Приложение N 11. Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные. Приказ Комитета по здравоохранению Псковской области от 01.09.2023 N 842 "Об утверждении типовых форм организационно-распорядительной документации по организации обработки и защите информации, в том числе по работе с персональными данными"

Приложение N 11
к приказу
<наименование учреждения здравоохранения>
от __________ N _____

Инструкция
об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные

1. Настоящая Инструкция устанавливает организацию учета, хранения и выдачи машинных носителей, содержащих персональные данные <наименование учреждения здравоохранения>.

2. Учет, хранение и выдачу машинных носителей, содержащих персональные данные, осуществляют ответственные за организацию обработки персональных данных. Данные сотрудники несут личную ответственность за сохранность персональных данных.

3. Организация учета машинных носителей персональных данных.

Все находящиеся на хранении и в обращении машинные носители, содержащие персональные данные (далее - машинные носители) подлежат учету. Учет всех видов и типов машинных носителей производится в Журнале учета машинных носителей информации. Форма журнала учета машинных носителей информации приведена в приложении N 1 к настоящей инструкции.

4. Организация выдачи машинных носителей

При получении или возврате машинных носителей ответственным за организацию обработки персональных данных делаются соответствующие записи в Журнале учета машинных носителей информации.

5. Организация хранения машинных носителей

Хранение машинных носителей осуществляется в условиях, исключающих несанкционированное копирование, изменение или уничтожение информации, а также хищение машинных носителей. Машинные носители должны храниться в служебных помещениях, в металлическом хранилище (сейфе) в установленном порядке. Запрещается хранить машинные носители на рабочих столах либо оставлять их без присмотра или передавать на хранение другим лицам.

6. В случае утраты машинных носителей либо разглашения, содержащихся в них сведений, ответственный за организацию обработки персональных данных немедленно ставит в известность ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных. При утрате машинных носителей производится служебное расследование. Соответствующие отметки вносятся в Журнале учета машинных носителей информации.

Для проведения служебного расследования <должность руководителя> <наименование учреждения здравоохранения> назначает комиссию, в состав которой входят не заинтересованные в исходе дела компетентные сотрудники <наименование учреждения здравоохранения> либо приглашенные специалисты. Комиссия состоит из трех - четырех человек, которые имеют отношение к персональным данным и допущены в соответствующем порядке.

Комиссия по проведению служебного расследования обязана:

- определить обстоятельства, при которых имело место утраты;

- содействовать розыску утраченных машинных носителей;

- выявить всех виновных лиц в утрате машинных носителей;

- выявить причины, которые способствуют утрате машинных носителей;

- выявить условия, при которых имело или может иметь место утрата машинных носителей;

- выработать рекомендации по устранению всех возможных рисков, связанных с потерей машинных носителей.

Членам комиссии при проведении расследования не запрещается:

- проводить досмотр местности, помещений, предметов мебели, канцелярских принадлежностей, где потенциально возможно нахождение машинных носителей;

- проверять все существующие машинные носители;

- вести опрос сотрудников, которые могут иметь возможность или мотивы для утраты машинных носителей, а также все возможных работников, которые могут оказать содействие в установлении обстоятельств утраты машинных носителей.

Служебное расследование необходимо проводить не более месяца. Прекращение розыска утраченных машинных носителей может быть прекращено только в случаях:

- исчерпания всех возможных мер розыска;

- внесена ясность в происшедшее;

- выявлены виновные.

Решение о завершении или приостановлении расследования утверждается <должность руководителя> <наименование учреждения здравоохранения>.

По завершении служебного расследования комиссии необходимо представить <должность руководителя> <наименование учреждения здравоохранения> следующие документы:

- выводы о результатах проведенного служебного расследования;

- письменные объяснения лиц, которых опрашивали члены комиссии;

- акты проверок наличия машинных носителей, осмотра и проверки служебных помещений, хранилищ и т.п.;

- другие документы, имеющие отношение к служебному расследованию.

7. Машинные носители, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. По результатам уничтожения машинных носителей составляется Акт уничтожения машинных носителей, содержащих персональные данные.

8. При передаче средств вычислительной техники РМИС Псковской области сторонним организациям для проведения ремонтно-восстановительных или иных работ, машинные носители, изымаются из состава средств вычислительной техники.

9. При увольнении ответственного за организацию обработки персональных данных, составляется акт приема-передачи машинных носителей, который утверждается <должность руководителя> <наименование учреждения здравоохранения>.

10. Ответственность за сохранность машинных носителей, при выполнении непосредственных работ с носителями, несет пользователь РМИС Псковской области.

11. Контроль выполнения пользователями установленных правил учета, хранения и выдачи машинных носителей, содержащих персональных данных, осуществляет ответственный за организацию обработки персональных данных и ответственный за обеспечение безопасности персональных данных в рамках своих должностных обязанностей.