Вход
Приказ Министерства здравоохранения Московской области от 9 декабря 2015 г. N 1858 "Об обеспечении безопасности персональных данных при их обработке в информационных системах Министерства здравоохранения Московской области" (с изменениями и дополнениями)
Приказ Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858
"Об обеспечении безопасности персональных данных при их обработке в информационных системах Министерства здравоохранения Московской области"
С изменениями и дополнениями от:
6 мая 2016 г.
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Положением о Министерстве здравоохранения Московской области, утвержденным постановлением Правительства Московской области от 17.10.2007 N 790/28 (с последующими изменениями)
приказываю:
1. Назначить ответственными за:
1.1. организацию обработки персональных данных в Министерстве здравоохранения Московской области (далее - Министерство) заместителя министра М.Е. Семенова;
1.2. обеспечение безопасности персональных данных, выполнение работ по защите информации, соблюдение организационно-технических мер по защите информации в Министерстве (далее - Администратор безопасности) заведующего отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации И.А. Воробьева.
2. Утвердить:
2.1. Политику Министерства здравоохранения Московской области в отношении обработки персональных данных;
2.2. Правила обработки персональных данных в Министерстве здравоохранения Московской области;
2.3. Правила рассмотрения запросов субъектов персональных данных или их представителей;
2.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
2.5. Правила обработки персональных данных без использования средств автоматизации;
2.6. Перечень информационных систем персональных данных Министерства здравоохранения Московской области;
2.7. Перечень персональных данных, обрабатываемых в Министерстве здравоохранения Московской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
2.8. Перечень должностей работников Министерства здравоохранения Московской области, занятие которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
2.9. Инструкцию ответственного за организацию обработки персональных данных;
2.10. Инструкцию по контролю за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;
2.11. Типовые формы документов, необходимых для реализации требований законодательства о персональных данных;
2.12. Порядок доступа работников Министерства здравоохранения Московской области в помещения, в которых ведётся обработка персональных;
2.13. Перечень помещений, в которых ведётся обработка персональных данных.
2.14. Акт оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона "О персональных данных" при обработке персональных данных в автоматизированной системе "Отдел организации бюджетного учёта, бюджетной отчётности и анализа" Министерства здравоохранения Московской области;
2.15. Акт оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона "О персональных данных" при обработке персональных данных в автоматизированной системе "Управление кадровой политики и образовательных учреждений" Министерства здравоохранения Московской области;
2.16. Акт оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона "О персональных данных" при обработке персональных данных в автоматизированной системе "Управление организации медицинской помощи населению" Министерства здравоохранения Московской области;
2.17. Акт оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона "О персональных данных" при обработке персональных данных в автоматизированной системе "Единая медицинская информационно-аналитическая система Московской области" Министерства здравоохранения Московской области;
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 пункт 2 дополнен подпунктом 2.18
2.18. Правила обработки персональных данных в информационной системе персональных данных Автоматизированная система "Управление кадровой политики и образовательных учреждений";
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 пункт 2 дополнен подпунктом 2.19
2.19. Правила обработки персональных данных в информационной системе персональных данных Автоматизированная система "Управление организации медицинской помощи населению";
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 пункт 2 дополнен подпунктом 2.20
2.20. Правила обработки персональных данных при предоставлении государственных услуг по лицензированию медицинской деятельности медицинских организаций, фармацевтической деятельности и деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений;
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 пункт 2 дополнен подпунктом 2.21
2.21. Правила обработки персональных данных в информационной системе персональных данных "Единая медицинская информационно-аналитическая система Московской области" в локальном сегменте Министерства здравоохранения Московской области.
3. Ответственному за организацию обработки персональных данных (М.Е. Семенов) организовать ознакомление под роспись работников Министерства с положениями законодательства Российской федерации о персональных данных и настоящим приказом.
4. Заведующему отделом документооборота и обеспечения основных мероприятий в Управлении организационной и документационной работы Министерства Н.А. Политыкиной разместить Политику Министерства здравоохранения Московской области в отношении обработки персональных данных, утвержденную п. 2.1 настоящего приказа, на официальном сайте Министерства в установленный срок.
5. Приказ Министерства здравоохранения Московской области от 19.05.2014 N 604 "Об организации защиты информации в Министерстве здравоохранения Московской области" признать утратившим силу.
6. Контроль за исполнением настоящего приказа оставляю за собой.
|
Министр |
Н.В. Суслонова |
Политика
Министерства здравоохранения Московской области в отношении обработки персональных данных
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Общие положения
1.1. Настоящий документ определяет политику Министерства здравоохранения Московской области (далее - Министерство) в отношении обработки персональных данных (далее - Политика) в информационных системах персональных данных Министерства (далее - ИСПДн).
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных", федеральным законом Российской Федерации от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", иными нормативно-правовыми актами.
1.3. Настоящая Политика, все дополнения и изменения к ней утверждаются министром здравоохранения Московской области.
2. Основные понятия, используемые в настоящей Политике
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации (или без использования таких средств) с персональными данными, включая: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
2.3. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Цели обработки персональных данных
3.1. Министерство осуществляет обработку персональных данных в целях реализации полномочий органа государственной власти в сфере здравоохранения, осуществления основных функций по управлению здравоохранением, в том числе:
- по управлению лечебной и профилактической деятельностью системы здравоохранения Московской области;
- по регулированию отношений, возникающих в сфере обращения лекарственных средств, в пределах представленных полномочий;
- по управлению специализированной медицинской помощью;
- исполнения обязательств по договорам с субъектом персональных данных (договоры гражданско-правового характера);
- ведения бухгалтерского и кадрового учёта сотрудников (работников) Министерства;
- формирования, ведения и актуализации регионального сегмента единой государственной информационной системы здравоохранения.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Условия обработки персональных данных
5.1. Обработка персональных данных должна осуществляться на законной основе.
5.2. Условия обработки персональных данных должны соответствовать требованиям статьи 6 Федерального закона Российской Федерации от 27 июля 2006 года N 152 "О персональных данных".
5.3. Условия обработки персональных данных должны быть обеспечены применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных.
6. Права субъектов персональных данных
6.1. Субъект персональных данных, чьи персональные данные обрабатываются в ИСПДн, имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Министерством способы обработки персональных данных;
- наименование и место нахождения Министерства, сведения о лицах (за исключением работников Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федеральных законов Российской Федерации;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами Российской Федерации;
- сроки обработки персональных данных, в том числе сроки их хранения;
- иные сведения, предусмотренные Федеральным законом "О персональных данных"или другими федеральными законами.
6.2. Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Субъект персональных данных вправе обжаловать действия или бездействие Министерства в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
6.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Реализация требований к защите персональных данных
7.1. Реализация требований к защите персональных данных в Министерстве обеспечивается применением организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. Реализация требований к защите персональных данных в Министерстве включает в себя проведение в частности следующих мероприятий:
- определение категории персональных данных, обрабатываемых в ИСПДн;
- определение угроз безопасности персональных данных в ИСПДн;
- определение необходимого уровня защищённости персональных данных на основе анализа угроз безопасности и возможного ущерба субъектам персональных данных при реализации угроз безопасности персональных данных;
- реализация организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
- учёт машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учёта всех действий, совершаемых с персональными данными в ИСПДн;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости ИСПДн.
8. Заключительные положения
8.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Министерства.
8.2. Настоящая Политика подлежит изменению, дополнению в случае принятия новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
8.3. Ответственность работников Министерства, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российский Федерации.
Правила
обработки персональных данных в Министерстве здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Общие положения
1.1. Настоящие правила обработки персональных данных устанавливают единый порядок обработки персональных данных в информационных системах персональных данных (далее - ИСПДн) Министерства здравоохранения Московской области (далее - Министерство).
1.2. Настоящие правила регламентируют требования к технологии обработки персональных данных и обеспечивают эффективность системы защиты информации, построенной на основе существующей технологии обработки персональных данных.
1.3. Настоящие правила разработаны на основании и в соответствии с требованиями следующих законодательных и нормативных правовых актов Российской Федерации:
- трудовой кодекс Российской Федерации (ст. 65, ст. 85 - 90);
- гражданский кодекс Российской Федерации, Часть 1 (ст. ст. 150, 152, 152.1) от 30.11.1994 N 51-ФЗ;
- федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации";
- федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
- постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами;
- постановление Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановление Правительства Российской Федерации от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.4. Настоящие правила устанавливают и определяют в Министерстве:
- процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
- цели обработки персональных данных;
- содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- сроки обработки и хранения обрабатываемых персональных данных;
- порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
1.5. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определённых статьёй 3 Федерального закона N 152-ФЗ.
1.6. Правила являются обязательными для исполнения всеми пользователями ИСПДн, имеющими доступ к персональным данным.
1.7. Правила вступают в силу с момента их утверждения и действуют до замены их новыми Правилами.
2. Требования к обработке и защите персональных данных
2.1. При обработке персональных данных необходимо руководствоваться принципами и условиями определёнными нормами главы 2 Федерального закона N 152-ФЗ.
2.2. Права субъектов персональных данных определены в главе 3 Федерального закона N 152-ФЗ.
2.3. При определении обязанностей Министерства при сборе персональных данных и при обращении к нему субъектов персональных данных, Министерство должно руководствоваться главой 4 Федерального закона N 152-ФЗ.
2.4. В Министерстве должны приниматься меры направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ в частности:
- назначение ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику Министерства в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьёй 19 Федерального закона N 152-ФЗ "О персональных данных";
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Министерства в отношении обработки персональных данных, локальным актам Министерства;
- оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации в сфере персональных данных;
- ознакомление пользователей ИСПДн, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и настоящими Правилами;
- запрещение обработки персональных данных пользователям ИСПДн, не допущенными к их обработке.
2.5. Обработка персональных данных должна осуществляется только при наличии оснований, предусмотренных ст. 6 Федерального закона "О персональных данных".
2.6. При обработке персональных данных должны соблюдаться следующие требования:
к работе с персональными данными допускаются только пользователи ИСПДн, допущенные соответствующим приказом министра здравоохранения Московской области;
в целях обеспечения сохранности документов, содержащих персональные данные, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться пользователями - сотрудниками Министерства, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкциях).
2.7. Особенности обработки персональных данных
2.7.1. Машинные носители персональных данных должны подлежать обязательной регистрации и учёту, в соответствии с "Инструкцией по защите машинных носителей информации".
2.7.2. Обработка персональных данных должна осуществляться при условии выполнения требований к защите персональных данных, установленных:
- федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных";
- постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами";
- приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
2.7.3. При обработке персональных данных в ИСПДн Министерства должны приниматься правовые, организационные и технические меры или обеспечиваться их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3. Цели обработки персональных данных
3.1. Цель обработки персональных данных определяется целями создания и видами деятельности Министерства, а именно: управления лечебной и профилактической деятельностью системы здравоохранения Московской области; регулирования отношений, возникающих в сфере обращения лекарственных средств, в пределах представленных полномочий; управления специализированной медицинской помощью; исполнения обязательств по договорам с субъектом персональных данных (договоры гражданско-правового характера); ведения бухгалтерского и кадрового учёта сотрудников (работников) Министерства; формирования, ведения и актуализации регионального сегмента единой государственной информационной системы здравоохранения.
4. Содержание обрабатываемых персональных данных
4.1. Содержание обрабатываемых персональных данных устанавливается "Перечнем персональных данных, обрабатываемых в Министерстве здравоохранения Московской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций".
5. Категории субъектов персональных данных
5.1. В ИСПДн осуществляется обработка специальных категории персональных данных.
5.2. В ИСПДн осуществляется обработка персональных данных субъектов персональных данных, не являющихся сотрудниками оператора.
6. Сроки обработки и хранения обрабатываемых персональных данных
6.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.3. Основания для прекращения обработки персональных данных и сроки их уничтожения определены в частях 3, 4, 5 статьи 21 Федерального закона "О персональных данных".
6.4. Основанием (условием) прекращения обработки персональных данных также является ликвидация Министерства.
6.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона N 152-ФЗ, должно осуществляться блокирование таких персональных данных или обеспечиваться их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и обеспечиваться уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7. Порядок уничтожения персональных данных
7.1. При уничтожении материальных носителей содержащих персональные данные должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
7.2. При необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.3. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
7.4. Уничтожение персональных данных осуществляется в соответствии с требованиями "Инструкции по защите машинных носителей информации".
8. Ответственность за нарушения при обработке персональных данных
8.1. Лица, виновные в нарушении требований к обработке персональных данных, установленным Федеральным законом N 152-ФЗ, несут предусмотренную законодательством Российской Федерации ответственность.
9. Заключительные положения
9.1. Сотрудники Министерства, определённые приказом министра здравоохранения Правительства Московской области, как пользователи ИСПДн должны ознакомиться с настоящими правилами обработки персональных данных.
9.2. Обязанность доводить до сведения сотрудников Министерства нормативные правовые акты в сфере персональных данных, локальные акты Министерства по вопросам обработки и защиты персональных данных, требования к защите персональных данных лежит на ответственном за организацию обработки персональных данных.
Правила
рассмотрения запросов субъектов персональных данных или их представителей
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Общие положения
1.1. Настоящие Правила определяются порядок учёта (регистрации), рассмотрения запросов субъектов персональных данных или их представителей в Министерстве здравоохранения Московской области (далее - Министерство).
1.2. Настоящие правила устанавливают формы рабочих документов, которые должны использоваться для документирования действий по управлению процессом рассмотрения запросов субъектов ПДн. Назначение и порядок использования рабочих документов описаны в настоящих правилах. К рабочим документам процесса относятся:
- Формы обращений (Приложение 1).
