ПОЛОЖЕНИЕ

об организации обработки персональных данных, обрабатываемых

в ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области»




1. Основные термины и определения

1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие третьим лицам или их распространение без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.7. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

1.8. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.9. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

1.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.11. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.


2. Общие положения

2.1. Настоящее Положение об организации обработки персональных данных в
ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области» (далее – Положение), разработано в соответствии Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных» и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн).

2.2. Настоящее Положение определяет порядок обработки ПДн, а также ответственность работников ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области» (далее – Учреждение), участвующих в обработке ПДн.

2.3. Положение обязательно для исполнения всеми работниками Учреждения, непосредственно участвующими в обработке ПДн в ИСПДн.

2.4. Настоящее Положение не распространяется на следующие случаи:

- осуществляется хранение, комплектование, учет и использование архивных документов, содержащих ПДн, в соответствии с законодательством об архивном деле в Российской Федерации;

- осуществляется обработка ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

3. Состав обрабатываемых персональных данных

3.1. Состав персональных данных, обрабатываемых в Учреждении, установлен в «Перечне персональных данных, обрабатываемых в Учреждении, утвержденном приказом главного врача Учреждения.

4. Цель обработки персональных данных

4.1. Персональные данные обрабатываются в целях:

- исполнения требований ТК РФ;

- исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;

- исполнения требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;

- исполнения Учреждением функции работодателя;

- осуществления социальных выплат и других видов социальной помощи;

- выполнения договорных обязательств;

- обеспечения пропускного режима, сохранности имущества Учреждения, обеспечение личной безопасности работников;

- предоставления информации о субъекте путем размещения на ресурсах в сетях общего пользования - Интернет, на информационных стендах, телефонных справочниках и других источниках;

- оценки соответствия кандидата требованиям, предъявляемым для вакантной должности;

- предоставления услуг по выполнению лабораторно-инструментальных исследований и санитарно-эпидемиологических экспертиз;

- соблюдения нормативных правовых актов РФ, локальных актов;

- сбора сведений для учета и персонифицированной регистрации инфекционной и паразитарной заболеваемости;

- предоставления сведений о заболеваемости в Роспотребнадзор;

- работа с заявлениями, обращениями физических лиц.

5. Получение персональных данных от субъекта персональных данных

5.1. Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

5.2. В установленных случаях обработка ПДн осуществляется только после получения письменного «Согласия на обработку персональных данных», бланк которого, установлен в Приложении 1 к настоящему Положению.

5.3. Согласие на обработку ПДн должно быть конкретным, информированным, сознательным, в любой позволяющей подтвердить факт его получения форме.

5.4. В случае недееспособности субъекта ПДн согласие на обработку его ПДн берется у законного представителя субъекта ПДн.

5.5. В случае смерти субъекта ПДн согласие на обработку его ПДн берется у наследников субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

5.6. В случае получения согласия на обработку ПДн от представителя субъекта ПДн проверяются полномочия данного представителя на дачу согласия от имени субъекта ПДн.

5.7. Допускается включение согласия субъекта ПДн в письменном виде непосредственно в документ, заполняемый субъектом ПДн или подготавливаемый для субъекта ПДн (анкета, опросный лист, соглашение, договор и т.д.).

5.8. Сбор ПДн осуществляется работниками Учреждения в соответствии с их должностными обязанностями.

5.9. В ИСПДн Учреждения ПДн заносятся работниками Учреждения на основании документов, предъявляемых субъектом ПДн/законным представителем субъекта ПДн, или на основании заполняемых субъектом ПДн/законным представителем субъекта ПДн документов (анкеты, опросные листы).

5.10. В случаях, когда предоставление ПДн является обязательным в соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных», субъекту ПДн/представителю субъекта ПДн разъясняются юридические последствия отказа предоставить его ПДн. Форма «Разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные» представлена в Приложении 2 к данному Положению.

6. Порядок обработки персональных данных

6.1. Организацию и контроль за состоянием процесса обработки ПДн в Учреждении осуществляет ответственный за организацию обработки ПДн.

