Приложение 1. Положение об обработке персональных данных в департаменте здравоохранения Вологодской области. Приказ Департамента здравоохранения Вологодской области от 03.08.2016 N 341 "Об обработке персональных данных в департаменте здравоохранении Вологодской области" (с изменениями и дополнениями)

Приложение 1

Положение
об обработке персональных данных в департаменте здравоохранения Вологодской области
(утв. приказом департаментом здравоохранения области от 3 августа 2016 г. N 341)

I. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", 27 июля 2006 года N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, указами Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", от 7 сентября 2010 года N 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", постановлениями Правительства Российской Федерации от 27 ноября 2006 года N 719 "Об утверждении Положения о воинском учете", от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", законом Вологодской области от 6 мая 2013 года N 3035-ОЗ "О мерах социальной поддержки, направленных на кадровое обеспечение системы здравоохранения Вологодской области", постановлением Губернатора Вологодской области от 6 марта 2015 года N 95 "О передаче функций по ведению бюджетного (бухгалтерского) учета и составлению отчетности", постановлениями Правительства Вологодской области от 26 апреля 2010 года N 458 "Об утверждении Положения о департаменте здравоохранения Вологодской области", от 28 марта 2016 года N 288 "О создании единой централизованной информационной системы бюджетного (бухгалтерского) учета и отчетности".

1.2. Положение определяет порядок обработки персональных данных в департаменте здравоохранения области (далее - департамент) и меры по обеспечению безопасности персональных данных.

1.3. В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

1.4. В департаменте обрабатываются персональные данные следующих субъектов персональных данных:

государственных гражданских служащих и работников департамента;

руководителей подведомственных департаменту организаций;

граждан, претендующих на замещение вакантных должностей в департаменте и руководителей подведомственных департаменту организаций;

граждан обратившихся в департамент в связи с предоставлением государственных услуг, исполнения государственных функций;

а также иных физических лиц, персональные данные которых представлены в департамент.

Перечень персональных данных, обрабатываемых в департаменте в связи с реализацией служебных (трудовых) отношений, а также в связи с осуществлением государственных функций и оказанием государственных услуг, изложен в приложении 1 к настоящему Положению.

1.5. Обработка персональных данных в департаменте осуществляется в целях реализации возложенных на департамент полномочий, определяемых федеральными законами, Положением о департаменте, иными нормативными правовыми актами.

1.6. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.7. Департамент является оператором, организующим и осуществляющим обработку персональных данных. Функции оператора возлагаются на структурные подразделения департамента.

1.8. Обязанности по обработке персональных данных возлагаются на лиц, замещающих должности в структурных подразделениях департамента, в соответствии с утвержденным перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, служебными контрактами, заключаемыми с ними, и должностными регламентами.

Перечень должностей в департаменте здравоохранения области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, изложен в приложении 2 к настоящему Положению.

1.9. Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом "О персональных данных". Трудовым кодексом Российской Федерации, настоящим Положением и иными нормативными правовыми актами.

1.10. Лица, непосредственно осуществляющие обработку персональных данных, в обязательном порядке под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требования конфиденциальности и безопасности персональных данных.

1.11. В случае попытки кого-либо получить от лиц, осуществляющих обработку персональных данных, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны сообщать непосредственному руководителю, как только им стало известно.

II. Порядок обработки персональных данных субъектов персональных данных

2.1. Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, приказом Минкультуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.

2.3. При обработке персональных данных лиц, претендующих на замещение должностей государственной гражданской службы области и иных должностей в департаменте, руководителей государственных учреждений области, функции и полномочия учредителя которых осуществляет департамент, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 года N 609, и иными нормативными правовыми актами.

2.3.1. Персональные данные в течение периода прохождения государственной гражданской службы, работы, обрабатываются в управлении кадровой политики и правового обеспечения департамента, а также специалистами департамента, осуществляющими мобилизационную работу.

