Приложение. Положение об ответственном за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва. Приказ Министерства здравоохранения Республики Тыва от 12.12.2018 N 1429 "Об утверждении Положения об ответственном за организацию обработки персональных данных Министерства здравоохранения Республики Тыва и назначении ответственных лиц"

Приложение
к приказу Министерства
здравоохранения Республики Тыва
от 12 декабря 2018 г. N 1429

Положение
об ответственном за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва

I. Назначение

- Положение об ответственном за организацию защиты персональных данных (далее - Положение) в Министерство здравоохранения Республики Тыва (далее - МЗ РТ) определяет правовой статус, основные права и обязанности ответственного за организацию обработки персональных данных в Учреждении.

- В тексте настоящего Положения под ответственным за организацию обработки персональных данных в МЗ РТ понимается должностное лицо МЗ РТ, на которого приказом МЗ РТ возложены дополнительные обязанности, предусмотренные ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015) применительно к п. а), п. б), п. д) ст. 1 Постановления Правительства Российской Федерации от 21.03.2012 N 211 (ред. от 06.09.2014) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и других нормативных правовых актов.

- Ответственным за организацию обработки персональных данных назначается должностное лицо, правомочное по своей штатной должности решать вопросы организации обработки персональных данных в различных подразделениях МЗ РТ.

II. Область применения

- Настоящее Положение применяется подразделениями МЗ РТ, обрабатывающими персональные данные.

III. Термины, обозначения

- В настоящей Политике используются следующие термины и обозначения:

Оператор персональных данных (оператор ПДн) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными [1].

Ответственный за организацию защиты персональных данных - должностное лицо МЗ РТ, осуществляющее:

- внутренний контроль за соблюдением работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

- доведение до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных [2];

- организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществляющее контроль за приемом и обработкой таких обращений и запросов;

- общий контроль организации конфиденциального делопроизводства;

- контроль организации учета лиц, допущенных к конфиденциальной информации, обрабатываемой в МЗ РТ.

3.1.3 Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

IV. Правовой статус ответственного за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва

- Министр своим приказом назначает лицо, ответственное за организацию защиты персональных данных (возлагает дополнительные обязанности на существующего штатного работника).

- Лицо, ответственное за организацию защиты персональных данных, получает указания непосредственно от министра [3].

V. Основные права ответственного за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва

Ответственный за организацию защиты персональных данных в МЗ РТ имеет право:

- проверять исполнение работниками МЗ РТ, допущенных к конфиденциальной информации, законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

- требовать от должностных лиц МЗ РТ предоставления следующих сведений: [4]

- наименование, адрес оператора персональных данных;

- цель обработки персональных данных;

- категории персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- правовое основание обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

- описание мер, предусмотренных статьями 18.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015), в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- дата начала обработки персональных данных;

- срок или условие прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;

- доводить сведения до министра информацию о нарушении работниками МЗ РТ требований по защите охраняемой законом информации и принятых мерах [5].

VI. Основные обязанности ответственного за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва

6. Ответственный за организацию защиты персональных данных в МЗ РТ обязан:

- осуществлять внутренний контроль соблюдения работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

- доводить до сведения работников МЗ РТ положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных [6];

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов [7];

- осуществлять контроль организации допуска и учета лиц, допущенных к конфиденциальной информации, обрабатываемой в МЗ РТ;

- докладывать министру о фактах нарушения правил безопасности при обработке персональных данных.

- выходить с предложениями к министру в вопросах информационной безопасности.

VII. Ответственность

За нарушение требований настоящей Положения ответственный за организацию защиты персональных данных в МЗ РТ несет ответственность в соответствии с действующим законодательством.

-----------------------------

[1] См.: ч. 2.ст.3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015).

[2] В соответствии с п. 6) ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015).

[3] См.:

- ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015);

- п. д) ст. 1 Постановления Правительства Российской Федерации от 21.03.2012 N 211 (ред. от 06.09.2014) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

[4] В соответствии с ч. 3 ст. 22 и ч. 3 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015).

[5] Исполняется в соответствии с:

- ч. 2 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015);

- п. д) ч. 1 Постановления Правительства Российской Федерации от 21.03.2012 N 211 (ред. от 06.09.2014) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- п. 7 Инструкции, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001. N 152 (Бюллетень нормативных актов федеральных органов исполнительной власти, 2001. N 34);

- п. 2.3. и п. 3.24. "Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденных руководством 8 Центра ФСБ России 21.02.2008 N 149/6/6-622.

ГАРАНТ:

См. Информацию ФСБ России от 21 июня 2016 г. "О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных"

[6] В соответствии с п. 6) ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015).

[7] См.: ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015).