Приказ Министерства здравоохранения Приморского края от 5 июля 2023 г. N 18/пр/1066
"Об утверждении организационно-распорядительной документации в области обеспечения безопасности персональных данных при их обработке в министерстве здравоохранения Приморского края"
В соответствии со статьей 24 Конституции Российской Федерации, статьей 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", статьей 42 Федерального закона от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", главы 14 Трудового Кодекса Российской Федерации, постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами",
приказываю:
1. Утвердить:
1.1. Положение по обработке и защите персональных данных в министерстве здравоохранения Приморского края (приложение N 1).
1.2. Перечень должностей сотрудников министерства здравоохранения Приморского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 2).
1.3. Инструкцию, ответственного в министерстве здравоохранения Приморского края за организацию обработки персональных данных, (приложение N 3).
1.4. Инструкцию сотрудника министерства здравоохранения Приморского края, осуществляющего обработку персональных данных в соответствии с должностным регламентом (приложение N 4).
1.5. Порядок доступа сотрудников министерства здравоохранения Приморского края в помещения, в которых осуществляется обработка и хранение персональных данных (приложение N 5).
1.6. Типовое обязательство сотрудника министерства здравоохранения Приморского края, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известных ему в связи с исполнением должностных обязанностей (приложение N 6).
1.7. Типовую форму согласия субъекта персональных данных на обработку его персональных данных (приложение N 7).
1.8. Типовую форму согласия субъекта персональных данных на распространение его персональных данных (приложение N 8).
1.9. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить персональные данные (приложение N 9).
1.10. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О Персональных данных", принятыми в соответствии с ним нормативными актами и локальными актами министерства здравоохранения Приморского края (приложение N 10).
2. Сотрудникам министерства здравоохранения Приморского края руководствоваться настоящим приказом при работе с персональными данными.
3. Приказ министерства здравоохранения Приморского края от 25.04.2023 года N 18/пр/604 "Об утверждении организационно-распорядительной документации в области обеспечения безопасности персональных данных при их обработке в министерстве здравоохранения Приморского края" считать утратившим силу.
4. Контроль за исполнением настоящего приказа возложить на заместителя министра здравоохранения Приморского края Бардовского А.В.
|
Заместитель Председателя Правительства Приморского края – |
А.Г. Худченко |
Приложение N 1
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
Положение
об обработке персональных данных в Министерстве здравоохранения Приморского края
1. Общие положения
1.1. Настоящее Положение по обработке и защите персональных данных (далее – Положение) в министерстве здравоохранения Приморского края (далее – Министерство) разработано в соответствии со статьей 24 Конституции Российской Федерации, главой 14 Трудового кодекса Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Федеральный закон о персональных данных), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а также Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Администрации Приморского края от 12 ноября 2019 года N 747-па "Об утверждении положения о министерстве здравоохранения Приморского края" и является основополагающим правовым актом Министерства, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является Министерство.
1.2. Настоящее Положение определяет политику Министерства как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Положение разработано в целях реализации требований законодательства в области обработки и защиты персональных данных, исполнения полномочий Министерства, направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Министерстве, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.4. Положение устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, определяет цели сбора и обработки персональных данных в Министерстве, содержание обрабатываемых персональных данных, категории субъектов, персональных данных которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, правила рассмотрения запросов субъектов персональных данных или их представителей, правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Законом о персональных данных, принятыми в соответствии с ним нормативными правовыми актами и локальными актами Министерства.
1.5. Действие Положения распространяется на все персональные данные субъектов, обрабатываемых в Министерстве с использованием средств автоматизации, а также без использования средств автоматизации.
1.6. Персональные данные, обрабатываемые в Министерстве, относятся к сведениям конфиденциального характера.
1.7. Министерство обеспечивает открытый доступ к Положению путем его размещения на странице министерства здравоохранения Приморского края в информационно-телекоммуникационной сети "Интернет" на официальном сайте Правительства Приморского края.
1.8. Настоящее Положение вступает в силу с момента его утверждения заместителем Председателя Правительства Приморского края – министром здравоохранения Приморского края и действует бессрочно, до замены его новым Положением.
1.9. Все изменения в Положение вносятся приказом.
1.10. Все государственные гражданские служащие Министерства должны быть ознакомлены с настоящим Положением под роспись.
2. Основные понятия при обработке персональных данных
2.1. В Положении используются термины и определения, применяемые в значениях, определенных Законом о персональных данных:
2.1.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, относящаяся прямо или косвенно к субъекту персональных данных;
2.1.2. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.1.3. Информационная система персональных данных – совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
2.1.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.1.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.1.6. Неавтоматизированная обработка персональных данных (без применения средств автоматизации) – обработка персональных данных, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее;
2.1.7. Конфиденциальность персональных данных – обязательное для оператора, получившего доступ к персональным данным субъекта персональных данных, соблюдения требования о не допущении распространения персональных данных без согласия субъекта персональных данных или иного законного основания;
2.1.8. Общедоступные персональные данные – доступ неограниченного круга лиц к персональным данным с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
2.1.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.1.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.1.11. Использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Министерства в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
2.1.12. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъекта персональных данных, в том числе их передачи;
2.1.13. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных субъектов персональных данных;
2.1.14. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
2.1.15. Типовая форма документа (унифицированная форма документа) – форма документа, утвержденного компетентным органом государственной власти, с совокупностью реквизитов расположенных в определенном порядке на носителе информации используемой для сбора и представления каких-либо сведений;
2.1.16. Материальный носитель, содержащий персональные данные – бумажные носители либо электронные носители информации о персональных данных (магнитные и оптические (CD и DVD) накопители, съемные жесткие диски, флэш-накопители), применяемые для создания резервных копий информации, хранения или переноса информации), в виде текста, фотографии и (или) их сочетания.
3. Правовые основания обработки персональных данных
3.1. Конституция Российской Федерации.
3.2. Гражданский кодекс Российской Федерации.
3.3. Трудовой кодекс Российской Федерации.
3.4. Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
3.5. Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
3.6. Федеральный закон от 25.12.2008 N 273-ФЗ "О противодействии коррупции".
3.7. Федеральный закон от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".
3.8. Федеральный закон от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".
3.9. Постановление Администрации Приморского края от 12 ноября 2019 года N 747-па "Об утверждении положения о министерстве здравоохранения Приморского края.
4. Принципы обработки персональных данных
4.1. Осуществление обработки персональных данных на законной основе.
4.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3. Не допускается объединение баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой.
4.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
4.7. Операторы персональных данных и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
4.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
5. Цель обработки персональных данных
5.1. Исполнение трудового законодательств Российской Федерации.
5.2. Исполнение законодательства Российской Федерации в сфере здравоохранения.
5.3. Исполнение законодательства Российской Федерации о противодействии коррупции.
5.4. Реализация на территории Приморского края федеральной программы "Земский доктор/земский фельдшер".
5.5. Исполнение законодательства Российской Федерации о безопасности критической информационной инфраструктуры.
5.6. Исполнение законодательства Российской Федерации о государственной тайне.
5.7. Исполнение законодательства Российской Федерации о мобилизационной подготовке и мобилизации.
5.8. Исполнение законодательства Российской Федерации о порядке рассмотрения обращений граждан Российской Федерации.
6. Порядок и условия обработки персональных данных
6.1. В Министерстве осуществляется смешанная обработка персональных данных (неавтоматизированная и автоматизированная), без осуществления трансграничной передачи персональных данных.
6.2. Обработка персональных данных субъектов персональных данных в Министерстве осуществляется гражданскими служащими в соответствии с должностным регламентом, предусматривающим обработку персональных данных.
6.3. Обработка персональных данных субъектов персональных данных включает: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), распространение, блокирование, удаление, уничтожение.
6.3.1. Распространение персональных данных осуществляется в целях соблюдения законодательства РФ о противодействии коррупции.
6.4. Сбор, запись, систематизация, накопление, уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
6.4.1. Получения оригиналов необходимых документов;
6.4.2. Копирования оригиналов документов;
6.4.3. Внесения сведений в учетные формы (на бумажных и электронных носителях);
6.4.4. Создание файлов на объекте информатизации;
6.4.5. Внесение персональных данных в прикладные программные подсистемы информационных систем в сфере здравоохранения.
6.5. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных осуществляется лишь в случаях и порядке, предусмотренных федеральными законами.
6.6. Обработка персональных данных субъектов персональных данный в Министерстве осуществляется при условии получения согласия субъекта персональных данных в следующих случаях:
6.6.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;
6.6.2. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
6.7. Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
6.8. Запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
6.9. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Министерства, осуществляющее получение персональных данных непосредственно от субъекта персональных данных в связи с исполнением государственных функций в сфере здравоохранения, обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные.
6.10. В целях, указанных в п. 5.1 настоящего Положения, в Министерстве ведется обработка персональных данных работников подведомственных медицинских организаций, граждан РФ, и включает в себя:
6.10.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
6.10.2. Число, месяц, год рождения;
6.10.3. Место рождения;
6.10.4. Пол;
6.10.5. Адрес места жительства (адрес регистрации, фактического проживания);
6.10.6. Номер контактного телефона или сведения о других способах связи;
6.10.7. Данные документа удостоверяющего личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, гражданство);
6.10.8. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
6.10.9. Сведения о профессиональной переподготовке и (или) повышении квалификации;
6.10.10. Сведения о трудовой деятельности;
6.10.11. Должность;
6.10.12. Идентификационный номер налогоплательщика;
6.10.13. Реквизиты страхового свидетельства государственного пенсионного страхования;
6.10.14. Реквизиты банковской карты;
6.10.15. Номер расчетного счета;
6.10.16. Номер лицевого счета.
6.11. В целях, указанных в п. 5.2 настоящего Положения, в Министерстве ведется обработка персональных данных медицинских работников Приморского края, граждан РФ, и включает в себя:
6.11.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
6.11.2. Число, месяц, год рождения;
6.11.3. Место рождения;
6.11.4. Пол;
6.11.5. Данные документа удостоверяющего личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, гражданство);
6.11.6. Адрес места жительства (адрес регистрации, фактического проживания);
6.11.7. Номер контактного телефона или сведения о других способах связи;
6.11.8. Реквизиты страхового свидетельства государственного пенсионного страхования;
6.11.9. Реквизиты страхового медицинского полиса обязательного медицинского страхования;
6.11.10. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
6.11.11. Сведения о профессиональной переподготовке и (или) повышении квалификации;
6.11.12. Сведения о трудовой деятельности;
6.11.13. Должность;
6.11.14. Сведения о состоянии здоровья.
6.12. В целях, указанных в п. 5.3 настоящего Положения, в Министерстве ведется обработка персональных данных сотрудников Министерства, руководителей подведомственных медицинских организаций, и включает в себя:
6.12.1. Фамилия, имя, отчество;
6.12.2. Число, месяц, год рождения;
6.12.3. Место рождения;
6.12.4. Пол;
6.12.5. Данные документа удостоверяющего личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
6.12.6. Адрес места жительства (адрес регистрации, фактического проживания);
6.12.7. Семейное положение;
6.12.8. Должность;
6.12.9. Сведения о движимом и недвижимом имуществе;
6.12.10. Сведения об обязательствах имущественного характера;
6.12.11. Сведения о счетах в банках и иных кредитных организациях;
6.12.12. Сведения о ценных бумагах;
6.12.13. Сведения о доходах;
6.12.14. Сведения о расходах;
6.12.15. Реквизиты страхового свидетельства государственного пенсионного страхования;
Нумерация пунктов приводится в соответствии с источником
6.12. В целях, указанных в п. 5.4 настоящего Положения, в Министерстве ведется обработка персональных данных медицинских работников, и включает в себя:
6.12.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
6.12.2. Число, месяц, год рождения;
6.12.3. Место рождения;
6.12.4. Пол;
6.12.5. Адрес места жительства (адрес регистрации, фактического проживания);
6.12.6. Номер контактного телефона или сведения о других способах связи;
6.12.7. Данные документа удостоверяющего личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
6.12.8. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
6.12.9. Сведения о профессиональной переподготовке и (или) повышении квалификации;
6.12.10. Реквизиты страхового свидетельства государственного пенсионного страхования;
6.12.11. Сведения о трудовой деятельности.
6.13. В целях, указанных в п. 5.5 настоящего Положения, в Министерстве ведется обработка персональных данных работников подведомственных медицинских организаций, и включает в себя:
6.13.1. Фамилия, имя, отчество;
6.13.2. Номер контактного телефона или сведения о других способах связи;
6.13.3. Сведения об образовании, в том числе о послевузовском профессиональном образовании квалификация, специальность по документу об образовании;
6.13.4. Сведения о профессиональной переподготовке и (или) повышении квалификации;
6.14. В целях, указанных в п. 5.6 настоящего Положения, в Министерстве ведется обработка персональных данных сотрудников Министерства, работников подведомственных медицинских организаций, и включает в себя:
6.14.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
6.14.2. Число, месяц, год рождения;
6.14.3. Место рождения;
6.14.4. Пол;
6.14.5. Данные документа удостоверяющего личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
6.14.6. Адрес места жительства (адрес регистрации, фактического проживания);
6.14.7. Номер контактного телефона или сведения о других способах связи;
6.14.8. Аккаунты в социальных сетях;
6.14.9. Должность.
6.15. В целях, указанных в п. 5.7 настоящего Положения, в Министерстве ведется обработка персональных данных сотрудников Министерства, работников подведомственных медицинских организаций, и включает в себя:
6.15.1. Фамилия, имя, отчество;
6.15.2. Число, месяц, год рождения;
6.15.3. Пол;
6.15.4. Адрес места жительства (адрес регистрации, фактического проживания);
6.15.5. Сведения о трудовой деятельности;
6.15.6. Должность;
6.15.7. Сведения о воинском учете.
6.16. В целях, указанных в п. 5.8 настоящего Положения, в Министерстве ведется обработка следующих персональных данных граждан РФ, и включает в себя:
6.16.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
6.16.2. Число, месяц, год рождения;
6.16.3. Место рождения;
6.16.4. Пол;
6.16.5. Данные документа удостоверяющего личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
6.16.6. Адрес места жительства (адрес регистрации, фактического проживания);
6.16.7. Номер контактного телефона или сведения о других способах связи;
6.16.8. Реквизиты страхового свидетельства государственного пенсионного страхования;
6.16.9. Реквизиты страхового медицинского полиса обязательного медицинского страхования;
6.16.10. Идентификационный номер налогоплательщика;
6.16.11. Сведения, указанные в свидетельствах государственной регистрации актов гражданского состояния;
6.16.12. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
6.16.13. Сведения о трудовой деятельности;
6.16.14. Сведения о воинском учете;
6.16.15. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
6.16.16. Сведения об ученой степени;
6.16.17. Сведения о профессиональной переподготовке и (или) повышении квалификации;
6.16.18. Сведения о доходах, об имуществе и обязательствах имущественного характера;
6.16.19. Страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;
6.16.20. Сведения о состоянии здоровья.
7. Порядок обработки персональных данных субъектов персональных данных в информационных системах
7.1. При осуществлении автоматизированной обработки персональных данный, доступ государственных гражданских служащих Министерства (далее – Сотрудник), имеющих право осуществлять обработку персональных данных, находящимся в автоматизированных информационных системах, предусматривает обязательное прохождение процедуры идентификации и аутентификации. Для доступа к соответствующим прикладным программным подсистемам автоматизированной информационной системы предоставляется уникальный логин и пароль.
7.2. Информация может вноситься как в автоматическом режиме при получении персональных данных с Единого портала государственных услуг или официального сайта Министерства, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
7.3. Обработка персональных данных в Министерстве осуществляется в следующих информационных системах:
7.3.1. В ФГИС "Единая государственная информационная система в сфере здравоохранения";
7.3.2. В едином окне цифровой обратной связи, Федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг" – "Платформа обратной связи" (ПОС);
7.3.3. В ГИС "Региональная система межведомственного электронного документооборота";
7.3.4. На автоматизированных рабочих местах (далее – АРМ) сотрудников Министерства.
7.4. Информационная система ФГИС "Единая государственная информационная система в сфере здравоохранения" содержит персональные данные пациентов и медицинских работников подведомственных медицинских организаций и предназначена для автоматизации процессов связанных с предоставлением государственных услуг и исполнением государственных функций, и включает в себя:
7.4.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
7.4.2. Число, месяц, год рождения;
7.4.3. Место рождения;
7.4.4. Пол;
7.4.5. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
7.4.6. Адрес места жительства (адрес регистрации, фактического проживания);
7.4.7. Номер контактного телефона или сведения о других способах связи;
7.4.8. Реквизиты страхового свидетельства государственного пенсионного страхования;
7.4.9. Реквизиты страхового медицинского полиса обязательного медицинского страхования;
7.4.10. Сведения о состоянии здоровья;
7.4.11. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
7.4.12. Сведения о профессиональной переподготовке и (или) повышении квалификации;
7.4.13. Сведения о трудовой деятельности.
7.5. Единое окно цифровой обратной связи, Федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг" – "Платформа обратной связи" (ПОС) содержит персональные данные физических лиц и предназначена для автоматизации процессов связанных с рассмотрением обращений граждан, и включает в себя:
7.5.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
7.5.2. Число, месяц, год рождения;
7.5.3. Адрес места жительства (адрес регистрации, фактического проживания);
7.5.4. Номер контактного телефона или сведения о других способах связи;
7.5.5. Реквизиты страхового свидетельства государственного пенсионного страхования;
7.5.6. Реквизиты страхового медицинского полиса обязательного медицинского страхования.
7.6. ГИС "Региональная система межведомственного электронного документооборота" содержит персональные данные физических лиц и предназначена для автоматизации процессов связанных с рассмотрением обращений граждан, и включает в себя:
7.6.1. Фамилия, имя, отчество;
7.6.2. Адрес места жительства (адрес регистрации, фактического проживания);
7.6.3. Номер контактного телефона или сведения о других способах связи.
7.7. Автоматизированные рабочие места сотрудников Министерства предполагают обработку персональных данных субъектов персональных данных, и включают в себя:
7.7.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
7.7.2. Число, месяц, год рождения;
7.7.3. Место рождения;
7.7.4. Пол;
7.7.5. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
7.7.6. Адрес места жительства (адрес регистрации, фактического проживания);
7.7.7. Номер контактного телефона или сведения о других способах связи;
7.7.8. Реквизиты страхового свидетельства государственного пенсионного страхования;
7.7.9. Реквизиты страхового медицинского полиса обязательного медицинского страхования;
7.7.10. Идентификационный номер налогоплательщика;
7.7.11. Сведения, указанные в свидетельствах государственной регистрации актов гражданского состояния;
7.7.12. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
7.7.13. Сведения о трудовой деятельности;
7.7.14. Сведения о воинском учете и реквизиты документов воинского учета;
7.7.15. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
7.7.16. Сведения об ученой степени;
7.7.17. Сведения о профессиональной переподготовке и (или) повышении квалификации;
7.7.18. Информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
7.7.19. Сведения о доходах, об имуществе и обязательствах имущественного характера;
7.7.20. Страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;
7.7.21. Сведения о состоянии здоровья.
8. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации
8.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
8.2. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
8.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
8.3.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
8.3.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
8.3.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
8.3.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
8.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
8.4.1 при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
8.4.2 при необходимости уничтожения или блокирования части персональных данных, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.5. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
9. Согласие на обработку персональных данных
9.1. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
9.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона о персональных данных.
9.3. Письменное согласие субъекта персональных данных должно включать:
9.3.1. Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
9.3.2. Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
9.3.3. Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
9.3.4. Цель обработки персональных данных;
9.3.5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
9.3.6. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
9.3.7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
9.3.8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом;
9.3.9. Подпись субъекта персональных данных.
10. Обезличивание персональных данных
10.1. Обезличивание персональных данных всех обрабатываемых категорий Министерством здравоохранения Приморского края не осуществляется.
11. Права субъектов персональных данных
11.1. Субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных:
11.1.1. Подтверждение факта обработки персональных данных оператором;
11.1.2. Правовые основания и цели обработки персональных данных;
11.1.3. Цели и применяемые оператором способы обработки персональных данных;
11.1.4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
11.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
11.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;
11.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
11.1.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
11.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
11.1.10. Отозвать согласие на обработку своих персональных данных, в случае их неправомерного использования в Министерстве;
11.1.11. В любой момент отозвать согласие на обработку своих персональных данных, разрешенных к распространению;
11.1.12. Обжаловать действия или бездействие Министерства в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
11.1.13. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
11.1.14. Иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо "настоящим Федеральным законом" имеется в виду "Федеральным законом о персональных данных"
11.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.3. Субъект персональных данных вправе требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
12. Рассмотрение запросов субъектов персональных данных или их представителей
12.1. Для реализации своих прав субъект персональных данных или его законный представитель оформляет обращение в письменной форме и направляет его в Министерство на почтовый адрес: 690007, Приморский край, г. Владивосток, ул. 1-я Морская, д. 2, или на электронный адрес: dza@primorsky.ru, или осуществляет передачу обращения при личном приеме.
12.2. Обращение должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Министерством (регистрационный номер и дата регистрации в государственной информационной системе Приморского края "Региональная система межведомственного электронного документооборота"), либо сведения, иным образом подтверждающие факт обработки персональных данных Министерством, подпись субъекта персональных данных или его представителя.
Обращение может быть направлено в форме электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации.
12.3. Ответ на обращение отправляется субъекту персональных данных в письменном виде по почте на адрес, указанный в обращении.
12.4. Сведения, указанные в п. 11.1 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
12.5. В случае, если сведения, указанные в п. 11.1 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору персональных данных или направить ему повторный запрос в целях получения сведений, указанных в п. 11.1. настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
12.6. Субъект персональных данных вправе обратиться в Министерство или направить повторный запрос в целях получения сведений, указанных в п. 11.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.
12.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 12.5 и п. 12.6 настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе персональных данных.
13. Условия прекращения обработки персональных данных
13.1. Обработка персональных данных в Министерстве прекращается в следующих случаях:
13.1.1. Истечение срока действия согласия на обработку персональных данных;
13.1.2. Достижение целей обработки персональных данных;
13.1.3. Отзыв согласия субъекта персональных данных на обработку его персональных данных, в случае их неправомерного использования в Министерстве;
13.1.4. Выявление неправомерной обработки персональных данных.
14. Порядок уничтожения и блокирования персональных данных
14.1. При выявлении неточности в персональных данных осуществляется блокирование персональных данных, относящихся к этому субъекту персональных данных, до их уточнения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. Снятие блокирования персональных данных осуществляется в течение семи рабочих дней со дня предоставления уточненных сведений по персональным данным.
14.2. Временное прекращение операций по обработке персональных данных (блокирование персональных данных) осуществляется в случаях выявления факта незаконного получения персональных данных и (или) выявления неправомерных действий с персональными данными до устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты этого выявления. В случае невозможности устранения допущенных нарушений уничтожение персональных данных осуществляется в течение десяти рабочих дней.
14.3. При представлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, то такие персональные данные подлежат уничтожению в срок, не превышающий семь рабочих дней.
14.4. В случаях достижения цели обработки персональных данных и (или) отзыва субъектом согласия на обработку своих персональных данных уничтожение персональных данных осуществляется в срок, не превышающий тридцати дней.
14.5. Уничтожение персональных данных, хранящихся на съемных машинных носителях информации, производится путем механического нарушения целостности носителя или путем удаления данных с использованием средств гарантированного уничтожения информации, не позволяющего произвести считывание или восстановление персональных данных. Уничтожение персональных данных, хранящихся в базах данных, осуществляется путем удаления соответствующих полей.
14.6. Персональные данные, хранящиеся на бумажных носителях, уничтожаются путем измельчения на мелкие части или сжигания, исключающего возможность последующего восстановления информации.
14.7. Обязанность по уничтожению документов, содержащих персональные данные, в том числе по истечении срока хранения установленного федеральными законами и иными нормативными правовыми актами Российской Федерации, возлагается на начальника структурного подразделения Министерства. По результатам уничтожения составляется Акт, копия которого передается ответственному за организацию обработки персональных данных в Министерстве.
15. Внутренний контроль условий обработки персональных данных
15.1. Внутренний контроль условий обработки персональных данных проводится в Министерстве с целью своевременного выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.
15.2. Внутренний контроль заключается в проведении периодических комиссионных проверок соответствия условий обработки персональных данных в Министерстве установленным законодательством Российской Федерации требованиям к порядку обработки и защиты персональных данных, а также требованиям настоящего Положения.
15.3. Основными задачами внутреннего контроля являются:
15.3.1. Проверка соответствия локальных нормативных актов Министерства в области персональных данных действующему законодательству Российской Федерации и актуальности их содержания;
15.3.2. Проверка соблюдения прав субъектов персональных данных;
15.3.3. Проверка организации и выполнения мероприятий по защите персональных данных при их обработке как с использованием, так и без использования средств автоматизации;
15.3.4. Оценка обоснованности и эффективности мер и средств защиты, применяемых для защиты персональных данных;
15.3.5. Оценка уровня осведомленности и знаний работников Министерства в области обработки и защиты персональных данных;
15.3.6. Оперативное принятие мер по пресечению нарушений требований к порядку обработки и обеспечению безопасности персональных данных.
15.4. Для обеспечения выполнения основных задач по внутреннему контролю в Министерстве разрабатывается и утверждается "План проведения периодических проверок соответствия условий обработки персональных данных установленным требованиям".
15.5. В целях осуществления внутреннего контроля правовым актом Министерства из числа сотрудников назначается постоянно действующая комиссия по проведению периодических проверок соответствия условий обработки персональных данных установленным требованиям (далее – Комиссия).
15.6. Председателем Комиссии назначается один из заместителей Министерства, который осуществляет руководство работой Комиссии при проведении периодических проверок.
15.7. В своей работе Комиссия руководствуется нормативными правовыми актами Российской Федерации в области персональных данных, а также локальными нормативными документами Министерства, регламентирующими вопросы обработки и защиты персональных данных.
15.8. В случае выявления неправомерных действий с персональными данными сотрудник Министерства, допустивший нарушения законодательства в области обработки персональных данных, обязан устранить данные нарушения в срок, не превышающий трех рабочих дней.
15.9. Сотрудник, ответственный в Министерстве за организацию обработки персональных данных, оформляет результаты периодической проверки актом.
16. Лицо ответственное за организацию обработки персональных данных
16.1. Ответственный за организацию обработки персональных данных (далее – Ответственное лицо) в Министерстве назначается приказом по Министерству.
16.2. Ответственное лицо получает указания непосредственно от руководителя Министерства и подотчетно ему.
16.3. Ответственное лицо обязано:
16.3.1. Осуществлять внутренний контроль за соблюдением государственными служащими и работниками Министерства, допущенные к обработке персональных данных законодательства Российской Федерации о ПДн, в том числе требований к защите персональных данных;
16.3.2. Доводить сведения до лиц допущенных к обработке персональных данных положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
16.3.3. Рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
16.3.4. В случае нарушения в Министерстве требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
16.4. Ответственный за обработку персональных данных вправе:
16.4.1. Иметь доступ к информации, касающейся обработки персональных данных в Министерстве и включающей:
– цели обработки персональных данных;
– категории обрабатываемых персональных данных;
– категории субъектов персональных данных, персональные данные которых обрабатываются;
– правовые основания обработки персональных данных;
– перечень действий с персональными данными, общее описание используемых в Министерстве способов обработки персональных данных;
– дату начала обработки персональных данных;
– срок или условия прекращения обработки персональных данных;
– сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
– сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными законодательством Российской Федерации;
16.4.2. Привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Министерстве, иных гражданских служащих Министерства с возложением на них соответствующих обязанностей и закреплением ответственности.
17. Ответственность при обработке персональных данных
17.1. Сотрудники Министерства имеющие доступ к обработке персональных данных в обязательном порядке должны быть ознакомлены с правилами работы и хранения конфиденциальной информации о персональных данных под роспись.
17.2. В случае нарушения режима защиты персональных данных, повлекшее разглашение персональных данных и наступления негативных последствий для субъекта персональных данных, лицо виновное в данном нарушении несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами Российской Федерации.
17.3. Разглашение персональных данных (передача их третьим лицам, не имеющим доступа к персональным данным), публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Министерства, влечет наложение на сотрудника, имеющего доступ к персональным данным, меры дисциплинарного взыскания, если иное не предусмотрено законодательством РФ.
17.4. Сотрудник Министерства, имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Министерству (п. 7 ст. 243 Трудового кодекса РФ).
17.5. Лица допущенные к обработке персональных данных, виновные в незаконном разглашении или использовании персональных данных без согласия субъекта персональных данных из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут ответственность в соответствии с законодательством РФ.
Приложение N 2
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
Перечень
должностей сотрудников Министерства здравоохранения Приморского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
1. Заместитель Председателя Правительства Приморского края – министр здравоохранения Приморского края;
2. Первый заместитель министра здравоохранения Приморского края;
3. Заместитель министра здравоохранения Приморского края;
4. Заместитель министра – начальник отдела фармако-экономического анализа и лекарственного обеспечения;
5. Начальник управления по организации медицинской помощи населению;
6. Советник заместителя Председателя Правительства Приморского края – министра здравоохранения Приморского края;
7. Начальник отдела организации медицинской помощи взрослому населению управления по организации медицинской помощи взрослому населению;
8. Начальник отдела организации медицинской помощи женщинам и детям управления по организации медицинской помощи населению;
9. Начальник отдела мониторинга реализации государственного задания по оказанию высокотехнологичной и специализированной медицинской помощи, санаторно-курортного лечения управления по организации медицинской помощи населению;
10. Начальник отдела организации и проведения ведомственного контроля качества и безопасности медицинской деятельности управления по организации медицинской помощи населению;
11. Начальник отдела стратегического развития и управления программными мероприятиями в здравоохранении;
12. Начальник отдела лицензирования медицинской и фармацевтической деятельности;
13. Начальник отдела координации, подготовки и управления медицинским персоналом;
14. Начальник отдела экономического планирования и прогнозирования, внутреннего финансового контроля и внутреннего финансового аудита;
15. Начальник отдела государственных гарантий и медицинского страхования, заработной платы, охраны труда;
16. Начальник Второго отдела;
17. Заместитель начальника отдела экономического планирования и прогнозирования, внутреннего финансового контроля и внутреннего финансового аудита;
18. Главный консультант отдела фармако-экономического анализа и лекарственного обеспечения;
19. Консультант отдела фармако-экономического анализа и лекарственного обеспечения;
20. Главный консультант отдела организации медицинской помощи взрослому населению управления по организации медицинской помощи взрослому населению;
21. Ведущий консультант отдела организации медицинской помощи взрослому населению управления по организации медицинской помощи взрослому населению;
22. Консультант отдела организации медицинской помощи взрослому населению управления по организации медицинской помощи взрослому населению;
23. Главный специалист-эксперт отдела организации медицинской помощи взрослому населению управления по организации медицинской помощи взрослому населению;
24. Главный консультант отдела организации медицинской помощи женщинам и детям управления по организации медицинской помощи населению;
25. Ведущий консультант отдела организации медицинской помощи женщинам и детям управления по организации медицинской помощи населению;
26. Консультант отдела организации медицинской помощи женщинам и детям управления по организации медицинской помощи населению;
27. Главный консультант отдела мониторинга реализации государственного задания по оказанию высокотехнологичной и специализированной медицинской помощи, санаторно-курортного лечения управления по организации медицинской помощи населению;
28. Консультант отдела мониторинга реализации государственного задания по оказанию высокотехнологичной и специализированной медицинской помощи, санаторно-курортного лечения управления по организации медицинской помощи населению;
29. Главный специалист-эксперт отдела мониторинга реализации государственного задания по оказанию высокотехнологичной и специализированной медицинской помощи, санаторно-курортного лечения управления по организации медицинской помощи населению;
30. Эксперт отдела мониторинга реализации государственного задания по оказанию высокотехнологичной и специализированной медицинской помощи, санаторно-курортного лечения управления по организации медицинской помощи населению;
31. Главный консультант отдела организации и проведения ведомственного контроля качества и безопасности медицинской деятельности управления по организации медицинской помощи населению;
32. Ведущий консультант отдела организации и проведения ведомственного контроля качества и безопасности медицинской деятельности управления по организации медицинской помощи населению;
33. Главный специалист-эксперт отдела организации и проведения ведомственного контроля качества и безопасности медицинской деятельности управления по организации медицинской помощи населению;
34. Главный специалист-эксперт отдела лицензирования медицинской и фармацевтической деятельности;
35. Ведущий специалист-эксперт отдела лицензирования медицинской и фармацевтической деятельности;
36. Консультант отдела стратегического развития и управления программными мероприятиями в здравоохранении;
37. Главный специалист-эксперт отдела стратегического развития и управления программными мероприятиями в здравоохранении;
38. Эксперт отдела стратегического развития и управления программными мероприятиями в здравоохранении;
39. Главный консультант отдела экономического планирования и прогнозирования, внутреннего финансового контроля и внутреннего финансового аудита;
40. Консультант отдела экономического планирования и прогнозирования, внутреннего финансового контроля и внутреннего финансового аудита;
41. Главный специалист-эксперт отдела экономического планирования и прогнозирования, внутреннего финансового контроля и внутреннего финансового аудита;
42. Главный консультант отдела государственных гарантий и медицинского страхования, заработной платы, охраны труда;
43. Консультант отдела государственных гарантий и медицинского страхования, заработной платы, охраны труда;
44. Ведущий инспектор отдела государственных гарантий и медицинского страхования, заработной платы, охраны труда;
45. Главный специалист-эксперт Второго отдела;
46. Ведущий специалист-эксперт Второго отдела;
47. Главный консультант отдела координации, подготовки и управления медицинским персоналом;
48. Консультант отдела координации, подготовки и управления медицинским персоналом;
49. Главный специалист-эксперт отдела координации, подготовки и управления медицинским персоналом;
50. Ведущий специалист-эксперт отдела координации, подготовки и управления медицинским персоналом.
Приложение N 3
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
Инструкция
ответственного за организацию обработки персональных данных в Министерстве здравоохранения Приморского края
1. Общие положения
1.1. Настоящая Инструкция определяет ответственность, права и функциональные обязанности сотрудника, ответственного в министерстве здравоохранения Приморского края (далее – Министерство) за организацию обработки персональных данных (далее – Инструкция).
1.2. Настоящая Инструкция разработана в соответствии со статьями 18.1, 22.1 и 24 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", пунктом 1 "Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", утвержденных Постановлением Правительства РФ от 21 марта 2012 г. N 211.
1.3. Ответственный за обработку персональных данных назначается приказом заместителя Председателя Правительства Приморского края – министра здравоохранения Приморского края из числа гражданских служащих Министерства.
1.4. Ответственный за обработку персональных данных подчиняется руководителю Министерства.
1.5. Ответственный за организацию обработки персональных данных в своей деятельности руководствуется Трудовым кодексом РФ, Федеральным законом от 27 июля 2006 N 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства РФ от 21 марта 2012 г. N 211 "Перечень мер направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", настоящей инструкцией и иными нормативными правовыми актами Министерства по защите информации.
1.6. Настоящая Инструкция является дополнением к действующим внутренним нормативным документам, регламентирующим вопросы обработки и защиты персональных данных в Министерстве, и не исключает обязательного выполнения их требований.
2. Обязанности ответственного за обработку персональных данных
2.1. Знать и выполнять требования действующего законодательства РФ, а также внутренних инструкций и положений, регламентирующих деятельность по обработке и защите персональных данных.
2.2. Осуществлять единую политику Министерства по обработке и обеспечению безопасности персональных данных.
2.3. Отслеживать изменения действующего законодательства РФ по вопросам защиты и обработки персональных данных.
2.4. Доводить до сведения работников Министерства содержание положений законодательства РФ о персональных данных, внутренние нормативные правовые акты Министерства по вопросам обработки персональных данных, требований по защите персональных данных.
2.5. Осуществлять организацию мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передача их лицам, не имеющим права доступа к такой информации.
2.6. Осуществлять рассмотрение обращений субъектов персональных данных или их представителей касающихся обработки их персональных данных.
2.7. По запросу субъекта персональных данных либо его представителя, предоставлять информацию по обработке его персональных данных.
2.8. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений законодательства Российской Федерации о персональных данных, в том числе нарушения правил обработки и защиты персональных данных.
2.9. Получать обязательство о прекращении обработки персональных данных у лиц, непосредственно осуществляющих обработку персональных данных, в случае расторжения с ним договора (контракта).
2.10. Получать согласия на обработку персональных данных у субъектов персональных данных.
2.11. Разъяснять субъекту персональных данных юридические последствия отказа предоставления его персональных данных.
2.12. Осуществлять внутренний текущий контроль за соблюдением требований законодательства Российской Федерации и правил обработки персональных данных в Министерстве, в том числе требований к защите персональных данных.
3. Права
3.1. Требовать от сотрудников Министерства соблюдения законодательства Российской Федерации о персональных данных, в том числе обеспечения безопасности персональных данных.
3.2. Запрещать сотрудникам Министерства доступ к персональным данным с целью предотвращения несанкционированного доступа к защищаемой информации.
3.3. Запрашивать лично информацию и документы, необходимые для выполнения обязанностей, возложенных настоящей Инструкцией.
3.4. Привлекать к проведению внутреннего контроля условий обработки персональных данных установленным законодательством Российской Федерации требованиям сотрудников заинтересованных структурных подразделений Министерства.
4. Ответственность
4.1. Ответственный за организацию обработки персональных данных несет ответственность за правонарушения, совершенные в процессе осуществления своей деятельности, в соответствии с действующим законодательством.
Приложение N 4
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
Инструкция
сотрудника Министерства здравоохранения Приморского края по обработке персональных данных
1. Общие положения
1.1. Настоящая Инструкция разработана с учетом положений законодательных и нормативно-правовых актов:
1.1.1. Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
1.1.2. Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информатизации и защите информации";
1.1.3. Федерального закона от 21 ноября 2011 года N 323-ФЗ "Об основах охраны здоровья граждан Российской Федерации";
1.1.4. Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
1.1.5. Постановления Правительства Российской Федерации от 01.11.2012 N 17 "Об утверждении "Требований к защите персональных данных при их обработке в информационных системах персональных данных";
По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного постановления Правительства Российской Федерации следует читать как "N 1119"
1.1.6. Постановления Правительства РФ от 15.09.2008 N 687 об утверждении "Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.2. Персональные данные в электронном виде обрабатывается в информационных системах персональных данных. Также устанавливается особый порядок обработки и хранения персональных данных, содержащихся на бумажных носителях.
