Приложение N 1. Положение об обработке и защите персональных данных в Министерстве здравоохранения Республики Карелия. Приказ Министерства здравоохранения Республики Карелия от 03.06.2019 N 653 "Об обработке и защите персональных данных в Министерстве здравоохранения Республики Карелия" (документ утратил силу)

Приложение N 1
к приказу Министерства
здравоохранения
Республики Карелия
от 03 июня 2019 г. N 653

Положение
об обработке и защите персональных данных в Министерстве здравоохранения Республики Карелия

1. Общие положения.

1.1. Настоящее Положение об обработке и защите персональных данных в Министерстве здравоохранения Республики Карелия (далее - Положение) имеет своей целью закрепление механизмов обеспечения прав граждан, государственных гражданских служащих Министерства здравоохранения Республики Карелия, лица, замещающие должность руководителя учреждения, подведомственного Министерству здравоохранения Республики Карелия (далее - Субъект) на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах их жизни.

1.2. Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных Субъектов в Министерстве здравоохранения Республики Карелия (далее - Министерство) в соответствии с законодательством Российской Федерации и гарантии конфиденциальности предоставленных сведений о Субъектах.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.4. Оператором персональных данных (далее - Оператор) является Министерство.

1.5. Настоящее Положение не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2. Основные понятия.

2.1. Понятия, используемые в настоящем Положении, применяются в значениях, определенных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", а также:

защита персональных данных - защита от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

матрица доступа - таблица, отображающая правила разграничения доступа пользователей к ресурсам информационной системы;

материальные носители информации - бумага или электронные съемные носители информации (жесткие диски, флэш-накопители, флэш-память, лазерные диски);

представитель Субъекта - физическое лицо, обладающее законным правом представлять Субъекта в случае его недееспособности, несовершеннолетия или в иных, установленных федеральными законами случаях;

информационная система персональных данных или государственная информационная система (далее - ИСПДн/ГИС) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.2. В Министерстве обрабатываются персональные данные:

2.2.1. граждан:

- фамилия, имя, отчество;

- пол;

- год, месяц, число и место рождения;

- сведения о гражданстве;

- паспортные данные;

- информация, содержащаяся в страховом пенсионном свидетельстве;

- информация о полисе обязательного медицинского страхования;

- сведения о составе семьи;

- сведения о состоянии здоровья, наличии инвалидности;

- номер телефона;

- адрес регистрации, адрес места жительства, адрес временной регистрации;

- другие, предусмотренные законодательством Российской Федерации, персональные данные;

- 2.2.2. государственных гражданских служащих, замещающих должности государственной гражданской службы Республики Карелия в Министерстве, лиц, замещающих должность руководителя учреждения, подведомственного Министерству, а также граждан, подающих документы для участия в конкурсе на замещение должности государственной гражданской службы и представляющих документы при назначении на должность:

- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

- пол;

- год, месяц, число и место рождения;

- сведения о гражданстве;

- паспортные данные;

- сведения о паспорте гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- сведения о воинской обязанности и воинском учете;

- сведения о предыдущем(-их) месте(-ах) работы и (или) службы;

- сведения о трудовом и общем стаже;

- информация о трудовой деятельности;

- семейное положение;

- сведения о составе семьи;

- сведения об основном месте работы или службы, занимаемой должности супруги (супруга) и несовершеннолетних детей, в случае отсутствия основного места работы ли службы - род занятий;

- сведения о близких родственниках (в том числе бывших);

- социальное и имущественное положение;

- сведения о заработанной плате, иных выплатах, связанных с оплатой труда;

- сведения о банковском счете, на который перечисляется денежное содержание и иные выплаты, связанные с оплатой труда с указанием наименования банка, БИК банка, ИНН банка, корреспондентского счета банка;

- сведения о социальных гарантиях;

- информация о полисе обязательного медицинского страхования;

- адрес места жительства, адрес места регистрации, в случае переездов - адреса в других республиках, краях, областях, странах;

- номера личных телефонов или сведения о других способах связи;

- содержание служебного контракта;

- информация, содержащаяся в страховом пенсионном свидетельстве;

- информация об идентификационном номере налогоплательщика;

- информация, содержащаяся в свидетельствах государственной регистрации актов гражданского состояния;

- сведений о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;

- информация о владении иностранными языками, степень владения;

- сведения о пребывании за границей;

- сведения о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий;

- сведения о награждении государственными наградами Республики Карелия;

- сведения о поощрениях;

- сведения о применении дисциплинарного взыскания до его снятия или отмены;

- сведения о служебных проверках, их результатах,

- сведения об отстранении от замещаемой должности гражданской службы;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера супруга (супруги) и несовершеннолетних детей;

- сведения о счетах в банках и иных кредитных организациях;

- сведения о ценных бумагах;

- информация о наличии или отсутствии судимости, в том числе близких родственников;

- информация об оформленных допусках к государственной тайне;

- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

- сведения о командировках;

- сведения о классных чинах, военных и специальных званиях;

- сведения о прохождении и результатах аттестации;

- сведения о соблюдении установленных законом ограничений, запретов, требований к служебному поведению;

- сведения об исполнении обязанностей гражданского служащего;

- сведения о кредитах и займах (размер и срок погашения);

- сведения, содержащиеся в листках нетрудоспособности;

- сведения о наличии обязательств по исполнительным листам;

- сведения о прохождении диспансеризации;

- сведения об отсутствии заболевания, препятствующего поступлению на гражданскую службу или ее прохождению (о состоянии здоровья для лиц, замещающих должности руководителя учреждения, подведомственного Министерству);

- данные об изображении лица;

- другие, предусмотренные законодательством Российской Федерации, персональные данные.

