Приложение N 1. Приказ комитета здравоохранения Волгоградской области от 28.03.2018 N 849 "О внесении изменений в приказ комитета здравоохранения Волгоградской области от 19.05.2015 N 1603 "О введении в действие документов, регламентирующих мероприятия по защите информации ограниченного доступа, обрабатываемой в комитете здравоохранения Волгоградской области"

Приложение N 1
к приказу комитета здравоохранения
Волгоградской области
от 28.03.2018 г. N 849

Приложение N 2
к приказу комитета здравоохранения
Волгоградской области
от 19 мая 2015 г. N 1603

Правила
обработки персональных данных в комитете здравоохранения Волгоградской области

1. Общие положения

1.1. Настоящие Правила определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в комитете здравоохранения Волгоградской области (далее - комитет).

1.2. Настоящие Правила разработаны в соответствии с:

Трудовым кодексом Российской (далее - Трудовой кодекс);

Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");

Федеральным законом от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации";

Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации");

Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции";

Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон "Об организации предоставления государственных и муниципальных услуг");

Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (далее - Федеральный закон "О лицензировании");

Федеральным законом от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее - Федеральный закон "Об основах охраны здоровья граждан");

Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации");

Указом Президента Российской Федерации от 1 февраля 2005 г. N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации";

Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - постановление N 1119);

приказом Федеральной службы по техническому и экспертному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

1.3. Обработка персональных данных в комитете осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящими Правилами.

1.4. В Правилах используются следующие термины:

Безопасность персональных данных - состояние защищенности персональных данных (далее - ПДн), характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в информационной системе.

Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Информационная система персональных данных - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором (в данном случае комитетом) или иным лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.

Неавтоматизированная обработка персональных данных - обработка ПДн субъекта без использования средств вычислительной техники.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Оператор (персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе и (или) в результате которых уничтожаются материальные носители ПДн.

2. Категории субъектов персональных данных

2.1. К субъектам персональных данных, персональные данные которых обрабатываются в комитете в соответствии с настоящими Правилами, относятся:

2.1.1. государственные гражданские служащие комитета (далее - служащие комитета);

2.1.2. граждане, претендующие на замещение должностей государственной гражданской службы в комитете;

2.1.3. сотрудники комитета, замещающие должности, не являющиеся должностями государственной гражданской службы (далее - сотрудники комитета);

2.1.4. граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы;

2.1.5. лица, замещающие должности руководителей организаций, подведомственных комитету, назначаемые на должность и освобождаемые от должности председателем комитета (далее - председатель, руководители организаций);

2.1.6. граждане, претендующие на замещение должностей руководителей организаций;

2.1.7. лица, замещающие должности руководителей организаций;

2.1.8. лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 2.1.1 - 2.1.7 подпункта 2.1 пункта 2 настоящих Правил;

2.1.9. лица, представляемые к награждению, наградные материалы по которым представлены в комитет;

2.1.10. физические лица и представители организаций, обратившиеся в комитет в связи с предоставлением государственной услуги;

2.1.11. граждане, обратившиеся в комитет в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

3. Цели, условия и порядок обработки персональных данных субъектов персональных данных в связи с реализацией служебных или трудовых отношений

3.1. Персональные данные субъектов персональных данных (далее - персональные данные), указанных в подпунктах 2.1.1 - 2.1.7 подпункта 2.1 пункта 2 настоящих Правил, обрабатываются в целях обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

3.2. В целях, указанных в подпункте 3.1 пункта 3 настоящих Правил, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

3.3. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил, не требуется при обработке персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных".

3.4. Согласие на обработку специальных категорий персональных данных, а также биометрических персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 3.1 настоящих Правил, не требуется при обработке персональных данных в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Трудового кодекса, за исключением случаев получения персональных данных работника у третьей стороны.

3.5. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных в следующих случаях:

при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе и о противодействии коррупции;

при трансграничной передаче персональных данных;

при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

3.6. В случаях, предусмотренных подпунктом 3.5 пункта 3 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

3.7. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил, осуществляется гражданскими служащими и сотрудниками отдела государственной службы и кадровой работы комитета, отдела правового обеспечения комитета, уполномоченными на обработку персональных данных (далее - уполномоченные на обработку персональных данных).

3.8. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил, включает в себя следующие действия:

сбор (получение),

запись,

систематизацию,

накопление,

хранение,

уточнение (обновление, изменение),

извлечение,

использование,

передачу (распространение, предоставление, доступ),

обезличивание,

блокирование,

удаление,

уничтожение.

3.9. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил, осуществляется путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования сведений, содержащих персональные данные, в ходе кадровой работы;

внесения персональных данных в автоматизированные информационные системы персональных данных, оператором которых является комитет (далее - автоматизированные системы), используемые в целях кадровой работы.

3.10. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил.

3.11. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил, у третьей стороны, следует известить об этом субъектов персональных данных заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

3.12. Запрещается получать, обрабатывать и приобщать к личным делам служащих комитета, сотрудников комитета, руководителей медицинских организаций персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях.

3.13. При сборе персональных данных служащий комитета, уполномоченный на обработку персональных данных, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

3.14. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных подпунктом 3.1 пункта 3 настоящих Правил, осуществляется в случаях и в порядке, предусмотренных законодательством Российской Федерации.

4. Условия и порядок обработки персональных данных субъектов персональных данных в связи с предоставлением комитетом государственных услуг

4.1. В комитете обработка персональных данных физических лиц и представителей организаций (далее - заявители) осуществляется в связи с:

4.1.1. предоставлением государственной услуги по выдаче разрешения на занятие народной медицины на территории Волгоградской области;

4.1.2. предоставлением государственной услуги включения медицинских организаций в перечень оказывающих высокотехнологичную медицинскую помощь на территории Волгоградской области;

4.1.3. предоставлением государственной услуги по присвоению квалификационной категории специалистам, работающим в системе здравоохранения Волгоградской области;

4.1.4. предоставлением государственной услуги по лицензированию медицинской деятельности медицинских организаций;

4.1.5. предоставлением государственной услуги по лицензированию медицинской деятельности медицинских организаций по обороту наркотических средств;

4.1.6. предоставлением государственной услуги по лицензированию фармацевтической деятельности.

4.2. В целях, указанных в подпункте 4.1 пункта 4 настоящих Правил, осуществляется обработка персональных данных в составе и порядке согласно административным регламентам на оказание соответствующей государственной услуги.

4.3. Обработка персональных данных в целях, указанных в подпункте 4.1 пункта 4 настоящих Правил, осуществляется без согласия заявителей в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации", "О лицензировании", "Об основах охраны здоровья граждан" и иными нормативными правовыми актами, определяющими предоставление государственных услуг комитетом.

4.4. Обработка персональных данных в целях, указанных в подпункте 4.1 пункта 4 настоящих Правил, осуществляется соответствующими отделами комитета, в полномочия которых в соответствии с положениями об отделах входит предоставление государственных услуг.

4.5. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в целях, указанных в подпункте 4.1 пункта 4 настоящих Правил, осуществляется путем:

получения оригиналов необходимых документов (заявлений);

заверенных копий документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

внесения персональных данных в автоматизированные системы.

4.6. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от заявителей.

4.7. Запрещается запрашивать у заявителей и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

4.8. При сборе (получении) персональных данных уполномоченное должностное лицо соответствующего отдела комитета, осуществляющее получение персональных данных непосредственно от заявителей, обратившихся в комитет в связи с предоставлением государственной услуги, обязано разъяснить указанным заявителям юридические последствия отказа предоставить персональные данные.

