Приложение N 1. Положение об обработке персональных данных, осуществляемой без использования средств автоматизации в министерстве здравоохранения Рязанской области. Приказ Министерства здравоохранения Рязанской области от 23.06.2011 N 650 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации"

Приложение N 1

к приказу

министерства здравоохранения

Рязанской области

от 23 июня 2011 г. N 650

Положение
об обработке персональных данных, осуществляемой без использования средств автоматизации в министерстве здравоохранения Рязанской области

I. Общие положения

1. Настоящее Положение разработано в соответствии со ст.ст. 23, 24 Конституции Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", ст.ст. 35, 85 - 90 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 07.07.2003 N 126-ФЗ "О связи", Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Законом от 27.12.1991 N 2124-1 "О средствах массовой информации", Положением "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций", утвержденным Постановлением Правительства РФ 16.03.2009 N 228.

2. Настоящее Положение определяет категории обрабатываемых в министерстве здравоохранения Рязанской области (далее Минздрав Рязанской области) персональных данных, а также особенности и правила осуществления такой обработки, установленные нормативными правовыми актами федеральных органов исполнительной власти, Правительства Рязанской области и Минздрава Рязанской области.

3. В настоящем Положении применяются следующие термины и определения:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

4. Обработка персональных данных в министерстве здравоохранения Рязанской области (далее Минздрав Рязанской области), содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

5. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

6. Категории субъектов, обработка персональных данных которых осуществляется без использования средств автоматизации:

- работники Минздрава Рязанской области (государственные служащие и иные работники Минздрава Рязанской области (физические лица, состоящие в трудовых и гражданско-правовых отношениях с Минздравом Рязанской области);

- уволенные работники Минздрава Рязанской области;

- претенденты на вакантные должности;

- родственники работников Минздрава Рязанской области;

- граждане, подавшие в Минздрав Рязанской области обращение.

Категории персональных данных, обработка которых осуществляется без использования средств автоматизации:

- фамилия, имя, отчество;

- место рождения;

- дата рождения;

- адрес регистрации и проживания;

- семейное положение;

- имущественное положение;

- образование;

- профессия;

- доходы;

- гражданство;

- ИНН;

- номер страхового свидетельства государственного пенсионного страхования;

- медицинские справки;

- пол;

- стаж работы;

- паспортные данные;

- номер телефона;

- сведения о воинском учете;

- государственные и ведомственные награды;

- почетные звания;

- социальные льготы;

- состав семьи;

- данные свидетельств о регистрации брака и рождении детей.

II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

8. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

9. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Минздрава Рязанской области или лица, осуществляющие такую обработку по договору с Минздравом Рязанской области), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также настоящим Положением и иными нормативно-правовыми актами Минздрава Рязанской области.

10. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилия, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процесс их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

11. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом Минздрава Рязанской области, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается.

12. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

13. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

14. Правила, предусмотренные пунктами 12 и 13 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

15. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

16. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

17. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

18. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Местами хранения материальных носителей определены рабочие помещения Минздрава Рязанской области, в которых размещены шкафы для бумаг или железные шкафы (сейфы). Обслуживающий персонал и посетители могут находиться в помещениях Минздрава Рязанской области только в присутствии сотрудников Минздрава Рязанской области. В нерабочее время двери помещений должны быть закрыты на ключ.

IV. Права физических лиц, обработка персональных данных которых осуществляется в Минздраве Рязанской области

19. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных федеральными законами. Субъект персональных данных вправе требовать от Минздрава Рязанской области уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

20. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

21. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Минздравом Рязанской области при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

22. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

23 Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

24. Право на обжалование действий или бездействия Минздрава Рязанской области:

1) Если субъект персональных данных считает, что Минздрав Рязанской области осуществляет обработку его персональных данных с нарушением требований Федеральных законов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2) Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

6. Ответственность за нарушение требований настоящего Положения

25. Лица, виновные в нарушении требований настоящего Положения, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.