Размер шрифта:
Шрифт:
Цвет:
Изображения:

ПРАВИЛА обработки персональных данных в ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России

Утверждено приказом начальника ФГБУ «Сакский военный клинический санаторий им. Н.И. Пирогова" Минобороны России (по основной деятельности) от «17» ноября 2021 года № 284 

 

I. Общие положения

 

1. Правила обработки персональных данных в ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, а также определяют для каждой цели обработки персональных данных их содержание и объём, категории субъектов, персональные данные которых обрабатываются в ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России (далее - Оператор), сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

Правила разработаны на основании пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

 

2. Настоящие Правила определяют политику ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

 

3. Обработка персональных данных в ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России осуществляется с соблюдением принципов и условий, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), «Инструкцией по организации в Вооружённых Силах Российской Федерации защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, обрабатываемой в государственных информационных системах и информационных системах персональных данных», утверждённой приказом Министра обороны Российской Федерации от 17.12.2014 года № 925дсп, приказом Министра обороны Российской Федерации от 04.12.2019 года № 707 «О персональных данных в Вооружённых Силах Российской Федерации» и настоящими Правилами.

II. Категории субъектов персональных данных

 

4. Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:

1) работники Оператора;

2) бывшие работники Оператора;

3) граждане, претендующие на замещение должностей работников Оператора (далее - кандидаты);

4) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1, 2 настоящего пункта, в случаях, предусмотренных законодательством Российской Федерации;

5) пациенты Оператора (в том числе бывшие пациенты), обратившиеся для получения медицинских услуг (помощи), а также лица их сопровождающие;

6) физические лица и представители организаций, обратившихся к Оператору для исполнения обязанностей по заключённым договорам оказания услуг;

7) граждане, обратившиеся к Оператору в соответствии с Федеральным законом от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

8) посетители официального веб-сайта saki-pirogova.ru.

 

III. Цели обработки персональных данных

 

5. Обработка персональных данных организуется Оператором в следующих целях:

1) статистические, аналитические или иные исследовательские задачи;

2) обеспечение трудовых отношений, а также кадровой работы;

3) обеспечение заработной платой работников Оператора, а также предоставление им иных социальных гарантий;

4) противодействие коррупции;

5) оформление допуска к государственной тайне;

6) осуществление воинского учета граждан Российской Федерации;

7) осуществление медицинской деятельности;

8) обеспечение своевременного и в полном объеме рассмотрения обращений граждан Российской Федерации в порядке, установленном Федеральным законом от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

9) соблюдение пропускного и внутриобъектового режима в Санатории, а также соблюдение правил миграционного учёта;

10) популяризация санаторно-курортного лечения и здорового образа жизни;

11) осуществление продвижения услуг, оказываемых Оператором;

12) освещение культурно-досуговых мероприятий проводимых Оператором.

 

6. В целях, указанных в пункте 5 Правил, Оператором обрабатываются следующие персональные данные:

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилия, имя, отчество (при наличии), дата, причина их изменения), пол;

2) дата (число, месяц и год рождения) и место рождения;

3) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации (гражданина иного государства), наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;

4) сведения о гражданстве (какого государства, если изменялось, то когда и по какой причине);

5) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания (пребывания);

6) номера телефонов (домашнего, служебного, сети подвижной радиотелефонной связи);

7) адрес электронной почты;

8) идентификационный номер налогоплательщика;

9) реквизиты страхового свидетельства обязательного пенсионного страхования;

10) реквизиты страхового медицинского полиса обязательного медицинского страхования;

11) личный номер военнослужащего;

12) сведения, содержащиеся в водительском удостоверении (серия, номер, кем и когда выдано);

13) сведения об образовании (наименование образовательной организации и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании);

14) сведения о наличии ученой степени, ученого звания (реквизиты подтверждающих документов);

15) реквизиты паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (при наличии);

16) сведения о владении иностранными языками (какими);

17) сведения о присвоении спортивного звания, спортивного разряда;

18) фотография субъекта персональных данных;

19) отношение к исполнению воинской обязанности, сведения, содержащиеся в документах воинского учета;

20) сведения об участии в боевых действиях, нахождении в плену, полученных ранениях;

21) реквизиты документа, являющегося основанием для предоставления мер социальной поддержки (льгот), надбавок, премий, квалификации, статуса;

22) занимаемая должность, с какого времени;

23) классный чин федеральной государственной гражданской службы, воинское звание (кем и когда присвоены);

24) сведения о трудовой деятельности, реквизиты подтверждающих документов;

25) сведения о врученных государственных наградах, иных наградах и знаках отличия (основание и дата награждения);

26) сведения о военно-учетных специальностях;

27) сведения о семейном положении (состав семьи);

28) реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

29) реквизиты свидетельства о рождении (усыновлении);

30) сведения о наличии (отсутствии) жилых помещений, принадлежащих на праве собственности;

31) сведения о присвоенном регистрационном номере в реестре участников накопительно-ипотечной системы жилищного обеспечения;

32) сведения, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета;

33) сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своей супруги (супруга) и несовершеннолетних детей;

34) сведения о счетах в банках и иных кредитных организациях, номера банковских карт;

35) сведения о результатах медицинского освидетельствования (военно-врачебной экспертизы);

36) сведения, содержащиеся в справке об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;

37) сведения о допуске к государственной тайне (форма, номер, дата, кем оформлен);

38) сведения о пребывании за границей (когда, где, с какой целью);

39) фамилии, имена, отчества (при наличии), отца, матери, братьев, сестер, детей, супруга (супруги), в том числе бывших, субъекта персональных данных, а также супруги братьев и сестер, братьев и сестер супруга (супруги) (при изменении фамилии, имени, отчества (при наличии) - прежние фамилия, имя, отчество (при наличии), даты рождения;

40) место рождения, место работы, адрес регистрации по месту жительства (месту пребывания), адрес фактического места жительства отца, матери, братьев, сестер, детей, супруга (супруги), в том числе бывших, субъекта персональных данных, а также супруги братьев и сестер, братьев и сестер супруга (супруги);

41) сведения о постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство отце, матери, братьях, сестрах, детях, супруге, в том числе бывших супругах (фамилия, имя, отчество (при наличии), а также супруги братьев и сестер, братьев и сестер супруга (супруги), с какого времени проживают за границей);

42) информация о наличии либо отсутствии судимости (в том числе снятой или погашенной);

43) иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки;

44) сведения о номере санаторно-курортной книжки;

45) сведения о состоянии здоровья (история болезни, амбулаторные карты, санаторно-курортные книжки, иные документы, содержащие данные о состоянии здоровья);

46) сведения о выданных листах временной нетрудоспособности;

47) табельный номер работника ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России;

48) даты пребывания в санатории;

49) видеоизображение, голос.


7. Оператором, для каждой цели обработки персональных данных, указанной в пункте 5 настоящих Правил, установлен объем обрабатываемых персональных данных в соответствии с Приложением № 1 к настоящим Правилам.

 

 

IV. Обработка и защита

персональных данных от несанкционированного доступа,

неправомерного использования и утраты


8. Оператор осуществляет обработку персональных данных при наличии письменного согласия субъекта персональных данных на их обработку.

Оператор осуществляет обработку персональных данных без согласия субъекта персональных данных в случаях предусмотренных Федеральным законом № 152-ФЗ.

 

9. Полномочия и обязанности работников ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России по:

- получению в письменной форме согласия субъекта персональных данных на обработку персональных данных,

- получению в письменной форме согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения,

- осуществлению обработки персональных данных,

- осуществлению доступа к персональным данным;

определены перечнем (Приложение № 2 к настоящим Правилам).

Получение согласия в письменной форме субъекта персональных данных на обработку персональных данных осуществляется посредством предоставления субъектам персональных данных для ознакомления и подписания формы согласия на обработку персональных данных субъектов персональных данных (далее - форма согласия).

