Защита персональных данных

Последнее обновление - 4 мая 2016 в 16:09

           

Законодательство в сфере информационных технологий и  защиты прав субъектов персональных данных                   

                                                   ПОЛИТИКА

Государственного учреждения здравоохранения «Куркинская центральная районная больница» в  отношении обработки персональных данных

  1. Общие положения

1.1.Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в ГУЗ «Куркинская ЦРБ» (далее – ГУЗ).

1.2.Политика определяет цели, принципы обработки и реализуемые требования к защите персональных данных в Управлении.

1.3.Сведения о персональных данных относятся к числу конфиденциальных и составляют охраняемую законом тайну.

2. Основные понятия

2.1.         В настоящей Политике используются следующие основные понятия:

2.1.1.Субъект персональных данных ГУЗ — физическое лицо, являющееся гражданином-заявителем, индивидуальным предпринимателем, владельцем радиоэлектронных средств и высокочастотных устройств (далее — РЭС и ВЧУ), учредителем средства массовой информации (далее — СМИ), владельцем франкировальных машин, оператором, осуществляющими обработку персональных данных; руководителем и (или) представителем юридического лица или индивидуального предпринимателя при подготовке и рассмотрении дел об административных правонарушениях, гражданским служащим ГУЗ, сотрудником ГУЗ, работающим по гражданско-правовому договору, а также лица, представившие сведения для участия в конкурсе на замещение вакантных должностей государственной гражданской службы или представившие заявку для участия в торгах на поставку товаров, выполнения работ, оказания услуг для государственных нужд ГУЗ.

2.1.2.Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.1.3.Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.4.Конфиденциальность персональных данных – обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.Принципы и цели обработки персональных данных

3.1.         ГУЗ в своей деятельности по обработке персональных данных руководствуется следующими принципами:

3.1.1.      Обработка персональных данных осуществляется на законной и справедливой основе.

3.1.2.      Цели обработки персональных данных соответствуют полномочиям ГУЗ.

3.1.3.      Содержание и объем обрабатываемых персональных данных соответствуют целям обработки персональных данных.

3.1.4.      Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных.

3.1.5.      Ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных.

3.1.6.      Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.1.7.      Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством.

3.1.8.      Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

3.2.             Обработка персональных данных гражданских служащих, сотрудников ГУЗ  осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия им в прохождении службы, в обучении и должностном росте, обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества государственного органа, учета результатов исполнения ими должностных обязанностей.

3.3.             Обработка персональных данных граждан, обратившихся в ГУЗ с целью регистрации средств массовой информации, радиоэлектронных средств и высокочастотных устройств гражданского назначения, выдачи разрешения на применение франкировальных машин, судовых радиостанций, осуществляется с целью реализации закрепленных за ГУЗ полномочий.

3.4.    Обработка персональных данных граждан, обратившихся в ГУЗ с заявлениями (жалобами) по направлениям деятельности подразделений ГУЗ, осуществляется с целью защиты прав граждан, предоставленных им законодательством Российской Федерации.

4.Перечень мер по обеспечению безопасности персональных данных при их обработке

4.1.    ГУЗ при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

4.1.1.      Назначением ответственного за организацию обработки персональных данных.

4.1.2.      Утверждением Руководителем ГУЗ локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

4.1.3.      Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ 
«О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных.

4.1.4.      Ознакомлением работников ГУЗ, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников.

4.1.5.      Выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных, осуществляемой без использования средств автоматизации.

4.1.6.      Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.1.7.      Учетом машинных носителей персональных данных.

4.1.8.      Выявлением фактов несанкционированного доступа к персональным данным и принятием мер.

4.1.9.      Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных.

4.2. Гражданские служащие, сотрудники ГУЗ, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

5.Заключительные положения

5.1.    Настоящая Политика утверждается Руководителем ГУЗ.

5.2.    Политика обязательна для соблюдения и подлежит доведению до всех сотрудников ГУЗ. Контроль за соблюдением Политики осуществляет заместитель руководителя ГУЗ.