2.3.2. После прекращения служебного контракта (трудового договора) и освобождения лица от замещаемой должности его персональные данные, содержащиеся:

на бумажных носителях, - документы постоянного срока хранения до передачи в государственный архив области находятся в управлении кадровой политики и правового обеспечения департамента;

на бумажных носителях и в электронном виде, - хранятся в кабинете, где осуществляется мобилизационная работа, в течение пяти лет, после чего подлежа! уничтожению;

в информационных системах персональных данных, - хранятся в управлении кадровой политики и правового обеспечения в течение пяти лет, после чего подлежат уничтожению;

2.3.3. Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы департамента, иных должностей, хранятся в управлении кадровой политики и правового обеспечения департамента в течение трех лет со дня их получения, после чего подлежат уничтожению.

2.3.4 Персональные данные граждан, не допущенных к участию в конкурсе на замещение вакантных должностей государственной гражданской службы, а также вакантных должностей государственной гражданской службы в департаменте и конкурсе по формированию кадрового резерва, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в управлении кадровой политики и правового обеспечения в течение трех лет после проведения конкурса, после чего подлежат уничтожению, если не возвращены по запросам граждан.

2.4. Обработка персональных данных иных физических лиц, представляемых в департамент, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

2.4.1. Персональные данные обрабатываются в целях реализации полномочий (функций) департамента, в том числе:

направление граждан на обучение по целевому приему в высшие учебные заведения;

рассмотрение обращении физических лиц;

подготовка наградных документов и учета граждан, награжденных государственными наградами и наградами Губернатора области;

исполнение договоров и ведению расчетов с физическими лицами, в том числе в целях предоставления мер социальной поддержки;

направление в федеральные медицинские организации для оказания высокотехнологичной медицинской помощи.

2.4.2. Обращения, содержащие персональные данные физических лиц, обратившихся в департамент, обрабатываются в управлении кадровой политики и правового обеспечения департамента. В последующем указанные персональные данные:

на бумажных носителях хранятся в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов должностными лицами, ответственными за ведение делопроизводства в департаменте, по результатам которой составляются описи дел постоянного срока хранения и акты о выделении дел к уничтожению. Дела постоянного хранения передаются для последующего хранения в государственный архив области;

в информационной системе хранятся в течение пяти лет со дня поступления обращения в базе данных на машинных носителях информации в управлении кадровой политики и правового обеспечения, после чего подлежат уничтожению;

в электронном виде - после рассмотрения обращения подлежат уничтожению.

2.4.3. Персональные данные граждан, связанные с подготовкой наградных документов и учета граждан, награжденных государственными наградами и наградами Губернатора области, обрабатываются в управлении кадровой политики и правового обеспечения департамента. Бумажные носители, содержащие персональные данные граждан, хранятся в течение пяти лет со дня их получения, после чего передаются для хранения в государственный архив области. В информационной системе персональные данные по награждению граждан обрабатываются в течение срока подготовки наградных документов и в последующем хранятся в виде резервной копии в течение семидесяти пяти лет, после чего подлежат уничтожению.

2.4.4. Персональные данные граждан, обучающихся по договору целевого приема в высших учебных заведениях, обрабатываются в управлении кадровой политики и правового обеспечения департамента, хранятся в течение пяти лет после истечения срока договора, после чего подлежат передаче в государственный архив.

Персональные данные граждан, изъявивших желание обучаться в высших учебных заведениях по направлению на целевое обучение и не заключивших договор (не поступивших) подлежат уничтожению.

2.4.5. Персональные данные лиц, замещающих должности руководителей учреждений подведомственных департаменту:

на бумажных носителях обрабатываются и хранятся в управлении кадровой политики и правового обеспечения в течение пяти лет после истечения срока контракта (трудового договора), после чего подлежат передаче в государственный архив;

в информационных системах персональных данных, - хранятся в управлении кадровой политики и правового обеспечения в течение пяти лет, после чего подлежа уничтожению.

2.5. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации и иными нормативными правовыми актами.

2.6. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

2.7. Правила работы с обезличенными данными в департаменте и перечень должностей в департаменте, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, изложены соответственно в приложениях 3 и 4 к настоящему Положению.

2.8. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание), или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.

2.9. Уничтожение персональных данных осуществляется комиссией на основании акта об уничтожении.

2.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации па том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке в департаменте

3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.

3.2. Персональные данные субъектов персональных данных в департаменте обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых структурными подразделениями департамента, осуществляющими деятельность по обработке персональных данных.

3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона "О персональных данных", разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687, а также иными нормативными правовыми актами. К организационным и техническим мерам защиты персональных данных относятся в том числе:

определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;

организация порядка уничтожения информации, содержащей персональные данные;

обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;

соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.

