Приложение N 1. Положение об обработке и защите персональных данных в Министерстве здравоохранения Пензенской области. Приказ Министерства здравоохранения Пензенской области от 28.03.2023 N 13-38 "Об организации обработки и обеспечении безопасности персональных данных в Министерстве здравоохранения Пензенской области" (с изменениями и дополнениями)

Приложение N 1
Утверждено
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

Положение об обработке и защите персональных данных в Министерстве здравоохранения Пензенской области

1. Общие положения

1.1. В настоящем Положении об обработке и защите персональных данных в Министерстве здравоохранения Пензенской области (далее - Положение) используются основные понятия и термины, определённые Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями), от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации".

1.2. Настоящее Положение устанавливает порядок обработки и защиты персональных данных в Министерстве здравоохранения Пензенской области (далее - Министерство).

1.3. Настоящее Положение разработано в соответствии с:

- Конституцией Российской федерации;

- Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- Трудовым кодексом Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Кодексом об административных правонарушениях Российской Федерации;

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации" (с последующими изменениями);

- Федеральным законом от 27.07.2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (с последующими изменениями);

- постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (с последующими изменениями);

- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями).

1.4. Обработка персональных данных в Министерстве осуществляется на основе принципов, определенных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).

1.5. Ответственным подразделением по разработке и выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Министерства и координации работ по защите конфиденциальной информации определен сектор защиты информации отдела мобилизационной подготовки.

1.6. В структурных подразделениях Министерства порядок обработки и защиты персональных данных в части работы с обращениями граждан организуется в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (с последующими изменениями) и настоящим Положением.

2. Условия сбора и обработки персональных данных

2.1. Сбор персональных данных может осуществляться, как путем предоставления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники, допущенные к обработке персональных данных, должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

2.2. Обработка персональных данных в Министерстве должна осуществляться с согласия субъектов персональных данных по формам, приведенным в приложениях NN 1, 2 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).

2.3. Министерству запрещается получать, обрабатывать не установленные федеральными законами персональные данные субъекта о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах. Обработка указанных персональных данных возможна только с письменного согласия либо в случаях, предусмотренных федеральными законами.

2.4. Государственные гражданские служащие Министерства, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, приведенной в приложении N 3 к настоящему Положению.

3. Условия и порядок обработки персональных данных государственных гражданских служащих Министерства и лиц, замещающих должности руководителей подведомственных Министерству учреждений

3.1. Обработка персональных данных государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, ведется в соответствии с:

- Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);

- Постановлением Губернатора Пензенской области от 15.05.2010 N 46 "Об организации работы с персональными данными государственных гражданских служащих Правительства пензенской области и государственных гражданских служащих исполнительных органов государственной власти Пензенской области, назначаемых на должность и освобождаемых от должности Губернатором Пензенской области";

- приказом Министерства здравоохранения Пензенской области от 13.05.2015 N 107 "Об организации работы с персональными данными государственных гражданских служащих Министерства здравоохранения Пензенской области".

3.2. Обработка персональных данных государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, осуществляется в секторе кадровой работы отдела государственной службы, профилактики коррупционных проявлений, юридической работы и наград управления делами Министерства (далее - кадровое подразделение) в целях обеспечения кадровой работы, в том числе:

- в целях прохождения государственной службы;

- формирования кадрового резерва государственной гражданской службы;

- обучения и должностного роста;

- учета результатов исполнения государственными служащими Министерства должностных обязанностей;

- обеспечения государственным служащим Министерства установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

3.3. Перечень должностных лиц, допущенных к пользованию личными делами, которые ведутся кадровым подразделением, определяется приказом Министерства.

3.4. Перечень обрабатываемых в Министерстве персональных данных государственных гражданских служащих Министерства и лиц, замещающих должности руководителей подведомственных Министерству учреждений приведен в приложении N 4 к настоящему Положению.

3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений осуществляется путем:

- получения персональных данных непосредственно от субъекта;

- получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение Министерства);

- копирования оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- формирования персональных данных в ходе кадровой работы.

3.6. При сборе персональных данных сотрудник кадрового подразделения Министерства, осуществляющий сбор (получение) персональных данных непосредственно от субъекта, обязан разъяснить ему юридические последствия отказа в предоставлении персональных данных.

3.7. Персональные данные, содержащиеся в личных делах государственных служащих Министерства и руководителей подведомственных Министерству учреждений, хранятся в кадровом подразделении Министерства в течение десяти лет, с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации.

4. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций

4.1. В Министерстве обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

4.2. Персональные данные граждан, обратившихся в Министерство лично, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

4.3. Перечень персональных данных, обрабатываемых в Министерстве, приведен в приложении N 5 к настоящему Положению.

4.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется структурными подразделениями Министерства, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных физических лиц, обратившихся в Министерство для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

- получения оригиналов необходимых документов (заявление);

- получения копий документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях).

4.6. При предоставлении Министерством государственной услуги или исполнении государственной функции запрещается запрашивать у субъектов персональных данных у третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

4.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Министерства, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

4.8. Передача (распространение, предоставление) Министерством и использование персональных данных заявителей (субъектов персональных данных) осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

5. Требования к защите персональных данных в информационных системах Министерства здравоохранения Пензенской области

5.1. Государственным служащим Министерства, имеющим право осуществлять обработку персональных данных в информационных системах Министерства (далее - ИСПДн), предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами государственных гражданских служащих Министерства.

5.2. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Министерства, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

5.2.1. определение угроз безопасности персональных данных при их обработке в ИСПДн;

5.2.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

5.2.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

5.2.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5.2.5. учет машинных носителей персональных данных;

5.2.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

5.2.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

5.2.8. установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;

5.2.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности ИСПДн.

5.3. В случае выявления нарушений порядка обработки персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

6. Сроки обработки и хранения персональных данных

6.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

6.2. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.3. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

6.4. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Министерство в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

6.5. Персональные данные, предоставляемые субъектами в связи с предоставлением Министерством государственных услуг и исполнением государственных функций, хранятся в структурных подразделениях Министерства, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции.

6.6. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

6.7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

6.8. Контроль за хранением и использованием материальных носителей персональных данных, исключающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Министерства.

7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

7.1. Руководитель структурного подразделения, в котором ведется обработка персональных данных, осуществляет систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения.

7.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании постоянно действующей экспертной комиссии, состав которой утверждается приказом Министерства.

7.3. По итогам заседания составляются протокол и акт уничтожения документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем, членами комиссии и утверждается руководителем Министерства.

7.4. По окончании процедуры уничтожения, составляется соответствующий акт об уничтожении документов, содержащих персональные данные.

7.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления.