Приложение. Положение об обработке персональных данных в АИС Росздравнадзора. Приказ Федеральной службы по надзору в сфере здравоохранения от 12.08.2014 N 5741 "Об утверждении Положения об обработке персональных данных в АИС Росздравнадзора"

Приложение
к приказу Федеральной службы
по надзору в сфере здравоохранения
от 12.08.2014 г. N 5741

Положение
об обработке персональных данных в АИС Росздравнадзора

1. Общие положения

1.1. Настоящее Положение определяет порядок обработки персональных данных федеральных государственных гражданских служащих Федеральной службы по надзору в сфере здравоохранения (далее - Росздравнадзор), граждан, обратившихся в Росздравнадзор, и иных субъектов персональных данных, персональные данные которых подлежат обработке на основании полномочий Росздравнадзора.

1.2. К информации, содержащей персональные данные субъекта персональных данных, применяется режим конфиденциальности, за исключением:

1.2.1. обезличенных персональных данных;

1.2.2. общедоступных персональных данных.

1.3. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения или продлевается на основании заключения экспертной комиссии Росздравнадзора, если иное не определено законодательством Российской Федерации.

2. Состав персональных данных

2.1. Состав персональных данных, обрабатываемых в АИС Росздравнадзора, определяется Перечнем персональных данных, подлежащих защите в Федеральной службе по надзору в сфере здравоохранения, утвержденным руководителем Росздравнадзора.

2.2. Руководитель Росздравнадзора (Территориального органа Росздравнадзора по субъекту Российской Федерации (ТО)) определяет перечень лиц из числа федеральных государственных гражданских служащих Росздравнадзора, уполномоченных на обработку персональных данных в Росздравнадзоре, ТО в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", другими нормативными правовыми актами Российской Федерации.

2.3. Документы со сведениями, содержащими персональные данные, обрабатываются на рабочих местах федеральных государственных гражданских служащих Росздравнадзора, включенных в перечень лиц, уполномоченных на обработку персональных данных в Росздравнадзоре, ТО.

2.4. Информация, представляемая при поступлении на государственную гражданскую службу в Росздравнадзор, должна иметь документальную форму. При заключении служебного контракта в соответствии с Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" гражданин предъявляет работодателю:

2.4.1. паспорт или иной документ, удостоверяющий личность;

2.4.2. трудовую книжку, за исключением случаев, когда служебный контракт заключается впервые;

2.4.3. страховое свидетельство государственного пенсионного страхования;

2.4.4. документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

2.4.5. документ об образовании, о квалификации или наличии специальных знаний - при поступлении на государственную гражданскую службу, требующую специальных знаний или специальной подготовки;

2.4.6. свидетельство о присвоении идентификационного номера налогоплательщика (при его наличии у федерального государственного гражданского служащего Росздравнадзора).

2.5. При оформлении гражданина на государственную гражданскую службу в Росздравнадзор заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные федерального государственного гражданского служащего Росздравнадзора:

2.5.1. номер страхового свидетельства государственного пенсионного страхования;

2.5.2. идентификационный номер налогоплательщика;

2.5.3. данные о приеме на работу;

2.5.4. общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, знание иностранного языка; образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные: серия, номер, дата выдачи и орган, выдавший паспорт, адрес и дата регистрации по месту жительства; номер телефона);

2.5.5. сведения о воинском учете.

2.6. В дальнейшем в личную карточку вносятся:

2.6.1. сведения о переводах на другую работу;

2.6.2. сведения об аттестации;

2.6.3. сведения о повышении квалификации;

2.6.4. сведения о профессиональной переподготовке;

2.6.5. сведения о наградах (поощрениях), почетных званиях;

2.6.6. сведения об отпусках;

2.6.7. сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством Российской Федерации.

2.7. Вся информация заносится в подсистему "Кадры" АИС Росздравнадзора.

2.8. В Росздравнадзоре создаются и хранятся следующие группы документов, содержащие персональные данные федеральных государственных гражданских служащих Росздравнадзора в единичном или сводном виде:

2.8.1. комплект документов, сопровождающих процесс оформления трудовых отношений при приеме на федеральную государственную гражданскую службу, переводе, увольнении; комплект материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки федеральных государственных гражданских служащих Росздравнадзора; дела, содержащие материалы аттестации федеральных государственных гражданских служащих Росздравнадзора; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Росздравнадзора, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы и другие организации;

2.8.2. организационная документация по деятельности Росздравнадзора, работе структурных подразделений (положения, должностные инструкции федеральных государственных гражданских служащих Росздравнадзора, приказы);

2.8.3. документы по планированию, учету, анализу и отчетности в части работы с персоналом Росздравнадзора.