В зависимости от целей обработки персональных данных, настоящими Правилами устанавливаются четыре формы согласия субъекта персональных данных на обработку его персональных данных:

- для целей указанных в подпунктах 1 – 6 пункта 5 настоящих Правил используется типовая форма, установленная Приложением № 3 (работники отделения кадров получают от работников Оператора, кандидатов в работники Оператора);

- для цели указанной в подпункте 7 пункта 5 настоящих Правил используется типовая форма, установленная Приложением № 4 (работники отделения (реализации и распространения санаторно-курортных путёвок) получают от пациентов Оператора, обратившихся для получения санаторно-курортных услуг, медицинские регистраторы получают от пациентов Оператора, обратившихся для получения медицинских услуг), в данном случае, оформление согласия на обработку персональных данных может оформляться как отдельным документом, так и отдельным разделом (пунктом) в договоре;

- для цели указанной в подпункте 9 пункта 5 настоящих Правил используется типовая форма, установленная Приложением № 5 (работники бюро пропусков получают от лиц, сопровождающих пациентов);

- для целей указанных в подпунктах 10 – 12 пункта 5 настоящих Правил, при последующем распространении персональных данных неограниченному кругу лиц, используется типовая форма, установленная Приложением № 10 (работники осуществляющие распространение персональных данных (использование персональных данных в видеосюжетах, статьях и т.п. размещаемых в социальных сетях, сети Интернет, периодических и иных печатных изданиях, телевидении) с письменного согласия субъекта персональных данных, получают от работников, поставщиков товаров и услуг, пациентов Оператора).

 

10. Срок действия, данного субъектом персональных данных согласия, на обработку его персональных данных, указывается в согласии.

Действие, данного субъектом персональных данных, согласия на обработку персональных данных прекращается в случае его отзыва субъектом персональных данных в соответствии с пунктами 12, 13 Правил.

 

11. Согласие на обработку персональных данных подписывается субъектом персональных данных в день рассмотрения и подписания им трудового договора или в день предоставления уполномоченными должностными лицами Оператора бланка согласия для рассмотрения и подписания субъектом персональных данных (его законным представителем).

 

11.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия на распространение, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

 

12. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

 

13. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11Федерального закона №152-ФЗ.

 

14. Если предоставление персональных данных субъектом персональных данных в соответствии с законодательством Российской Федерации является обязательным требованием, должностное лицо Оператора разъясняет субъекту персональных данных юридические последствия его отказа предоставить свои персональные данные.

В случае отказа субъекта предоставить свои персональные данные и подписать согласие на их обработку ему доводится под подпись разъяснения юридических последствий отказа предоставить свои персональные данные Оператору (Приложение № 6 к настоящим Правилам) (далее - разъяснения).

 

15. Кандидатам в работники, подписавшим согласие на обработку персональных данных и впоследствии заместившие должности работников Оператора, указанные типовые формы для повторного рассмотрения и подписания не представляются и названными лицами не подписываются и подлежат хранению в отделении кадров Оператора.

 

16. При назначении работника на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, инспектором по кадрам отделения кадров, доводится под подпись обязательство должностного лица, непосредственно осуществляющего обработку персональных данных, имеющего доступ к персональным данным в случае расторжения с ним трудового договора, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей у Оператора (Приложение № 7 к настоящим Правилам).

17. Оригиналы подписанных работником (кандидатом в работники, бывшим работником) Оператора:

согласия на обработку персональных данных;

разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России;

обязательства должностного лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора, прекратить обработку персональных данных, имеющего доступ к персональным данным ставших известными ему в связи с исполнением должностных обязанностей у Оператора,

хранятся в отделении кадров Оператора и работникам (бывшим работникам) не выдаются (не возвращаются).

17.1. Оригиналы подписанных пациентом Оператора согласия на обработку персональных данных, хранятся в их историях болезни, и пациентам на руки не выдаются (не возвращаются), а также из указанных историй не изымаются.

17.2. Оригиналы подписанных лицом, сопровождающим пациента, согласия на обработку персональных данных, хранятся в бюро пропусков вместе с заявкой на выдачу пропуска в течении года, лицам на руки не выдаются (не возвращаются).

В случае оформления пациентом согласия на обработку персональных данных в тексте договора на оказание услуг, оно хранится с вышеуказанными договорами в отделении (реализации и распространения санаторно-курортных путёвок).

17.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения данное работником передается для хранения в отделение кадров, а пациента передается в отделение (реализации и распространения санаторно-курортных путёвок) и хранится вместе с договором на оказание услуг.

 

18. В случае отзыва субъектом согласия на обработку его персональных данных, уполномоченные должностные лица Оператора направляют субъекту персональных данных письменное извещение, в котором указывают, что Оператор признает отозванным подписанное им согласие на обработку его персональных данных, но, при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ, сохраняет за собой право на обработку персональных данных субъекта персональных данных.

Уполномоченными должностными лицами для подготовки письменного извещения назначаются:

в случае подачи заявления об отзыве согласия на обработку персональных данных работником (кандидатом в работники, бывшим работником) Оператора – начальник отделения кадров;

в случае подачи заявления об отзыве согласия на обработку персональных данных пациентом (бывшим пациентом) Оператора – начальник медицинской части – врач-методист;

в случае подачи заявления об отзыве согласия на обработку персональных данных лицом сопровождающего пациента Оператора – заведующий бюро пропусков.

Примерный образец письменного извещения представлен в Приложении № 8 к настоящим Правилам.

 

19. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», должностные лица Оператора обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2-4, 8 части 1 статьи 6 Федерального закона «О персональных данных».

 

20. При осуществлении работниками Оператора записи персональных данных в информационных системах, обеспечивается конфиденциальность персональных данных при их обработке, как в указанных информационных системах, так и вне таких систем.

 

21. Систематизация персональных данных осуществляется путем обработки и анализа накопленных сведений о субъектах персональных данных.

 

22. Целью систематизации является обеспечение возможности в соответствии с заданным алгоритмом осуществлять поиск и доступ к персональным данным, зафиксированным на бумажных, электронных и магнитных носителях информации, а также содержащимся в картотеках (бумажных, электронных, магнитных) и базах данных, используемых в информационных системах персональных данных.

 

23. Персональные данные, систематизированные в информационных системах персональных данных, подлежат накоплению для достижения полноты и достоверности обрабатываемых персональных данных.

Обработка персональных данных, содержащихся в информационной системе персональных данных, либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии работника Оператора.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

 

24. Накопление персональных данных осуществляется путем сбора их работниками из различных источников информации, а также последующего внесения в них информации, касающейся субъектов персональных данных в связи с осуществлением трудовой деятельности, предоставлением санаторно-курортных и медицинских услуг.

 

25. Уточнение (обновление, изменение) персональных данных осуществляется путем выявления (подтверждения) наличия неточных персональных данных и последующего выполнения действий (операций) по их обновлению и изменению.

 

26. Работники Оператора, получившие доступ к персональным данным, для обеспечения законной передачи персональных данных в случаях, соответствующих целям обработки обязаны:

- не предоставлять персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

- предупреждать лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они переданы;

- распространяют персональные данные в общедоступных источниках, в том числе в информационно-телекоммуникационной сети «Интернет» и иных средствах массовой информации при наличии согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, за исключением случаев обязательного распространения (опубликования) персональных данных в средствах массовой информации в соответствии с законодательством Российской Федерации;

- при передаче персональных данных в информационных системах персональных данных применяют технологии, обеспечивающие их защиту от несанкционированного (неправомерного или случайного) доступа, от уничтожения, изменения, блокирования, копирования, предоставления и распространения, в том числе с использованием криптографических средств, при этом обработку персональных данных в информационных системах персональных данных производят только в информационно-телекоммуникационных сетях, физически изолированных от информационно-телекоммуникационных сетей общего пользования, а их передачу по незащищенным каналам связи допускают только при использовании криптографических средств.

