Приказ Министерства здравоохранения Иркутской области от 26.01.2023 N 3-мпр "О внесении изменений в Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области"

С соответствии с Федеральным законом от 14 июля 2022 года N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности", руководствуясь пунктом 9 Положения о министерстве здравоохранения Иркутской области, утвержденного постановлением Правительства Иркутской области от 16 июля 2010 года N 174-пп, распоряжением Губернатора Иркутской области от 15 апреля 2022 года N 200-рк "О Шелехове А.В." приказываю:

1. Внести в Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области, утвержденное приложением 9 к приказу министерства здравоохранения Иркутской области от 6 ноября 2015 года N 120-мпр, следующие изменения:

1) подпункт "а" пункта 11 изложить в следующей редакции:

"а) фамилию, имя, отчество, адрес владельца ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;";

2) подпункт "з" пункта 25 изложить в следующей редакции:

"з) обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них;";

3) пункт 40 дополнить подпунктом "к" следующего содержания:

"к) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".";

4) пункт 42 изложить в следующей редакции:

"42. Сведения предоставляются владельцу ПДн или его представителю при обращении в Министерство либо при получении запроса владельца ПДн или его представителя, в течение десяти дней с момента получения обращения либо получения запроса владельца ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес владельца ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность владельца ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие владельца ПДн в отношениях с Министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Министерством, подпись владельца ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения владельцу ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.";

5) дополнить пунктом 50.1 следующего содержания:

"50.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав владельцев ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав владельцев ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав владельцев ПДн:

1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав владельцев ПДн, и предполагаемом вреде, нанесенном правам владельцев ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав владельцев ПДн, по вопросам, связанным с выявленным инцидентом;

2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).";

6) дополнить пунктом 52.1 следующего содержания:

"52.1. В случае обращения владельца ПДн к Министерству с требованием о прекращении обработки ПДн Министерство обязано в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Министерством в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.".

2. Настоящий приказ подлежит официальному опубликованию в сетевом издании "Официальный интернет-портал правовой информации Иркутской области" (www.ogirk.ru), а также на "Официальном интернет-портале правовой информации" (www.pravo.gov.ru) после его государственной регистрации.

3. Настоящий приказ вступает в силу со дня его официального опубликования.

Заместитель министра здравоохранения Иркутской области

А.В. Шелехов