1.3. Персональные данные относятся к конфиденциальной информации. Должностные лица, уполномоченные на обработку персональных данных обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
2. Термины и определения
2.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, относящаяся прямо или косвенно к субъекту персональных данных.
2.2. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Информационная система персональных данных – совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.6. Неавтоматизированная обработка персональных данных (без применения средств автоматизации) – обработка персональных данных, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.
2.7. Материальный носитель, содержащий персональные данные – бумажные носители либо электронные носители информации о персональных данных (магнитные и оптические (CD и DVD) накопители, съемные жесткие диски, флэш-накопители), применяемые для создания резервных копий информации, хранения или переноса информации), в виде текста, фотографии и (или) их сочетания.
3. Порядок обработки персональных данных при автоматизированной обработке персональных данных
3.1. Сотрудник министерства здравоохранения Приморского края, осуществляющий обработку персональных данных (далее – оператор ПНд) выполняет только те действия, которые необходимы для достижения цели обработки персональных данных и только в рамках должностного регламента. Любые посторонние действия запрещены.
3.2. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
3.3. Оператору ПНд запрещено использовать личные технические средства (ноутбуки, смартфоны, планшеты, фотокамеры, флеш-носители, съемные жесткие диски и пр.) для несанкционированного копирования, фотографирования, распространения и передачи защищаемой информации.
3.4. Оператор ПНд визуально контролирует целостность технических средств на своем рабочем месте (отсутствие попыток физического вскрытия системного блока и пр.). При подозрении на нарушение целостности технических средств своего автоматизированного рабочего места (далее – АРМ). Оператор сообщает об этом ответственному за организацию обработки персональных данных. Оператору ПНд запрещен самостоятельный ремонт технических средств, а также привлечение посторонних лиц для такого ремонта.
3.5. Оператору ПНд запрещено изменение источника загрузки своего автоматизированного рабочего места и загрузка АРМ с внешних носителей.
3.6. Оператору ПНд запрещается самостоятельная установка любого программного обеспечения, даже необходимого для выполнения своих служебных обязанностей.
3.7. Оператору ПНд, имеющим право осуществлять обработку персональных данных в информационных системах предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренным должностным регламентом.
3.8. В целях блокирования возможности несанкционированного ознакомления с защищаемой информацией на экране монитора, оператор ПНд должен блокировать сеанс работы при покидании рабочего места более чем на 5 минут. Блокировка сеанса работы производится нажатием клавиш Win + L.
3.9. Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющихся гражданскими служащими Министерства, возможно только в присутствии гражданского служащего, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов связанных с функциями предусмотренными должностным регламентом.
3.10. Оператору ПНд запрещено записывать и хранить пароли в местах, доступных для просмотра посторонним лицам (на отдельных листах бумаги, в не запираемой тумбе, под клавиатурой, на мониторе и т.п.).
3.11. При вводе пароля оператор ПНд должен удостовериться, что при вводе пароля никто не наблюдает за процессом его ввода.
3.12. Оператору ПНд запрещено разглашать другим пользователям свой пароль, в том числе ответственному за организацию обработки персональных данных.
3.13. Оператору ПНд запрещено оставлять без присмотра персональный идентификатор (электронный цифровой ключ).
3.14. При подозрении на компрометацию пароля или иной идентификационной информации, оператор ПНд должен незамедлительно сообщить об этом ответственному за организацию обработки персональных данных.
3.15. При работе в информационных системах персональных данных, в целях противодействию несанкционированному просмотру защищаемой информации с экрана монитора, оператор ПНд обязан:
3.15.1. Сворачивать окна, в котором отображена защищаемая информация или блокирование сеанса при нахождении посторонних лиц вблизи АРМ с фронтальной стороны монитора;
3.15.2. Ориентировать монитор задней частью к дверным проемам и окнам;
3.15.3. В случае вынужденной ориентации монитора фронтальной частью к окну, оператор ПНд во время работы с защищаемой информацией закрывает шторы, жалюзи или рольставни.
3.16. По окончании обработки персональных данных в информационной системе персональных данных, оператор ПНд должен выйти из информационной системы, а по окончании рабочего дня выключить компьютер.
4. Порядок обработки персональных данных при неавтоматизированной обработке персональных данных
4.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
4.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
4.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации.
4.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
4.4.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
4.4.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
4.4.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
4.4.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
4.5.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
4.5.2. При необходимости уничтожения или блокирования части персональных данных, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.7. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.8. Материальные носители с персональными данными должны храниться в запирающихся на ключ помещениях, металлических шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции.
4.9. Руководитель подразделения, в котором обрабатываются персональные данные без использования средств автоматизации:
4.9.1. Принимает все необходимые организационные и технические меры, исключающие возможность несанкционированного доступа к материальным носителям персональных данных лиц, не допущенных к их обработке;
4.9.2. Определяет места хранения персональных данных (материальных носителей);
4.9.3. Организует раздельное хранение материальных носителей персональных данных (документов, дисков, USB флеш-накопителей), обработка которых осуществляется в различных целях.
4.10. Оператор ПНд при работе с материальными носителями, содержащими персональные данные обязан:
4.10.1. Исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения);
4.10.2. Принять все возможные меры, исключающие утрату (утерю, хищение) таких материальных носителей при их выносе по служебной необходимости за пределы помещения, в котором проводится обработка персональных данных;
4.10.3. При утрате (утере, хищении) документов, содержащих персональные данные, доложить о данном факте руководителю подразделения.
4.11. По факту утраты (утере, хищении) материальных носителей, содержащих персональные данные, руководитель подразделения докладывает руководителю Министерства и сообщает ответственному за организацию обработки персональных данных в Министерстве. По каждому такому факту назначается служебное расследование.
4.12. Оператору ПНд при работе с материальными носителями, содержащими персональные данные запрещается:
4.12.1. Сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям;
4.12.2. Делать неучтенные копии документов, содержащих персональные данные;
4.12.3. Оставлять документы, содержащие персональные данные, на рабочих столах без присмотра;
4.12.4. Покидать помещение, не поместив документы с персональными данными в закрываемые сейфы, шкафы;
4.12.5. Выносить документы, содержащие персональные данные, из помещений без служебной необходимости.
5. Ответственность
5.1. Ответственность за выполнение требований настоящей Инструкции возлагается на операторов ПНд, обрабатывающих персональные данные и их руководителей.
5.2. Контроль за выполнением положений настоящей Инструкции возлагается на ответственного за организацию обработки персональных данных в Министерстве.
5.3. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
Приложение N 5
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
Порядок
доступа сотрудников Министерства здравоохранения Приморского края в помещения, в которых осуществляется обработка и хранение персональных данных
1. Настоящий Порядок определяет условия и порядок осуществления доступа сотрудников министерства здравоохранения Приморского края (далее – Министерство) в помещения, в которых осуществляется обработка и хранение защищаемой информации, в том числе информации, содержащих персональные данные и не содержащей сведения, составляющие государственную тайну, в целях организации контролируемой зоны и особого режима обеспечения безопасности такой информации, препятствующего возможности неконтролируемого проникновения или пребывания посторонних лиц.
2. Настоящий Порядок разработан в соответствии с требованиями Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", иными нормативными правовыми актами, регламентирующими порядок обработки и защиты персональных данных.
3. Персональные данные относятся к сведениям конфиденциального характера. Сотрудники Министерства, получившие доступ к персональным данным в рамках исполнения своих должностных обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
4. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в их отношении достигается за счет принятия комплекса организационно-технических мер, в том числе установлением правил доступа в помещения, в которых осуществляется хранение материальных носителей, содержащих персональные данные, обработка персональных данных без использования средств автоматизации, доступ к информационным системам персональных данных.
