eye

103
Бесплатный
телефон
112
Мне нужна скорая! Вызвал. Что делать дальше?
Хочу здесь работать
Режим работы - 24/7

Правила обработки персональных данных



Правила
обработки персональных данных
в государственном бюджетном учреждении города Москва
«Станция скорой и неотложной медицинской помощи им. А.С. Пучкова»
Департамента здравоохранения города Москвы

 

Цель разработки документа — определение порядка обработки персональных данных субъектов персональных данных; обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным субъектов за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Перечень сокращений:

 

 

ПДн 

Персональные данные

Оператор, Станция 

Государственное бюджетное учреждение «Станция скорой и неотложной медицинской помощи им. А.С. Пучкова» Департамента здравоохранения города Москвы

НСД 

Несанкционированный доступ

АИС 

Автоматизированная информационная система

ИСПДн 

Информационная система персональных данных

СКЗИ 

Средство криптографической защиты информации

АРМ 

Автоматизированное рабочее место

Правила 

Правила обработки персональных данных в государственном бюджетном учреждении города Москва «Станция скорой и неотложной медицинской помощи им. А.С. Пучкова» Департамента здравоохранения города Москвы

Термины и определения:

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Информационная система персональных данных— совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом (лицами) Станции в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

Конфиденциальность персональных данных — обязанность Станции и его сотрудников не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных соответствующая характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяющая осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Предоставление персональных данных —действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.Общие положения

1.1.Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Станции.

1.2.Обработка ПДн на Станции осуществляется с использованием средств автоматизации (совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники) и ручным способом (на бумажных носителях). Обработка ПДн подразделяется на обработку ПДн в ИСПДн и обработку ПДн, осуществляемая без использования средств автоматизации.

1.3.При определении объема и содержания обрабатываемых персональных данных работники Станции должны руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами Российской Федерации.

1.4.Персональные данные, обрабатываемые на Станции, относятся к сведениям конфиденциального характера (конфиденциальной информации).

На Станции обрабатываются ПДн следующих субъектов ПДн:

субъекты ПДн, являющиеся сотрудниками Станции;

субъекты ПДн, не являющиеся сотрудниками Станции.

1.5.Обработка ПДн осуществляется только после получения согласия субъекта ПДн, за исключением случаев, предусмотренных частью 1.7 настоящих Правил.

1.6.Согласие субъекта ПДн, предусмотренное п.1.5 настоящих Правил не требуется в следующих случаях:

- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Станцию функций, полномочий и обязанностей;

- обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

- обработка ПДн необходима для осуществления прав и законных интересов Станции, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

1.7.Письменное согласие субъекта ПДн должно включать:

фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

наименование или фамилию, имя, отчество и адрес Оператора;

цель обработки ПДн;

перечень ПДн, на обработку которых дается согласие субъекта ПДн;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора (если обработка будет поручена третьему лицу);

перечень действий с ПДн (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение), на совершение которых дается согласие;

общее описание используемых оператором способов обработки ПДн (с использованием средств автоматизации или без них);

срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

подпись субъекта ПДн.

1.8.Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных п. 1.9 настоящих Правил.

1.9.Обработка специальных категорий ПДн допускается в случаях, если:

- субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

- ПДн субъекта сделаны общедоступными самим субъектом ПДн;

- обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, об основах охраны здоровья граждан;

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

- обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно, и в связи с осуществлением правосудия;

- обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, и уголовно-исполнительным законодательством Российской Федерации;

- обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

2.Сбор персональных данных

2.1.Станция получает ПДн непосредственно от субъекта ПДн или от законных представителей субъектов, наделенных соответствующими полномочиями.

2.2.Сбор персональных данных соискателей вакантных должностей проводится только с заполнением его согласия на обработку ПДн с предоставлением ПДн на бумажном носителе самим субъектом ПДн или его представителем, действующим по доверенности.

2.3.Субъект ПДн обязан предоставлять достоверные сведения о себе. Станция имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у Станции документами.

2.4.Предоставление субъектом ПДн - сотрудником Станции подложных документов или заведомо ложных сведений при заключении трудового договора является основанием для расторжения трудового договора в соответствии с пунктом 11 части первой статьи 81 Трудового кодекса Российской Федерации соответственно.

2.5.При изменении ПДн субъект ПДн - сотрудник Станции письменно уведомляет Станцию о таких изменениях в разумный срок, не превышающий 14 дней с момента изменений. Данное обязательство не распространяется на изменение ПДн, предоставление которых, требует соответствующее согласие сотрудника.

