Приложение N 6. Правила обработки персональных данных в Министерстве здравоохранения Пензенской области. Приказ Министерства здравоохранения Пензенской области от 28.03.2023 N 13-38 "Об организации обработки и обеспечении безопасности персональных данных в Министерстве здравоохранения Пензенской области" (с изменениями и дополнениями)

Приложение N 6
Утверждены
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

Правила обработки персональных данных в Министерстве здравоохранения Пензенской области

1. Общие положения

1.1. Настоящими Правилами обработки персональных данных в Министерстве здравоохранения Пензенской области (далее - Министерство) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Настоящие Правила разработаны в соответствии с требованиями следующих законодательных и нормативных актов:

- Конституция Российской федерации;

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);

- Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (с последующими изменениями);

- постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "о персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.3. В настоящих Правилах используются основные понятия и термины, определённые Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).

2. Условия и порядок обработки персональных данных государственных гражданских служащих Министерства

2.1. Персональные данные государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным гражданским служащим Министерства в прохождении государственной гражданской службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения государственными гражданскими служащими Министерства должностных обязанностей, лиц, замещающих должности руководителей подведомственных Министерству учреждений, и членов их семей, обеспечения государственным гражданским служащим Министерства установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

2.2. В целях, указанных в пункте 2.1 настоящих Правил, обрабатываются следующие категории персональных данных государственных служащих Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, а также граждан, претендующих на замещение должностей руководителей подведомственных Министерству учреждений (далее - Субъекты персональных данных):

2.2.1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

2.2.2. число, месяц, год рождения;

2.2.3. место рождения;

2.2.4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

2.2.5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

2.2.6. адрес места жительства (адрес регистрации, фактического проживания);

2.2.7. номер контактного телефона или сведения о других способах связи;

2.2.8. реквизиты страхового свидетельства государственного пенсионного страхования;

2.2.9. идентификационный номер налогоплательщика;

2.2.10. реквизиты страхового медицинского полиса обязательного медицинского страхования;

2.2.11. реквизиты свидетельства государственной регистрации актов гражданского состояния;

2.2.12. семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

2.2.13. сведения о трудовой деятельности;

2.2.14. сведения о воинском учете и реквизиты документов воинского учета;

2.2.15. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

2.2.16. сведения об ученой степени;

2.2.17. информация о владении иностранными языками, степень владения;

2.2.18. медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

2.2.19. фотография;

2.2.20. сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;

2.2.21. информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

2.2.22. информация о классном чине государственной гражданской службы Пензенской области (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

2.2.23. информация о наличии или отсутствии судимости;

2.2.24. информация об оформленных допусках к государственной тайне;

2.2.25. государственные награды, иные награды и знаки отличия;

2.2.26. сведения о профессиональной переподготовке и (или) повышении квалификации;

2.2.27. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

2.2.28. сведения о доходах, об имуществе и обязательствах имущественного характера;

2.2.29. номер расчетного счета;

2.2.30. номер банковской карты;

2.2.31. иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1. настоящих Правил.

2.3. Обработка персональных данных, биометрических персональных данных, специальных категорий персональных данных Субъекта персональных данных, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1. настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 и с подпунктом 2.3. пункта 2 части 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и положениями Федерального закона от 27.05.2003 N 58-ФЗ "О системе государственной службы Российской Федерации", Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации.

2.4. Обработка персональных данных Субъекта персональных данных осуществляется при условии получения согласия указанных лиц в следующих случаях:

2.4.1. при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;

2.4.2. при трансграничной передаче персональных данных;

2.4.3. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

2.5. Обработка персональных данных Субъекта персональных данных, осуществляется отделом государственной службы, профилактики коррупционных проявлений, юридической работы и наград управления делами Министерства (далее - кадровое подразделение Министерства) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Субъектов персональных данных, осуществляется путем:

2.6.1. получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение Министерства);

2.6.2. копирования оригиналов документов;

2.6.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

2.6.4. формирования персональных данных в ходе кадровой работы;

2.6.5. внесения персональных данных в информационные системы Министерства, используемые кадровым подразделением Министерства.

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от Субъекта персональных данных.

2.8. В случае возникновения необходимости получения персональных данных Субъекта персональных данных у третьей стороны, следует известить об этом государственного служащего либо лицо, замещающее должность руководителя подведомственного Министерству учреждения, заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

2.9. Запрещается получать, обрабатывать и приобщать к личному делу Субъекта персональных данных персональные данные, не предусмотренные пунктом 2.2. настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.10. При сборе персональных данных сотрудник кадрового подразделения Министерства, осуществляющий сбор (получение) персональных данных непосредственно от Субъекта персональных данных, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

3. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций

3.1. В Министерстве обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

3.2. Персональные данные граждан, обратившихся в Министерство лично, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

3.3. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется структурными подразделениями Министерства, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Министерство для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

3.4.1. получения оригиналов необходимых документов (заявление);

3.4.2. заверения копий документов;

3.4.3. внесения сведений в учетные формы (на бумажных и электронных носителях).

3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

3.6. При предоставлении Министерством государственной услуги или исполнении государственной функции запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

3.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Министерства, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

3.8. Передача (распространение, предоставление) Министерством и использование персональных данных заявителей (субъектов персональных данных) осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

4. Порядок обработки персональных данных субъектов персональных данных в информационных системах

4.1. Государственным служащим Министерства, имеющим право осуществлять обработку персональных данных в информационных системах Министерства (далее - ИСПДн), предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами государственных гражданских служащих Министерства.

4.2. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Министерства, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

4.2.1. определение угроз безопасности персональных данных при их обработке в ИСПДн;

4.2.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

4.2.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4.2.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4.2.5. учет машинных носителей персональных данных;

4.2.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

4.2.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

4.2.8. установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;

4.2.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности ИСПДн.

4.3. В случае выявления нарушений порядка обработки персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

5. Сроки обработки и хранения персональных данных

5.1. Сроки обработки и хранения персональных данных Субъектов персональных данных, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных государственных служащих:

5.1.1. персональные данные, содержащиеся в приказах по личному составу государственных гражданских служащих Министерства (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Министерства в течение двух лет, с последующим формированием и передачей указанных документов в архив Министерства, где хранятся в течение 50 лет;

5.1.2. персональные данные, содержащиеся в личных делах государственных служащих Министерства и руководителей подведомственных Министерству учреждений, а также личных карточках государственных гражданских служащих Министерства, хранятся в кадровом подразделении Министерства, с последующим формированием и передачей указанных документов в архив Министерства, где хранятся в течение 10 лет;

5.1.3. персональные данные, содержащиеся в приказах о материальной помощи государственных гражданских служащих Министерства, подлежат хранению в кадровом подразделении Министерства в течение 5 лет;

5.1.4. персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях государственных гражданских служащих Министерства, подлежат хранению в кадровом подразделении Министерства в течение пяти лет с последующим уничтожением;

5.1.5. Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной службы в Министерстве, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Министерства в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.

5.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Министерство в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 4.1. настоящих Правил, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

5.3. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет в архиве Министерства.

5.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Министерством государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях Министерство, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Министерства.

5.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.

5.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Министерства.

5.8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

5.9. Руководитель структурного подразделения, в котором ведется обработка персональных данных, осуществляет систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения.

5.10. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии по уничтожению документов с персональными данными, состав которой утверждается приказом Министерства.

5.11. По итогам заседания составляются протокол и акт уничтожения документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем, членами комиссии и утверждается руководителем Министерства.

5.12. По окончании процедуры уничтожения, составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.

Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.