных обязанностей;
оставлять документы, содержащие персональные данные в открытом доступе;
оставлять служебные кабинеты без присмотра и не запертыми при отсутствии в нем других сотрудников;
оставлять посторонних лиц в служебном кабинете без присмотра и в отсутствии других сотрудников Минздрава PC (Я);
оставлять открытыми окна в отсутствии других сотрудников Минздрава PC (Я).
VI. Условия и порядок передачи персональных данных
6.1. В целях обеспечения законных интересов сотрудников и граждан Минздрав PC (Я) имеет право передавать персональные данные в:
Управление Федеральной налоговой службы по Республике Саха (Якутия);
Отделение ПФР по Республике Саха (Якутия);
негосударственные пенсионные фонды (по заявлению сотрудника / работника / гражданина);
страховые компании (по заявлению сотрудника / работника / гражданина);
кредитно-финансовые организации (по заявлению
сотрудника / работника / гражданина);
Территориальный фонд обязательного медицинского страхования Республики Саха (Якутия);
Государственное учреждение - Региональное отделение Фонда социального страхования Российской Федерации по Республике Саха (Якутия);
структурные подразделения Минздрава PC (Я);
представителям лицензирующих и/или контролирующих органов государственной власти;
законным представителям субъекта персональных данных;
представителям уполномоченных органов по защите прав субъектов персональных данных.
Передача персональных данных может осуществляться с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, и при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять конфиденциальность передаваемых персональных данных.
6.2. При передаче персональных данных сотрудника другим юридическим и физическим лицам уполномоченный сотрудник должен соблюдать следующие требования:
а) не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральными законами;
б) не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия;
в) предупреждать лиц, получающих персональные данные сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные сотрудника, обязаны соблюдать режим конфиденциальности (данное положение не распространяется на обмен персональными данными сотрудников в порядке, установленном федеральными законами);
г) не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;
д) передавать персональные данные сотрудника представителям сотрудника в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
6.3. Внутри Минздрава PC (Я) без письменного согласия сотрудника разрешается передача персональных данных в структурные подразделения, общественные организации и комиссии, созданные для защиты прав сотрудника и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, необходимые им для выполнения своих функций.
6.4. Предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством).
6.5. Передавать персональные данные сотрудников их представителям в порядке, установленном существующим законодательством и настоящим Положением, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций (Приложение N 6).
Учет выданных согласий ведется сотрудником ответственным за кадровую работу в Журнале учета выданных согласий о предоставлении персональных данных (Приложение N 7).
6.6. Не передавать кому-либо персональные данные субъектов персональных данных в коммерческих целях без их письменного согласия (Приложение N 8).
6.7. Передача персональных данных сотрудников и граждан на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу Минздрава PC (Я) не производится (трансграничная передача персональных данных).
VII. Порядок рассмотрения запросов субъектов персональных данных или их представителей
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
а) подтверждение факта обработки персональных данных Минздрава PC (Я);
б) правовые основания и цели обработки персональных данных;
в) цели и применяемые Минздравом PC (Я) способы обработки персональных данных;
г) наименование и место нахождения Минздрава PC (Я), сведения о лицах (за исключением сотрудников Минздрава PC (Я)), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Минздрава PC (Я) или на основании Федерального закона "О персональных данных";
д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
е) сроки обработки персональных данных, в том числе сроки их хранения;
ж) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";
з) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Минздрава PC (Я), если обработка поручена или будет поручена такому лицу;
и) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
Для получения информации субъект персональных данных подает письменное заявление (Приложение N 4 к Политике в области обработки и защиты персональных данных).
7.2. Субъект персональных данных имеет право на получение сведений, указанных в пункте 7.1, за исключением случаев предусмотренных законодательством РФ.
Субъект персональных данных вправе требовать от Минздрава PC (Я) уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (Приложение N 9).
7.3. Сведения, указанные в пункте 7.1, должны быть предоставлены субъекту персональных данных Минздравом PC (Я) в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Минздравом PC (Я) (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Минздрава PC (Я), подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
VIII. Уничтожение, блокирование и обезличивание персональных данных
8.1. Все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались и использовались.
8.2. Сотрудники ответственные за документооборот и архивирование и уполномоченные сотрудники, производящие обработку персональных данных сотрудников и граждан, осуществляют систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению, но не реже 1 раза в год.
Уничтожение производится в соответствии с общим порядком делопроизводства и утвержденной номенклатуры дел.
Отбору подлежат документы сроки хранения, по которым истекли по состоянию на 01 января текущего года.
8.3. Из документов сроки хранения, которых истекли, выделяются документы, имеющие научно-практическое и научно-историческое значение, по которым выносится решение о продлении сроков хранения (до 10 лет, с указанием места хранения и ответственного за хранение) и/или передачи на хранение в Национальный архив Республики Саха (Якутия) (свыше 10 лет).
Решение о продлении сроков хранения фиксируется в протоколе заседания Экспертной комиссии. При продлении сроков хранения на обложке документа производится запись "хранить до ..." на обороте титульного листа или вклеивается лист, на котором производится запись о решении Экспертной комиссии, записывается номер и дата протокола.
При передаче документов на архивное хранение оформление акта приема-передачи документов производится в соответствии с Положением об архиве.
8.4. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании Экспертной комиссии Минздрава PC (Я).
Документы, содержащие персональные данные, не имеющие научно-практического и научно-исторического значения, включаются в акт уничтожения бумажных носителей персональных данных (Приложение N 10) и уничтожаются.
В случае если обработка персональных данных, производилась на персональных компьютерах копия акта передается сотруднику ответственному за обеспечение защиты информации для удаления электронных файлов, хранящихся на персональных компьютерах и носителях информации. По результатам удаления составляется отдельный акт, который передается на утверждение министру здравоохранения Республики Саха (Якутия) и хранится вместе с актом уничтожения бумажных носителей персональных данных.
8.5. Уничтожение документов, содержащих персональные данные, по требованию субъекта персональных данных производится на основании поступившего письменного заявления гражданина и/или его законного представителя (далее - заявитель).
Заявление регистрируется секретарем Минздрава PC (Я) в Журнале учета обращений граждан и организаций по предоставлению персональных данных (Приложение N 11) и отписывается руководством Минздрава PC (Я) руководителю структурного подразделения.
Руководитель структурного подразделения назначает ответственного сотрудника (далее - Исполнитель) по розыску документов, в которых могут быть отражены персональные данные заявителя.
Исполнитель определяет все документы, в которых были отражены персональные данные заявителя (личное дело, списки, реестры, заявления и т.п.).
Исполнитель несет персональную ответственность за полноту и достоверность проделанной работы по розыску документов, в которых могут быть отражены персональные данные Заявителя.
Исполнитель от имени Экспертной комиссии или специальной комиссии, созданной Минздравом PC (Я), готовит акт уничтожения бумажных носителей персональных данных по заявлению (Приложение N 12). После утверждения акта документы физически уничтожаются.
При этом уничтожается только тот документ в котором отражены только персональные данные заявителя (личное дело, лицевой счет, заявления и др.).
В различных журналах, списках, реестрах в бумажном варианте производится обезличивание внесенных сведений путем вымарывания (корректирующим карандашом, жидкостью, лентой или другим способом) основных персональных данных, по которым возможно однозначно определить субъекта: день и месяц рождения (год рождения можно оставить), из адреса места жительства - улица, номера дома и квартиры (населенный пункт можно оставить), и т.п.
Поверх вымаранного текста вносится запись, что "вымарывание произведено по заявлению от ____ .20 ___ вх. N ____", далее указывается ФИО Исполнителя, проставляется дата и подпись. Никакие другие исправления в эти документы больше не вносятся.
Из электронных файлов, содержащих персональные данные, удаляются также как и в бумажном носителе. В электронных журналах, списках, реестрах информация обезличивается также как и в бумажном варианте, основные персональные данные, по которым возможно однозначно определить субъекта, удаляются. Вместо этого производится запись "информация удалена по заявлению от ____ .20 ___ вх. N ____", далее указывается дата, должность и ФИО выполнившего удаление. Никакие другие исправления больше не вносятся (нумерация в журнале / списке / реестре должна остаться прежней).