 

27. Субъект персональных данных имеет право на доступ к своим персональным данным, в том числе на получение копии любой записи, содержащей его персональные данные, за исключением случаев предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ:

- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

 

28. Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

29. Обеспечение защиты персональных данных от внешних угроз достигается:

установлением пропускного и внутриобъектового режима и особого порядка приема, учета и контроля пациентов и посетителей;

использованием технических средств охраны, видеонаблюдения;

применением программно-технических комплексов защиты информации, содержащейся на машинных носителях информации.

 

30. Обеспечение защиты персональных данных от внутренних угроз достигается:

ограничением количества работников, должностные обязанности которых требуют доступа к персональным данным;

избирательным и обоснованным разделением доступа работников к персональным данным и материальным носителям информации, которые их содержат;

рациональным размещением рабочих мест, на которых обрабатываются персональные данные, в целях исключения бесконтрольной обработки персональных данных;

систематическими проверками работников на знание ими требований нормативных правовых актов Российской Федерации в области обработки персональных данных и обеспечения безопасности информации (защиты персональных данных);

формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на машинных носителях информации, используемых в информационных системах персональных данных;

утверждением списков работников, имеющих право доступа в помещения, в которых хранятся носители с персональными данными;

выявлением нарушений при осуществлении обработки персональных данных, в том числе связанных с нарушением требований к защите персональных данных и обеспечению безопасности информации, а также их устранением;

проведением профилактической работы с должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.

 

31. При осуществлении обработки персональных данных без использования средств автоматизации работники выполняют следующие действия:

обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, в том числе не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности путем их записи в специальных разделах или на полях;

создают условия, обеспечивающие сохранность персональных данных и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;

производят уточнение персональных данных, подлежащих обработке, путем их обновления (изменения);

осуществляют контроль в части, их касающейся, за соблюдением порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.

 

32. Организация защиты персональных данных при обработке в информационных системах персональных данных (с использованием средств автоматизации) осуществляется с учетом положений пунктов 33-42 настоящих Правил.

 

33. Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивается системой защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным.

 

34. Система защиты персональных данных Оператора включает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также современные информационные технологии, применяемые в информационных системах персональных данных.

 

35. При обработке персональных данных в информационных системах персональных данных Оператор принимает меры по обеспечению их безопасности, установленные приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

 

36. Оператор определяет тип угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, в соответствии с пунктом 9 «Инструкции по организации в Вооружённых Силах Российской Федерации защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, обрабатываемой в государственных информационных системах и информационных системах персональных данных», утверждённой приказом Министра обороны Российской Федерации от 17.12.2014 года № 925дсп, с учетом оценки возможного вреда, к которому могут привести указанные угрозы.


37. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных обеспечивается оператором в соответствии с требованиями к защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

 

38. Для обеспечения требуемого уровня защищенности персональных данных, соответствующего требованиям к защите персональных данных, Оператором применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

определение должностного лица, ответственного за эксплуатацию и выполнение мер по обеспечению безопасности персональных данных при их обработке по каждой информационной системе персональных данных, эксплуатируемой в Санатории;

организация режима доступа в помещения, в которых размещены информационные системы персональных данных, препятствующего неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения;

осуществление учета машинных носителей информации, а также выполнение мер, направленных на обеспечение их сохранности;

организация режима доступа к обрабатываемым персональным данным в информационных системах персональных данных;

осуществление мониторинга обработки персональных данных для обнаружения фактов несанкционированного доступа к ним, выявление модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним для их последующего восстановления;

применение в информационных системах персональных данных только технических и программных средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;

осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

осуществление внутреннего контроля принимаемых мер по обеспечению безопасности персональных данных, в том числе выполнения требуемого уровня защищенности информационных систем персональных данных и персональных данных, обрабатываемых без использования средств автоматизации.

 

39. Вывод на печать документов, содержащих персональные данные, с помощью средств автоматизации, входящих или не входящих в состав информационных систем персональных данных, допускается Оператором в целях обработки в связи с исполнением трудовых обязанностей, в том числе для передачи их печатных копий субъектам персональных данных, персональные данные которых они содержат, либо должностным лицам, допущенным к обработке персональных данных.

