Без рубрики

О реализации требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативно-правовых актов

Приказ Департамента здравоохранения г. Москвы от 27.05.2014 N 496

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" и постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
— Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (приложение N 1);
— Правила рассмотрения запросов субъектов персональных данных или их представителей (приложение N 2);
— Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора (приложение N 3 — не приводится);
— Правила работы с обезличенными персональными данными (приложение N 4 — не приводится);
— Перечень информационных систем персональных данных (приложение N 5 — не приводится);
— Перечень персональных данных, обрабатываемых в связи с реализацией служебных отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций (приложение N 6 — не приводится);
— Должностной регламент ответственного за организацию обработки персональных данных (приложение N 7 — не приводится);
— Типовое обязательство должностного лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение N 8 — не приводится);
— Порядок доступа должностных лиц в помещения, в которых ведется обработка персональных данных (приложение N 9 — не приводится);
— Положение о порядке обработки и обеспечении безопасности персональных данных Департамента здравоохранения города Москвы (с приложениями) (не приводится);
— Методические рекомендации учреждениям, организациям и предприятиям Департамента по организации защиты конфиденциальной информации и персональных данных.
2. Опубликовать приказ на сайте с периодической актуализацией приложений к настоящему приказу.

Министр Правительства Москвы, руководитель Департамента Г.Н. Голухов

Приложение N 1 к приказу Департамента здравоохранения города Москвы от 27 мая 2014 г. N 496

