Приказ Министерства здравоохранения и демографической политики Магаданской области от 22.12.2017 N 656 "Об утверждении правил обработки персональных данных Министерства здравоохранения и демографической политики Магаданской области"

Во исполнение требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", приказываю:

1. Утвердить Правила обработки персональных данных Министерства здравоохранения и демографической политики Магаданской области, прилагаемые к настоящему Приказу.

2. Контроль над исполнением настоящего приказа оставляю за собой.

Министр

И.Е. Ларина

Правила
обработки персональных данных Министерства здравоохранения и демографической политики Магаданской области

1. Общие положения

1.1. Назначение документа

Настоящая Политика Учреждение в отношении обработки персональных данных (далее - Политика) разработана в соответствии со п. 2 статьи 18.1 Федерального закона от 27 июля 2006 года N 152 "О персональных данных" и определяет политику Министерства здравоохранения и демографической политики Магаданской области (далее - Учреждение) в отношении информации о субъектах персональных данных, которую Учреждение может обрабатывать при осуществлении своей деятельности.

1.2. Нормативные ссылки

1. Федеральный закон от 27 июля 2006 года N 149 "Об информации, информационных технологиях и о защите информации".

2. Федеральный закон от 27 июля 2006 года N 152 "О персональных данных".

1.3. Область действия

Действие настоящей Политики распространяется на все процессы Учреждения, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.

Использование услуг Учреждения означает согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

1.4. Используемые сокращения

ПФР - Пенсионный фонд Российской Федерации

ФНС - Федеральная налоговая служба

РФ - Российская Федерация

1.5. Используемые термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Субъект персональных данных - физическое лицо, индивидуальный предприниматель или представитель юридического лица, заключившее с Учреждением гражданский договор на выполнение работ, оказание услуг в соответствии с осуществляемыми Учреждением видами деятельности, а также работники Учреждения и работники контрагентов Учреждения.

1.6. Утверждение и пересмотр

Настоящая Политика вступает в силу с момента ее утверждения министром здравоохранения и демографической политики Магаданской области и действует бессрочно до замены ее новой Политикой. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Учреждения в сети Интернет либо иным способом.

2. Персональные данные субъектов персональных данных, обрабатываемые в учреждении

2.1. Общий порядок обработки

При организации обработки персональных данных в Учреждения утверждается перечень персональных данных, разрешенных к обработке, который формируется с учетом следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных.

Учреждение в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Учреждением извещает представителей Учреждения об изменении своих персональных данных.

3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных субъектов

Учреждение производит обработку только тех персональных данных, которые необходимы для реализации предусмотренных законодательством полномочий Учреждения, выполнения договорных обязательств (исполнения соглашений и договоров с субъектом Учреждения, исполнения обязательств перед контрагентом и работниками), ведения общехозяйственной деятельности Учреждения, а также в целях исполнения требований законодательства РФ.

В Учреждения производится обработка персональных данных следующих категорий субъектов персональных данных:

- Граждане РФ;

- Кандидаты на замещение вакантных должностей;

- работники (в том числе уволенные);

- родственники работников;

- посетители;

- исполнители по договорам возмездного оказания услуг.

Для каждой категории субъектов персональных данных определены цели обработки их персональных данных.

Целями обработки персональных данных граждан РФ являются:

- реализации предусмотренных законодательством полномочий Учреждения;

- предоставление государственных услуг;

- исполнение государственных функций.

Целями обработки персональных данных работников Учреждения являются:

- прием на работу новых работников;

- оформление карточки Т-2;

- увольнение работников;

- выдача постоянных пропусков работникам Учреждения;

- осуществление воинского учета в Учреждения;

- оформление полисов добровольного медицинского страхования для работников Учреждения;

- оформление лицензий, свидетельств о допуске к работе и обучение работников Учреждения;

- участие в тендерах;

- оформление командировок;

- выдача зарплатных карт и оплата труда;

- расчет заработной платы;

- ведение договоров займа;

- оформление договоров страхования от несчастных случаев;

- сдача отчетности в ПФР, ФНС.

