Приложение. Политика в отношении обработки и защиты персональных данных в департаменте здравоохранения Вологодской области. Приказ Департамента здравоохранения Вологодской области от 29.12.2014 N 520 "Об утверждении Политики в отношении обработки и защиты персональных данных в департаменте здравоохранения Вологодской области" (с изменениями и дополнениями)

УТВЕРЖДЕНА

приказом департамента

здравоохранения области

от 29.12.2014 N 520

(приложение)

Политика в отношении обработки и защиты персональных данных в департаменте здравоохранения Вологодской области
(далее - Политика)

С изменениями и дополнениями от:

14 апреля 2020 г., 17 января 2023 г.

1. Общие положения

1. Департамент здравоохранения Вологодской области (далее - департамент) при осуществлении своей деятельности по исполнению возложенных на него полномочий (функций) обеспечивает выполнение комплекса правовых, организационных и технических мер, направленных на защиту персональных данных физических лиц, в соответствии с требованиями законодательства Российской Федерации по защите информации.

1.1. Настоящая Политика определяет основные положения обработки и защиты персональных данных, реализуемые при обработке персональных данных в департаменте.

1.2. Целью принятия Политики является выполнение требований законодательства в области защиты персональных данных.

1.3. Целью обеспечения защиты персональных данных является обеспечение защиты прав и свобод субъекта персональных данных, в том числе минимизация ущерба, возникающего вследствие возможной реализации угроз безопасности персональных данных.

1.4. Действие настоящей Политики распространяется на персональные данные, обрабатываемые в департаменте с применением средств автоматизации и без применения таких средств.

1.5. Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в Федеральном законе от 27 июля 2006 года N 152-ФЗ "О персональных данных".

2. Принципы и цели обработки персональных данных

2.1. Обработка персональных данных в департаменте осуществляется на основе принципов законности и справедливости и ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Персональные данные, цели обработки которых несовместимы между собой, обрабатываются департаментом в различных базах данных, содержание и объем персональных данных соответствуют заявленным целям обработки.

2.3. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица департамента должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

2.4. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, если иное не предусмотрено действующим законодательством.

2.5. Департамент и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Информация об изменениях:

Пункт 2.6 изменен. - Приказ Департамента здравоохранения Вологодской области от 14 апреля 2020 г. N 189

См. предыдущую редакцию

2.6. Персональные данные обрабатываются в целях реализации полномочий (функций) департамента, в том числе:

- рассмотрение обращений физических лиц;

- подготовка наградных документов и учет граждан, награжденных государственными наградами, наградами Губернатора области и наградами департамента;

- направление граждан на целевое обучение в высшие учебные заведения;

- предоставление мер социальной поддержки в виде ежемесячной денежной выплаты студентам, заключившим договоры о целевом обучении;

- предоставление мер социальной поддержки в виде ежемесячной денежной выплаты лицам, обучающимся в ординатуре по специальностям, определенным Правительством области;

- предоставление единовременных и единовременных компенсационных выплат медицинским работникам, в случаях предусмотренных законами области;

- предоставление гражданам компенсации расходов на оплату обучения по программам ординатуры;

- лицензирование соискателей лицензий и лицензиатов;

- ведение регионального сегмента Федерального регистра лиц, страдающих орфанными заболеваниями;

- ведение регионального сегмента Федерального регистра лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, злокачественными новообразованиями лимфоидной, кроветворной и родственных им тканей, рассеянным склерозом, гемолитико-уремическим синдромом, юношеским артритом с системным началом, мукополисахаридозом I, II и VI типов, апластической анемией неуточненной, наследственным дефицитом факторов II (фибриногена), VII (лабильного), X (Стюарта - Прауэра), лиц после трансплантации органов и (или) тканей;

- организация и проведение конкурсов "Лучший врач года", "Лучший фармацевтический работник года", конкурса профессионального мастерства среди специалистов со средним медицинским образованием;

- предоставление субсидии юридическим лицам, оказывающим услуги по санаторно-курортному лечению в целях возмещение затрат на санаторно-курортное лечение работников бюджетной сферы.