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящие Правила обработки персональных данных устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее — Правила).
Обработка персональных данных выполняется с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в аппарате и системе Департамента здравоохранения города Москвы (далее — Департамент).
2. Департамент в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее — оператор персональных данных).
3. Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683) (далее — Федеральный закон), Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2008, N 43, ст. 4921), Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 31, ст. 3215; 2006, N 6, ст. 636; 2007, N 10, ст. 1151; N 16, ст. 1828; N 49, ст. 6070; 2008, N 13, ст. 1186; N 30, ст. 3616; N 52, ст. 6235; 2009, N 29, ст. 3597; N 29, ст. 3624; N 48, ст. 5719; N 51, ст. 6150, 6159; 2010, N 5, ст. 459; N 7, ст. 704; N 49, ст. 6413; N 51, ст. 6810; 2011, N 1, ст. 31; N 27, ст. 3866; N 29, ст. 4295; N 48, ст. 6730; N 50, ст. 7337; 2012, N 48, ст. 6744; N 50, ст. 6954; N 52, ст. 7571; N 53, ст. 7620, ст. 7652; 2013, N 14, ст. 1665; N 19, ст. 2326; N 19, ст. 2329; N 23, ст. 2874; N 27, ст. 3441; N 27, ст. 3462; N 27, ст. 3477; N 43, ст. 5454; N 48, ст. 6165; N 49, ст. 6351; N 52, ст. 6961).
4. Субъектами персональных данных являются сотрудники системы здравоохранения, информация о которых содержится в информационных системах, а также граждане, обратившиеся в Департамент (далее — субъекты персональных данных).
5. Целями Правил являются:
а) обеспечение защиты прав и свобод при обработке персональных данных сотрудников и граждан, содержащихся в информационных системах Департамента;
б) установление ответственности сотрудников за невыполнение нормативных правовых актов, регулирующих обработку и защиту персональных данных.
6. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
а) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных;
б) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Департаментом мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом;
в) ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных.
7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором персональных данных, оператор персональных данных в срок, не превышающий 3 рабочих дня с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных.
В случае если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении неправомерной обработки персональных данных или об уничтожении персональных данных оператор персональных данных обязан уведомить субъекта персональных данных или его представителя.
8. В случае достижения цели обработки персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных.
9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 3 рабочих дней с даты получения указанного отзыва. Об уничтожении персональных данных оператор персональных данных в течение 3 рабочих дней обязан уведомить субъекта персональных данных.
10. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пунктах 7-9 Правил, оператор персональных данных осуществляет блокирование таких персональных данных, обеспечивает уничтожение персональных данных в срок до 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.
11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели хранения персональных данных, если срок хранения персональных данных не установлен Федеральным законом.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
12. Обработка персональных данных в информационных системах Департамента (далее — информационные системы персональных данных) осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
13. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем:
а) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
б) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
в) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
г) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
д) учета машинных носителей персональных данных;
е) обнаружения фактов несанкционированного доступа к персональным данным и принятия мер по прекращению несанкционированного доступа;
ж) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
з) установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
14. Сотрудники, имеющие доступ к информационным системам персональных данных, обязаны:
а) принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
б) вести учет электронных носителей информации, содержащих персональные данные, и осуществлять их хранение в металлических шкафах или сейфах;
в) производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с персональными данными;
г) соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей к информационным системам персональных данных;
д) принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам персональных данных;
е) работать с информационными системами персональных данных в объеме своих полномочий, не допускать их превышения;
ж) обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.
15. При работе сотрудников на персональном компьютере, в том числе для доступа к информационным системам персональных данных, запрещается:
а) записывать значения кодов и паролей доступа к информационным системам персональных данных;
б) передавать коды и пароли доступа к информационным системам персональных данных другим лицам;
в) пользоваться в работе кодами и паролями других пользователей доступа к информационным системам персональных данных;
г) производить подбор кодов и паролей доступа к информационным системам персональных данных других пользователей;
д) записывать на электронные носители с персональными данными посторонние программы и данные;
е) копировать информацию с персональными данными на неучтенные электронные носители информации;
ж) выносить электронные носители с персональными данными за пределы помещения без согласования с руководителем подразделения, сотрудником которого он является;
з) покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования доступа к персональному компьютеру;
и) приносить, самостоятельно устанавливать и эксплуатировать на персональном компьютере любые программные продукты, не принятые к эксплуатации;
к) открывать, разбирать, ремонтировать персональные компьютеры, вносить изменения в конструкцию, подключать нештатные блоки и устройства;
б) передавать информацию, содержащую персональные данные, подлежащие защите, по открытым каналам связи (факсимильная связь, электронная почта и иное), а также использовать сведения, содержащие персональные данные, подлежащие защите, в открытой переписке и при ведении переговоров по телефону.
16. Сбор, систематизацию, накопление, хранение, обновление, изменение, передачу, уничтожение (далее — обработка) документов, содержащих персональные данные на бумажном носителе, осуществляют назначенные сотрудники.
17. В личное дело сотрудника вносятся его персональные данные и иные сведения, связанные с поступлением на службу, ее прохождением, увольнением и необходимые для обеспечения деятельности учреждения.
18. К документам на бумажном носителе, содержащим персональные данные сотрудников, относятся:
а) трудовые книжки;
б) личные дела;
в) личные карточки (унифицированные формы первичной учетной документации N Т-2ГС(МС) и N Т-2, утверждены постановлением Госкомстата России от 5 января 2004 г. N 1);
г) справки-объективки;
д) книга учета движения трудовых книжек и вкладышей в них;
е) табель учета рабочего времени и расчета оплаты труда (унифицированная форма первичной учетной документации N Т-12, утверждена постановлением Госкомстата России от 5 января 2004 г. N 1);
ж) расчетно-платежная ведомость, платежная ведомость;
з) карточка-справка (расчет заработной платы);
и) налоговая карточка по учету доходов и налога на доходы физических лиц (форма 1-НДФЛ);
к) справка о доходах физического лица (форма 2-НДФЛ);
л) формы документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;
м) индивидуальная карточка учета сумм начисленных выплат и иных вознаграждений, сумм начисленного единого социального налога, страховых взносов на обязательное пенсионное страхование (налогового вычета);
н) индивидуальная карточка учета сумм начисленных выплат и иных вознаграждений, страховых взносов на обязательное пенсионное страхование;
о) свидетельство о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации.
19. К личному делу сотрудника приобщаются документы на бумажном носителе, содержащие персональные данные, установленные нормативными актами.
20. Все персональные данные должны быть получены непосредственно от служащих, при этом их обработка осуществляется после подписания типовой формы согласия на обработку персональных данных.
21. В случае отказа служащего предоставить свои персональные данные ему даются письменные разъяснения о юридических последствиях такого отказа.
22. Личные дела сотрудников и другие документы, содержащие персональные данные, подлежащие защите, выдаются кадровым подразделением по карточке выдачи с распиской о получении и с распиской в обратном приеме документов.
23. Черновики и проекты документов на бумажном носителе, содержащих персональные данные, уничтожаются путем измельчения в бумагорезательной машине.
24. При смене сотрудника, ответственного за учет документов на бумажном носителе, содержащих персональные данные, составляется акт приема-сдачи этих материалов, который утверждается руководителем соответствующего структурного подразделения учреждения.
25. При работе с документами на бумажном носителе, содержащими персональные данные, уполномоченные на обработку персональных данных сотрудники обязаны:
а) знакомиться только с теми документами, содержащими персональные данные, к которым получен доступ в соответствии со служебной необходимостью;
б) хранить в тайне ставшие известными им сведения, содержащие персональные данные, подлежащие защите, информировать непосредственного руководителя о фактах нарушения порядка работы с персональными данными и о попытках несанкционированного доступа к ним;
в) о допущенных нарушениях установленного порядка работы, учета и хранения документов, содержащих персональные данные, а также о фактах разглашения сведений, содержащих персональные данные, подлежащие защите, представлять непосредственным руководителям письменные объяснения.
26. В должностные регламенты сотрудников, работающих с документами, содержащими персональные данные, должен быть включен соответствующий раздел, содержащий порядок работы с персональными данными.
27. Сотрудники, виновные в разглашении или утрате информации, содержащей персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.
28. Контроль за исполнением сотрудниками настоящих Правил возлагается на руководителей структурных подразделений учреждения и назначенного приказом руководителя ответственного лица за организацию обработки персональных данных.