3. Порядок обработки персональных данных.

3.1. Общие требования при обработке персональных данных:

3.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе в целях обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

3.1.2. При обработке персональных данных должны быть обеспечены их точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки.

3.1.3. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда Субъекту, затруднения реализации прав и свобод Субъекта. При принятии решений, затрагивающих интересы Субъекта, порождающих юридические последствия, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного отправления, если иное не предусмотрено федеральным законом.

3.1.4. Руководители и специалисты Министерства должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных Субъектов, а также их права и обязанности в этой области.

3.1.5. Правила обработки и использования персональных данных, включая сроки хранения содержащих персональные данные оригиналов документов, копий документов на материальных носителях информации и ИСПДн/ГИС, устанавливаются правовыми актами Оператора, а также нормативными правовыми актами Российской Федерации.

3.1.6. Персональные данные защищаются принятием или обеспечением правовых, организационных и технических мер в соответствии с нормативными правовыми актами Российской Федерации, рекомендациями регулирующих органов в области защиты информации, а также утвержденными правовыми актами Оператора.

3.2. Порядок получения персональных данных:

3.2.1. Все персональные данные следует получать непосредственно от Субъекта или его представителя. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

3.2.2. Согласие на обработку персональных данных может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.2.3. Письменное согласие Субъекта на обработку персональных данных требуется при их включении в общедоступные источники, а также в иных случаях, установленных федеральным законом. Примерная форма заявления - согласия Субъекта на обработку персональных данных представлена в приложениях N 1 и N 2 к настоящему Положению.

3.2.4. Согласие Субъекта не требуется, если обработка персональных данных осуществляется в целях, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, необходима для предоставления государственной или муниципальной услуги, для обеспечения предоставления такой услуги на едином портале государственных и муниципальных услуг, а также в иных предусмотренных федеральными законами случаях.

3.2.5. Согласие на обработку персональных данных может быть отозвано Субъектом или его представителем. Форма отзыва согласия на обработку персональных данных Субъекта (представителя) представлена в приложениях N 3 и N 4 к настоящему Положению.

3.2.6. В случае отзыва Субъектом персональных данных или его представителем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта или его представителя в предусмотренных федеральным законом случаях.

3.2.7. Оператор может получить необходимые персональные данные Субъекта у третьей стороны только с согласия Субъекта или его представителя на обработку его персональных данных или без согласия в случаях, указанных в пункте 3.2.4 настоящего Положения. Форма согласия на получение персональных данных у третьей стороны представлена в приложении N 5 к настоящему Положению.

3.2.8. Запрещается получать и обрабатывать персональные данные Субъекта о его политических, религиозных, философских убеждениях, интимной жизни, расовой, национальной принадлежности, состоянии здоровья, за исключением случаев, предусмотренных федеральными законами.

3.2.9. Согласие Субъекта, являющегося государственным гражданским служащим, на обработку его персональных данных Оператором осуществляется в письменной форме, приведенной в Приложении N 6 к настоящему Положению.

3.3. Порядок хранения персональных данных:

3.3.1. Хранение персональных данных Субъектов может осуществляться на учтенных электронных носителях информации на серверах и компьютерах, входящих в состав локальной вычислительной сети Министерства, бумажных носителях информации, с соблюдением предусмотренных нормативными правовыми актами Российской Федерации правовых, организационных и технических мер по защите персональных данных.

3.3.2. Хранение персональных данных Субъектов должно осуществляться в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект.

3.4. Порядок передачи персональных данных:

3.4.1. Оператор обязан не раскрывать и не распространять персональные данные Субъекта третьей стороне без согласия Субъекта или его представителя, за исключением случаев, предусмотренных федеральными законами. Форма заявления - согласия Субъекта (представителя) на передачу его персональных данных третьей стороне содержится в Приложении N 7 к настоящему Положению.

3.4.2. Передача персональных данных, в том числе с использованием электронной почты и информационно-телекоммуникационной сети Интернет, должна осуществляться с применением необходимых и достаточных мер по их защите (конфиденциальности). Перечень мер, направленных на обеспечение защиты персональных данных, определяется нормативными правовыми актами Российской Федерации и организационно-распорядительными документами Министерства.