- Журнал регистрации запросов субъектов персональных данных (Приложение 2).
- Формы ответов субъекту персональных данных (Приложение 3).
1.3. Настоящие Правила разработаны в соответствии с:
Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами".
1.4. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определённых статьёй 3 Федерального закона N 152-ФЗ.
2. Правила рассмотрения запросов
2.1. Субъект персональных данных имеет право на получение у Министерства информации, касающейся обработки его персональных данных (часть 7 статьи 14 Федерального закона N 152-ФЗ), в том числе содержащей:
- подтверждение факта обработки персональных данных Министерством;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Министерством способы обработки персональных данных;
- наименование и место нахождения Министерства, сведения о лицах (за исключением работников Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;
- информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.
2.2. Сведения, указанные в п. 2.1, должны предоставляться субъекту персональных данных или его представителю при обращении в Министерство, либо при получении запроса субъекта персональных данных или его представителя.
2.3. Запрос субъекта персональных данных должен содержать:
2.3.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
2.3.2. сведения о дате выдачи указанного документа и выдавшем его органе;
2.3.3. сведения, подтверждающие участие субъекта персональных данных в отношениях с Министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения);
2.3.4. вместо 2.3.3 допустимы сведения, иным образом подтверждающие факт обработки персональных данных Министерством;
2.3.5. подпись субъекта персональных данных или его представителя.
2.4. Формы обращений приведены в Приложении 1 к настоящему документу.
2.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.6. Сведения, указанные в п. 2.1, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.7. Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона N 152-ФЗ.
2.9. Запросы, поступающие в Министерство, должны обрабатываться в соответствии с требованиями Федерального закона от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и локальными актами Министерства в части обработки персональных данных и организации делопроизводства.
2.10. Все поступившие запросы регистрируются в день их поступления. На запросе указывается входящий номер и дата регистрации. Форма "Журнала регистрации запросов субъектов ПДн" приведена в Приложении 2 в настоящему документу.
2.11. Рассмотрение запросов и подготовка ответов осуществляется по поручению министра здравоохранения Московской области или его заместителя.
2.12. Рассмотрение запросов и подготовку ответов могут осуществлять сотрудники Министерства, обрабатывающие персональные данные, в соответствии с их должностным регламентом (инструкцией).
2.13. Ответы субъекту ПДн направляются в виде уведомлений по форме, приведённой в Приложении 3 к настоящему документу.
Приложение 1
к Правилам рассмотрения запросов
субъектов персональных данных
или их представителей
(типовые формы обращений субъектов
персональных данных)
Бланк 1. Запрос на предоставление информации об обработке ПДн
Оператору персональных данных
Министерству здравоохранения Московской области
Адрес: ________________________________________
От ________________________________________________________________;
(фамилия, имя, отчество)
паспорт _________________________ выданный ______________________________
(номер) (дата выдачи)
_________________________________________________________________________
(место выдачи паспорта)
Адрес: _____________________________________________________________
(адрес места жительства)
Основания, по которым лицо выступает в качестве законного
представителя субъекта персональных данных: _____________________________
Сведения, подтверждающие факт обработки персональных данных
субъекта в Министерстве здравоохранения Московской области: _____________
Запрос на предоставление информации
об обработке персональных данных
В соответствии со ст. 14 Федерального закона от 27.07.2006 г.
N 152-ФЗ "О персональных данных" прошу предоставить мне следующую
информацию, касающуюся обработки моих персональных данных:
/\ подтвердить факт обработки моих персональных данных;
\/
/\ правовые основания и цели обработки моих персональных данных;
\/
/\ наименование и местонахождения оператора, сведения о лицах (за
\/ исключением работников оператора), которые имеют доступ к моим
персональным данным или которым могут быть раскрыты мои персональные
данные на основании договора или на основании федерального закона;
/\ относящиеся ко мне обрабатываемые персональные данные, источник их
\/ получения;
/\ сроки обработки моих персональных данных, в том числе сроки их
\/ хранения;
/\ порядок осуществления мной прав, предусмотренных Федеральным законом
\/ "О персональных данных"
/\ информацию об осуществленной или предполагаемой трансграничной
\/ передаче моих персональных данных;
/\ наименование или фамилию, имя, отчество и адрес лица, осуществляющего
\/ обработку моих персональных данных, если обработка поручена или будет
поручена такому лицу;
/\
\/ ______________________________________________________________________
(иные сведения)
Данный запрос является первичным/повторным, на основании того, что:
_________________________________________________________________________
(ОБЯЗАТЕЛЬНО: указать причину направления повторного запроса)
Указанные сведения прошу предоставить по адресу: ___________________
_________________________________________________________________________
______________ __________________
(дата) (подпись)
Бланк 2. Отзыв согласия на обработку ПДн
Оператору персональных данных
Министерству здравоохранения Московской области
Адрес: ________________________________________
От ________________________________________________________________;
(фамилия, имя, отчество)
паспорт _________________________ выданный ______________________________
(номер) (дата выдачи)
_________________________________________________________________________
(место выдачи паспорта)
Адрес: _____________________________________________________________
(адрес места жительства)
Основания, по которым лицо выступает в качестве законного
представителя субъекта персональных данных: _____________________________
Сведения, подтверждающие факт обработки персональных данных
субъекта в Министерстве здравоохранения Московской области: _____________
Заявление
об отзыве согласия на обработку персональных данных
Прошу прекратить обработку моих персональных данных, осуществляемую
в целях:
_________________________________________________________________________
(цели обработки персональных данных, в отношении которых отзывается
согласие)
по причине:
_________________________________________________________________________
______________ __________________
(дата) (подпись)
Бланк 3. Требование об уточнении/уничтожении персональных данных
Оператору персональных данных
Министерству здравоохранения Московской области
Адрес: ________________________________________
От ________________________________________________________________;
(фамилия, имя, отчество)
паспорт _________________________ выданный ______________________________
(номер) (дата выдачи)
_________________________________________________________________________
(место выдачи паспорта)
Адрес: _____________________________________________________________
(адрес места жительства)
Основания, по которым лицо выступает в качестве законного
представителя субъекта персональных данных: _____________________________
Сведения, подтверждающие факт обработки персональных данных
субъекта в Министерстве здравоохранения Московской области: _____________
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от
27.07.2006 г. N 152-ФЗ "О персональных данных" прошу уточнить/уничтожить
мои персональные данные в связи с тем, что: _____________________________
_________________________________________________________________________
(указать причину: персональные данные являются неполными,
устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки; с персональными данными
совершаются неправомерные действия - указать какие)
______________ __________________
(дата) (подпись)
Бланк 4. Возражение против принятия решений
на основании исключительно автоматизированной обработки ПДн
Оператору персональных данных
Министерству здравоохранения Московской области
Адрес: ________________________________________
От ________________________________________________________________;
(фамилия, имя, отчество)
паспорт _________________________ выданный ______________________________
(номер) (дата выдачи)
_________________________________________________________________________
(место выдачи паспорта)
Адрес: _____________________________________________________________
(адрес места жительства)
Основания, по которым лицо выступает в качестве законного
представителя субъекта персональных данных: _____________________________
Сведения, подтверждающие факт обработки персональных данных
субъекта в Министерстве здравоохранения Московской области: _____________
Возражение
против принятия решений на основании
исключительно автоматизированной обработки ПДн
Прошу исключить принятие в отношении меня юридически значимых
решений на основании исключительно автоматизированной обработки моих
персональных данных.
______________ __________________
(дата) (подпись)
Приложение 2
к Правилам рассмотрения запросов
субъектов персональных данных
или их представителей
(типовая форма Журнала регистрации
запросов субъектов персональных данных)
Журнал регистрации запросов субъектов персональных данных
Начат 2____ г. Окончен 2____ г.
|
N п/п |
Сведения о запрашивающем лице |
Краткое содержание обращения |
Цель запроса |
Отметка о предоставлении (отказе в предоставлении) информации |
Дата передачи / отказа в предоставлении информации |
Подпись ответственного лица |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
стр. _________ страниц __________
Приложение 3
к Правилам рассмотрения запросов
субъектов персональных данных
или их представителей
(типовые формы ответов субъекту
персональных данных)
Бланк 1. Уведомление субъекта о том,
что обработка его ПДн не производится
Субъекту персональных данных:
_______________________ (ФИО)
Адрес: ______________________
_____________________________
Уведомление
Министерство здравоохранения Московской области, находящееся по
адресу: Московская обл, Красногорский р-н, Красногорск г., Строителей
б-р, дом 1, по Вашему запросу от ________________________________________
(дата запроса)
уведомляет Вас о том, что Министерство здравоохранения Московской области
не осуществляет обработку Ваших персональных данных начиная с ___________
(Дата, с которой
_________________________________________________________________________
прекращена обработка ПДн)
_____________ ______________ _______________________
(должность) (подпись) (Ф.И.О.)
"__" _________ 201_ г.
Бланк 2. Отказ в предоставлении сведений
Субъекту персональных данных:
_______________________ (ФИО)
Адрес: ______________________
_____________________________
Отказ в предоставлении сведений
Министерство здравоохранения Московской области, находящееся по
адресу: Московская обл, Красногорский р-н, Красногорск г., Строителей
б-р, дом 1, по Вашему запросу от ________________________________________
(дата запроса)
уведомляет о том, что Вам отказано в предоставлении сведений на основании
_________________________________________________________________________
(ссылка на нормы ФЗ "О персональных данных" или иных федеральных законов)
_____________ ______________ _______________________
(должность) (подпись) (Ф.И.О.)
"__" _________ 201_ г.
Бланк 3. Уведомление о невозможности
отзыва согласия на обработку ПДн
Субъекту персональных данных:
_______________________ (ФИО)
Адрес: ______________________
_____________________________
Уведомление
Министерство здравоохранения Московской области, находящееся по
адресу: Московская обл, Красногорский р-н, Красногорск г., Строителей
б-р, дом 1, по Вашему запросу от ________________________________________
(дата запроса)
уведомляет Вас о невозможности отзыва согласия на обработку персональных
данных, обрабатываемых в следующих целях: _______________________________
_________________________________________________________________________
Дата начала обработки персональных данных: _________________________
Срок или условие прекращения обработки персональных данных:
_________________________________________________________________________
_________________________________________________________________________
_____________ ______________ _______________________
(должность) (подпись) (Ф.И.О.)
"__" _________ 201_ г.
Бланк 4. Уведомление об уточнении ПДн
Субъекту персональных данных:
_______________________ (ФИО)
Адрес: ______________________
_____________________________
Уведомление
Министерство здравоохранения Московской области, находящееся по
адресу: Московская обл, Красногорский р-н, Красногорск г., Строителей
б-р, дом 1, по Вашему запросу от ________________________________________
(дата запроса)
уведомляет Вас о том, что было произведено уточнение Ваших персональных
данных.
_____________ ______________ _______________________
(должность) (подпись) (Ф.И.О.)
"__" _________ 201_ г.
Бланк 5. Ответ на возражение
против принятия решений на основании исключительно
автоматизированной обработки ПДн
Субъекту персональных данных:
_______________________ (ФИО)
Адрес: ______________________
_____________________________
Ответ
на возражение против принятия решений
на основании исключительно автоматизированной
обработки ПДн
Министерство здравоохранения Московской области, находящееся по
адресу: Московская обл, Красногорский р-н, Красногорск г., Строителей
б-р, дом 1, рассмотрело Ваши возражения от: _____________________________
(дата запроса)
и приняло следующее решение:
_________________________________________________________________________
_________________________________________________________________________
_____________ ______________ _______________________
(должность) (подпись) (Ф.И.О.)
"__" _________ 201_ г.
Бланк 6. Уведомление субъекта о блокировании ПДн
Субъекту персональных данных:
_______________________ (ФИО)
Адрес: ______________________
_____________________________
Уведомление
о блокировании персональных данных
Министерство здравоохранения Московской области, находящееся по
адресу: Московская обл, Красногорский р-н, Красногорск г., Строителей
б-р, дом 1, по Вашему запросу от ________________________________________
(дата запроса)
осуществило блокирование Ваших персональных данных, включая:
_________________________________________________________________________
_________________________________________________________________________
(перечисление блокированных персональных данных: ФИО, адрес, телефон...)
которые обрабатывались в целях: _________________________________________
(цель обработки указанных персональных данных)
Указанные персональные данные были заблокированы ________________________
(дата блокирования)
в связи с: ______________________________________________________________
(причина блокирования персональных данных)
_____________ ______________ _______________________
(должность) (подпись) (Ф.И.О.)
"__" _________ 201_ г.
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Общие положения
1.1. Настоящие правила определяют основания, форму и порядок осуществления в Министерстве здравоохранения Московской области (далее - Министерство) внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и политике в отношении обработки персональных данных.
1.2. Настоящие правила разработаны в соответствии с:
- Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
- постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - постановление Правительства N 1119);
- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами" (далее - постановление Правительства N 211).
1.3. Основные понятия и термины, используемые в настоящих правилах, применяются в значениях, определённых статьёй 3 Федерального закона N 152-ФЗ.
2. Основание проведения контроля и сроки
2.1. Основанием для проведения внутреннего контроля являются требования Федерального закона N 152-ФЗ (часть 1, статья 18.1), постановление Правительства N 1119 (п. 17) и постановление Правительства N 211 (п. 1 д).