6.2. Все работники, которым в связи со служебными (должностными) обязанностями необходим доступ к ПДн, заполняют и подписывают «Обязательство о неразглашении информации ограниченного доступа», форма которого установлена в Приложении 1 к «Положению об организации обработки и защиты персональных данных работников».

6.3. Доступ работников к ПДн осуществляется на основании «Перечня должностей работников, замещение которых предусматривает осуществление обработки персональных данных в ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области», утвержденного приказом главного врача Учреждения. Доступ к ПДн работникам, должность которых не указана в перечне, запрещен.

6.4. Доступ работников в помещения, в которых ведется обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка персональных данных в ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области», утвержденными приказом главного врача Учреждения.

6.5. Работники осуществляют обработку ПДн в ИСПДн в соответствии с «Инструкцией пользователя информационных систем персональных данных
ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области», утвержденной приказом главного врача Учреждения.

6.6. В целях обеспечения единого порядка рассмотрения запросов субъектов ПДн или их представителей на доступ к обрабатываемым ПДн субъекта ПДн в ИСПДн, Ответственный за организацию обработки ПДн руководствуется «Правилами рассмотрения запросов субъектов персональных данных, чьи персональные данные обрабатываются в ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области», приведенными в Приложении 3 к настоящему Положению и осуществляет ведение «Журнала регистрации обращений субъектов персональных данных, чьи персональные данные обрабатываются в
ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области», форма которого установлена в Приложении 4 к настоящему Положению.

6.7. Работа со съемными машинными носителями ПДн в ИСПДн осуществляется в соответствии с «Порядком обращения со съемными машинными носителями персональных данных в информационных системах персональных данных
ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области», утвержденного приказом генерального главного врача Учреждения.

6.8. Хранение ПДн осуществляется не дольше, чем это необходимо для их обработки в целях, для которых они были собраны. По достижении целей обработки, ПДн передаются на архивное хранение в порядке, установленном законодательством РФ, либо уничтожаются, если их архивное хранение не требуется.

7. Поручение обработки персональных данных

7.1. Обработка ПДн другому лицу поручается только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

7.2. Обработка ПДн другому лицу поручается только на основании заключаемого с этим лицом договора, государственного или муниципального контракта, принятого государственным или муниципальным органом акта (далее – «Поручение оператора»).

7.3. В Поручении оператора должны быть определены:

- перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;

- цели обработки ПДн;

- обязанность указанного лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;

- требования к защите обрабатываемых ПДн в соответствии со статьей
19 Федерального закона №152-ФЗ от 27 июля 2006г. «О персональных данных»;

- ответственность указанного лица перед Учреждением.

7.4. Лицо, осуществляющее обработку ПДн по поручению Учреждения, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом №152-ФЗ от 27 июля 2006 г. «О персональных данных». При этом данное лицо не обязано получать согласие субъекта ПДн на обработку его ПДн.

7.5. В случае, если Учреждение поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку ПДн по поручению Учреждения, несет ответственность перед Учреждением.

8. Предоставление персональных данных третьим лицам

8.1. ПДн предоставляются третьим лицам, а также раскрываются только с согласия субъекта ПДн или в случаях, предусмотренных федеральным законом.

8.2. По требованию третьего лица, получающего ПДн, данному лицу передается подтверждение наличия основания для предоставления ПДн.

9. Включение персональных данных в общедоступные источники

9.1. В целях информационного обеспечения деятельности Учреждения могут создаваться общедоступные источники ПДн (в том числе справочники, электронные базы данных, страницы сайта Учреждения в информационно-телекоммуникационной сети «Интернет» и др.).

9.2. В общедоступные источники ПДн могут включаться только те ПДн, которые указаны субъектом ПДн в согласии субъекта на обработку ПДн.

9.3. Сведения о субъекте ПДн исключаются в любое время из общедоступных источников по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

10. Прекращение обработки персональных данных и их уничтожение

10.1. В случае достижения целей обработки ПДн или утраты необходимости в достижении целей обработки ПДн указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты достижения целей обработки ПДн (утраты необходимости в достижении целей обработки ПДн).