     ПРАВИЛА          

обработки    персональных данных в ГУЗ  «Куркинская ЦРБ»

I. Общие положения 

1. Настоящие Правила обработки персональных данных (далее Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные  данные которых обрабатываются, сроки их обработки, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.                                                                                                                                        

Основные понятия, используемые в настоящих Правилах, соответствуют основным понятиям, установленным Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных».                                                                                                                                    

Обработка персональных данных в ГУЗ «Куркинская ЦРБ» (далее – ЦРБ) осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.Обработка персональных данных с использованием средств автоматизации осуществляется в:

  1) автоматизированной системе электронного документооборота органов исполнительной власти Тульской области и аппарата правительства Тульской области;                                      2) иных информационных системах персональных данных.

Особенности обработки персональных данных с использованием средств автоматизации, а также без использования таких средств устанавливаются федеральными законами и иными нормативными правовыми актами Российской Федерации.                                                     Руководитель ГУЗ «Куркинская ЦРБ»:                                                                                                       1) утверждает перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным;                                                                                                                             2)  назначает ответственного за организацию обработки персональных данных;                          3)  утверждает перечень информационных систем персональных данных.

 II. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

  1. Для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных реализуются следующие процедуры:

1)       Принятие мер, направленных на обеспечение выполнения оператором персональных данных своих обязанностей при обработке персональных данных и прав субъекта персональных данных;

2)       организация внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством в области персональных данных и актами ГУЗ «Куркинская ЦРБ»;

3)       ознакомление сотрудников, осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими Правилами и (или) обучение сотрудников;

4)       ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

5)       осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных;

6)       недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;

7)       недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

8)       соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки);

9)       обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

 III. Содержание и порядок обработки персональных данных  в связи с реализацией служебных и трудовых отношений

 2.Персональные данные государственных гражданских служащих и работников обрабатываются в целях содействия гражданским служащим, работникам в прохождении государственной гражданской службы Тульской области, выполнении работы, в обучении и должностном росте, обеспечения личной безопасности гражданских служащих, работников и членов их семей, обеспечения сохранности принадлежащего им имущества и имущества комитета, учета результатов исполнения ими должностных обязанностей, обеспечения установленных законодательством Российской Федерации условий осуществления служебной деятельности и труда, гарантий и компенсаций.

3 В целях, указанных в пункте 5 настоящих Правил, обрабатываются следующие персональные данные гражданских служащих, работников:

1)       фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения, дата, место и причина изменения).

2)       число, месяц, год рождения;

3)       адрес места жительства (адрес регистрации, фактического проживания);

4)       номер контактного телефона или сведения о других способах связи;

5)       сведения табеля учета рабочего времени.

4. Обработка персональных данных гражданских служащих, работников, осуществляется без согласия указанных лиц в рамках целей, определенных в пункте 5 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и положениями Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федерального закона от 25 декабря 2008 года № 73-ФЗ «О противодействии коррупции».

5.Обработка персональных данных гражданских служащих, работников осуществляется при условии получения согласия указанных лиц в следующих случаях:

1)       при передаче персональных данных в государственное казенное учреждение Тульской области «Централизованная бухгалтерия органов исполнительной власти Тульской области», публичное акционерное общество «ВТБ 24», публичное акционерное общество «Сбербанк;

2)       при опубликовании (предоставление доступа неограниченному кругу лиц) на официальном сайте правительства Тульской области (tularegion.ru).

6.В случаях, предусмотренных пунктом 8 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

7.Обработка персональных данных гражданских служащих, работников осуществляется уполномоченными сотрудниками комитета и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ).

8.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от гражданских служащих, работников.

9.В случае возникновения необходимости получения персональных данных гражданских служащих, работников у третьей стороны уполномоченные сотрудники комитета обязаны известить их об этом, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

10.На сайте опубликовываются такие категории персональных данных, как фамилия, имя, отчество, фотография, замещаемая должность, абонентский номер служебного телефона и адрес служебной электронной почты.

11.В соответствии с письменными согласиями субъектов персональные данные, указанные в п. 13, являются общедоступными.

12. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего, работника персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

13.При сборе персональных данных уполномоченный сотрудник ГУЗ «Куркинская ЦРБ», осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих, работников, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

 IV. Содержание и порядок обработки персональных данных                                                            в связи с реализацией полномочий ГУЗ «Куркинская ЦРБ»

Категории персональных данных, обрабатываемые в ГУЗ «Куркинская ЦРБ»,  подразделяются на:

1)       персональные данные граждан, пребывающих в запасе Вооруженных сил Российской Федерации;

2)       персональные данные при работе с обращениями граждан.