2.2. Внутренний контроль осуществляется путём проведения периодических проверок и контроля выполнения требований, установленных нормативными правовыми актами Российской Федерации в сфере персональных данных, а также локальных актов Министерства, устанавливающих порядок обработки и защиты персональных данных при их обработке в информационных системах Министерства.
2.3. Периодические проверки проводятся не реже 1 раза в три года.
3. Порядок проведения контроля
3.1. Контроль выполнения требований к защите персональных данных проводит Комиссия, назначенная приказом министра здравоохранения Московской области или на договорной основе юридическое лицо (индивидуальный предприниматель), имеющее лицензию на осуществление деятельности по технической защите конфиденциальной информации.
3.2. Состав Комиссии - не менее 3-х человек, включая ответственного за организацию обработки персональных данных. Все члены комиссии при принятии решения обладают равными правами.
3.3. Комиссия при проведении проверки обязана:
провести анализ реализации мер, направленных на обеспечение выполнения Министерством обязанностей, предусмотренных Федеральным законом N 152-ФЗ (статья 18.1, статья 19);
провести анализ выполнения Министерством требований по определению и обеспечению уровня защищённости персональных данных, утверждённых постановлением Правительства N 1119;
провести анализ выполнения Министерством требований, утверждённых постановлением Правительства N 211;
провести анализ выполнения Министерством принятых локальных актов по вопросам обработки и защиты персональных данных;
провести анализ реализации Министерством организационных и технических мер по обеспечению безопасности персональных данных, утверждённых приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
провести анализ состава оборудования, программных средств, включая средства защиты информаций, входящих в состав информационных систем персональных данных Министерства (далее - ИСПДн) на соответствие Техническому паспорту ИСПДн;
своевременно и в полной мере исполнять предоставленные полномочия по предупреждению, выявлению и пресечению нарушений требований к защите персональных данных, установленных законодательными и нормативными правовыми актами Российской Федерации.
3.4. Комиссия при проведении проверки вправе:
запрашивать и получать необходимые документы (сведения) для достижения целей проведения внутреннего контроля;
получать временный доступ к ресурсам ИСПДн в части касающейся её полномочий;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований к защите персональных данных;
вносить министру здравоохранения Московской области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении требований к защите персональных данных, установленных законодательными и нормативными правовыми актами Российской Федерации.
3.5. При проведении проверки члены Комиссии не вправе:
требовать представления документов и сведений, не относящихся к предмету проверки;
распространять информацию и сведения конфиденциального характера, полученные при проведении проверки.
3.6. По результатам проверки составляется Акт проверки, который подписывается членами комиссии и представляется министру здравоохранения Московской области для принятия соответствующего решения.
3.7. В Акте отражаются сведения о результатах проверки, в том числе о выявленных нарушениях требований законодательных и нормативных правовых актов Российской Федерации в области защиты персональных данных, об их характере и о лицах, допустивших указанные нарушения, а также меры, необходимые для устранения выявленных нарушений.
3.8. Акт должен содержать заключение о соответствии или несоответствии обработки персональных данных требованиям к защите персональных данных установленным Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами, а также локальным актам Министерства по вопросам обработки и защиты персональных данных.
4. Заключительные положения
4.1. Сотрудники, определённые приказом министра здравоохранения Московской области как пользователи, участвующие в обработке персональных данных, должны ознакомиться с настоящими правилами проведения внутреннего контроля.
4.2. Обязанность доводить до сведения работников Министерства правила внутреннего контроля лежит на ответственном за организацию обработки персональных данных.
Правила
обработки персональных данных без использования средств автоматизации
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Введение
1.1. Настоящие правила определяют порядок действий работников (служащих) Министерства здравоохранения Московской области (далее - Министерство) при обработке персональных данных, осуществляемой без использования средств автоматизации.
1.2. Ответственность за организацию выполнения требований настоящих правил несёт ответственный за организацию обработки персональных данных.
1.3. Все работники (служащие) Министерства, участвующие в обработке персональных данных без использования средств автоматизации должны быть ознакомлены с настоящими правилами под роспись в листе ознакомлений.
2. Обособление персональных данных
2.1. С целью организации обработки и защиты персональных данных от несанкционированного доступа, персональные данные, обрабатываемые без использования средств автоматизации фиксируются отдельно от другой информации на отдельных носителях информации.
3. Разделение и уничтожение персональных данных
3.1. С целью обеспечения целостности, доступности и конфиденциальности персональных данных, обрабатываемых без средств автоматизации, в Министерстве осуществляют процедуры разделения и уничтожения персональных данных.
3.2. Процедура разделения персональных данных производится в следующих случаях:
- изменилась категория части персональных данных, расположенных на одном материальном носителе. Цели обработки изменённой категории несовместимы с целями остальной части персональных данных;
- необходимо использовать или распространить часть персональных данных, находящихся на одном материальном носителе, независимо от остальных персональных данных;
- необходимо блокировать или уничтожить часть персональных данных, находящихся на одном материальном носителе.
3.3. Процедура разделения заключается в копировании требуемой части персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, на новый материальный носитель с последующим уничтожением персональных данных на исходном материальном носителе и использованием персональных данных на новом носителе по назначению.
3.4. Уничтожение персональных данных, находящихся на определённом материальном носителе, осуществляется способом, исключающим восстановление уничтоженных персональных данных и изменения в доступности, целостности и конфиденциальности других персональных данных, находящихся на этом же материальном носителе.
3.5. Процедуры разделения и уничтожения персональных данных контролирует ответственный за организацию обработки персональных данных.
4. Управление доступом к персональным данным
4.1. В целях обеспечения доступа к персональным данным, обрабатываемым без использования средств автоматизации в Министерстве утверждается Перечень мест хранения материальных носителей персональных данных.
4.2. Места хранения материальных носителей персональных данных должны исключать несанкционированный доступ к ним.
4.3. В Перечне мест хранения материальных носителей персональных данных указываются категории персональных данных которые находятся в каждом хранилище, также перечень лиц, имеющих доступ к персональным данных находящимся в хранилище, а также Ф.И.О. ответственного за хранилище.
4.4. Форма Перечня мест хранения материальных носителей персональных данных приведена в Приложении к настоящим Правилам.
4.5. Ведение перечня, его актуализацию и сохранность обеспечивает ответственный за организацию обработки персональных данных.
5. Нормативные и правовые документы
5.1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
5.2. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Приложение
к Правилам обработки
персональных данных без
использования средств автоматизации
Перечень
мест хранения материальных носителей персональных данных
|
N п/п |
Место расположение хранилища (номер комнаты, шкафа (сейфа)) |
Категория персональных данных |
Перечень лиц, допущенных к хранилищу |
Ф.И.О. ответственного за хранилище |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ответственный за организацию обработки персональных данных:
_____________ ______________ _______________________
(подпись) (Ф.И.О.) (дата)
Приложение
к Правилам обработки
персональных данных без
использования средств автоматизации
Перечень
мест хранения материальных носителей
персональных данных
1. На 3 этаже 16-и этажного здания по адресу: 143407, г.
Красногорск-7 Московской области, бульвар Строителей, д. 1
|
N п/п |
Место расположение хранилища (номер комнаты, шкафа (сейфа)) |
Категория персональных данных |
Перечень лиц, допущенных к хранилищу |
Ф.И.О. ответственного за хранилище |
|
1 |
304: Ш1, Ш2 |
Анкетные данные, медицинские данные |
Работники Управления организации медицинской помощи матерям и детям |
Трухина Светлана Владимировна |
|
2 |
306: Ш1, Ш2 |
Анкетные данные, медицинские данные |
Работники Управления организации медицинской помощи матерям и детям |
Галяс Ольга Вениаминовна |
|
3 |
322: Ш1, Ш2 |
Анкетные данные, медицинские данные |
Работники Управления организации медицинской помощи взрослому населению |
Шлемская В.В. |
|
4 |
324: Ш1, Ш2 |
Анкетные данные, медицинские данные |
Работники Управления организации медицинской помощи взрослому населению |
Сучков А.В. |
|
5 |
314: Ш1 |
Анкетные данные, данные о доходах работников |
Работники Управления бухгалтерского учета и финансового контроля |
Ефремова С.В. |
|
6 |
311 - 8 (сейфовая комната): СТ1, СТ2 |
Анкетные данные, данные о доходах работников |
Работники Управления бухгалтерского учета и финансового контроля |
Ефремова С.В. |
|
7 |
328: Ш1 |
Анкетные данные |
Работники Управления кадровой политики и образовательных учреждений |
Лаптева Ю.С. |
|
8 |
334: Ш1, Ш2, Ш3 |
Анкетные данные |
Работники Управления кадровой политики и образовательных учреждений |
Лаптева Ю.С. |
Ответственный за организацию обработки персональных данных:
М.Е. Семенов 09.12.2015
_____________ ______________ _______________________
(подпись) (Ф.И.О.) (дата)
Перечень
информационных систем персональных данных Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
N п/п |
Наименование ИСПДн |
|
1 |
Управление организации медицинской помощи населению |
|
2 |
Управление кадровой политики и образовательных учреждений |
|
3 |
Отдел организации бюджетного учёта, бюджетной отчётности и анализа |
|
4 |
Единая медицинская информационно-аналитическая система Московской области, в составе подсистем: - портал здравоохранения Московской области; - подсистема сбора регламентной и статистической отчетности; - подсистема электронной записи к врачу (электронная регистратура); - подсистема ведения электронной медицинской карты пациентов; - подсистема управления лекарственным обеспечением населения; - подсистема ведения основных регистров и реестров отдельных групп пациентов; - подсистема управления потоками пациентов; - подсистема интеграции с федеральным уровнем ЕГИСЗ; - подсистема управления льготным лекарственным обеспечением. |
Перечень
персональных данных, обрабатываемых в Министерстве здравоохранения Московской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
N п/п |
Наименование информационной системы |
Перечень персональных данных |
Примечание |
|
1. |
Управление организации медицинской помощи населению |
Ф.И.О. |
|
|
дата рождения |
|
||
|
место рождения |
|
||
|
паспортные данные |
|
||
|
адрес регистрации |
|
||
|
сведения о состоянии здоровья |
|
||
|
2. |
Управление кадровой политики и образовательных учреждений |
Ф.И.О. |
|
|
дата рождения |
|
||
|
место рождения |
|
||
|
паспортные данные |
|
||
|
адрес регистрации |
|
||
|
сведения о доходах |
|
||
|
сведения об имуществе |
|
||
|
сведения об обязательствах имущественного характера |
|
||
|
сведения о занимаемой должности |
|
||
|
сведения о классном чине |
|
||
|
сведения о текущем должностном окладе |
|
||
|
сведения о включении в кадровый резерв |
|
||
|
сведения о реквизитах сотрудника |
|
||
|
сведения об исполнении должностных обязанностей |
|
||
|
3. |
Отдел организации бюджетного учёта, бюджетной отчётности и анализа |
Ф.И.О. |
|
|
дата рождения |
|
||
|
место рождения |
|
||
|
паспортные данные |
|
||
|
адрес регистрации |
|
||
|
сведения о доходах |
|
||
|
сведения об имуществе |
|
||
|
сведения об обязательствах имущественного характера |
|
||
|
сведения о занимаемой должности |
|
||
|
сведения о классном чине |
|
||
|
сведения о текущем должностном окладе |
|
||
|
сведения о включении в кадровый резерв |
|
||
|
сведения о реквизитах сотрудника |
|
||
|
сведения об исполнении должностных обязанностей |
|
||
|
4. |
Единая медицинская информационно-аналитическая система Московской области |
Ф.И.О. |
|
|
дата рождения |
|
||
|
место рождения |
|
||
|
паспортные данные |
|
||
|
адрес регистрации |
|
||
|
медицинская информация |
|
||
|
СНИЛС |
|
||
|
Номер полиса ОМС |
|
Перечень
должностей работников Министерства здравоохранения Московской области, занятие которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
Наименование структурного подразделения |
Должность согласно штатному расписанию |
|
ЦЕНТРАЛЬНЫЙ АППАРАТ |
Министр здравоохранения |
|
ЦЕНТРАЛЬНЫЙ АППАРАТ |
Первый заместитель министра |
|
ЦЕНТРАЛЬНЫЙ АППАРАТ |
Заместитель министра |
|
УПРАВЛЕНИЕ ОРГАНИЗАЦИИ МЕДИЦИНСКОЙ ПОМОЩИ ВЗРОСЛОМУ НАСЕЛЕНИЮ |
Заместитель министра - начальник Управления |
|
Отдел первичной медицинской помощи |
Заведующий отделом в Управлении |
|
Отдел первичной медицинской помощи |
Заместитель заведующего отделом в Управлении |
|
Отдел первичной медицинской помощи |
Консультант |
|
Отдел первичной медицинской помощи |
Главный специалист |
|
Отдел специализированной медицинской помощи |