10.2. В случае отзыва субъектом ПДн согласия на обработку его ПДн указанные ПДн уничтожаются или обеспечивается их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

10.3. В случае окончания срока обработки ПДн, указанного в письменном согласии субъекта ПДн, указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения).

10.4. Уничтожение ПДн производится способом, исключающим возможность их восстановления:

- перезаписью уничтожаемых (стираемых) файлов случайной битовой последовательностью;

- удалением записи о файлах;

- обнулением журнала файловой системы;

- полной перезаписью всего адресного пространства съемного машинного носителя ПДн случайной битовой последовательностью с последующим форматированием.

10.5. Уничтожение или обезличивание ПДн осуществляется комиссией, созданной на основании приказа «О создании комиссии по уничтожению носителей персональных данных».

10.6. При невозможности уничтожения ПДн в сроки, определенные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» для случаев, когда невозможно обеспечить правомерность обработки ПДн или при достижении целей обработки ПДн, если сохранение ПДн более не требуется для целей обработки ПДн, осуществляется блокирование ПДн и их последующие уничтожение в течение 6 месяцев, если иной срок не установлен федеральным законодательством.

10.7. Допускается не уничтожать или не обезличивать ПДн в следующих случаях:

- если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

- если иное предусмотрено соглашением с субъектом ПДн и Учреждением;

- если в соответствии с федеральными законами есть основания осуществлять дальнейшую обработку ПДн без согласия субъекта ПДн.

11. Правила обезличивания персональных данных и работы с обезличенными персональными данными

11.1. Обезличивание ПДн, содержащихся на машинных носителях, производится путем замены ПДн, позволяющих определить принадлежность ПДн конкретному субъекту ПДн, на уникальный внутренний идентификатор субъекта ПДн, присвоенный ему в Учреждении.

11.2. Обезличивание ПДн, содержащихся на бумажных носителях, производится путем стирания (вымарывания) ПДн, позволяющих определить принадлежность ПДн конкретному субъекту ПДн.

11.3. Работники Учреждения не должны нарушать целостность, доступность обезличенных данных.

11.4. Обработка обезличенных ПДн может осуществляться с использованием средств автоматизации или без использования таких средств.

11.5. При обработке обезличенных ПДн без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей и порядка доступа в помещения, где они хранятся, в целях исключения несанкционированного доступа к обезличенным ПДн, а также исключения возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также от неправомерных действий в отношении обезличенных ПДн.

11.6. При обработке обезличенных ПДн с использованием средств автоматизации необходимо дополнительно соблюдать правила по парольной защите, идентификации пользователей ИСПДн, правил работы со съемными носителями (в случае их использования), правил резервного копирования.

12. Меры обеспечения безопасности персональных данных

12.1. Выполнение мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн осуществляется в соответствии с «Положением об обеспечении безопасности персональных данных в информационных системах персональных данных
ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области», утвержденным приказом генерального главного врача Учреждения.




13. Ответственность

13.1. Все работники, допущенные в установленном порядке к работе с ПДн, несут административную, материальную, уголовную ответственность в соответствии с действующим законодательством за обеспечение сохранности и соблюдение правил работы с ПДн.

13.2. Ответственность за доведение требований настоящего Положения до работников и обеспечение мероприятий по их реализации несет ответственный за организацию обработки ПДн.

13.3. Предоставление ПДн посторонним лицам, в том числе работникам, не имеющим права их обрабатывать, распространение ПДн, утрата съемных машинных носителей ПДн, а также иные нарушения обязанностей по обработке ПДн, установленных настоящим Положением и иными локальными нормативными актами, влечет наложение на совершившего нарушение работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения.

13.4. Работник, имеющий доступ к ПДн субъектов и совершивший указанный в пункте 13.3 дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба (п. 7 ст. 243 Трудового кодекса РФ).

13.5. Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст. 137 и ст. 272 Уголовного кодекса РФ.

14. Срок действия и порядок внесения изменений

14.1. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно до замены его новым Положением.

14.2. Настоящее Положение подлежит пересмотру не реже одного раза в три года.

14.3. Изменения и дополнения в настоящее Положение вносятся приказом главного врача Учреждения.