3.5. Порядок доступа к персональным данным:

3.5.1. Доступ к обрабатываемым Оператором персональным данным в ИСПДн/ГИС могут иметь:

- непосредственный руководитель структурного подразделения Министерства, в котором обрабатываются персональные данные, в целях их обработки и/или контроля за их обработкой;

- администраторы ИСПДн/ГИС, назначаемые приказами Министерства для каждой ИСПДн/ГИС, в целях обеспечения обработки персональных данных и в рамках исполнения своих должностных обязанностей;

- администратор безопасности информации Министерства, назначаемый приказом Министерства, в целях обеспечения безопасности персональных данных и в рамках исполнения своих должностных обязанностей;

- пользователи ИСПДн/ГИС, назначаемые приказом Министерства для каждой ИСПДн/ГИС и осуществляющие обработку персональных данных в целях исполнения своих должностных обязанностей;

- Субъект или его представитель, в целях реализации прав на доступ к персональным данным Субъекта, предусмотренных федеральным законом.

3.5.2. Доступ к обрабатываемым Оператором персональным данным вне ИСПДн/ГИС могут иметь руководители и специалисты Министерства в целях исполнения своих должностных обязанностей и/или назначенные приказами Министерства.

3.5.3. Организационно-распорядительные документы Министерства, содержащие информацию о предоставлении доступа к персональным данным в ИСПДн/ГИС для руководителей и специалистов Министерства, должны включать в себя информацию:

- об основании и цели обработки персональных данных;

- о правах доступа (чтение, запись, модификация) и о перечне ресурсов ИСПДн/ГИС, к которым предоставлен доступ (матрица доступа);

- о назначении ответственного за обработку персональных данных;

- о назначении администратора ИСПДн/ГИС.

3.5.4. Все специалисты структурных подразделений Министерства, имеющие доступ к персональным данным Субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных Субъекта представлена в Приложении N 8 к настоящему Положению.

3.5.5. В Договорах/соглашениях с юридическими и физическими лицами, которые получают в рамках исполнения договора/соглашения доступ к персональным данным, обрабатываемым Министерством, должны быть указаны требования соблюдения этими лицами конфиденциальности персональных данных.

3.5.6. Доступ Субъекта или его представителя к персональным данным Субъекта обеспечивается Оператором при личном обращении Субъекта или его представителя либо при получении запроса Субъекта или его представителя в письменной форме или электронной форме, подписанной электронной подписью в соответствии с законодательством Российской Федерации. При личном обращении Субъект или его представитель обязан предоставить документ, удостоверяющий личность. В запросе Субъект или его представитель обязан указать номер основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта или его представителя в отношениях с Оператором, и иные сведения, предусмотренные федеральным законом.

3.6. Уничтожение персональных данных:

3.6.1. Персональные данные Субъектов хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, определенных федеральными законами.

3.6.2. Документы на бумажных носителях, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации.

3.6.3. Порядок уничтожения персональных данных, находящихся на материальных носителях, а также в ИСПДн/ГИС, определяется нормативными правовыми актами Министерства.

4. Права и обязанности Субъектов персональных данных и Оператора.

4.1. Права и обязанности Субъектов и Оператора определяются в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

4.2. Для защиты персональных данных Субъектов Оператор обязан:

- за свой счет обеспечить правовую, организационную и техническую защиту персональных данных Субъекта от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

- назначить лицо, ответственное за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением Оператором законодательства Российской Федерации о персональных данных;

- ознакомить руководителей, специалистов и работников Министерства с настоящим Положением под роспись;

- осуществлять передачу персональных данных Субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные Субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации;

- обеспечить безвозмездно и в доступной форме ознакомление Субъекта или его представителя с информацией, касающейся обработки персональных данных Субъекта, включая доступ к персональным данным Субъекта, с правовым основанием и целью обработки персональных данных, сроками обработки и хранения, а также с иной информацией, предусмотренной федеральным законом;

- по требованию Субъекта или его представителя, в установленный федеральным законом срок, уточнить, заблокировать или уничтожить персональные данные Субъекта, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- разъяснить Субъекту или его представителю, если предоставление персональных данных является обязательным в соответствии с федеральным законом, юридические последствия отказа предоставления его персональных данных;

- до начала обработки персональных данных, полученных не от Субъекта (представителя), предоставить Субъекту информацию об обработке персональных данных Субъекта, предусмотренную федеральным законом.

4.3. Оператор не вправе без письменного согласия Субъекта или его представителя передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.4. Руководители структурных подразделений Министерства обязаны обеспечить защиту персональных данных, обрабатываемых в своих подразделениях.

5. Контроль и надзор за обработкой персональных данных осуществляют:

5.1. Уполномоченный орган по защите прав Субъектов, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

5.2. Уполномоченный орган в области обеспечения безопасности информации, противодействия техническим разведкам и технической защиты информации, включая персональные данные, является Федеральная служба по техническому и экспортному контролю России.

5.3. Уполномоченный орган в области обеспечения безопасности информации, передаваемой с помощью криптографических средств защиты информации, является Федеральная служба безопасности Российской Федерации.

6. Оператор - в соответствии с нормативными документами Министерства, в части осуществления внутреннего контроля.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

7.1. Руководители структурных подразделений Министерства несут персональную ответственность за защиту персональных данных в своих подразделениях.

7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.