Заведующий отделом в Управлении |
|
Отдел специализированной медицинской помощи |
Заместитель заведующего отделом в Управлении |
|
Отдел специализированной медицинской помощи |
Консультант |
|
Отдел специализированной медицинской помощи |
Главный специалист |
|
Отдел контроля качества и безопасности медицинской помощи |
Заведующий отделом в Управлении |
|
Отдел контроля качества и безопасности медицинской помощи |
Консультант |
|
Отдел контроля качества и безопасности медицинской помощи |
Главный специалист |
|
УПРАВЛЕНИЕ ОРГАНИЗАЦИИ МЕДИЦИНСКОЙ ПОМОЩИ МАТЕРЯМ И ДЕТЯМ |
Заместитель министра - начальник Управления |
|
Отдел медико-социальных проблем детства |
Заместитель начальника Управления - заведующий отделом в Управлении |
|
Отдел медико-социальных проблем детства |
Заместитель заведующего отделом в Управлении |
|
Отдел медико-социальных проблем детства |
Консультант |
|
Отдел медико-социальных проблем детства |
Главный специалист |
|
Отдел организации медицинской помощи детям |
Заведующий отделом в Управлении |
|
Отдел организации медицинской помощи детям |
Заместитель заведующего отделом в Управлении |
|
Отдел организации медицинской помощи детям |
Консультант |
|
Отдел организации медицинской помощи детям |
Главный специалист |
|
Отдел организации акушерско-гинекологической помощи |
Заведующий отделом в Управлении |
|
Отдел организации акушерско-гинекологической помощи |
Заместитель заведующего отделом в Управлении |
|
Отдел организации акушерско-гинекологической помощи |
Главный специалист |
|
УПРАВЛЕНИЕ ОРГАНИЗАЦИИ ЛЕКАРСТВЕННОЙ ПОМОЩИ |
Начальник Управления |
|
Отдел координации лекарственного обеспечения |
Заместитель начальника Управления - заведующий отделом в Управлении |
|
Отдел координации лекарственного обеспечения |
Заместитель заведующего отделом в Управлении |
|
Отдел координации лекарственного обеспечения |
Консультант |
|
Отдел льготного лекарственного обеспечения |
Заведующий отделом в Управлении |
|
Отдел льготного лекарственного обеспечения |
Консультант |
|
Отдел льготного лекарственного обеспечения |
Главный специалист |
|
Отдел льготного лекарственного обеспечения |
Главный аналитик |
|
Отдел льготного лекарственного обеспечения |
Аналитик |
|
Отдел реализации программ лекарственного обеспечения и ценообразования лекарственных препаратов |
Заведующий отделом в Управлении |
|
Отдел реализации программ лекарственного обеспечения и ценообразования лекарственных препаратов |
Заместитель заведующего отделом в Управлении |
|
Отдел реализации программ лекарственного обеспечения и ценообразования лекарственных препаратов |
Консультант |
|
Отдел реализации программ лекарственного обеспечения и ценообразования лекарственных препаратов |
Главный аналитик |
|
Отдел реализации программ лекарственного обеспечения и ценообразования лекарственных препаратов |
Аналитик |
|
УПРАВЛЕНИЕ КАДРОВОЙ ПОЛИТИКИ И ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ |
Начальник Управления |
|
Отдел подготовки, использования и развития кадровых ресурсов |
Заведующий отделом в Управлении |
|
Отдел подготовки, использования и развития кадровых ресурсов |
Заместитель заведующего отделом в Управлении |
|
Отдел подготовки, использования и развития кадровых ресурсов |
Главный специалист |
|
Отдел подготовки, использования и развития кадровых ресурсов |
Консультант |
|
Отдел последипломной подготовки и аттестации медицинских кадров |
Заведующий отделом в Управлении |
|
Отдел последипломной подготовки и аттестации медицинских кадров |
Консультант |
|
Отдел последипломной подготовки и аттестации медицинских кадров |
Главный специалист |
|
Отдел последипломной подготовки и аттестации медицинских кадров |
Главный аналитик |
|
Отдел последипломной подготовки и аттестации медицинских кадров |
Аналитик |
|
Отдел гражданской службы, руководящих кадров и наград |
Заведующий отделом в Управлении |
|
Отдел гражданской службы, руководящих кадров и наград |
Заместитель заведующего отделом в Управлении |
|
Отдел гражданской службы, руководящих кадров и наград |
Консультант |
|
Отдел гражданской службы, руководящих кадров и наград |
Аналитик |
|
Отдел гражданской службы, руководящих кадров и наград |
Главный аналитик |
|
УПРАВЛЕНИЕ БУХГАЛТЕРСКОГО УЧЁТА И ФИНАНСОВОГО КОНТРОЛЯ |
Начальник Управления - главный бухгалтер |
|
Отдел организации бюджетного учёта |
Заместитель начальника Управления - заведующий отделом в Управлении - заместитель главного бухгалтера |
|
Отдел организации бюджетного учёта |
Заместитель заведующего отделом |
|
Отдел организации бюджетного учёта |
Консультант |
|
Отдел организации бюджетного учёта |
Главный специалист |
|
Отдел организации бюджетного учёта |
Ведущий бухгалтер |
|
Отдел сводной бухгалтерской отчётности и анализа |
Заведующий отделом в Управлении |
|
Отдел сводной бухгалтерской отчётности и анализа |
Заместитель заведующего отделом в Управлении |
|
Отдел сводной бухгалтерской отчётности и анализа |
Консультант |
|
Отдел сводной бухгалтерской отчётности и анализа |
Главный специалист |
|
Отдел финансового обеспечения деятельности Министерства |
Заведующий отделом в Управлении |
|
Отдел финансового обеспечения деятельности Министерства |
Заместитель заведующего отделом в Управлении |
|
Отдел финансового обеспечения деятельности Министерства |
Консультант |
|
Отдел финансового обеспечения деятельности Министерства |
Главный специалист |
|
Отдел финансового обеспечения деятельности Министерства |
Ведущий бухгалтер |
|
Отдел финансового обеспечения деятельности Министерства |
Аналитик |
|
УПРАВЛЕНИЕ ИНФОРМАТИЗАЦИИ И ЗАЩИТЫ ИНФОРМАЦИИ |
Начальник Управления |
|
Отдел информатизации и программного обеспечения |
Заведующий отделом в Управлении |
|
Отдел информатизации и программного обеспечения |
Заместитель заведующего отделом в Управлении |
|
Отдел информатизации и программного обеспечения |
Главный аналитик |
|
Отдел информатизации и программного обеспечения |
Аналитик |
|
Отдел защиты информационных ресурсов и систем |
Заведующий отделом в Управлении |
|
Отдел защиты информационных ресурсов и систем |
Главный аналитик |
|
Отдел защиты информационных ресурсов и систем |
Аналитик |
|
УПРАВЛЕНИЕ ОРГАНИЗАЦИОННОЙ И ДОКУМЕНТАЦИОННОЙ РАБОТЫ |
Начальник Управления |
|
Организационный отдел |
Заместитель начальника Управления - заведующий отделом в Управлении |
|
Организационный отдел |
Главный специалист |
|
Организационный отдел |
Главный инспектор |
|
Организационный отдел |
Старший инспектор |
|
Организационный отдел |
Аналитик |
|
Отдел документооборота и обеспечения основных мероприятий Министерства |
Заведующий отделом в Управлении |
|
Отдел документооборота и обеспечения основных мероприятий Министерства |
Главный специалист |
|
Отдел документооборота и обеспечения основных мероприятий Министерства |
Главный инспектор |
|
Отдел документооборота и обеспечения основных мероприятий Министерства |
Старший инспектор |
|
Отдел документооборота и обеспечения основных мероприятий Министерства |
Аналитик |
|
ОТДЕЛ ПРАВОВОГО ОБЕСПЕЧЕНИЯ |
Заведующий Отделом |
|
Отдел правового обеспечения |
Заместитель заведующего Отделом |
|
Отдел правового обеспечения |
Консультант |
|
Отдел правового обеспечения |
Главный специалист |
|
Отдел правового обеспечения |
Ведущий юрисконсульт |
|
УПРАВЛЕНИЯ КООРДИНАЦИИ ДЕЯТЕЛЬНОСТИ МЕДИЦИНСКИХ И ФАРМАЦЕВТИЧЕСКИХ ОРГАНИЗАЦИЙ N 1 - 15 | |
|
Отдел контроля организации медицинской помощи и реализации программных мероприятий |
Начальник Управления Заместитель начальника Управления - заведующий отделом в Управлении Заместитель заведующего отделом в Управлении Главный аналитик Аналитик |
|
Отдел анализа и мониторинга деятельности |
Заведующий отделом в Управлении Заместитель заведующего отделом в Управлении Главный аналитик Аналитик |
Инструкция
ответственного за организацию обработки персональных данных
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Общие положения
1.1. Настоящая Инструкция определяет права, обязанности, задачи, функции ответственного за организацию обработки персональных данных (далее - ПДн) при их обработке в информационных системах персональных данных (далее - ИСПДн) Министерства здравоохранения Московской области (далее - Министерство).
1.2. Ответственный за организацию обработки персональных данных получает указания непосредственно от министра здравоохранения Московской области, и подотчётен ему.
2. Обязанности ответственного за организацию обработки ПДн
2.1. Знать и выполнять требования законодательства РФ и локальных актов Министерства, устанавливающих правила обработки и защиты персональных данных.
2.2. При эксплуатации ИСПДн ответственный за организацию обработки персональных данных обязан:
- Контролировать выполнение и принимать меры к выполнению требований организационно-распорядительной документации (далее - ОРД) регламентирующей порядок обработки персональных данных;
- Планировать, координировать и контролировать действия администратора безопасности и системных администраторов при выполнении работ, предусмотренных организационно-распорядительной документацией по защите персональных данных и документами, определяющими политику Министерства в отношении обработки персональных данных;
- Организовать обучение и контроль знания пользователями ИСПДн правил обработки и защиты персональных данных;
- Контролировать изменения в конфигурации ИСПДн и последствия этих изменений. Организовывать работы по восстановлению конфигурации ИСПДн и её системе защиты;
- Контролировать уровень защищённости персональных данных, обрабатываемых в ИСПДн. Организовывать работы по доработке системы защиты персональных данных с целью обеспечения установленного уровня защищённости ПДн, обрабатываемых в ИСПДн.
3. Права ответственного за организацию обработки ПДн
3.1. Издавать распоряжения по Министерству в части реализации мер по защите ПДн, обрабатываемых в ИСПДн, и мер по организации обработки ПДн.
3.2. Привлекать к действиям, связанным с защитой и обработкой ПДн всех пользователей ИСПДн, а также сотрудников Министерства, не являющихся пользователями ИСПДн.
3.3. Вносить предложения по организации и материальному обеспечению работ по защите ПДн, обрабатываемых в ИСПДн Министерства.
3.4. Принимать решение об изменениях в базовой конфигурации ИСПДн и её системе защиты, если при этом не требуется переаттестация ИСПДн на соответствие требованиям безопасности персональных данных.
4. Ответственность
4.1. На ответственного за организацию обработки персональных данных возлагается ответственность:
- за организацию соблюдение режима конфиденциальности персональных данных;
- за правильность понимания и полноту выполнения задач, функций, прав и обязанностей, возложенных на него по организации защиты и организации обработки ПДн;
- за соблюдение требований локальных актов по вопросам обработки и защиты ПДн.
4.2. Ответственный за организацию обработки персональных данных несёт ответственность, предусмотренную законодательством Российской Федерации.
Инструкция
по контролю за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Введение
1.1. Настоящая инструкция определяет порядок действий администраторов безопасности и системных администраторов информационных системах персональных данных (далее - ИСПДн) Министерства здравоохранения Московской области (далее - Министерство) при выполнении мероприятий по контролю за принимаемыми мерами по обеспечению безопасности персональных данных (далее - ПДн) и уровня защищённости информационных систем персональных данных.
1.2. Настоящая инструкция устанавливает требования к управлению процессом контроля защищённости персональных данных в ИСПДн на стадии её эксплуатации.
1.3. Настоящая инструкция устанавливает формы рабочих документов, которые должны использоваться в организации для документирования действий по контролю защищённости ПДн. Назначение и порядок использования рабочих документов описаны в настоящей инструкции. К рабочим документам процесса относятся:
- Таблица результатов проверки программных средств. (Приложение. Форма 1);
- Таблица результатов сетевого сканирования. (Приложение. Форма 2);
- Таблица результатов проверки аппаратных средств. (Приложение. Форма 3);
- Таблица проверки организационно-технических мер защиты. (Приложение. Форма 4).
2. Выявление, анализ и устранение уязвимостей
2.1. Уязвимость - это недостаток ИСПДн или системы защиты информации, который может привести к реализации угрозы безопасности ПДн, обрабатываемых в ИСПДн.
2.2. Периодичность плановых процедур выявления, анализа и устранения уязвимостей ИСПДн устанавливается ответственным за организацию обработки персональных данных. Внеплановые процедуры выявления, анализа и устранения уязвимостей ИСПДн проводят по распоряжению ответственного за организацию обработки персональных данных в случае необходимости. Необходимость внеплановой процедуры выявления и устранения уязвимостей определяет ответственный за организацию обработки ПДн на основе анализа журналов событий безопасности.
2.3. В ИСПДн должно осуществляться выявление и устранение следующих типов уязвимостей:
недостатки и (или) ошибки программного обеспечения ИСПДн и её системы защиты;
недостатки аппаратных средств ИСПДн, в том числе аппаратных средств защиты информации; организационно-технические недостатки.
2.4. Мероприятия по выявлению, анализу и устранению уязвимостей организует ответственный за организацию обработки персональных данных. Непосредственными исполнителями мероприятий по выявлению, анализу и устранению уязвимостей ИСПДн являются администраторы безопасности и системные администраторы ИСПДн.
3. Выявление, анализ и устранение недостатков программного обеспечения
3.1. В ИСПДн должна проводится проверка конфигурации и настроек программно-технических средств ИСПДн и системы защиты персональных данных на соответствие требованиям эксплуатационной документации и требований к защите персональных данных.
3.2. В ИСПДн должна проводится проверка наличия и сроков действия лицензий на установленное программное обеспечение.