2.6.Если обязанность предоставления ПДн установлена федеральным законом, сотрудники Станции обязаны разъяснить субъекту ПДн юридические последствия отказа предоставить свои ПДн.

2.7.Если ПДн получены не от субъекта ПДн, Станция, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», до начала обработки таких ПДн обязано предоставить субъекту ПДн следующую информацию:

- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

- цель обработки ПДн и ее правовое основание;

- предполагаемые пользователи ПДн;

- установленные федеральным законом права субъекта ПДн;

- источник получения ПДн.

2.8.Станция освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные п. 2.6, в случаях, если:

- субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

- ПДн субъекта получены Станцией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

- ПДн субъекта сделаны общедоступными субъектом ПДн или получены из общедоступного источника.

2.9. Запрещается:

- осуществлять сбор ПДн на машинных носителях от соискателей вакантных должностей;

- обрабатывать ПДн в присутствии лиц, не допущенных к их обработке;

- осуществлять сбор ПДн под диктовку (голосовой ввод).

3. Запись персональных данных

3.1.Обработка персональных данных в учреждении осуществляется до утраты правовых оснований обработки персональных данных.

3.2.При обработке персональных данных на бумажных документах, машинных носителях (дисках, флеш-носителях и т.п.), жестких дисков персональных компьютеров и других технических средствах, работники обязаны следить как за сохранностью самих бумажных документов, съёмных носителей, компьютеров и других технических средств, так и за сохранностью содержащейся в них информации, а именно не допускать неправомерного ознакомления с ней лиц, не имеющих допуска к работе с персональными данными.

3.3.При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации; имени (наименовании) и адресе Станции; фамилию, имя, отчество и адрес субъекта ПДн; источник получения ПДн; сроки обработки ПДн; перечень действий с ПДн, которые будут совершаться в процессе их обработки; общее описание используемых Станцией способов обработки ПДн;

- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации (при необходимости получения письменного согласия на обработку ПДн в типовой форме);

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

3.4.При ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию Станции должны соблюдаться следующие условия:

необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена регламентом Станции, содержащим сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов ПДн, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки ПДн, а также сведения о порядке пропуска субъекта ПДн на территорию Станции без подтверждения подлинности персональных данных, сообщенных субъектом ПДн;

копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

ПДн каждого субъекта ПДн могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта ПДн на территорию Станции.

3.5.Запрещается без прямой служебной необходимости делать выписки персональных данных, распечатывать документы с персональными данными или записывать персональные данные на съёмные носители.

4.Систематизация и накопление персональных данных

4.1.Все ПДн субъекта, обрабатываемые на территории Станции с использованием средств автоматизации, заносятся в базу данных комплексной автоматизированной системы управления деятельностью Станцией с применением специального программного обеспечения.

4.2.При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:

- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;

- при необходимости накопления, уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4.3.Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

4.4.Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

4.5.При накоплении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.

5.Порядок хранения персональных данных

5.1.На Станции все документы с ПДн работников по срокам хранения разделяются:

- документы с постоянным сроком хранения – документы, непосредственно используемые в работе сотрудниками Станции;

- документы с временным сроком хранения – документы, хранящиеся на Станции для последующей передачи их на архивное хранение.

5.2.Хранение персональных данных соискателей вакантных должностей проводится отдельно от ПДн работников Станции и только на бумажном носителе в специальном выделенном для этих целей делопроизводстве.

5.3.Хранение ПДн с использованием средств автоматизации осуществляется на машинных носителях и съемных жестких дисках. Хранение машинных носителей, содержащих персональные данные, должно осуществляться в специальных папках, закрытых шкафах или сейфах, в порядке, исключающем доступ лиц, не допущенных к обработке соответствующих персональных данных.

5.4.Мониторы компьютеров, использующихся для обработки персональных данных, должны быть ориентированы таким образом, чтобы исключить визуальный просмотр информации с них лицами, не имеющими допуск к обработке ПДн.

5.5.В конце рабочего дня все документы, содержащие ПДн, должны быть убраны в шкафы (сейфы). Хранение ПДн на бумажных носителях должно осуществляться в закрываемых шкафах или сейфах, в порядке, исключающем доступ лиц, не допущенных к обработке соответствующих персональных данных.

