Приложение N 4. Инструкция сотрудника Министерства здравоохранения Приморского края по обработке персональных данных. Приказ Министерства здравоохранения Приморского края от 05.07.2023 N 18/пр/1066 "Об утверждении организационно-распорядительной документации в области обеспечения безопасности персональных данных при их обработке в министерстве здравоохранения Приморского края" (с изменениями и дополнениями)

Приложение N 4
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066

Инструкция
сотрудника Министерства здравоохранения Приморского края по обработке персональных данных

1. Общие положения

1.1. Настоящая Инструкция разработана с учетом положений законодательных и нормативно-правовых актов:

1.1.1. Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

1.1.2. Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информатизации и защите информации";

1.1.3. Федерального закона от 21 ноября 2011 года N 323-ФЗ "Об основах охраны здоровья граждан Российской Федерации";

1.1.4. Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

1.1.5. Постановления Правительства Российской Федерации от 01.11.2012 N 17 "Об утверждении "Требований к защите персональных данных при их обработке в информационных системах персональных данных";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного постановления Правительства Российской Федерации следует читать как "N 1119"

1.1.6. Постановления Правительства РФ от 15.09.2008 N 687 об утверждении "Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

1.2. Персональные данные в электронном виде обрабатывается в информационных системах персональных данных. Также устанавливается особый порядок обработки и хранения персональных данных, содержащихся на бумажных носителях.

1.3. Персональные данные относятся к конфиденциальной информации. Должностные лица, уполномоченные на обработку персональных данных обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

2. Термины и определения

2.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, относящаяся прямо или косвенно к субъекту персональных данных.

2.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Информационная система персональных данных - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.6. Неавтоматизированная обработка персональных данных (без применения средств автоматизации) - обработка персональных данных, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

2.7. Материальный носитель, содержащий персональные данные - бумажные носители либо электронные носители информации о персональных данных (магнитные и оптические (CD и DVD) накопители, съемные жесткие диски, флэш-накопители), применяемые для создания резервных копий информации, хранения или переноса информации), в виде текста, фотографии и (или) их сочетания.

3. Порядок обработки персональных данных при автоматизированной обработке персональных данных

3.1. Сотрудник министерства здравоохранения Приморского края, осуществляющий обработку персональных данных (далее - оператор ПНд) выполняет только те действия, которые необходимы для достижения цели обработки персональных данных и только в рамках должностного регламента. Любые посторонние действия запрещены.

3.2. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

3.3. Оператору ПНд запрещено использовать личные технические средства (ноутбуки, смартфоны, планшеты, фотокамеры, флеш-носители, съемные жесткие диски и пр.) для несанкционированного копирования, фотографирования, распространения и передачи защищаемой информации.

3.4. Оператор ПНд визуально контролирует целостность технических средств на своем рабочем месте (отсутствие попыток физического вскрытия системного блока и пр.). При подозрении на нарушение целостности технических средств своего автоматизированного рабочего места (далее - АРМ). Оператор сообщает об этом ответственному за организацию обработки персональных данных. Оператору ПНд запрещен самостоятельный ремонт технических средств, а также привлечение посторонних лиц для такого ремонта.

3.5. Оператору ПНд запрещено изменение источника загрузки своего автоматизированного рабочего места и загрузка АРМ с внешних носителей.

3.6. Оператору ПНд запрещается самостоятельная установка любого программного обеспечения, даже необходимого для выполнения своих служебных обязанностей.

3.7. Оператору ПНд, имеющим право осуществлять обработку персональных данных в информационных системах предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренным должностным регламентом.

3.8. В целях блокирования возможности несанкционированного ознакомления с защищаемой информацией на экране монитора, оператор ПНд должен блокировать сеанс работы при покидании рабочего места более чем на 5 минут. Блокировка сеанса работы производится нажатием клавиш Win + L.

3.9. Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющихся гражданскими служащими Министерства, возможно только в присутствии гражданского служащего, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов связанных с функциями предусмотренными должностным регламентом.