3.3. В ИСПДн должна проводится проверка наличия последних обновлений используемого программного обеспечения:
проверка соответствия обновлений версиям программного обеспечения, установленного в ИСПДн и системе защиты персональных данных; проверка обновлений вирусных баз;
проверка обновлений баз решающих правил для средств обнаружения вторжений.
3.4. В ИСПДн должен проводится анализ сообщений об уязвимостях из специальных источников.
3.5. Результаты проверок по п. 3.1, 3.2, 3.3 и 3.4 администратор безопасности оформляет в виде таблицы результатов проверки программных средств, форма которой приведена в Приложении (Форма 1).
3.6. Устранение обнаруженных недостатков на основании своих полномочий осуществляют администраторы безопасности и системные администраторы ИСПДн.
3.7. При наличии в ИСПДн сканеров безопасности, администратор безопасности осуществляет процесс сканирования и анализ отчётов об обнаруженных уязвимостях.
3.8. Результаты сканирования должны быть отсортированы администратором безопасности по степени критичности (опасности реализации известных угроз безопасности) обнаруженных уязвимостей и сведены в таблицу результатов сетевого сканирования по форме, приведённой в Приложении (Форма 2).
4. Выявление, анализ и устранение недостатков аппаратных средств
4.1. К недостаткам аппаратных средств, используемых в ИСПДн, относят низкую надёжность функционирования (частые аппаратные сбои, отключения), нарушения аппаратной конфигурации, низкое качество контактных соединений.
4.2. При выявлении недостатков аппаратных средств проверяют: техническое состояние аппаратных средств, журналы плановопрофилактического обслуживания аппаратных средств ИСПДн за период контроля защищённости ИСПДн;
наличие сертификатов соответствия на применяемые в ИСПДн и её системе защиты аппаратные средства;
наличие у поставщиков обновлённых версий аппаратных средств, применяемых в ИСПДн и системе защиты персональных данных; перечень событий информационной безопасности за период контроля, связанных с отказами и неисправностями аппаратных средств; конфигурацию соединений и установки аппаратных средств, условия их эксплуатации.
4.3. Проверку осуществляет администратор безопасности и оформляет её результаты в таблицу результатов проверки аппаратных средств по форме, приведённой в Приложении (Форма 3).
4.4. Обнаруженные в ходе проверки отклонения от конфигурации ИСПДн устраняет администратор безопасности и системный администратор, каждый в своей части. Координирует работы администратор безопасности. При обнаружении аппаратных средств с низкой надёжностью, частыми выходами из строя администратор безопасности принимает меры по ремонту или замене этих аппаратных средств.
5. Выявление, анализ и устранение организационно-технических недостатков
5.1. Проверка состояния и актуальности организационно-распорядительной документации (далее - ОРД) по защите персональных данных, обрабатываемых в ИСПДн.
5.2. Проверка заполнения рабочих документов ОРД (записи в журналах, перечнях, актах и других формах по требованиям ОРД).
5.3. Проверка соответствия выполнения правил генерации и смены паролей пользователей принятым требованиям.
5.4. Проверка соответствия выполнения правил заведения и удаления учётных записей пользователей принятым требованиям.
5.5. Проверка соответствия выполнения правил разграничения доступа к персональным данным и ресурсам ИСПДн принятым требованиям.
5.6. Проверка соответствия полномочий пользователей принятым требованиям.
5.7. Проверка наличия документов, подтверждающих правомерность изменений учётных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей.
5.8. Проверка состояния физической защиты ИСПДн (средства охраны и физического доступа в контролируемой зоне ИСПДн).
5.9. Проверка знания и соблюдения пользователями ИСПДн основных нормативно-правовых актов в области защиты персональных данных и требований ОРД.
5.10. Проверки организует ответственный за организацию обработки персональных данных с участием администратора безопасности.
5.11. Результаты проверки организационно-технических мер защиты оформляются в виде таблицы по форме, приведённой в Приложении (Форма 4).
6. Заключительные положения
6.1. Администраторы безопасности и системные администраторы ИСПДн должны быть предупреждены об ответственности за действия, нарушающие требования настоящей инструкции.
6.2. Администраторы безопасности и системные администраторы ИСПДн должны быть ознакомлены с настоящей инструкцией до начала работы с ИСПДн под роспись. Обязанность ознакомления администраторов безопасности и системных администраторов ИСПДн с настоящей инструкцией лежит на ответственном за организацию обработки персональных данных.
7. Нормативные и правовые документы
7.1. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации".
7.2. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
7.3. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
7.4. Постановление правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
7.5. Приказ ФСТЭК России от 18.02.2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Приложение
к Инструкции по контролю
за принимаемыми мерами по
обеспечению безопасности
персональных данных и уровня
защищённости информационных
систем персональных данных
Форма 1. Таблица результатов проверки программных средств
Результат проверки программного обеспечения ИСПДн "________________"
(наименование ИСПДн)
_______________ 2 г.
Лист ________ Листов ________
|
Программное обеспечение |
Содержание проверки |
Обнаруженные уязвимости/недостатки |
Рекомендации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Администратор безопасности:
_______________ _____________________________________ _______________
(подпись) (Ф.И.О.) (дата)
Форма 2. Таблица результатов сетевого сканирования
Результат сетевого сканирования ИСПДн "______________________"
(наименование ИСПДн)
_______________ 2 г.
Лист ________ Листов ________
|
Уязвимость |
IP адрес/имя |
Описание угрозы |
Рекомендации |
|
Высокий риск | |||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Средний риск | |||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Администратор безопасности:
_______________ _____________________________________ _______________
(подпись) (Ф.И.О.) (дата)
Форма 3. Таблица результатов проверки аппаратных средств
Результат проверки аппаратных средств ИСПДн "______________________"
(наименование ИСПДн)
_______________ 2 г.
Лист ________ Листов ________
|
Оборудование |
Содержание проверки |
Обнаруженные уязвимости/недостатки |
Рекомендации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Администратор безопасности:
_______________ _____________________________________ _______________
(подпись) (Ф.И.О.) (дата)
Форма 4. Таблица проверки организационно-технических мер защиты
Результат проверки организационно-технических мер по защите
персональных данных, обрабатываемых в ИСПДн "___________________________"
(наименование ИСПДн)
_______________ 2 г.
Лист ________ Листов ________
|
Объект проверки |
Содержание проверки |
Обнаруженные уязвимости/недостатки |
Рекомендации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Администратор безопасности:
_______________ _____________________________________ _______________
(подпись) (Ф.И.О.) (дата)
УТВЕРЖДЕНО
Приказом Министерства здравоохранения
Московской области
от 9 декабря 2015 г. N 1858
Типовые формы документов,
необходимых для реализации требований
законодательства о персональных данных
Обязательство
(Типовая форма)
Я, ________________________________, паспорт серии ________________,
номер ________________, выданный ________________________________________
"__" ___________________ года в период трудовых отношений с Министерством
здравоохранения Московской области в соответствии с Политикой в отношении
обработки персональных данных и Правилами обработки персональных данных
обязуюсь:
1) не разглашать и не передавать третьим лицам персональные данные,
которые мне будут доверены или станут известны в связи с исполнением
должностных обязанностей, кроме случаев, предусмотренных
законодательством Российской Федерации и с разрешения ответственного за
организацию обработки персональных данных в Министерстве здравоохранения
Московской области;
2) выполнять требования локальных актов Министерстве
здравоохранения Московской области по вопросам обработки персональных
данных в части меня касающейся;
3) в случае попытки посторонних лиц получить от меня сведения,
содержащие персональные данные, а также в случае утери носителей
информации, содержащих такие сведения, немедленно сообщить об этом лицу,
ответственному за организацию обработки персональных данных;
4) не производить преднамеренных действий, нарушающих доступность,
целостность или конфиденциальность персональных данных, обрабатываемых в
Министерстве здравоохранения Московской области;
5) прекратить обработку персональных данных, ставших мне известными
в связи с исполнением должностных обязанностей, в случае расторжения
служебного контракта (трудового договора).
До моего сведения доведены с разъяснениями положения
законодательства Российской Федерации в сфере персональных данных, а
также локальные акты Министерства здравоохранения Московской области по
вопросам обработки и защиты персональных данных при их
автоматизированной обработке в информационных системах Министерства
здравоохранения Московской области, а также при обработке персональных
данных без использования средств автоматизации.
Мне известно, что нарушение этого обязательства может повлечь
ответственность, предусмотренную трудовым, административным и уголовным
законодательством Российской Федерации.
"__" ____________ 20__ г. _______________________________ _______________
(Ф.И.О.) (подпись)
Согласие на обработку персональных данных
(Типовая форма)
Я, ________________________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность _____________ серия _____ N __________,
(вид документа)
выдан __________________________________________________________________,
(кем и когда)
зарегистрированный (ая) по адресу: _____________________________________,
в соответствии со статьёй 9 Федерального закона от 27.07.2006 N 152-ФЗ
"О персональных данных" даю своё согласие Министерству здравоохранения
Московской области, зарегистрированному по адресу: Московская обл.,
Красногорский р-н, Красногорск г., Строителей б-р, дом 1, на обработку
своих персональных данных.
1. Цель обработки персональных данных: _____________________________
_________________________________________________________________________
2. Перечень персональных данных, на обработку которых даётся
согласие: ______________________________________________________________.
3. Перечень действий с персональными данными, передаваемыми на
обработку:
любые действие (операция) или совокупность действий (операций),
совершаемые с использованием средств автоматизации или без использования
таких средств, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование,
передачу (предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение.
4. Настоящее согласие вступает в силу со дня его подписания и
действует до истечения определяемых в соответствии с Федеральным
законодательством сроков хранения персональных данных.
5. Мне разъяснены мои права и обязанности, в части обработки
персональных данных, в том числе, моя обязанность проинформировать
оператора в случае изменения персональных данных.
"__" _______ 20__ г. _____________________________ ______________________
(фамилия, имя, отчество) (подпись)
Разъяснение
(Типовая форма)
Мне, ______________________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность _____________ серия _______ N ________,
(вид документа)
выдан __________________________________________________________________,
(кем и когда)
зарегистрированный (ая) по адресу: _____________________________________,
в соответствии с частью 2 статьи 18 Федерального закона от 27.07.2006
N 152-ФЗ "О персональных данных" разъяснены юридические последствия
отказа предоставить мои персональные данные Министерству здравоохранения
Московской области, зарегистрированному по адресу: Московская обл.,
Красногорский р-н, Красногорск г., Строителей б-р, дом 1, в целях _______
_________________________________________________________________________
(цели обработки персональных данных)
В случае моего отказа предоставить свои персональные данные,
Министерство здравоохранения Московской области не сможет на законных
основаниях осуществлять обработку моих персональных данных, что приведёт
к следующим юридическим последствиям
_________________________________________________________________________
_________________________________________________________________________
(перечисляются юридические последствия для субъекта персональных
данных, то есть случаи возникновения, изменения или прекращения личных
либо имущественных прав граждан или случаи иным образом затрагивающие
его права, свободы и законные интересы)
"__" _______ 20__ г. _____________________________ ______________________
(фамилия, имя, отчество) (подпись)
Перечень
помещений, в которых ведётся обработка персональных данных
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
N п/п |
Адрес помещения, включая N кабинета |
ФИО ответственного |
|
|
|
|
|
|
|
|
|
|
|
|
Порядок
доступа работников Министерства здравоохранения Московской области в помещения, в которых ведётся обработка персональных данных
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. Общие положения
1.1. Настоящие документ устанавливает порядок доступа работников Министерства здравоохранения Московской области (далее - Министерство) в помещения, в которых ведётся обработка персональных данных - установлены технические средства, на которых осуществляется обработка персональных данных и установлены средства защиты информации.
1.2. Настоящие правила разработаны на основании и в соответствии с требованиями следующих законодательных и нормативных правовых актов Российской Федерации:
- федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
- постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами;
- постановление Правительства Российской Федерации от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определённых статьёй 3 Федерального закона N 152-ФЗ.
2. Требования к обеспечению безопасности помещений, в которых ведётся обработка персональных данных
2.1. Перечень помещений, в которых ведётся обработка персональных данных, утверждается приказом министра здравоохранения Московской области. В приказе также назначаются сотрудники, ответственные за помещения.
2.2. Доступ в помещения, в которых ведется обработка персональных данных имеют работники Министерства, должности которых указаны в "Перечне должностей работников Министерства здравоохранения Московской области, занятие которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным".
2.3. На период обработки персональных данных в помещениях, где установлены технические средства, на которых осуществляется обработка персональных данных, и средства защиты информации, могут находиться только работники, допущенные в помещения согласно п. 2.1.
2.4. Нахождение в помещениях других лиц (например, для проведения необходимых профилактических или ремонтных работ, посетителей) возможно только с разрешения ответственного за организацию обработки персональных данных и в присутствии ответственного за помещение.
2.5. Контроль выполнения правил и процедур доступа в помещения, в которых ведётся обработка персональных данных, осуществляет ответственный за организацию обработки ПДн.
3. Заключительные положения
3.1. Работники Министерства, допущенные в помещения, в которых ведётся обработка персональных данных, должны быть предупреждены об ответственности за действия, нарушающие требования настоящего документа.
3.2. Работники Министерства, допущенные в помещения, в которых ведётся обработка персональных данных, должны быть ознакомлены с настоящим документом, под роспись в листе ознакомлений.
3.3. Обязанность ознакомления Работников Министерства с настоящим документом лежит на ответственном за организацию обработки персональных данных.