5. Для вышеуказанных помещений организуется режим обеспечения безопасности, при котором обеспечивается сохранность документов, содержащих персональные данные, технических средств обработки защищаемой информации, средств защиты информации и носителей защищаемой информации, а также исключается возможность несанкционированного доступа к ним со стороны посторонних лиц.
6. Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в специальных шкафах, сейфах.
7. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, осуществляется неавтоматизированная обработка персональных данных, а также хранятся носители защищаемой информации, допускаются только сотрудники Министерства в соответствии с утвержденным перечнем должностей.
8. Пребывание лиц, не допущенных к обработке персональных данных, в помещениях Министерства, в которых осуществляется обработка и хранение персональных данных, возможно только в присутствии сотрудника Министерства работающего в данном помещении на время, ограниченное необходимостью решения вопросов, связанных с исполнением функций и (или) осуществлением полномочий.
9. О попытках неконтролируемого проникновения посторонних лиц в помещения сотрудники Министерства обязаны незамедлительно сообщать своему непосредственному руководителю.
10. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии сотрудника Министерства, работающего в данном помещении.
11. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.
12. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты. Присутствие при этом в помещениях иных лиц, не имеющих права доступа к персональным данным, должно быть исключено.
13. Двери помещений, в которых ведется обработка персональных данных, должны быть оборудованы механическими замками.
14. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится сотрудниками Министерства, имеющими право доступа в данные помещения.
15. По окончании рабочего времени перед закрытием помещений, в которых ведется обработка персональных данных, сотрудники Министерства, имеющие право доступа в помещения, обязаны:
– убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, сейфы;
– отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
– закрыть окна.
16. Перед открытием помещений, в которых ведется обработка персональных данных, сотрудники Министерства, имеющие право доступа в помещения, обязаны:
– провести внешний осмотр с целью установления целостности двери и замка;
– открыть дверь и произвести визуальный осмотр помещения на предмет следов несанкционированного доступа, проверить целостность пломб на компьютерной технике, предназначенной для обработки персональных данных.
17. При обнаружении неисправности двери и запирающих устройств работники обязаны:
– не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;
– в присутствии ответственного за организацию обработки персональных данных в Министерстве и непосредственного руководителя вскрыть помещение и осмотреть его;
– составить акт о выявленных нарушениях и передать его руководителю Министерства для организации служебного расследования.
18. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на руководителей структурных подразделений Министерства, обрабатывающих персональные данные.
19. Внутренний контроль за соблюдением порядка доступа в помещения проводится лицом, ответственным за организацию обработки персональных данных в Министерстве.
Приложение N 6
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
Типовое обязательство
сотрудника министерства здравоохранения Приморского края,
непосредственно осуществляющего обработку персональных данных,
ставших известными ему в связи с исполнением должностных обязанностей
Я, _____________________________________________________________________,
(Фамилия, имя отчество)
_________________________________________________________________________
(должность, наименование структурного подразделения)
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
непосредственно осуществляющий обработку персональных данных,
обязуюсь прекратить обработку персональных данных, ставших известными
мне в связи с исполнением должностных обязанностей, в случае расторжения
со мной служебного контракта, освобождения меня от замещаемой должности
и увольнения с государственной гражданской службы.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г.
N 152-ФЗ "О персональных данных" я уведомлен (а) о том, что персональные
данные являются конфиденциальной информацией и я обязан (а) не
раскрывать третьим лицам и не распространять персональные данные,
ставшие известными мне в связи с исполнением должностных обязанностей,
без согласия субъекта персональных данных.
В соответствии со статьей 15 Федерального закона от 27 июля 2004 г.
N 79-ФЗ "О государственной гражданской службе Российской Федерации" я
уведомлен (а) о запрете разглашения сведений, составляющих
государственную и иную охраняемую Федеральным законом тайну, а также
сведений, ставших мне известными в связи с исполнением должностных
обязанностей, в том числе сведений, касающихся частной жизни и здоровья
граждан или затрагивающих их честь и достоинство.
Положения законодательства Российской Федерации, предусматривающие
ответственность за нарушение требований Федерального закона от 27 июля
2006 г. N 152-ФЗ "О персональных данных", мне разъяснены.
______________ ______________
(дата) (подпись)
Приложение N 7
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
ТИПОВАЯ ФОРМА
согласия на обработку персональных данных
Я ______________________________________________________________________,
(фамилия, имя, отчество)
Документ удостоверяющий личность ________________________________________
_________________________________________________________________________
(наименование, серия, номер, название органа выдавшего документ,
дата выдачи)
_________________________________________________________________________
Проживающий по адресу: __________________________________________________
(место регистрации)
________________________________________________________________________,
или мой представитель __________________________________________________,
(фамилия, имя, отчество)
Документ удостоверяющий личность ________________________________________
_________________________________________________________________________
(наименование, серия, номер, название органа выдавшего документ,
дата выдачи)
________________________________________________________________________,
проживающий (ая) по адресу: _____________________________________________
________________________________________________________________________,
действующий на основании _______________________________________________,
(реквизиты доверенности или документа,
_________________________________________________________________________
подтверждающего полномочия представителя)
в соответствии с требованиями статьи 9 Федерального закона от 27.07.2006
"О персональных данных" N 152-ФЗ, в целях _______________________________
_________________________________________________________________________
свободно, своей волей и в своем интересе даю согласие
уполномоченным должностным лицам (работникам) министерства
здравоохранения Приморского края (далее - Оператор), расположенного по
адресу: г. Владивосток, ул. 1-я Морская, д. 2, на обработку (любое
действие (операцию) или совокупность действий (операций), совершаемых с
использованием средств автоматизации или без использования таких
средств, включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу,
блокирование, удаление, уничтожение) следующих персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и
(или) отчества, в случае их изменения);
число, месяц, год рождения;
место рождения;
пол;
вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного
страхования;
реквизиты страхового медицинского полиса обязательного медицинского
страхования;
сведения об образовании, в том числе о послевузовском
профессиональном образовании (наименование и год окончания
образовательного учреждения, наименование и реквизиты документа об
образовании, квалификация, специальность по документу об образовании);
сведения о профессиональной переподготовке и (или) повышении
квалификации;
сведения о трудовой деятельности;
сведения о наличии права на набор социальных услуг;
сведения о доходах, расходах, об имуществе и обязательствах
имущественного характера, а также о доходах, расходах, об имуществе и
обязательствах имущественного характера членов семьи;
семейное положение, состав семьи и сведения о близких родственниках
(в том числе бывших);
сведения, указанные в свидетельствах государственной регистрации
актов гражданского состояния;
идентификационный номер налогоплательщика;
банковские реквизиты;
сведения о воинском учете и реквизиты документов воинского учета;
сведения о состоянии здоровья;
иные персональные данные, необходимые для достижения целей,
обработки персональных данных в министерстве здравоохранения Приморского
края.
Во исполнение своих обязательств Оператор имеет право:
- при обработке моих персональных данных, вносить их в реестры,
базы данных автоматизированных информационных систем для формирования
отчетных форм и иных сведений, предоставление которых регламентировано
договорами или иными документами, определяющими взаимодействие Оператора
со страховыми медицинскими организациями, медицинскими организациями,
органами управления здравоохранения, иными организациями;
- с целью выполнения предусмотренных нормативными правовыми актами
или договорами, на предоставление, передачу моих персональных данных
иным организациям, при условии, что указанные предоставление передача
будут осуществляться с использованием машинных носителей, по каналам
связи, а также нарочным путем с соблюдением мер, обеспечивающих защиту
моих персональных данных от несанкционированного доступа, а также при
условии, что их прием и обработка будут осуществляться лицом, обязанным
сохранять профессиональную тайну.