Физическое удаление записей из электронных баз данных производится, в случае если невозможно обрабатывать эти данные в обезличенном виде. Решение о способе обезличивания принимается исходя из алгоритмов обработки базы данных по согласованию с руководителем структурного подразделения (например, в записи электронной базы данных возможно внесение вместо в поле ФИО внести текст "Обезличена ____ _____20___", при этом другие данные необходимые для составления расчетов по статическим отчетам могут быть оставлены).
Исполнитель совместно с сотрудником ответственным за правовое обеспечение готовит ответ на запрос заявителя - уведомление, в котором объясняет последствия уничтожения персональных данных и о невозможности в последствии подтвердить те или иные факты (Приложение N 13).
Копия акта об уничтожении хранится в номенклатурном деле вместе с ответом заявителю. Акт уничтожения заявителю не отсылается.
8.6. Экспертная комиссия принимает решение о способе уничтожения: самостоятельно или с привлечением подрядной организации.
8.7. При самостоятельном уничтожении документов, Экспертная комиссия выбирает ответственных сотрудников, способ и место уничтожения документов.
Состав группы, способ и место, сроки уничтожения документов утверждаются приказом министра здравоохранения Республики Саха (Якутия).
Группа сотрудников проверяет наличие документов и уничтожает документы сжиганием в специально отведенном месте с соблюдением всех мер пожарной безопасности.
По окончании процедуры уничтожения составляется акт уничтожения, который подписывается всеми работниками группы.
8.8. Подрядная организация для уничтожения документов определяется в порядке, установленном законодательством Российской Федерации и должна иметь необходимую производственную базу для обеспечения установленного порядка уничтожения документов.
Сотрудник Минздрава PC (Я), сопровождает документы, содержащие персональные данные, до производственной базы подрядчика и присутствует при процедуре уничтожения документов (сжигание или химическое уничтожение).
По окончании процедуры уничтожения подрядчиком и сотрудником Минздрава PC (Я) составляется соответствующий Акт об уничтожении документов, содержащих персональные данные (Приложение N 14).
8.9. Все акты об уничтожении документов, содержащих персональные данные, хранятся в специальном номенклатурном деле (срок хранения - 75 лет или постоянно).
8.10. В случае выявления недостоверных персональных данных или неправомерных действий с ними сотрудников Минздрава PC (Я) при обращении или по запросу гражданина, сотрудника, или их законных представителей либо уполномоченного органа по защите прав субъектов персональных данных осуществляется блокирование персональных данных, относящихся к соответствующему субъекту, с момента такого обращения или получения такого запроса.
Блокирование персональных данных подразумевает приостановление операций с персональными данными до момента внесения изменений / уточнений.
В случае невозможности устранения допущенных нарушений в срок, не превышающий 30 (тридцати) рабочих дней, персональные данные подлежат уничтожению.
8.11. Об устранении допущенных нарушений Минздрав PC (Я) уведомляет гражданина, сотрудника, или их законных представителей, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8.12. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8.13. Для обезличивания персональных данных применяются любые способы явно не запрещенные законодательно.
Способы обезличивания при условии дальнейшей обработки персональных данных:
сокращение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение - понижение точности некоторых сведений;
деление сведений на части и обработка в разных информационных системах;
иные способы.
8.14. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
8.15. Обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, производится в соответствии с Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 N 996.
IX. Способы защиты персональных данных
9.1. Защита персональных данных представляет собой регламентированный технологический, организационный и иной процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных работников и обеспечивающий надежную безопасность информации.
9.2. Сотрудники Минздрава PC (Я), осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные, к которым они получили доступ в связи с исполнением своих должностных обязанностей.
При заключении служебного контракта на замещение должности государственной гражданской службы с сотрудником, или трудового договора с работником или контрагентом сотрудник, ответственный за кадровую работу, подписывает договор (соглашение) о неразглашении персональных данных (Приложение N 15).
Также все сотрудники, работники и контрагенты, допущенные к обработке персональных данных, периодически, но не реже 1 раза в год проходят инструктаж (Приложение N 16).