Приложение N 2 к приказу Департамента здравоохранения города Москвы от 27 мая 2014 г. N 496

ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

1. Настоящие Правила устанавливают порядок рассмотрения запросов субъектов персональных данных или их представителей в целях предотвращения нарушений законодательства Российской Федерации при обработке персональных данных, в том числе Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федерального закона от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст. 2060; 2010, N 27, ст. 3410, N 31, ст. 4196; 2012, N 31, 4470; 2013, N 19, ст. 2307, N 27, ст. 3474), постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее — Правила).
2. Департамент здравоохранения города Москвы в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее — оператор персональных данных).
3. Субъектами персональных данных являются сотрудники аппарата и системы Департамента здравоохранения города Москвы (далее — Департамент), граждане Российской Федерации, информация о которых содержится в информационных системах Департамента, а также граждане, обратившиеся в Департамент (далее — субъекты персональных данных).
4. Субъект персональных данных или его представитель имеет право на получение следующей информации:
а) подтверждение факта обработки персональных данных оператором персональных данных;
б) правовые основания, цели и способы обработки персональных данных оператором персональных данных;
г) наименование и место нахождения оператора персональных данных, сведения о лицах (за исключением сотрудников Департамента), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором персональных данных или на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее — Федеральный закон);
д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
е) сроки обработки персональных данных, в том числе сроки их хранения;
ж) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
з) наименование или фамилия, имя, отчество (если имеется) и адрес лица, осуществляющего обработку персональных данных по поручению оператора персональных данных, если обработка поручена или будет поручена такому лицу;
и) иные сведения, предусмотренные Федеральным законом.
5. Право субъекта персональных данных или его представителя на доступ к его персональным данным может быть ограничено в соответствии с действующим законодательством Российской Федерации, в том числе если:
а) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
б) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меры пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
в) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
г) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
д) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
6. Обязанности оператора персональных данных при обращении к нему либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных:
а) оператор персональных данных обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 30 рабочих дней с даты получения запроса субъекта персональных данных или его представителя;
б) в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор персональных данных обязан дать в письменной форме мотивированный ответ с указанием основания для такого отказа в срок, не превышающий 30 рабочих дней со дня обращения субъекта персональных данных или его представителя либо от даты получения запроса субъекта персональных данных или его представителя.
7. Субъект персональных данных вправе требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8. Запрашиваемые сведения должны быть предоставлены субъекту персональных данных или его представителю оператором персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9. В случае если запрашиваемые сведения, а также обрабатываемые персональные данные не были предоставлены субъекту персональных данных для ознакомления в полном объеме, субъект персональных данных вправе обратиться повторно к оператору персональных данных или направить ему повторный запрос в целях получения дополнительных сведений и ознакомления с такими персональными данными не ранее чем через 30 рабочих дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Повторный запрос должен содержать обоснование направления повторного запроса.
10. Оператор персональных данных вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным Правилами. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе персональных данных.

Добавить комментарий