Перечень
помещений, в которых ведётся обработка персональных данных
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
1. На 3 этаже 16-и этажного здания по адресу: 143407, г. Красногорск-7 Московской области, бульвар Строителей, д. 1
|
N п/п |
Адрес помещения, включая N кабинета |
ФИО ответственного |
|
1 |
304 |
Трухина Светлана Владимировна |
|
2 |
306 |
Галяс Ольга Вениаминовна |
|
3 |
322 |
Шлемская В.В. |
|
4 |
324 |
Сучков А.В. |
|
5 |
314 |
Ефремова С.В. |
|
6 |
311 - 8 |
Ефремова С.В. |
|
7 |
332 - 1 |
Шумилова Н.А. |
|
8 |
328 |
Лаптева Ю.С. |
|
9 |
334 |
Глазова О.В. |
2. На 1 этаже 16-и этажного здания по адресу: 143407, г. Красногорск-7 Московской области, бульвар Строителей, д. 1
|
N п/п |
Адрес помещения, включая N кабинета |
ФИО ответственного |
|
1 |
ППС-15 (130) - ЦОДПМО |
Воробьев И. А. |
Акт
оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона ''О персональных данных" при обработке персональных данных в автоматизированной системе "Управление организации медицинской помощи населению" Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
Комиссия в составе: | |
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: | |
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", рассмотрев исходные данные по автоматизированной системе "Управление организации медицинской помощи населению":
- в АС "Управление организации медицинской помощи населению"автоматизированной системе осуществляется обработка специальных категорий персональных данных;
- в АС "Управление организации медицинской помощи населению"обрабатываются персональные данные субъектов, не являющихся служащими Министерства здравоохранения Московской области;
- в АС "Управление организации медицинской помощи населению"обрабатываются персональные данные менее чем 100 000 субъектов персональных данных,
установила, что нарушение требований Федерального закона "О персональных данных", при обработке персональных данных в АС "Управление организации медицинской помощи населению", может привести к незначительным негативным последствиям для субъектов персональных данных.
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: |
|
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
9 декабря 2015 г.
Акт
оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона "О персональных данных" при обработке персональных данных в автоматизированной системе "Отдел организации бюджетного учёта, бюджетной отчётности и анализа" Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
Комиссия в составе: | |
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: | |
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", рассмотрев исходные данные по автоматизированной системе "Отдел организации бюджетного учёта, бюджетной отчётности и анализа":
- в АС "Отдел организации бюджетного учёта, бюджетной отчётности и анализа"автоматизированной системе осуществляется обработка иных категорий персональных данных;
- в АС "Отдел организации бюджетного учёта, бюджетной отчётности и анализа"обрабатываются персональные данные субъектов, являющихся служащими Министерства здравоохранения Московской области;
- в АС "Отдел организации бюджетного учёта, бюджетной отчётности и анализа"обрабатываются персональные данные менее чем 100 000 субъектов персональных данных,
установила, что нарушение требований Федерального закона "О персональных данных", при обработке персональных данных в АС "Отдел организации бюджетного учёта, бюджетной отчётности и анализа", может привести к незначительным негативным последствиям для субъектов персональных данных.
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: |
|
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
9 декабря 2015 г.
Акт
оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона "О персональных данных" при обработке персональных данных в автоматизированной системе "Управление кадровой политики и образовательных учреждений" Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
Комиссия в составе: | |
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: | |
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", рассмотрев исходные данные по автоматизированной системе "Управление кадровой политики и образовательных учреждений":
- в АС "Управление кадровой политики и образовательных учреждений"автоматизированной системе осуществляется обработка иных категорий персональных данных;
- в АС "Управление кадровой политики и образовательных учреждений"обрабатываются персональные данные субъектов, являющихся служащими Министерства здравоохранения Московской области;
- в АС "Управление кадровой политики и образовательных учреждений"обрабатываются персональные данные менее чем 100 000 субъектов персональных данных,
установила, что нарушение требований Федерального закона "О персональных данных", при обработке персональных данных в АС "Управление кадровой политики и образовательных учреждений", может привести к незначительным негативным последствиям для субъектов персональных данных.
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: |
|
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
9 декабря 2015 г.
Акт
оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона "О персональных данных" при обработке персональных данных в автоматизированной системе "Единая медицинская информационно-аналитическая система Московской области" Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
|
Комиссия в составе: | |
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: | |
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", рассмотрев исходные данные по автоматизированной системе "Единая медицинская информационно-аналитическая система Московской области":
- в АС "Единая медицинская информационно-аналитическая система Московской области"автоматизированной системе осуществляется обработка специальных категорий персональных данных;
- в АС "Единая медицинская информационно-аналитическая система Московской области"обрабатываются персональные данные субъектов, не являющихся служащими Министерства здравоохранения Московской области;
- в АС "Единая медицинская информационно-аналитическая система Московской области" обрабатываются персональные данные более 100 000 субъектов персональных данных,
установила, что нарушение требований Федерального закона "О персональных данных", при обработке персональных данных в АС "Единая медицинская информационно-аналитическая система Московской области", может привести к незначительным негативным последствиям для субъектов персональных данных.
|
Председатель комиссии: |
|
|
Семенов М.Е. |
заместитель министра здравоохранения Московской области |
|
Члены комиссии: |
|
|
Воробьев И.А. |
Заведующий отделом защиты информационных ресурсов и систем в Управлении информатизации и защиты информации |
|
Киселев В.А. |
Заведующий отделом информатизации и программного обеспечения Управлении информатизации и защиты информации |
9 декабря 2015 г.
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 приказ дополнен Правилами
Правила
обработки персональных данных в информационной системе персональных данных автоматизированная система "Управление кадровой политики и образовательных учреждений" Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
I. Общие положения
1.1 Настоящие правила обработки персональных данных (далее - Правила) в информационной системе персональных данных Автоматизированная система "Управление кадровой политики и образовательных учреждений" (далее - ИСПДн) Министерства здравоохранения Московской области (далее - Министерство), введенной в эксплуатацию приказом Министерства от 28.05.2014 N 662, устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее - ПДн), а также определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в ИСПДн.
1.2 Обработка ПДн при работе в ИСПДн ограничивается выполнением работником Министерства своих должностных обязанностей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
II. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в ИСПДн используются следующие процедуры:
2.1 Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
Внутренний контроль проводится в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, утвержденными приказом Министерства от 09.12.2015 N 1858.
2.2 Оценка вреда, который может быть причинен субъектам персональных данных.
2.3 Ознакомление работников Министерства, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими правилами и (или) обучение работников Министерства.
2.4 Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.
2.5 Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных.
2.6 Недопущение обработки персональных данных, несовместимых с целями сбора персональных данных.
2.7 Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.8 Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.9 Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
III. Цели и правовые основания обработки ПДн
В ИСПДн могут обрабатываться персональные данные в целях кадрового учета:
3.1 работников Министерства в целях
3.1.1 реализации трудовых отношений, содействия в обучении, продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества (Трудовой Кодекс Российской Федерации ст. 65, ст. 85 - 90 (далее - ТК), Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - 79-ФЗ), постановление Правительства Московской области от 17.10.2007 N 790/28 (ред. от 29.12.2015) "О Положении, структуре и штатной численности Министерства здравоохранения Московской области" (далее - Положение о Министерстве));
3.1.2 воинского учета (79-ФЗ, постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении положения о воинском учете");
3.1.3 реализации социальной политики (Положение о Министерстве).
3.2 кандидатов на должности в Министерстве в целях содействия в трудоустройстве, пополнении кадрового резерва (ТК, Федеральный закон от 27.07.2004 N 79-ФЗ ст. 42 - 44);
3.3 руководители государственных учреждений Московской области, подведомственных Министерству, назначаемые приказом Министерства (ТК, Положение о Министерстве) (далее - Руководители ГУ МО).
3.4 родственников (супруги, в том числе бывшие, дети, в том числе усыновленные, братья и сестры, в том числе неполнородные, отец, мать, усыновители) лиц, претендующих на замещение должностей в Министерстве, Руководителей ГУ МО, а также лиц замещающих должности, входящие в перечень должностей, при замещении которых
- работники (кандидаты на должность, Руководители ГУ МО) обязаны представлять сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей (ТК, Федеральный закон от 27.07.2004 N 79-ФЗ ст. 20);
- работникам должен быть оформлен допуск к сведениям, составляющим государственную тайну (Постановление Правительства РФ от 06.02.2010 N 63).
IV. Категории субъектов ПДн
4.1 В ИСПДн обрабатываются ПДн работников Министерства и подведомственных учреждений:
4.1.1 лица, замещающие должности государственной гражданской службы Московской области в Министерстве;
4.1.2 лица, замещающие должности, не являющиеся должностями государственной гражданской службы;
4.1.3 иные работники Министерства;
4.1.4 Руководители ГУ МО;
4.1.5 лица, претендующие на замещение должностей государственной гражданской службы Московской области в Министерстве;
4.1.6 лица, состоящие в кадровом резерве Министерства, претендующие на замещение должностей государственной гражданской службы Московской области в Министерстве или на замещение должностей руководителей подведомственных Министерству государственных учреждений Московской области;
4.1.7 лица, ранее состоявшие на гражданской службе (в трудовых отношениях) в Министерстве, личные дела которых не переданы на хранение в государственный архив Московской области;
4.1.8 супруги и несовершеннолетние дети лиц, претендующих на замещение должностей государственной гражданской службы Московской области в Министерстве, Руководители ГУ МО, а также лиц замещающих должности государственной гражданской службы Московской области в Министерстве, входящие в перечень должностей, при замещении которых гражданские служащие обязаны представлять сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;
4.1.9 родственники (супруги, в том числе бывшие, дети, в том числе усыновленные, братья и сестры, в том числе неполнородные, отец, мать, усыновители) лиц, замещающих или претендующие на замещение должностей государственной гражданской службы Министерства, которым должен быть оформлен допуск к сведениям, составляющим государственную тайну;
4.1.10 лица, проходящие производственную практику в Министерстве.
V. Категории обрабатываемых ПДн
В ИСПДн могут обрабатываться следующие категории ПДн:
5.1 фамилия, имя, отчество;
5.2 год, месяц, дата, место рождения;
5.3 адрес проживания, в том числе адреса прежних мест проживания;
5.4 семейное положение, в том числе сведения о родственниках;
5.5 образование;
5.6 профессия;
5.7 сведения о доходах, расходах, имуществе и обязательствах имущественного характера;
5.8 реквизиты документа, удостоверяющего личность;
5.9 сведения о занимаемой должности;
5.10 сведения о классном чине;
5.11 сведения о включении в кадровый резерв;
5.12 сведения об исполнении должностных обязанностей;
5.13 реквизиты полиса добровольного медицинского страхования;
5.14 СНИЛС;
5.15 ИНН;
5.16 сведения о наличии социальных льгот;
5.17 сведения о наличии ограничений, препятствующих поступлению на гражданскую службу или ее прохождению (ст. 16 79-ФЗ);
5.18 фотография.
VI. Перечень действий с ПДн
6.1 В ИСПДн используется смешанная обработка ПДн.
6.2 В процессе обработки ПДн ответственные работники выполняют следующие действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, а в случаях предусмотренных законодательством о ПДн или локальными нормативными актами Министерства передачу (предоставление), блокирование, удаление, уничтожение персональных данных.
VII. Условия обработки ПДн
7.1 Приказом Министерства от 09.12.2015 N 1858 "Об обеспечении безопасности персональных данных при их обработке в информационных системах Министерства здравоохранения Московской области" (далее - Приказ о ПДн) в Министерстве создана система защиты информации.
7.2 Обработка персональных данных в ИСПДн осуществляется с информированного согласия субъекта персональных данных на обработку его персональных данных.
7.3 Приказом о ПДн в Министерстве определены типовые формы документов, необходимых для реализации требований законодательства о персональных данных.
7.3.1 Согласие на обработку ПДн, даваемое кандидатом на замещаемую должность в Министерстве или на должность руководителя подведомственного государственного учреждения;
7.3.2 Разъяснение о последствиях отказа от предоставления или отзыва согласия на обработку ПДн.
7.4 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в соответствии со ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - 152-ФЗ), а также требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.5 В целях обеспечения сохранности документов, содержащих персональные данные, к работе с ИСПДн работники допускаются на основании приказа Министерства здравоохранения Московской области; все операции по оформлению, формированию, ведению и хранению данной информации выполняются работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкциях). При этом работник до начала обработки ПДн в ИСПДн должен ознакомиться с Приказом о ПДн и подписать обязательство о соблюдении требований законодательства о персональных данных и локальных нормативных актов Министерства.
7.6 Обработка ПДн осуществляется в помещениях, определенных Приказом о ПДн.
VIII. Сроки обработки и хранения ПДн
8.1 Сроки хранения ПДн в ИСПДн определяются в соответствии с Приказом Министерства Культуры Российской федерации от 25 августа 2010 г. N 558 "Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения".
8.1.1 ПДн работников, Руководителей ГУ МО - постоянно, 75 лет после увольнения;
8.1.2 ПДн кандидатов на замещение должностей - 3 года после проведения конкурса на замещение вакантных должностей).
8.2 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
IX. Порядок уничтожения ПДн
9.1 Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9.2 Основания для прекращения обработки персональных данных и сроки их уничтожения определены в частях 3, 4, 5 статьи 21 Федерального закона "О персональных данных".
9.3 Основанием (условием) прекращения обработки персональных данных также является ликвидация Министерства.
9.4 Отбор ПДн для принятия решения о дальнейшем хранении, уничтожении или передаче на государственное хранение в Центральный государственный архив Московской области осуществляется в соответствии с Приказом Министерства здравоохранения Московской области от 02.10.2008 N 586 "О постоянно-действующей экспертной комиссии".