15.У граждан, пребывающих в запасе, обрабатываются следующие персональные данные:

1)       фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения, дата, место и причина изменения);

2)       пол;

3)       число, месяц, год рождения;

4)       место рождения;

5)       сведения о гражданстве (в том числе в случае изменения гражданства – предыдущие гражданства, иные гражданства, дата и причина изменения гражданства);

6)       вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

7)       адрес места жительства (адрес регистрации, фактического проживания);

8)       номер контактного телефона или сведения о других способах связи;

9)       реквизиты страхового свидетельства государственного пенсионного страхования;

10)      идентификационный номер налогоплательщика;

11)      семейное положение, состав семьи и сведения о близких родственниках (отце, матери, братьях, сестрах и детях), а также о муже (жене), в том числе бывших;

12)      сведения о служебной (трудовой) деятельности;

13)      сведения о воинском учете и реквизиты документов воинского учета;

14)      сведения об образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, направление подготовки или специальность, квалификация по документу об образовании);

15)      сведения о послевузовском профессиональном образовании (наименование и год окончания образовательной или научной организации), ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов);

16)      государственные награды, иные награды и знаки отличия (кем и когда награжден);

17)      сведения о профессиональной переподготовке и (или) повышении квалификации.

16.При работе с обращениями граждан обрабатываются следующие персональные данные:

1)       фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения, дата, место и причина изменения);

2)       адрес места жительства (адрес регистрации, фактического проживания);

3)       номер контактного телефона или сведения о других способах связи;

4)       иные персональные данные, сообщаемые гражданами, должностными лицами организаций, общественных объединений в обращениях (специальные категории персональных данных: сведения о наличии или отсутствии судимости, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

17.Обработка персональных данных граждан, пребывающих в запасе, и граждан при работе с их обращениями осуществляется без согласия указанных лиц в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и положениями Трудового кодекса Российской Федерации, Федерального закона от 28 марта1998 года № 53-ФЗ «О воинской обязанности и военной службе», Федерального закона от 02мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

18.Обработка персональных данных граждан, пребывающих в запасе, и граждан при работе с их обращениями осуществляется уполномоченными сотрудниками комитета и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ).

19.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от граждан, пребывающих в запасе, и граждан при работе с их обращениями.

20.В случае возникновения необходимости получения персональных данных граждан, пребывающих в запасе, и граждан при работе с их обращениями у третьей стороны уполномоченные сотрудники комитета обязаны известить их об этом, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

21.При сборе персональных данных уполномоченный сотрудник ГУЗ «Куркинская ЦРБ», осуществляющий сбор (получение) персональных данных непосредственно от граждан, пребывающих в запасе, и граждан при работе с их обращениями, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

22.Персональные данные граждан, пребывающих в запасе, и граждан при работе с их обращениями содержатся в личных карточках, документах по работе с обращениями граждан.

   V. Сроки обработки персональных данных

 23. Сроки обработки персональных данных определяются в соответствии с законодательством Российской Федерации.

24.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

25. Сроком обработки персональных данных гражданских служащих, работников является срок замещения ими соответствующей должности. Срок хранения бумажных носителей персональных данных гражданских служащих, работников составляет 75 (семьдесят пять) лет.

26.Сроком обработки персональных данных граждан, пребывающих в запасе, является срок действия служебного контракта (трудового договора).Срок хранения бумажных носителей персональных данных граждан, пребывающих в запасе, составляет 3 (три) года.

27.Сроком обработки персональных данных граждан при работе с их обращениями является срок работы с обращением. Срок хранения бумажных носителей персональных данных граждан при работе с их обращениями составляет срок хранения дела по работе с обращениями граждан.

28.Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет руководитель ГУЗ «Куркинская ЦРБ».

 VI. Порядок уничтожения персональных данных  при достижении целей                 обработки или при наступлении  иных законных оснований

 29. Уничтожению подлежат персональные данные при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

30.Уничтожение персональных данных может быть произведено любым способом, исключающим возможность восстановления материального носителя персональных данных.

31.В случае неавтоматизированной обработки персональных данных составляется акт об уничтожении персональных данных.

32.Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

 

 

 

 

 

 

                                                

Добавить комментарий