Приложение к Приказу от 03.02.2014 г № 200
Политика в отношении обработки персональных данных в министерстве здравоохранения волгоградской области
1.Общие положения
Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и устанавливает единый порядок обработки персональных данных в министерстве здравоохранения Волгоградской области (далее - министерство).
В настоящем документе используются следующие термины и понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2.Основные условия проведения обработки персональных данных
Обработка персональных данных осуществляется:
- после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Волгоградской области, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;
- после принятия необходимых мер по защите персональных данных.
В министерстве приказом руководителя назначается сотрудник, ответственный за организацию обработки персональных данных, за обеспечение защиты персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим документом (далее - политика) и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, утвержденной приказом по министерству.
Запрещается:
- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
- осуществлять ввод персональных данных под диктовку.
3.Порядок определения защищаемой информации
Министерство создает в пределах своих полномочий, установленных в соответствии с федеральными законами, информационные системы в целях обеспечения реализации прав объектов персональных данных.
В министерстве на основании Перечня сведений конфиденциального характера, утвержденного Указом Президента Российской Федерации от 06.03.1997 N 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - защищаемая информация), и перечень информационных систем персональных данных.
На стадии проектирования каждой информационной системы определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.
4.Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации
Обработка персональных данных в информационных системах министерства с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 N 1119, от 21.03.2012 N 211, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
Оператором осуществляется определение уровня защищенности информационных систем в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 N 1119 в зависимости от категории обрабатываемых данных, их количества и наличия трудовых взаимоотношений с министерством.
Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказами ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", а также от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем, включающих акт по установлению уровня защищенности данных, инструкции пользователя, администратора, по организации антивирусной защиты, и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с частной моделью угроз безопасности персональных данных;
- охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
Министерство прекращает обработку персональных данных или обеспечивает прекращение их обработки лицом, действующим по поручению органа исполнительной власти, в случае:
1.изменения, признания утратившими силу нормативно-правовых актов, устанавливающих правовые основания обработки персональных данных;
2.изменения или расторжения соглашений, заключенных министерством во исполнение нормативно-правовых актов, на основании которых осуществляется обработка персональных данных;
3.выявления неправомерной обработки персональных данных, осуществляемой министерством или лицом, действующим по поручению министерства;
4.достижения цели обработки персональных данных;
5.отзыва субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с законодательством Российской Федерации обработка персональных данных допускается только с согласия субъекта персональных данных.
5.Ответственность должностных лиц
Гражданские государственные служащие, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.