Информация об изменениях:

Наименование изменено. - Приказ Департамента здравоохранения Вологодской области от 14 апреля 2020 г. N 189

См. предыдущую редакцию

3. Порядок и сроки обработки персональных данных

Информация об изменениях:

Пункт 3.1 изменен. - Приказ Департамента здравоохранения Вологодской области от 14 апреля 2020 г. N 189

См. предыдущую редакцию

3.1. В департаменте обрабатываются персональные данные лиц, претендующих на замещение должностей государственной гражданской службы области и иных должностей в департаменте, руководителей государственных учреждений области, функции и полномочия учредителя которых осуществляет департамент, лиц, замещающих данные должности в департаменте, их близких родственников, а также иных физических лиц, персональные данные которых представлены в департамент (далее - субъекты персональных данных).

3.2. Документы, содержащие персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.

3.3. Использование персональных данных осуществляется с момента их получения оператором и прекращается:

- по достижении целей обработки персональных данных;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

3.4. Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел департамента.

Информация об изменениях:

Раздел 3 дополнен пунктом 3.5. - Приказ Департамента здравоохранения Вологодской области от 17 января 2023 г. N 29

3.5. Официальный сайт департамента: https://depzdrav.gov35.ru (далее - сайт) использует файлы cookies.

Виды cookies:

обязательные - необходимые в процессе использования сайтом, без которых сайт либо часть его функционала окажутся неработоспособными;

функциональные - позволяющие настраивать сайт под пользователя.

Обработка файлов cookie осуществляется в обобщенном виде и не соотносится с личными сведениями пользователя.

Посещая сайт департамента, пользователь сайта дает согласие на обработку файлов cookies.

В случае отказа от обработки файлов cookie пользователю сайта необходимо прекратить использование сайта или отключить использование файлов cookie в настройках браузера, при этом некоторые функции сайта могут стать недоступными.

4. Права и обязанности субъекта персональных данных

4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения департамента, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с департаментом или на основании законодательства;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.

4.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

4.3. Субъект персональных данных вправе требовать от департамента уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Сведения, указанные в пункте 4.1 раздела 4 Политики, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4.5. Если субъект персональных данных считает, что департамент осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие департамента в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

4.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4.7. Субъект персональных данных обязан:

- передавать департаменту достоверные, документированные персональные данные, состав которых установлен законодательством;

- своевременно сообщать специалистам департамента, уполномоченным на получение, обработку, хранение, передачу и любое другое использование персональных данных, об изменении своих персональных данных.

5. Права и обязанности специалистов департамента, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных при обработке персональных данных

5.1. Специалисты департамента, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны:

- знать и выполнять требования законодательства в области обеспечения защиты персональных данных;

- хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

5.2. При обработке персональных данных специалистам департамента, уполномоченным на получение, обработку, хранение, передачу и любое другое использование персональных данных запрещается:

- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.

5.3. Специалисты департамента, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных имеют право:

- предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных, а также в других случаях предусмотренных действующим законодательством;

- продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных законодательством;

- мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.

5.4. Ответственность специалистов департамента, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных:

- виновные в нарушении требований законодательства в области защиты персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

6. Меры, принимаемые для защиты персональных данных

Информация об изменениях:

Пункт 6 изменен. - Приказ Департамента здравоохранения Вологодской области от 14 апреля 2020 г. N 189

См. предыдущую редакцию

6. Департамент для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие меры:

- назначение лиц, ответственных за организацию обработки персональных данных в департаменте;

- издание настоящей Политики, а также разработка иной документации по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений;

- применение необходимых для выполнения законодательства в области защиты информации организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства о персональных данных и принятым в соответствии с ним нормативным правовым актам и требованиям к защите персональных данных;

- ознакомление работников департамента, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- учет машинных носителей персональных данных;

- восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;

- разграничение доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными обязанностями;

- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;

- ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также где хранятся носители информации;

- соблюдение работниками, допущенными к обработке персональных данных субъектов, требований, установленных законодательством Российской Федерации в области персональных данных и локальными нормативными актами департамента.

7. Заключительные положения

7.1. Во исполнение части 2 статьи 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" настоящая Политика опубликована на официальном сайте департамента (http://depzdrav.gov35.ru/).

7.2. Департамент оставляет за собой право вносить изменения в настоящую Политику (во все ее разделы и преамбулу, а также в наименование).

7.3. Иные локальные нормативные акты департамента должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.