Даю согласие на то, что срок хранения моих персональных данных
осуществляется до достижении цели обработки персональных данных, а также
в течение срока предусмотренного законодательством Российской Федерации,
соответствует сроку хранения медицинской карты и составляет двадцать
пять лет. По истечении указанного срока хранения моих персональных
данных Оператор обязан уничтожить все мои персональные данные, включая
все копии на машинных носителях информации.
Передача моих персональных данных третьим лицам или иное их
разглашение может осуществляться только с моего письменного согласия.
Я согласен (а) со следующими действиями с моими персональными
данными:
1. Обработка моих персональных данных в защищенных в установленном
порядке автоматизированных информационных системах персональных данных
пациентов;
2. Обработка моих персональных данных, защищенных в установленном
порядке, без использования средств автоматизации.
Я оставляю за собой право отозвать свое согласие полностью или
частично по моей инициативе на основании личного письменного заявления,
в т.ч. и в случае ставших мне известных фактов нарушения моих прав при
обработке персональных данных. В случае получения моего письменного
заявления об отзыве настоящего согласия на обработку персональных данных
Оператор обязан прекратить их обработку.
Я ознакомлен (а) с тем, что:
1) согласие на обработку персональных данных действует с даты его
подписания;
2) согласие на обработку персональных данных может быть отозвано на
основании письменного заявления в произвольной форме;
3) в случае отзыва согласия на обработку персональных данных
министерство здравоохранения Приморского края вправе продолжить
обработку персональных данных без согласия при наличии оснований,
указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и
части 2 статьи 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О
персональных данных".
___________________ ___________________
(число, месяц, год) (подпись)
Приложение N 8
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
ТИПОВАЯ ФОРМА
согласия на распространение персональных данных
Я _______________________________________________________________________
(фамилия, имя, отчество)
Документ удостоверяющий личность ________________________________________
_________________________________________________________________________
(наименование, серия, номер, название органа выдавшего документ,
дата выдачи)
_________________________________________________________________________
Проживающий по адресу: __________________________________________________
(место регистрации)
_________________________________________________________________________
или мой представитель __________________________________________________,
(фамилия, имя, отчество)
Документ удостоверяющий личность ________________________________________
_________________________________________________________________________
(наименование, серия, номер, название органа выдавшего документ,
дата выдачи)
________________________________________________________________________,
проживающий (ая) по адресу ______________________________________________
_________________________________________________________________________
действующий на основании ________________________________________________
_________________________________________________________________________
(реквизиты доверенности или документа, подтверждающего полномочия
представителя)
свободно, своей волей и в своем интересе даю согласие
уполномоченным должностным лицам (работникам) министерства
здравоохранения Приморского края (далее - Оператор), расположенного по
адресу: г. Владивосток, ул. 1-я Морская, д. 2, на предоставление
неограниченному кругу лиц, следующих моих персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и
(или) отчества, в случае их изменения);
число, месяц, год рождения; место рождения; пол;
вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного
страхования;
реквизиты страхового медицинского полиса обязательного медицинского
страхования;
сведения об образовании, в том числе о послевузовском
профессиональном образовании (наименование и год окончания
образовательного учреждения, наименование и реквизиты документа об
образовании, квалификация, специальность по документу об образовании);
сведения о профессиональной переподготовке и (или) повышении
квалификации;
сведения о трудовой деятельности;
сведения о наличии права на набор социальных услуг;
сведения о доходах, расходах, об имуществе и обязательствах
имущественного характера, а также о доходах, расходах, об имуществе и
обязательствах имущественного характера членов семьи;
семейное положение, состав семьи и сведения о близких родственниках
(в том числе бывших);
сведения, указанные в свидетельствах государственной регистрации
актов гражданского состояния;
идентификационный номер налогоплательщика;
банковские реквизиты;
сведения о воинском учете и реквизиты документов воинского учета;
сведения о состоянии здоровья;
иные персональные данные, необходимые для достижения целей,
обработки персональных данных в министерстве здравоохранения Приморского
края.
Передача (предоставление, доступ) моих персональных данных может
осуществляться как автоматизированным, так и неавтоматизированным
способом.
Согласие на передачу (предоставление, доступ) персональных данных
действует с даты его подписания до ______________________________________
________________________________________________________________________;
(до достижения цели обработки персональных данных либо указать срок
действия согласия)
Согласие на передачу (предоставление, доступ) персональных данных
может быть отозвано путем подачи письменного заявления.
___________________ ___________________
(число, месяц, год) (подпись)
Приложение N 9
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий отказа
предоставить персональные данные
Я ______________________________________________________________________,
(фамилия, имя, отчество)
Документ удостоверяющий личность ________________________________________
_________________________________________________________________________
(наименование, серия, номер, название органа выдавшего документ,
дата выдачи)
________________________________________________________________________,
Проживающий по адресу: __________________________________________________
(место регистрации)
________________________________________________________________________,
или мой представитель ___________________________________________________
(фамилия, имя, отчество)
Документ удостоверяющий личность ________________________________________
_________________________________________________________________________
(наименование, серия, номер, название органа выдавшего документ,
дата выдачи)
________________________________________________________________________,
проживающий (ая) по адресу ______________________________________________
________________________________________________________________________,
действующий на основании ________________________________________________
________________________________________________________________________,
(реквизиты доверенности или документа, подтверждающего полномочия
представителя)
настоящим подтверждаю, что в соответствии с частью 2 статьи 18
Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"
мне разъяснены юридические последствия отказа предоставить персональные
данные.
___________________ ___________________
(число, месяц, год) (подпись)
Приложение N 10
к приказу
министерства
здравоохранения
Приморского края
от 05.07.2023 N 18/пр/1066
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным Законом "О персональных данных", принятыми в соответствии с ним нормативными актами и локальными актами Министерства здравоохранения Приморского края
|
N п/п |
Наименование мероприятия |
Объекты проверок |
Связанные документы |
Периодичность |
|
1 |
Анализ полноты и актуальности имеющихся в министерстве организационно-распорядительных документов в области обработки персональных данных |
Приказы министерства |
– |
Не реже 1 раза в год, при изменении требований |
|
2 |
Проверка актуальности перечня должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным |
Должностной регламент сотрудников |
ч. "б" ст. 1 ПП РФ N 211 |
Не реже 1 раза в год, при изменении штатной структуры |
|
3 |
Ознакомление с законодательством Российской Федерации и локальными нормативными актами министерства здравоохранения Приморского края в области персональных данных, порядка их обработки и обеспечения безопасности при обработке |
Сотрудники министерства, осуществляющие обработку ПДн |
– |
При заключении контракта (трудового договора), при изменении в законодательстве, издании новых локальных НПА |
|
4 |
Проверка выполнения мер по обеспечению безопасного хранения персональных данных (материальных носителей) |
Рабочие места, шкафы (сейфы), места хранения архивных дел |
гл. 3 ПП РФ N 687 |
Не реже 1 раза в год, при изменении требований |
|
5 |
Анализ целей обработки персональных данных и перечней персональных данных необходимых для их достижения |
Функции министерства, перечень ПДн |
– |
Не реже 1 раза в год |
|
6 |
Проверка (наличия) отсутствия фактов несанкционированного доступа к персональным данным и анализ принимаемых мер по предотвращению такого доступа |
опрос сотрудников |
– |
Не реже 1 раза в год |
|
8 |
Контроль соблюдения правил доступа в помещения, в которых обрабатываются и хранятся персональные данные |
Помещения |
– |
постоянно |
|
9 |
Проверка состояния мер по соблюдению прав субъектов персональных данных в соответствии с законодательством Российской Федерации |
– |
– |
Не реже 1 раза в год |
|
10 |
Принятие мер по пресечению нарушений требований к порядку обработки и обеспечению безопасности персональных данных |
– |
– |
При выявлении |