9.5 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона N 152-ФЗ, должно осуществляться блокирование таких персональных данных или обеспечиваться их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и обеспечиваться уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.6 При уничтожении материальных носителей содержащих персональные данные должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
9.7 При необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
9.8 Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
9.9 Уничтожение персональных данных осуществляется в соответствии с требованиями "Инструкции по защите машинных носителей информации".
X. Заключительные положения
10.1 Работники Министерства, определённые Приказом о ПДн как пользователи ИСПДн, а также субъекты ПДн, определенные в п. IV Правил, должны ознакомиться с настоящими Правилами обработки персональных данных в ИСПДн.
10.2 Обязанность довести до сведения работников Министерства и субъектов ПДн данные Правила лежит на ответственном за организацию обработки персональных данных в Министерстве.
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 приказ дополнен Правилами
Правила
обработки персональных данных в информационной системе персональных данных автоматизированная система "Управление организации медицинской помощи населению" Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
I. Общие положения
1.1 Настоящие правила обработки персональных данных (далее - Правила) в информационной системе персональных данных Автоматизированная система "Управление организации медицинской помощи населению" (далее - ИСПДн) Министерства здравоохранения Московской области (далее - Министерство), введенной в эксплуатацию приказом Министерства от 28.05.2014 N 662, устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее - ПДн), а также определяют цели обработки, содержание, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2 Обработка ПДн в ИСПДн ограничивается выполнением работником Министерства своих должностных обязанностей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.3 Обработка ПДн работниками Министерства производится в информационной системе персональных данных, являющейся локальным сегментом Информационноаналитической системы Министерства здравоохранения Российской Федерации (далее - ЕГИСЗ), разработанной в соответствии с Решением Правительства Российской Федерации N 321 от 30.06.2004, введенной в эксплуатацию приказом Министерства здравоохранения и социального развития РФ от 19.04.2010 г. N 251 "О вводе в промышленную эксплуатацию 1-ой очереди Информационно-аналитической системы Минздравсоцразвития России", и приказом "О вводе в промышленную эксплуатацию 2-ой очереди Информационно-аналитической системы Минздравсоцразвития России" от 22.06.2010 г. N 470 и включающей в том числе следующие подсистемы:
ГАРАНТ:
По-видимому, в предыдущем абзаце допущена опечатка. Вместо "Решением Правительства Российской Федерации N 321 от 30.06.2004" имеется в виду "Постановлением Правительства Российской Федерации N 321 от 30.06.2004"
1.3.1 "Подсистема мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи";
1.3.2 "Подсистема мониторинга оказания санаторно-курортной помощи".
II. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в системе ИСПДн используются следующие процедуры:
2.1 Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
Внутренний контроль проводится в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, утвержденными приказом Министерства от 09.12.2015 N 1858.
2.2 Оценка вреда, который может быть причинен субъектам персональных данных.
2.3 Ознакомление работников Министерства, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими правилами и (или) обучение работников Министерства.
2.4 Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.
2.5 Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных.
2.6 Недопущение обработки персональных данных, несовместимых с целями сбора персональных данных.
2.7 Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.8 Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.9 Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
III. Цели и правовые основания обработки ПДн
В ИСПДн могут обрабатываться персональные данные граждан, проживающих в Московской области, поступающие для обработки в целях:
3.1 Предоставления Министерством здравоохранения Московской области государственной услуги "Постановка на учет и предоставление информации об организации оказания высокотехнологичной медицинской помощи" в соответствии с административным регламентом, утвержденным распоряжением Минздрава Московской области от 20.08.2014 N 19-Р, постановлением Правительства Московской области от 06.08.2013 N 593/33 "О Реестре государственных услуг (функций) Московской области", на основании приказа Министерства здравоохранения Российской Федерации от 02.12.2014 N 796н "Об утверждении Положения об организации оказания специализированной, в том числе высокотехнологичной, медицинской помощи", приказа Министерства здравоохранения Российской Федерации от 29.12.2014 N 930н "Об утверждении порядка организации оказания высокотехнологичной медицинской помощи с применением специализированной информационной системы", приказа Министерства здравоохранения Российской Федерации от 30.01.2015 N 29н "О формах статистического учета и отчетности, используемых при организации оказания высокотехнологичной медицинской помощи с применением специализированной информационной системы, порядках их заполнения и сроках представления", Постановление Правительства Московской области от 17.10.2007 N 790/28 (ред. от 29.12.2015) "О Положении, структуре и штатной численности Министерства здравоохранения Московской области" (далее - Положение о Министерстве);
3.2 Предоставления Министерством здравоохранения Московской области государственной услуги "Приём заявлений, постановка на учёт и предоставление информации об организации оказания медицинской помощи, предусмотренной законодательством субъекта Российской Федерации для определённой категории граждан" в соответствии с административным регламентом, утвержденным распоряжением Минздрава Московской области от 03.03.2011 N 4-Р, постановлением Правительства Московской области от 06.08.2013 N 593/33 "О Реестре государственных услуг (функций) Московской области", на основании приказа Минздравсоцразвития РФ от 27.03.2009 N 138н "О порядке организации работы по распределению путёвок и направлению больных из учреждений, оказывающих специализированную, в том числе высокотехнологичную, медицинскую помощь, на лечение в санаторно-курортные учреждения, находящиеся в ведении Mинсоцразвития России" и Положения о Министерстве.
IV. Категории Субъектов ПДн
В ИСПДн обрабатываются ПДн жителей Московской области или их законных представителей, являющихся пациентами медицинских организаций, участвующих в выполнении Московской областной программы государственных гарантий оказания гражданам Российской Федерации бесплатной медицинской помощи.
V. Категории обрабатываемых ПДн
В ИСПДн могут обрабатываться следующие категории ПДн субъектов ПДн:
5.1 фамилия, имя, отчество;
5.2 дата рождения;
5.3 адрес регистрации или места жительству, почтовый адрес;
5.4 реквизиты документа, удостоверяющего"личность;
5.5 номер контактного телефона;
5.6 адрес электронной почты;
5.7 реквизиты полиса обязательного медицинского страхования;
5.8 СНИЛС;
5.9 сведения о социальном статусе;
5.10 сведения о наличии льгот;
5.11 сведения о состоянии здоровья субъекта, содержащиеся в его медицинской документации.
VI. Перечень действий с ПДн
6.1 В ИСПДн используется смешанная обработка ПДн.
6.2 В процессе обработки ПДн ответственные работники выполняют следующие действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление, уничтожение персональных данных.
VII. Условия обработки ПДн
7.1 Приказом Министерства от 09.12.2015 N 1858 "Об обеспечении безопасности персональных данных при их обработке в Информационных системах Министерства здравоохранения Московской области" в Министерстве создана система защиты информации.
7.2 Обработка персональных данных в ИСЕПДн осуществляется с информированного согласия субъекта персональных данных на обработку его персональных данных.
7.3 В целях обеспечения сохранности документов, содержащих персональные данные, к работе с ИСПДн работники допускаются на основании приказа Министерства здравоохранения Московской области; все операции по оформлению, формированию, ведению и хранению данной информации выполняются работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкциях). При этом работник до начала обработки ПДн в ИСПДн должен ознакомиться с Приказом о ПДн и подписать обязательство о соблюдении требований законодательства о персональных данных и локальных нормативных актов Министерства. ]
7.4 Обработка ПДн осуществляется в помещениях, определенных Приказом о ПДн.
VIII. Сроки обработки и хранения ПДн
8.1 Сроки хранения ПДн в базе данных ИСПДн определяются в соответствии с правилами, действующими в соответствующих информационных системах (п.п. 1.3.1 - 1.3.2).
8.2 Сроки хранения ПДн, переданных в Министерство для обработки в ИСПДн определяются в соответствии с письмом Министерства здравоохранения РФ от 7 декабря 2015 г. N 13-2/1538 "О сроках хранения медицинской документации", и не должен превышать для документов.
8.2.1 на бумажных носителях информации 3 года после их ввода в информационную систему, за исключением протоколов медицинских комиссий: срок хранения 10 лет (п. 18.3. приказа Министерства здравоохранения Российской Федерации от 29.12.2014 N 930н).
8.2.2 на электронных носителях: срок хранения 1 месяц после их ввода в информационную систему (в связи с достижением целей обработки ПДн).
8.3 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранений персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
IX. Порядок уничтожения ПДн
9.1 Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательными и иными формативными актами.
9.2 Основания для прекращения обработки персональных данных и сроки их уничтожения определены в частях 3, 4, 5 статьи 21 Федерального закона "О персональных данных".
9.3 Основанием (условием) прекращения обработки персональных данных также является ликвидация Министерства.
9.4 Отбор ПДн для принятия решения о дальнейшем хранении, уничтожении или передаче на государственное хранение в Центральный государственный архив Московской области осуществляется в соответствии с Приказом Министерства здравоохранения Московской области от 02.10.2008 N 586 "О постоянно-действующей экспертной комиссии".
9.5 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона N 152-ФЗ, должно осуществляться блокирование таких персональных данных или обеспечиваться их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и обеспечиваться уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.6 При уничтожении материальных носителей содержащих персональные данные должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
9.7 При необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
9.8 Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
9.9 Уничтожение персональных данных осуществляется в соответствии с требованиями "Инструкции по защите машинных носителей информации".
X. Заключительные положения
10.1 Работники Министерства, определённые приказом Министерства как пользователи ИСПДн, должны ознакомиться с настоящими правилами обработки персональных данных в ИСПДн.
10.2 Обязанность доводить до сведения работников Министерства данные Правила лежит на ответственном за организации! обработки персональных данных в Министерстве.
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 приказ дополнен Правилами
Правила
обработки персональных данных при предоставлении государственных услуг по лицензированию медицинской деятельности медицинских организаций, фармацевтической деятельности и деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений Министерством здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
I. Общие положения
1.1 Настоящие правила обработки персональных данных (далее - Правила) при предоставлении государственных услуг по лицензированию медицинской деятельности медицинских организаций, фармацевтической деятельности и деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений (далее - Услуг) Министерством здравоохранения Московской области (далее - Министерство) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее - ПДн), а также определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2 Обработка ПДн при оказании Услуг ограничивается выполнением работником Министерства своих должностных обязанностей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.3 Обработка ПДн работниками Министерства производится в информационной системе персональных данных (далее - ИС1Дн), являющейся локальным сегментом в Министерстве "Единой информационной системы обеспечения выполнения функций ЦИОГВ Московской области: аккредитации, лицензионной и разрешительной деятельности, планирования и учета результатов контрольных мероприятий, в том числе учета выявленных административных правой крушений" (далее - АИС ПОД), введенной в опытно-промышленную эксплуатацию распоряжением Министерства государственного управления, информационных технологий и связи Московской области от 4 февраля 2016 г. N 10-6/РВ "О вводе в опытно-промышленную эксплуатацию единой информационной системы обеспечения выполнения функций ЦИОГВ и ГО Московской области: аккредитации, лицензионной и разрешительной деятельности, планирования и учета результатов контрольных мероприятий, в том числе учета выявленных административных правонарушений".
II. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в ИСПДн используются следующие процедуры:
2.1 Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
Внутренний контроль проводится в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, утверждениями приказом Министерства от 09.12.2015 N 1858.
2.2 Оценка вреда, который может быть причинен субъектам персональных данных.
2.3 Ознакомление работников Министерства, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими правилами и (или) обучение работников Министерства.
2.4 Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.
2.5 Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных.
2.6 Недопущение обработки персональных данных, несовместимых с целями сбора персональных данных.
2.7 Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.8 Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.9 Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
III. Цели и правовые основания обработки ПДн
В ИСПДн могут обрабатываться персональные данные граждан Российской Федерации, поступающие для обработки в целях:
3.1 оказания государственной услуги "Лицензирование медицинской деятельности медицинских организаций (за исключением медицинских организаций, подведомственных федеральным органам исполнительной власти, государственным академиям наук)" (Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности", Распоряжение Министерства здравоохранения Московской области от 14.09.2010 N 13-Р "Об утверждении административного регламента исправления Министерством здравоохранения Московской области государственной функции по лицензированию медицинской деятельности организаций муниципальной и частной систем здравоохранения (за исключением деятельности по оказанию высокотехнологичной медицинской помощи)", Постановление Правительства Российской Федерации от 16.04.2012 N 291 "О лицензировании медицинской деятельности (за исключением указанной деятельности, осуществляемой медицинскими организациями и другими организациями, входящими в частную систему здравоохранения, на территории инновационного центра "Сколково")", Постановление Правительства Московской области от 24.05.2010 N 365/20 "О Реестре государственных услуг (функций) Московской области", Постановление Правительства Московской области от 17.10.2007 N 790/28 (ред. от 29.12.2015) "О Положении, структуре и штатной численности Министерства здравоохранения Московской области");
3.2 оказания государственной услуги "Лицензирование фармацевтической деятельности (за исключением деятельности, осуществляемой организациями оптовой торговли лекарственными средствами и аптечными организациями, подведомственными федеральным органам исполнительной власти, государственным академиям наук)" (Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности", Распоряжение Министерства здравоохранения Московской области от 14.09.2010 N 12-Р "Об утверждении административного регламента исполнения Министерством здравоохранения Московской области государственной функции по лицензированию фармацевтической деятельности (за исключением деятельности, осуществляемой организациями оптовой торговли лекарственными средствами и аптеками федеральных организаций здравоохранения)", Постановление Правительства Московской области от 24.05.2010 N 365/20 "О Реестре государственных услуг (функций) Московской области", Постановление Правительства Московской области от 17.10.2007 N 790/28 (ред. от 29.12.2015) "О Положении, структуре и штатной численности Министерства здравоохранения Московской области").