 

 

V. Хранение персональных данных,

сроки их обработки и хранения


40. Хранение персональных данных в Санатории осуществляется на бумажном носителе и в электронном виде на машинных носителях информации.

 

41. Сроки обработки и хранения персональных данных Оператором определяются в соответствии с нормативными правовыми актами Российской Федерации.

Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.

 

42. Если сроки обработки и хранения персональных данных не установлены федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляются не дольше, чем этого требуют цели их обработки и хранения.

 

 

VI. Уничтожение персональных данных

при достижении целей обработки или при наступлении

иных законных оснований


43. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом №152-ФЗ.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.

 

44. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, прекращается их обработка и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, они уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва.

 

45. В случае отсутствия возможности уничтожения персональных данных в течение 30 дней осуществляется блокирование таких персональных данных с последующим их уничтожением в срок не более чем шесть месяцев.

 

46. Уничтожение документов на бумажном носителе, электронных носителей, содержащих персональные данные, производится в порядке, установленном разделом XI «Инструкции по делопроизводству в Вооруженных Силах Российской Федерации (ИД-2017)», утвержденной приказом Министра обороны Российской Федерации от 04.04.2017 № 170.

Дела, книги и журналы учета, служебные документы с пометкой «Для служебного пользования», машинные носители информации, рабочие тетради, истории болезни, договора и другие материалы инвентарного учета (выделенного хранения) с персональными данными, уничтожаются по акту.

Иные носители информации с персональными данными, уничтожаются без составления акта. Отметки об уничтожении в журналах учета заверяются подписями лица ответственного за ведение книги (журнала) учёта и исполнителя. После сверки учетного номера и количества листов документ уничтожается.

Уничтожение файлов (баз данных) с машинного носителя информации, проводится их стиранием работниками, имеющими на это право, специальными сертифицированными по требованиям безопасности информации программными средствами либо средствами, входящими в состав сертифицированных средств защиты информации.

Удаление сведений (персональных данных) о субъекте персональных данных из баз данных информационной системы, проводится путём внесения пустых полей вместо информации в заполненном поле и сохранением внесённых изменений.

 

47. Архивные документы, содержащие персональные данные на бумажном носителе, по истечении срока хранения Оператором, передаются на хранение в Центральный архив Министерства обороны Российской Федерации.

 

 

VII. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации

в сфере персональных данных

 

48. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере защиты персональных данных, Оператором проводятся следующие мероприятия:

осуществление внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных (Приложение № 9 к настоящим Правилам);

оценка вреда, который может быть причинен субъектам персональных данных;

прекращение обработки персональных данных при достижении конкретных целей, определенных настоящими Правилами;

недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Устранение избыточности состава, содержания, объема обрабатываемых персональных данных заявленным целям;

обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;

уничтожение или обезличивание обрабатываемых персональных данных при достижении целей обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено Федеральным законом №152-ФЗ;

ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями по защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки персональных данных, и проведение занятий с указанной категорией (не менее 1 часа в год);

доведение под подпись до всего персонала занимающего должности, указанные в Приложении № 2 к данным Правилам, требований Федерального закона № 152-ФЗ и данных Правил (не реже 1 раза в год);

опубликование на официальном сайте Оператора в сети «Интернет» и внутреннем сайте Оператора данных Правил.

 

 

VIII. Правила работы с обезличенными данными

в случае обезличивания персональных данных

 

49. Обезличивание персональных данных, т.е. действие, в результате которого невозможно определить принадлежность персональных данных конкретному субъекту персональных данных, проводится в целях ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, повышения уровня защищенности информационных систем, если иное не предусмотрено законодательством Российской Федерации.

Обезличивание персональных данных осуществляется по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ.

Обезличенные данные обрабатываются в Санатории с использованием или без использования средств автоматизации.

 

50. Обезличивание персональных данных, обрабатываемых в автоматизированных информационных системах Санатория осуществляется одним из ниже перечисленных методов.

- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

- метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).

 

 

51. Обработка обезличенных данных с использованием средств автоматизации осуществляется с соблюдением требований, установленных для обработки служебной информации, определённых «Руководством по защите служебной информации ограниченного распространения от несанкционированного доступа в Вооружённых Силах Российской Федерации», утвержденным приказом Министра обороны Российской Федерации от 10.05.2018 г. № 211дсп. При этом особое внимание уделяется следующим факторам:

парольная и антивирусная защита;

резервное копирование;

порядок обращения со съемными носителями (при их использовании);

порядок доступа в помещения, в которых осуществляется хранение и (или) ведется обработка обезличенных данных.

 

52. При хранении обезличенных данных Оператором организовывается:

раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных;

обеспечение конфиденциальности дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.

 

 

IX. Правила рассмотрения запросов

субъектов персональных данных или их представителей

 

53. Субъект персональных данных или его представитель имеет право:

требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и способы обработки персональных данных, применяемые Оператором;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Санатория, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

 

54. Право субъекта персональных данных или его представителя на доступ к его персональным данным может быть ограничено в следующих случаях:

- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

 

55. Сведения, указанные в пункте 53 данных Правил предоставляются субъекту персональных данных или его представителю в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения предоставляются субъекту персональных данных или его представителю при их обращении либо при получении от него запроса.

 

56. Запрос может быть направлен письменно по почте либо в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя,

сведения о дате выдачи указанного документа и выдавшем его органе,

сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения),

сведения, иным образом подтверждающие факт обработки персональных данных оператором,

подпись субъекта персональных данных или его представителя.

 

57. При получении Оператором запроса субъекта персональных данных или его представителя осуществляется:

- информирование субъекта персональных данных или его представителя о наличии его персональных данных, а также о возможности предоставления ознакомления с этими персональными данными в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя;

- предоставление безвозмездно субъекту персональных данных или его представителю возможности ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

 

58. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, работниками Оператора, ответственными за обработку персональных данных, по поручению начальника Санатория, вносятся в них необходимые изменения.

 

59. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, работниками Оператора, ответственными за обработку персональных данных, по поручению начальника санатория, проводится уничтожение таких персональных данных.

 

60. Оператор обязан уведомить субъекта персональных данных или его представителя о предпринятых мерах, указанным в пунктах 58, 59 Правил, и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

 

61. В случае отказа в предоставлении сведений о наличии персональных данных, уполномоченным начальником Санатория лицом, направляется субъекту персональных данных или его представителю в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющийся основанием для такого отказа.

Мотивированный ответ должен быть направлен субъекту персональных данных в срок, не превышающий 30 дней, с даты получения запроса.

 

 

X. Ответственный за организацию обработки

персональных данных

 

62. Ответственный за организацию обработки персональных данных в ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России назначается приказом начальника санатория из числа своих заместителей.

 

63. На ответственного за организацию обработки персональных данных в ФГБУ «Сакский ВКС им. Н.И. Пирогова» Минобороны России возлагается:

организация принятия необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

организация доведения работникам Оператора положений законодательства Российской Федерации, нормативных правовых актов Российской Федерации, Министерства обороны Российской Федерации и Оператора в области персональных данных;

организация и осуществление в пределах компетенции контроля за соблюдением работниками Оператора требований законодательства Российской Федерации, нормативных правовых актов Российской Федерации, Министерства обороны Российской Федерации и Оператора в области персональных данных;

организация приёма и обработки обращений и запросов субъектов персональных данных или их представителей;

принятие необходимых мер по восстановлению нарушенных прав субъектов персональных данных (в случае нарушения требований по защите персональных данных);

незамедлительное информирование начальника Санатория о нарушениях, выявленных при обработке, хранении и использовании персональных данных.

 

64. Ответственный за обработку персональных данных имеет право доступа к информации, касающейся обработки персональных данных в Санатории и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных; категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых способов обработки персональных данных;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных.