3.10. Оператору ПНд запрещено записывать и хранить пароли в местах, доступных для просмотра посторонним лицам (на отдельных листах бумаги, в не запираемой тумбе, под клавиатурой, на мониторе и т.п.).

3.11. При вводе пароля оператор ПНд должен удостовериться, что при вводе пароля никто не наблюдает за процессом его ввода.

3.12. Оператору ПНд запрещено разглашать другим пользователям свой пароль, в том числе ответственному за организацию обработки персональных данных.

3.13. Оператору ПНд запрещено оставлять без присмотра персональный идентификатор (электронный цифровой ключ).

3.14. При подозрении на компрометацию пароля или иной идентификационной информации, оператор ПНд должен незамедлительно сообщить об этом ответственному за организацию обработки персональных данных.

3.15. При работе в информационных системах персональных данных, в целях противодействию несанкционированному просмотру защищаемой информации с экрана монитора, оператор ПНд обязан:

3.15.1. Сворачивать окна, в котором отображена защищаемая информация или блокирование сеанса при нахождении посторонних лиц вблизи АРМ с фронтальной стороны монитора;

3.15.2. Ориентировать монитор задней частью к дверным проемам и окнам;

3.15.3. В случае вынужденной ориентации монитора фронтальной частью к окну, оператор ПНд во время работы с защищаемой информацией закрывает шторы, жалюзи или рольставни.

3.16. По окончании обработки персональных данных в информационной системе персональных данных, оператор ПНд должен выйти из информационной системы, а по окончании рабочего дня выключить компьютер.

4. Порядок обработки персональных данных при неавтоматизированной обработке персональных данных

4.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

4.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

4.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации.

4.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

4.4.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

4.4.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

4.4.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4.4.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

4.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

4.5.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

4.5.2. При необходимости уничтожения или блокирования части персональных данных, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

4.7. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

4.8. Материальные носители с персональными данными должны храниться в запирающихся на ключ помещениях, металлических шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции.

4.9. Руководитель подразделения, в котором обрабатываются персональные данные без использования средств автоматизации:

4.9.1. Принимает все необходимые организационные и технические меры, исключающие возможность несанкционированного доступа к материальным носителям персональных данных лиц, не допущенных к их обработке;

4.9.2. Определяет места хранения персональных данных (материальных носителей);

4.9.3. Организует раздельное хранение материальных носителей персональных данных (документов, дисков, USB флеш-накопителей), обработка которых осуществляется в различных целях.

4.10. Оператор ПНд при работе с материальными носителями, содержащими персональные данные обязан:

4.10.1. Исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения);

4.10.2. Принять все возможные меры, исключающие утрату (утерю, хищение) таких материальных носителей при их выносе по служебной необходимости за пределы помещения, в котором проводится обработка персональных данных;

4.10.3. При утрате (утере, хищении) документов, содержащих персональные данные, доложить о данном факте руководителю подразделения.

4.11. По факту утраты (утере, хищении) материальных носителей, содержащих персональные данные, руководитель подразделения докладывает руководителю Министерства и сообщает ответственному за организацию обработки персональных данных в Министерстве. По каждому такому факту назначается служебное расследование.

4.12. Оператору ПНд при работе с материальными носителями, содержащими персональные данные запрещается:

4.12.1. Сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям;

4.12.2. Делать неучтенные копии документов, содержащих персональные данные;

4.12.3. Оставлять документы, содержащие персональные данные, на рабочих столах без присмотра;

4.12.4. Покидать помещение, не поместив документы с персональными данными в закрываемые сейфы, шкафы;

4.12.5. Выносить документы, содержащие персональные данные, из помещений без служебной необходимости.

5. Ответственность

5.1. Ответственность за выполнение требований настоящей Инструкции возлагается на операторов ПНд, обрабатывающих персональные данные и их руководителей.

5.2. Контроль за выполнением положений настоящей Инструкции возлагается на ответственного за организацию обработки персональных данных в Министерстве.

5.3. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.