2.9. Комплект документов, сопровождающий процесс работы с гражданами, обратившимися в Росздравнадзор:

2.9.1. Информация, представляемая гражданами в структурные подразделения Росздравнадзора, должна иметь документальную форму. Гражданин, обратившийся в Росздравнадзор, обязан предъявить паспорт.

2.9.2. При первичном обращении граждан в Росздравнадзор (Территориальный орган Росздравнадзора по субъектам Российской Федерации), федеральный государственный гражданский служащий Росздравнадзора вносит информацию в базу данных АИС Росздравнадзора, где отражаются следующие данные:

2.9.2.1. фамилия, имя, отчество;

2.9.2.2. серия, номер паспорта, дата выдачи;

2.9.2.3. адрес места жительства.

3. Порядок предоставления доступа к персональным данным

3.1. Допуск к персональным данным субъекта персональных данных могут иметь федеральные государственные гражданские служащие Росздравнадзора, которым персональные данные необходимы для исполнения ими своих служебных обязанностей. Перечень таких федеральных государственных гражданских служащих должен быть отражен в Списке лиц, доступ которых к персональным данным необходим для выполнения трудовых обязанностей, утвержденным руководителем Росздравнадзора (в Территориальном органе Росздравнадзора по субъектам Российской Федерации - руководителем ТО).

3.2. Процедура оформления допуска к персональным данным представляет собой следующую последовательность действий:

3.2.1. ознакомление федеральных государственных гражданских служащих под роспись с настоящим Положением, Перечнем персональных данных, подлежащих защите в Федеральной службе по надзору в сфере здравоохранения, и другими нормативными, правовыми актами Росздравнадзора, касающимися обработки персональных данных;

3.2.2. истребование с федерального государственного гражданского служащего Росздравнадзора Обязательства о неразглашении информации ограниченного доступа;

3.2.3. внесение федерального государственного гражданского служащего Росздравнадзора в Список лиц, доступ которых к персональным данным необходим для выполнения служебных обязанностей, и в Журнал учета лиц, допущенных к работе с персональными данными в информационных системах персональных данных.

3.3. Каждый федеральный государственный гражданский служащий Росздравнадзора, внесенный в Список лиц, доступ которых к персональным данным необходим для выполнения служебных обязанностей, должен иметь доступ к минимально необходимому набору персональных данных субъекта персональных данных, необходимому ему для выполнения служебных обязанностей.

3.4. Федеральным государственным гражданским служащим, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным субъектов запрещен.

3.5. Гражданин, обратившийся в Росздравнадзор, имеет право, за исключением случаев, предусмотренных законодательством Российской Федерации:

3.5.1. на ознакомление со своими персональными данными в случае, если они обрабатываются в Росздравнадзоре;

3.5.2. на уточнение, блокирование или уничтожение своих персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленных Росздравнадзором целей обработки.

3.6. В случае, если Росздравнадзор на основании договора поручает обработку персональных данных другому юридическому или физическому лицу, существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

4. Обработка персональных данных

4.1. При определении объема и содержания обрабатываемых персональных данных Росздравнадзор руководствуется Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" и Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

4.2. Персональные данные субъектов персональных данных обрабатываются и хранятся в помещениях Росздравнадзора.

4.3. Персональные данные субъектов персональных данных могут быть получены, обработаны и переданы на хранение как на бумажных носителях, так и в электронном виде - в локальной компьютерной сети, в компьютерных программах и электронных базах данных.

4.4. При обработке персональных данных допущенные к ним лица обязаны соблюдать следующие требования:

4.4.1. Обработка персональных данных федеральных государственных гражданских служащих Росздравнадзора должна осуществляться в целях обеспечения законодательства Российской Федерации, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, обеспечения сохранности принадлежащего ему имущества и имущества Росздравнадзора, а также исполнения договоров.

4.4.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда субъектам персональных данных, ограничения прав и свобод граждан Российской Федерации.

4.4.3. Федеральные государственные гражданские служащие Росздравнадзора должны быть ознакомлены под расписку с нормативными документами Росздравнадзора, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также их права и обязанности в этой области.

4.4.4. Субъекты персональных данных, не являющиеся федеральными государственными гражданскими служащими Росздравнадзора, имеют право ознакомиться с нормативными документами Росздравнадзора, устанавливающими порядок обработки персональных данных, а также права и обязанности субъектов персональных данных.