Сотрудник, ответственный за кадровую работу, проводит инструктаж сотрудников, работников и контрагентов, допущенных к обработке персональных данных, с обязательной отметкой в Журнале проведения инструктажа о мерах по обеспечению безопасности персональных данных (Приложение N 17).
9.3. Защита сведений, хранящихся в электронных базах данных, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.
Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и путём применения программных и технических средств.
Размещение составных компонентов информационных систем персональных данных, специальное оборудование и охрана помещений, в которых осуществляется обработка информации конфиденциального характера, персональных данных, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения в эти помещения посторонних лиц.
9.4. Внешняя защита персональных данных сотрудников обеспечивается порядком приема, учета и контроля деятельности посетителей, путём исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
9.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудников распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
При обработке персональных данных в информационной системе должно быть обеспечено:
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищённости персональных данных.
9.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу.
9.7. При обнаружении нарушений порядка обработки персональных данных работодатель незамедлительно приостанавливает работу информационной системы до выявления причин нарушений и устранения этих причин.
9.8. Персональные данные сотрудника (обратившегося гражданина) могут храниться в бумажном и (или) электронном виде с соблюдением требований, предусмотренных нормативными правовыми актами Российской Федерации.
Все документы на бумажных носителях, содержащие персональные данные, должны храниться в местах, защищённых от несанкционированного доступа.
X. Права и обязанности субъектов персональных данных
10.1. В целях обеспечения достоверности персональных данных сотрудники обязаны:
при приеме на работу представлять о себе достоверные сведения в порядке и объеме, предусмотренном законодательством Российской Федерации;
в случае изменения персональных данных сотрудника (фамилии, имени, отчества, адреса места жительства, паспортных данных, сведений об образовании, о состоянии здоровья вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в Минздрав PC (Я) в течение 5 рабочих дней с даты регистрации этих изменений.
10.2. В целях обеспечения защиты персональных данных сотрудники имеют право:
а) получения полной информации о своих персональных данных и их обработке;
б) свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами;
в) доступа к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
г) определения своих представителей для защиты своих персональных данных;
д) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации и Федерального закона "О персональных данных".
Указанное требование должно быть оформлено письменным заявлением сотрудника на имя представителя нанимателя.
При отказе представителя нанимателя исключить или исправить персональные данные сотрудника, сотрудник имеет право заявить в письменной форме представителю нанимателя о своем несогласии, с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения;
е) требовать об извещении представителем нанимателя всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
ж) Обжаловать действия или бездействие представителя нанимателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке если субъект персональных данных, считает, что представитель нанимателя осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы.
XI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных
11.1. Руководство Минздрава PC (Я), разрешая доступ сотрудника Минздрава PC (Я) к персональным данным, несет персональную ответственность за данное разрешение.
11.2. Уполномоченные сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
11.3. Уполномоченные лица, в обязанность которых входит ведение персональных данных сотрудников, обязаны обеспечить каждому сотруднику возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом РФ об административных правонарушениях.
XII. Заключительные положения
12.1. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до замены его Положением в новой редакции.
12.2. Внесение изменений и дополнений в настоящее Положение производится в случаях изменения законодательства Российской Федерации: Трудовой кодекс Российской Федерации, Федеральный закон "О персональных данных", Федеральный закон "Об информации, информационных технологиях и о защите информации", другие федеральные законы и иные нормативно-правовые акты, регламентирующие порядок обработки и защиты персональных данных.
Изменения и дополнения вносятся Комиссией по информационной безопасности.
12.3. В случае вступления отдельных пунктов в противоречие с новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящее Положение.
12.4. Каждый сотрудник должен быть ознакомлен под роспись с настоящим Положением, с внесенными в него изменениями и дополнениями, в течение 10 дней после утверждения.
<< Назад |
Приложение >> N 1. Журнал регистрации обращений граждан |
|
Содержание Приказ Министерства здравоохранения Республики Саха (Якутия) от 19 июня 2014 г. N 01-07/1074 "О порядке обработки и защиты... |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.