Работники Санатория, по запросу (письменному или устному) ответственного за обработку персональных данных, обязаны предоставлять оперативную, достоверную, полную информацию по вопросам обработки персональных данных.


65. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в соответствии с законодательством Российской Федерации в области персональных данных.



XI. Порядок доступа работников в помещения,

в которых ведётся обработка персональных данных


66. При обращении с материальными носителями (на бумажном носителе и на машинных носителях информации в электронном виде) персональных данных субъектов персональных данных работники Оператора руководствуются требованиями «Инструкции по делопроизводству в Вооруженных Силах Российской Федерации (ИД-2017)», утвержденной приказом Министра обороны Российской Федерации от 04.04.2017 № 170 и «Руководства по защите служебной информации ограниченного распространения от несанкционированного доступа в Вооружённых Силах Российской Федерации», утвержденного приказом Министра обороны Российской Федерации от 10.05.2018 г. № 211дсп.


67. При хранении электронных копий служебных документов, обработанных с использованием средств вычислительной техники, должны выполняться требования, установленные «Инструкцией по делопроизводству в Вооруженных Силах Российской Федерации (ИД-2017)», утвержденной приказом Министра обороны Российской Федерации от 04.04.2017 № 170 по порядку обращения со служебными документами.


68. Съемные машинные носители информации и другие материалы (на бумажных носителях) с персональными данными по окончании рабочего времени запираются в сейфах (шкафах, ящиках) лиц, получивших эти документы и материалы для работы или в сейфах (шкафах, ящиках) их начальника и опечатываются.

Помещения, в которых расположены технические средства для изготовления и размножения служебных документов с персональными данными, по окончании рабочего времени запираются, опечатываются и сдаются под охрану.

Помещения, предназначенные для хранения носителей персональных данных (помещения архивов, делопроизводств, серверные) должны размещаться в изолированных помещениях. Входные двери в помещения должны быть оборудованы замком, гарантирующим надежное закрытие помещений, приспособлением для опечатывания и техническими средствами охраны, сигнализирующими о несанкционированном проникновении в помещения.

Хранение носителей персональных данных в отделах (центрах, отделениях, кабинетах) разрешается в общих служебных комнатах в сейфах (шкафах, ящиках) обеспечивающих сохранность документов.

Помещения оборудованные системой контроля управлением доступа (СКУД) допускается не опечатывать.

 

69. Первый (рабочий) экземпляр ключа от сейфа (шкафа, ящика), в котором хранятся служебные документы, исполнитель хранит при себе.

Первый (рабочий) экземпляр ключа от помещения в тубусе, опечатанном личной металлической печатью, ответственного за него лица, сдаются под охрану дежурному по санаторию (центру, отделению, корпусу).

Факт сдачи (приёма) под (с) охраны помещения и тубуса с ключами от него оформляется записью в книге приёма и сдачи служебных помещений, находящихся в них сейфов и ключей от них (форма и образец ведения представлен в Приложении № 11 к данным Правилам).

Серверные стойки (технологические шкафы) с машинными носителями информации, на которых хранятся персональные данные, закрываются и опечатываются личной номерной металлической печатью лица, ответственного за его эксплуатацию и инженера (по обеспечению безопасности информации).

Пеналы со вторыми (запасными) экземплярами ключей от входных дверей в помещения и от сейфов, опечатанные личными номерными печатями ответственных за них лиц, хранятся у руководителей подразделений в сейфах (шкафах, ящиках). На указанные пеналы составляется опись по форме: № п/п, номер помещения, номер сейфа, номер печати, фамилия ответственного лица, примечание.

 

70. При утрате рабочего экземпляра ключа от сейфа, входной двери проводится разбирательство, виновные в утрате лица привлекаются к ответственности, проводится замена секрета замка, ключ от которого утрачен. Проводится замена вторых экземпляров ключей, заложенных в тубусах.


Если у вас возникли вопросы

Оставьте свой номер телефона и мы свяжемся с вами в ближайшее время, чтобы ответить на них

Заказать звонок
0 номеров
0 гостей
0 руб.
Продолжить