4.4.5. В случае выявления гражданином, являющимся субъектом персональных данных, или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных недостоверных персональных данных, обрабатываемых Росздравнадзором, или неправомерных действий с ними федеральными государственными гражданскими служащими Росздравнадзора, необходимо организовать проверку и осуществить блокирование персональных данных, относящихся к гражданину, с момента такого обращения или получения такого запроса на период проверки.

4.4.6. В случае подтверждения факта недостоверности персональных данных, обрабатываемых Росздравнадзором, на основании документов, представленных субъектом персональных данных, или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов необходимо уточнить персональные данные субъекта персональных данных и снять их блокирование.

4.4.7. В случае выявления действий, указанных в пп. 4.4.5, оператор персональных данных должен устранить допущенные нарушения в срок, не превышающий трех рабочих дней с даты такого выявления. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Росздравнадзор обязан уведомить субъекта персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

4.5. Получение персональных данных.

4.5.1. Росздравнадзор не имеет права получать и обрабатывать персональные данные федеральных государственных гражданских служащих Росздравнадзора и других субъектов персональных данных, об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, кроме случаев, когда субъект персональных данных дал согласие в письменной форме на обработку указанных персональных данных.

4.5.2. Персональные данные следует получать лично у субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором персональных данных. Форма согласия субъекта персональных данных на обработку персональных данных указана в приложении N 1 к настоящему Положению.

4.5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Форма отзыва согласия на обработку персональных данных указана в приложении N 2 к настоящему Положению.

4.5.4. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение. Форма согласия субъекта персональных данных на получение его персональных данных от третьей стороны указана в приложении N 3 к настоящему Положению.

4.5.5. Федеральный государственный гражданский служащий Росздравнадзора проверяет достоверность персональных данных, сверяя данные, предоставленные субъектом персональных данных или его законным представителем, с имеющимися у субъекта персональных данных или его законного представителя документами.

4.5.6. При принятии решений, затрагивающих интересы субъекта персональных данных, федеральный государственный гражданский служащий Росздравнадзора не вправе основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4.6. Хранение персональных данных.

4.6.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4.6.2. Хранение персональных данных субъектов персональных данных осуществляется на бумажных и электронных носителях, доступ к которым ограничен.

4.6.3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях без использования средств автоматизации.

4.6.4. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа или металлического шкафа, обеспечивающего защиту от несанкционированного доступа.

4.6.5. Структурные подразделения Росздравнадзора, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320).

4.6.6. Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, в соответствии с законодательством Российской Федерации.

4.7. При передаче персональных данных субъекта персональных данных оператор персональных данных обязан соблюдать следующие требования:

4.7.1. Передавать персональные данные субъектов персональных данных только федеральным государственным гражданским служащим Росздравнадзора, имеющим допуск к обработке персональных данных субъектов персональных данных.

4.7.2. Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, предусмотренных законодательством Российской Федерации. Форма согласия субъекта персональных данных на передачу его персональных данных третьей стороне указана в приложении N 4 к настоящему Положению.

4.7.3. Предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать требования конфиденциальности.

4.7.4. Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им служебных обязанностей. Указанная информация запрашивается только с письменного согласия субъекта персональных данных.

4.7.5. Передавать персональные данные законным представителям субъектов персональных данных в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только персональными данными субъектов персональных данных, которые необходимы для выполнения указанными представителями их функций.

4.7.6. Сведения о передаче персональных данных субъекта персональных данных регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных субъекта персональных данных или дата уведомления об отказе в их предоставлении, а также перечень переданной информации. Форма журнала учета передачи персональных данных указана в приложении N 5 к настоящему Положению.

4.8. Конфиденциальность персональных данных.

4.8.1. Оператор персональных данных обеспечивает конфиденциальность персональных данных субъектов персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.

4.8.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные (машинные) носители информации.

4.8.3. Федеральные государственные гражданские служащие Росздравнадзора, имеющие доступ к персональным данным субъектов персональных данных, подписывают обязательство о неразглашении информации ограниченного доступа (персональных данных). Форма обязательства о неразглашении информации ограниченного доступа (персональных данных) указана в приложении N 6 к настоящему Положению.

4.9. Уничтожение персональных данных.

4.9.1. Документы, содержащие персональные данные субъектов персональных данных, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации.

4.9.2. Уничтожение носителей информации (как бумажных, так и машинных) производится по решению Руководителя Росздравнадзора (Территориального органа Росздравнадзора по субъекту Российской Федерации).

4.9.3. Вывод из эксплуатации машинного носителя производится путем его форматирования, либо путем его механического повреждения в присутствии лица, ответственного за обеспечение безопасности персональных данных субъектов персональных данных.

4.9.4. Бумажные носители персональных данных уничтожаются в бумагорезательной машине, а также путем сжигания.