3.3 оказания государственной услуги "Лицензирование деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений (в части деятельности по обороту наркотических средств и психотропных веществ, внесенных в списки I, II и III перечня наркотических средств, психотропных веществ и их прекурсоров, подлежащих контролю в Российской Федерации, за исключением деятельности, осуществляемой организациями оптовой торговли лекарственными средствами и аптечными организациями, подведомственными федеральным органам исполнительной власти, государственным академиям наук)" (Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности", Административный регламент исполнения Министерством здравоохранения Московской области государственной функции по лицензированию деятельности, связанной с оборотом наркотических средств и психотропных веществ (за исключением деятельности, осуществляемой организациями оптовой торговли лекарственными средствами и аптеками федеральных организаций здравоохранения), утвержден распоряжением Министерства здравоохранения Московской области от 14.09.2010 N 15-Р, Постановление Правительства Московской области от 24.05.2010 N 365/20 "О Реестре государственных услуг (функций) Московской области", Постановление Правительства Московской области от 17.10.2007 N 790/28 (ред. от 29.12.2015) "О Положении, структуре и штатной численности Министерства здравоохранения Московской области").
IV. Категории субъектов ПДн
В ИСПДн обрабатываются ПДн
4.1 физических лиц, являющихся представителями юридических лиц или индивидуальных предпринимателей, обратившихся в Министерство за предоставлением государственных услуг;
4.2 индивидуальных предпринимателей, обратившихся в Министерство за предоставлением государственных услуг;
4.3 физических лиц, обратившихся в Министерство за предоставлением государственных услуг.
V. Категории обрабатываемых ПДн
В ИСПДн могут обрабатываться следующие категории ПДн:
5.1 фамилия, имя, отчество;
5.2 дата рождения;
5.3 адрес места жительства;
5.4 домашний, сотовый телефоны;
5.5 реквизиты документа, удостоверяющие личность;
5.6 ИНН;
5.7 место работы;
5.8 занимаемая должность;
5.9 адрес электронной почты.
VI. Перечень действий с ПДн
6.1 В ИСПДн используется смешанная обработка ПДн.
6.2 В процессе обработки ПДн ответственные работники выполняют следующие действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление, уничтожение персональных данных.
VII. Условия обработки ПДн
7.1 Приказом Министерства от 09.12.2015 N 1858 "Об обеспечении безопасности персональных данных при их обработке в информационных системах Министерства здравоохранения Московской области" в Министерстве создана система защиты информации.
7.2 В целях обеспечения сохранности документов, содержащих персональные данные, к работе с ИСПДн работники допускаются на основании приказа Министерства здравоохранения Московской области; все операции по оформлению, формированию, ведению и хранению данной информации выполняются работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкцию;). При этом работник до начала обработки ПДн в ИСПДн должен ознакомиться с Приказом о ПДн и подписать обязательство о соблюдении требований законодательства о персональных данных и локальных нормативных актов Министерства.
7.3 Обработка ПДн осуществляется в помещениях, определенных Приказом о ПДн.
VIII. Сроки обработки и хранения ПДн
8.1 Сроки хранения ПДн в базе данных ИСПДн определяются в соответствии с правилами, действующими в АИС ЛОД.
8.2 Срок хранение персональных данных, переданных в Министерство для обработки
8.2.1 на бумажных носителях информации - постоянно (п. 85 - 104 "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", утвержден приказом Министерства культуры Российской Федерации от 25 августа 2010 г. N 558);
8.2.2 на электронных носителях - 1 месяц после их ввода в информационную систему;
8.3 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
IX. Порядок уничтожения ПДн
9.1 Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9.2 Основания для прекращения обработки персональных данных и сроки их уничтожения определены в частях 3, 4, 5 статьи 21 Федерального закона "О персональных данных".
9.3 Основанием (условием) прекращения обработки персональных данных также является ликвидация Министерства.
9.4 Отбор ПДн для принятия решения о дальнейшем хранении, уничтожении или передаче на государственное хранение в Центральный государственный архив Московской области осуществляется в соответствии с Приказом Министерства здравоохранения Московской области от 02.10.2008 N 586 "О постоянно-действующей экспертной комиссии".
9.5 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона N 152-ФЗ, должно осуществляться блокирование таких персональных данных или обеспечиваться их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и обеспечиваться уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.6 При уничтожении материальных носителей содержащих персональные данные должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
9.7 При необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
9.8 Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
9.9 Уничтожение персональных данных осуществляется в соответствии с требованиями "Инструкции по защите машинных носителей информации".
X. Заключительные положения
10.1 Работники Министерства, определённые Приказом о ПДн как пользователи ИСПДн, а также субъекты ПДн, определенные в п. IV Правил, должны ознакомиться с настоящими Правилами обработки персональных данных в ИСПДн.
10.2 Обязанность довести до сведения работников Министерства и субъектов ПДн данные Правила лежит на ответственном за организацию обработки персональных данных в Министерстве.
Информация об изменениях:
Приказом Министерства здравоохранения Московской области от 6 мая 2016 г. N 967 приказ дополнен Правилами
Правила
обработки персональных данных в информационной системе персональных данных "Единая медицинская информационно-аналитическая система Московской области" в локальном сегменте Министерства здравоохранения Московской области
(утв. приказом Министерства здравоохранения Московской области
от 9 декабря 2015 г. N 1858)
I. Общие положения
1.1 Настоящие правила обработки персональных данных (далее - Правила) в информационной системе персональных данных "Единая медицинская информационноаналитическая система Московской области" (далее - ЕМИАС МО) в локальном сегменте Министерства здравоохранения Московской области (далее - Министерство) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее - ПДн) работниками Министерства, а также определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2 Министерство для осуществления функций по реализации возложенных полномочий формирует информационные системы и банки данных в соответствии с п. 19 Положения о Министерстве здравоохранения Московской области, утвержденного постановлением Правительства Московской области от 17 октября 2007 г. N 790/28 (с последующими изменениями) (далее - Положение о Министерстве).
1.3 ЕМИАС МО разработана по заказу Министерства в соответствии с Концепцией создания единой государственной информационной системы в сфере здравоохранения, утвержденной приказом Министерства здравоохранения и социального развития Российской Федерации от 28 апреля 2011 N 364, в целях реализации целевой Программы Московской области "Модернизация здравоохранения Московской области на 2011 - 2012 годы", утвержденной постановлением Правительства Московской области от 19.04.2011 N 352/15 и развивается в рамках Государственной программы Московской области "Эффективная власть" на 2014 - 2018 годы, утвержденной Постановлением Правительства Московской области от 23 августа 2013 г. N 660/37 (с последующими изменениями).
1.4 ЕМИАС МО включает в себя следующие подсистемы:
1.5 Министерство является оператором ЕМИАС МО, совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.6 Обработка ПДн работниками Министерства при работе с ЕМИАС МО ограничивается выполнением работником своих должностных обязанностей. Обработке подлежат только те ПДн, которые отвечают целям их обработки.
1.7 Обработка ПДн работниками Министерства при работе с ЕМИАС МО в производится в подсистеме ЕМИАС МО, указанной в п. 1.4.4.
1.8 Обработка ПДн работниками Министерства осуществляется в локальных, территориально разнесенных сегментах ЕМИАС МО, являющихся самостоятельными информационными системами персональных данных в соответствующих территориальных подразделениях Министерства (далее - ИСПДн).
1.9 Обработка ПДн в ЕМИАС МО другими лицами осуществляется в порядке, определяемом Министерством.
II. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в ИСПДн используются следующие процедуры:
2.1 Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
Внутренний контроль проводится в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, утвержденными приказом Министерства от 09.12.2015 N 1858.
2.2 Оценка вреда, который может быть причинен субъектам персональных данных.
2.3 Ознакомление работников Министерства, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими правилами и (или) обучение работников Министерства.
2.4 Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.
2.5 Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных.
2.6 Недопущение обработки персональных данных, несовместимых с целями сбора персональных данных.
2.7 Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.8 Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.9 Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
III. Цели и правовые основания обработки ПДн
3.1 В ИСПДн могут обрабатываться ПДн жителей Московской области, поступающие для обработки в целях реализации полномочий, указанных в Положении о Министерстве;
3.1.1 Организация обеспечения граждан лекарственными препаратами, медицинскими изделиями и специализированными продуктами лечебного питания в случаях, установленных законодательством Российской Федерации и законодательством Московской области.
3.1.2 Организация обеспечения граждан лекарственными препаратами для лечения заболеваний, включенных в перечень жизнеугрожающих и хронических прогрессирующих редких (орфанных) заболеваний, приводящих к сокращению продолжительности жизни гражданина или инвалидности, утверждаемый Правительством Российской Федерации.
IV. Категории субъектов ПДн
В ИСПДн обрабатываются ПДн
4.1 жителей Московской области или их законных представителей, являющихся пациентами медицинских организаций, участвующих в выполнении Московской областной программы государственных гарантий оказания гражданам Российской Федерации бесплатной медицинской помощи.
4.2 медицинских работников государственных учреждений здравоохранения Московской области.
V. Категории обрабатываемых ПДн
|
5.1 |
В ИСПДн могут обрабатываться следующие категории ПДн субъектов ПДн: фамилия, имя, отчество; |
|
5.2 |
дата рождения; |
|
5.3 |
адрес регистрации или места жительства, почтовый адрес; |
|
5.4 |
реквизиты документа, удостоверяющего личность; |
|
5.5 |
номер контактного телефона; |
|
5.6 |
адрес электронной почты; |
|
5.7 |
реквизиты полиса обязательного медицинского страхования; |
|
5.8 |
СНИЛС; |
|
5.9 |
сведения о социальном статусе; |
|
5.10 |
сведения о наличии льгот; |
|
5.11 |
сведения о состоянии здоровья субъекта, содержащиеся в его медицинской документации. |
VI. Перечень действий с ПДн
6.1 В ИСПДн используется смешанная обработка ПДн.
6.2 В процессе обработки ПДн ответственные работники Управления организации лекарственной помощи Министерства, Территориальных управлений Министерства выполняют следующие действия (операции) с подсистемой ЕМИАС МО, указанной в п. 1.5.4, совершаемые с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление, уничтожение персональных данных.
ГАРАНТ:
По-видимому, в предыдущем абзаце допущена опечатка. В настоящих Правилах не содержится пункт 1.5.4
VII. Условия обработки ПДн
7.1 Приказом Министерства от 09.12.2015 N 1858 "Об обеспечении безопасности персональных данных при их обработке в информационных системах Министерства здравоохранения Московской области" (далее - Приказ о ПДн) в Министерстве создана система защиты информации.
7.2 Обработка персональных данных в ИСПДн осуществляется с информированного согласия субъекта персональных данных на обработку его персональных данных.
7.3 В целях обеспечения сохранности документов, содержащих персональные данные, к работе с ИСПДн работники допускаются на основании приказа Министерства здравоохранения Московской области; все операции по оформлению, формированию, ведению и хранению данной информации выполняются работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкциях). При этом работник до начала обработки ПДн в ИСПДн должен ознакомиться с Приказом о ПДн и подписать обязательство о соблюдении требований законодательства о персональных данных и локальных нормативных актов Министерства.
7.4 Обработка ПДн осуществляется в помещениях, определенных Приказом о ПДн.
VIII. Сроки обработки и хранения ПДн
8.1 Сроки хранения ПДн в базе данных ИСПДн определяются в соответствии с письмом Министерства здравоохранения РФ от 7 декабря 2015 г. N 13-2/1538 "О сроках хранения медицинской документации", и не должен превышать 25 лет.
8.2 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
IX. Порядок уничтожения ПДн
9.1 Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9.2 Основания для прекращения обработки персональных данных и сроки их уничтожения определены в частях 3, 4, 5 статьи 21 Федерального закона "О персональных данных".
9.3 Основанием (условием) прекращения обработки персональных данных также является ликвидация Министерства.
9.4 Отбор ПДн для принятия решения о дальнейшем хранении, уничтожении или передаче на государственное хранение в Центральный государственный архив Московской области осуществляется в соответствии с Приказом Министерства здравоохранения Московской области от 02.10.2008 N 586 "О постоянно-действующей экспертной комиссии".
9.5 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона N 152-ФЗ, должно осуществляться блокирование таких персональных данных или обеспечиваться их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и обеспечиваться уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.6 При уничтожении материальных носителей содержащих персональные данные должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
9.7 При необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
9.8 Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
9.9 Уничтожение персональных данных осуществляется в соответствии с требованиями "Инструкции по защите машинных носителей информации".
X. Заключительные положения
10.1 Работники Министерства, определённые приказом Министерства как пользователи ИСПДн, должны ознакомиться с настоящими правилами обработки персональных данных в ИСПДн.
10.2 Обязанность доводить до сведения работников Министерства данные Правила лежит на ответственном за организацию обработки персональных данных в Министерстве.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приказ Министерства здравоохранения Московской области от 9 декабря 2015 г. N 1858 "Об обеспечении безопасности персональных данных при их обработке в информационных системах Министерства здравоохранения Московской области"
Правила, утвержденные настоящим приказом, вступают в силу с момента их утверждения и действуют до замены их новыми Правилами
Текст приказа официально опубликован не был
В настоящий документ внесены изменения следующими документами:
Приказ Министерства здравоохранения Московской области от 6 мая 2016 г. N 967