4.9. Передача (распространение, предоставление) и использование персональных данных заявителей осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

5. Условия и порядок обработки персональных данных субъектов персональных данных в связи с рассмотрением обращений граждан

5.1. В комитете обработка персональных данных граждан осуществляется в целях обеспечения своевременного и в полном объеме рассмотрения их устных и письменных обращений в порядке, установленном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

5.2. Персональные данные граждан, обратившихся в комитет лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в комитете подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

5.3. В соответствии со статьями 7 и 13 Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации" в связи с рассмотрением поступивших в комитет обращений граждан обработке подлежат следующие персональные данные:

фамилия, имя, отчество (при наличии);

почтовый адрес;

адрес электронной почты;

указанный в обращении контактный телефон;

иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

5.4. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных" и Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

5.5. Передача (распространение, предоставление) и использование персональных данных, указанных в подпункте 5.3 пункта 5 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

6. Порядок обработки персональных данных в автоматизированных системах

6.1. Обработка персональных данных в комитете может осуществляется с использованием автоматизированных систем.

Перечень автоматизированных систем утверждается приказом комитета.

6.2. Доступ к автоматизированным системам служащих и сотрудников комитета, осуществляющих обработку персональных данных в автоматизированных системах, реализуется посредством учетной записи, состоящей из имени пользователя и пароля.

6.3. Доступ к автоматизированным системам предоставляется в соответствии с функциями, предусмотренными должностными регламентами служащих и сотрудников комитета.

6.4. Информация может размещаться в автоматизированных системах как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

6.5. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных системах, осуществляется ответственным сотрудником комитета, назначаемым приказом по комитету, и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона "О персональных данных".

7. Организация хранения персональных данных

7.1. Персональные данные хранятся на бумажном носителе в отделах комитета, в функции которых входит обработка персональных данных в соответствии с положениями об этих отделах.

7.2. Персональные данные хранятся в электронном виде в автоматизированных системах.

7.3. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.

7.4. Срок хранения персональных данных, внесенных в автоматизированные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.

7.5. Персональные данные при их обработке, осуществляемой без использования автоматизированных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

7.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами.

8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

8.1. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению.

8.2. Документы, содержащие персональные данные, на бумажном носителе передаются в государственное казенное учреждение Волгоградской области "Государственный архив Волгоградской области" для обработки, хранения и уничтожения (при необходимости) в порядке, установленном законодательством Российской Федерации об архивном деле.

8.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

9. Порядок доступа в помещения, в которых ведется обработка персональных данных

9.1. Доступ в помещения, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, содержащиеся на материальных носителях персональных данных, имеют гражданские служащие, уполномоченные на обработку персональных данных.

9.2. Пребывание лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении гражданского служащего, уполномоченного на обработку персональных данных.

10. Ответственный за организацию обработки персональных данных

10.1. Ответственный за организацию обработки персональных данных в комитете (далее - ответственный за обработку персональных данных), назначается председателем из числа служащих комитета, относящихся к высшей и (или) главной группе должностей категории "руководители" (пункт 2 статьи 9 Федерального закона "О государственной гражданской службе Российской Федерации").

10.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.

10.3. Ответственный за обработку персональных данных обязан:

организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в комитете, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

осуществлять внутренний контроль за соблюдением гражданскими служащими, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

доводить до сведения гражданских служащих, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;

организовать контроль за приемом и обработкой обращений и запросов субъектов персональных данных в комитете;

в случае нарушения в комитете требований к защите персональных данных, принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

10.4. Ответственный за обработку персональных данных вправе:

иметь доступ к информации, касающейся обработки персональных данных в комитете и включающей:

а) цели обработки персональных данных;

б) категории обрабатываемых персональных данных;

в) категории субъектов персональных данных, персональные данные которых обрабатываются;

г) правовые основания обработки персональных данных;

д) перечень действий с персональными данными, общее описание используемых в комитете способов обработки персональных данных;

е) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

ж) дату начала обработки персональных данных;

з) срок или условия прекращения обработки персональных данных;

и) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

к) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными постановлением N 1119;

привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в комитете, иных служащих и сотрудников комитета с возложением на них соответствующих обязанностей и закреплением ответственности.

10.5. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в комитете в соответствии с законодательством Российской Федерации в области персональных данных.