3.4. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:

утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;

настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации. установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.

IV. Доступ к персональным данным и информационным системам персональных данных

4.1. Доступ ко всем персональным данным, обрабатываемым в департаменте, имеют лица, замещающие должности:

начальник департамента;

заместитель начальника департамента;

начальник управления кадровой политики и правового обеспечения департамента.

4.2. Доступ к персональным данным претендентов на замещение должностей государственной гражданской службы области и иных должностей в департаменте, имеют лица, замещающие должности;

- начальников управлений, заместителей начальников управлений, - в отношении персональных данных претендентов на замещение должностей в соответствующих структурных подразделениях департамента, руководителей государственных учреждений области, деятельность которых координируют;

- государственных гражданских служащих управления кадровой политики и правового обеспечения департамента;

лица, входящие в состав соответствующих конкурсных комиссий, - в отношении претендентов, участвующих в конкурсе на замещение вакантных должностей государственной гражданской службы в департаменте и конкурсе по формированию кадрового резерва.

4.3. Доступ к персональным данным лиц, замещающим должности государственной гражданской службы области, должности руководителей государственных учреждений области, функции и полномочия учредителя которых осуществляет департамент здравоохранения области, имеют:

лица, замещающие должности:

руководителей структурных подразделений департамента, - в отношении персональных данных лиц, проходящих государственную гражданскую службу или работающих в соответствующих структурных подразделениях департамента;

государственные гражданские служащие управления кадровой политики и правового обеспечения департамента;

государственные гражданские служащие департамента, осуществляющие мобилизационную работу - в отношении персональных данных лиц, пребывающих в запасе (военнообязанных) и лиц, подлежащих оформлению и имеющих допуск к государственной тайне;

лица, входящие в состав соответствующих аттестационных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.

4.4. Доступ к персональным данным иных физических лиц, представляемым в департамент, имеют:

государственные гражданские служащие управления кадровой политики и правового обеспечения департамента, а также структурных подразделений департамента, на которые возложены функции по рассмотрению обращений граждан должностными регламентами.

4.5. Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеют также уполномоченные лица:

бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" - с целью сопровождения, администрирования и технической поддержки инфраструктуры информационных систем персональных данных;

государственного казенного учреждения Вологодской области "Областное казначейство" - в целях исполнения переданных департаментом здравоохранения области функций по ведению бюджетного (бухгалтерского) учета, составлению бюджетной, налоговой отчетности, отчетности в государственные внебюджетные фонды.

Обязательным условием допуска к проведению данных работ является возложение на уполномоченных лиц обязанности обеспечения конфиденциальности персональных данных и безопасности персональных данных при работе с информационными системами персональных данных.

4.6. Персональные данные могут предоставляться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

4.7. Предоставление персональных данных субъектов персональных данных осуществляется:

- лицам, которые в соответствии с пунктами 4.1 - 4.5 настоящего Положения имеют право доступа к персональным данным, по их запросу, либо в случае направления им для рассмотрения соответствующих обращений физических лиц, либо для выполнения своих должностных обязанностей но обработке персональных данных.

- государственным гражданским служащим Департамента государственной службы и кадровой политики области:

в отношении лиц, включенных в кадровый резерв Правительства области, с целью включения их в кадровый резерв на государственной гражданской службе области. Передача информации осуществляется в объеме и порядке, установленных постановлением Губернатора области от 4 марта 2014 года N 55 "Об утверждении положения о кадровом резерве на государственной гражданской службе Вологодской области";

в отношении лиц, участвующих в конкурсе на замещение вакантных должностей государственной гражданской службы в Правительстве области и (или) на включение в кадровый резерв Правительства области, с целью проведения тестирования с использованием автоматизированного программного комплекса "Кадры Госслужбы Вологодской области";

4.8. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами па получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.

4.9. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.10. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.

4.11. При направлении третьей стороне документов, содержащих персональные данные, или выписок из них необходимо руководствоваться общим порядком обращения с документированной информацией, содержащей служебную информацию ограниченного распространения, определенным Инструкцией о порядке обращения со служебной информацией ограниченного распространения в департаменте.

4.12. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона "О персональных данных".