Целями обработки персональных данных уволенных работников Учреждения являются:

- ведение кадрового делопроизводства;

- сдача отчетности в ПФР, ФНС.

Целями обработки персональных данных родственников работников Учреждения являются:

- учет налоговых льгот при начислении заработной платы;

- исполнение обязанностей работодателя при возникновении несчастного случая.

Целью обработки персональных данных исполнителей по договорам возмездного оказания услуг Учреждения является:

- работа с договорами возмездного оказания услуг.

Целью обработки персональных данных посетителей Учреждения является:

- взаимодействие с посетителями (посещение и организация встреч).

В Учреждения осуществляется сбор следующих персональных данных:

- фамилия имя отчество;

- сведения о документе, удостоверяющем личность;

- данные загранпаспорта;

- контактная информация (телефон);

- пол;

- информация о дате рождения;

- информация о месте жительства;

- должность (профессия);

- данные разрешение на временное проживание;

- номер страхового свидетельства государственного пенсионного страхования;

- номер ИНН (при наличии);

- семейное положение;

- сведения о детях и родственниках;

- сведения о воинском учете;

- сведения об образовании;

- сведения о повышении квалификации;

- сведения о трудовой деятельности;

- сведения о доходах, расходах и обязательствах имущественного характера;

- информация о месте рождения;

- информация о состоянии здоровья и заболеваниях субъекта ПДн;

- иные персональные данные, ставшие известны в результате обращения пациента;

- гражданство;

- номер лицевого счета в банке;

- тарифная ставка (оклад);

- сведения об отчислениях в Федеральную налоговую службу;

- сведения об отчислениях в Пенсионный фонд.

В министерстве обработка персональных данных ведется в следующих системах:

- "Государственная информационная система льготного лекарственного обеспечения граждан Российской Федерации";

- "Федеральный регистр больных семью высокозатратными нозологиями";

- "Система мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета";

- "Подсистема мониторинга санаторно-курортного лечения";

- "Федеральный портал управленческих кадров";

- "Система кадрового учёта";

- "Система бухгалтерского учёта".

4. Условия обработки персональных данных субъектов персональных данных и ее передачи третьим лицам

Министерство обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.

В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам осуществляется только с согласия субъекта персональных данных, а для выполнения требований законодательства РФ - в рамках установленной законодательством процедуры.

Учреждение может поручить обработку персональных данных другому лицу при выполнении следующих условий:

- получено согласие субъекта на поручение обработки персональных данных другому лицу;

- поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора.

Кроме этого, министерство вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда хранение персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.

5. Права субъекта на доступ и изменение его персональных данных

Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных в Учреждения разработан и введен порядок работы с обращениями и запросами субъектов персональных данных, предоставления субъектам персональных данных установленной законом информации.

Данный порядок обеспечивает соблюдение следующих прав субъектов персональных данных:

- право на получение сведений о Учреждения, о месте ее нахождения, способах обработки персональных данных;

- право на получение информации, касающейся обработки его персональных данных;

- право на уточнение, блокирование или уничтожение своих персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки.

6. Обязанности оператора

В соответствии с требованиями Федерального закона N 152-ФЗ "О персональных данных" Учреждение обязано:

- предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ.

- по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

- вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.

- уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных Учреждением;

персональные данные получены Учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

Учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц.

- в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Учреждением и субъектом персональных данных либо если Учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных N 152-ФЗ "О персональных данных" или другими федеральными законами.

- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Учреждением и субъектом персональных данных. Об уничтожении персональных данных Учреждение обязана уведомить субъекта персональных данных.

- в случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.

7. Меры, применяемые для защиты персональных данных субъектов

Учреждение принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

К основным методам и способам обеспечения безопасности персональных данных относятся:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;

- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

При обращении или получении запросов субъектов персональных данных или их законных представителей относительно обработки их персональных данных министерство руководствуется Правилами рассмотрения запросов субъектов персональных данных или их представителей.

*(1) Ст. 20 N 152-ФЗ "О персональных данных"