4.9.5. По факту уничтожения персональных данных составляется акт, утверждаемый Руководителем Росздравнадзора (Территориального органа Росздравнадзора по субъекту Российской Федерации), и в Журнале учета носителей персональных данных делается отметка об этом. Форма акта уничтожения персональных данных указана в приложении N 7 к настоящему Положению.

5. Права и обязанности субъектов персональных данных и оператора персональных данных

5.1. В целях обеспечения защиты персональных данных субъекты персональных данных имеют право:

5.1.1. получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

5.1.2. осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

5.1.3. требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства Российской Федерации;

5.1.4. при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта персональных данных - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

5.1.5. дополнять персональные данные оценочного характера заявлением, выражающим собственную точку зрения;

5.1.6. требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них изменениях или исключениях из них;

5.1.7. обжаловать в судебном порядке любые неправомерные действия или бездействие оператора персональных данных или уполномоченного им лица при обработке и защите персональных данных субъекта персональных данных.

5.2. Субъект персональных данных или его законный представитель должен предоставлять персональные данные, соответствующие действительности.

5.3. Для защиты персональных данных субъектов персональных данных оператор персональных данных:

5.3.1. обеспечивает защиту персональных данных субъектов персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;

5.3.2. производит ознакомление субъекта персональных данных или его законных представителей с настоящим положением и его правами в области защиты персональных данных под расписку;

5.3.3. по запросу производит ознакомление субъекта персональных данных, не являющегося федеральным государственным гражданским служащим Росздравнадзора, или в случае недееспособности субъекта персональных данных, его законных представителей с настоящим Положением и его правами в области защиты персональных данных;

5.3.4. осуществляет передачу персональных данных субъекта персональных данных только в соответствии с законодательством Российской Федерации и настоящим Положением;

5.3.5. предоставляет персональные данные субъекта персональных данных только уполномоченным лицам и только в той части, которая необходима им для выполнения их служебных обязанностей в соответствии с законодательством Российской Федерации и настоящим Положением;

5.3.6. обеспечивает субъекту персональных данных свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

5.3.7. по требованию субъекта персональных данных или его законного представителя предоставляет ему информацию о его персональных данных и обработке этих данных.

6. Организация защиты персональных данных

6.1. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты обеспечивается Росздравнадзором в соответствии с законодательством Российской Федерации.

6.2. В Росздравнадзоре защите подлежат все сведения, содержащие персональные данные субъектов персональных данных, в том числе:

6.2.1. зафиксированные в бумажных документах;

6.2.2. зафиксированные в электронных документах на технических средствах, включая внешние носители;

6.2.3. речевая (акустическая) информация, содержащая персональные данные субъектов персональных данных;

6.2.4. текстовая и графическая видовая информация, содержащая персональные данные субъектов персональных данных;

6.2.5. информация, представленная в виде информативных электрических сигналов, физических полей, содержащая персональные данные.

6.3. Защита персональных данных ведется по трем взаимодополняющим направлениям:

6.3.1. Проведение организационных мероприятий:

6.3.1.1. разработка внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных субъектов персональных данных, в том числе порядок доступа в помещения, где хранятся персональные данные субъектов персональных данных и к персональным данным субъектов персональных данных;

6.3.1.2. ознакомление работников с законодательством Российской Федерации, получение обязательств, касающихся обработки персональных данных субъектов персональных данных;

6.3.1.3. проведение обучения федеральных государственных гражданских служащих Росздравнадзора по вопросам защиты персональных данных субъектов персональных данных.

6.3.2. Программно-аппаратная защита:

6.3.2.1. разработка модели угроз безопасности персональных данных субъектов персональных данных;

6.3.2.2. внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с законодательством Российской Федерации оценку соответствия;

6.3.2.3. организация учета носителей персональных данных субъектов персональных данных.

6.3.3. Инженерно-техническая защита:

6.3.3.1. установка сейфов или запирающихся шкафов для хранения носителей персональных данных субъектов персональных данных;

6.3.3.2. установка усиленных дверей, сигнализации, режима охраны здания и помещений, в которых обрабатываются персональные данные субъектов персональных данных.

6.4. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите персональных данных субъектов персональных данных осуществляет лицо, ответственное за обеспечение безопасности персональных данных, в соответствии с законодательством Российской Федерации в области защиты персональных данных.

6.5. Организацию и контроль защиты персональных данных субъектов персональных данных в Территориальных органах Росздравнадзора по субъектам Российской Федерации осуществляют их непосредственные руководители.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

7.1. Федеральные государственные гражданские служащие Росздравнадзора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.