5.6.Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование следующим образом:

- личные дела сотрудников, картотеки, учетные журналы и книги учета хранятся в запирающихся шкафах;

- трудовые книжки хранятся в несгораемом сейфе;

- бланки документов, ключи от рабочих шкафов сотрудников Станции хранятся у ответственного лица, назначенного приказом;

- хранение ПДн субъектов ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами Станции;

- ПДн субъектов ПДн хранятся в отделах (подразделениях) Станции, которые отвечают за взаимодействие с субъектами.

5.7.Сотрудник, имеющий доступ к ПДн субъектов ПДн, при уходе в отпуск, нахождении в служебной командировке и иных случаях длительного отсутствия на своем рабочем месте обязан передать документы и иные носители, содержащие ПДн, лицу, на которое приказом или распоряжением по Станции будет возложено исполнение его обязанностей. В случае если такое лицо не назначено, документы и иные носители, содержащие ПДн, передаются другому работнику, имеющему доступ к ПДн по указанию руководителя структурного подразделения.

5.8.При увольнении сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, сдаются сотрудником своему непосредственному руководителю.

5.9.Все помещения, в которых хранятся носители ПДн, оборудуются пожарной и охранной сигнализацией с выводом на пульт охраны Станции.

5.10.Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.

5.11.Категорически запрещается упоминать в разговоре с третьими лицами сведения, содержащие персональные данные.

5.12.Запрещается хранение или оставление бумажных документов и съёмных носителей, содержащих персональные данные, в виде, позволяющем осуществить визуальный просмотр содержащихся в них персональных данных, их фотографирование или несанкционированное создание копий. Напечатанные документы, содержащие персональные данные, должны изыматься из принтеров немедленно.

5.13.Запрещается в нерабочее время или за пределами служебных помещений упоминать в разговоре с кем-либо, включая любых работников Станции сведения, содержащие персональные данные.

5.14.Запрещается обсуждать порядок доступа, места хранения, средства и методы защиты персональных данных с кем-либо, кроме ответственного за организацию обработки персональных данных, администратора безопасности ИСПДн, руководства, или лица, уполномоченного руководством на обсуждение данных вопросов.

5.15.Запрещается выносить документы, съёмные носители или переносные компьютеры, содержащие персональные данные, за пределы служебных помещений Станции, если это не требуется для выполнения служебных (трудовых) обязанностей и если на это не дано разрешение руководства Станции или ответственного за организацию обработки персональных данных.

5.16.Режим конфиденциальности ПДн снимается в случаях их обезличивания и по истечении срока их хранения, если иное не определено законом.

Уточнение (обновление, изменение) персональных данных.

5.17.В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Станция обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Станции) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

5.18.В случае подтверждения факта неточности ПДн Станция на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Станции) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

5.19.Субъект ПДн имеет право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев, когда предоставление ПДн нарушает конституционные права и свободы других лиц), содержащей его ПДн. Субъект имеет право вносить предложения по внесению изменений в свои ПДн в случае обнаружения в них неточностей.

5.20.Исключение или исправление неверных, или неполных? ПДн сотрудников Станции осуществляют работники Станции по устному требованию сотрудника после предъявления подтверждающих документов.

5.21.Копии документов, являющихся основанием для исправления неверных или неполных данных ПДн сотрудников, хранятся совместно с документами сотрудника.

5.22.Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

6. Извлечение персональных данных

6.1.Извлечение персональных данных субъекта ПДн проводить путем переноса всей базы данных, содержащей ПДн субъекта (существенной части составляющих ее ПДн) на другой информационный носитель с использованием любых технических средств и в любой форме.

6.2.Извлечение персональных данных проводить только по письменному указанию руководителя Станции.

6.3.Запрещается без прямой служебной необходимости проводить извлечение персональных данных и распечатывать документы с извлеченными персональными данными или перезаписывать извлеченные персональные данные на съёмные носители.

7.Использование персональных данных

7.1.На Станции должны быть учтены все машинные и бумажные носители информации, содержащие ПДн.

7.2.Для организации учета машинных носителей ПДн каждому носителю присваивается учетный номер. Для этого все машинные носители должны быть промаркированы печатью или наклейкой с инвентарным номером. На носители (компакт-диски и др.), на которые наклеивание ярлыка недопустимо по техническим причинам, реквизиты ярлыка полностью наносятся на диск специальным нестираемым маркером.

7.3.Учет машинных носителей осуществляется по «Журналу учета машинных носителей ПДн».

7.4.Ежегодно необходимо проводить инвентаризацию всех носителей информации, на которых хранятся ПДн. Результаты инвентаризации должны документироваться.

7.5.Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.4.2 настоящих Правил.

7.6.Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

7.7.Станция обязана разъяснить субъекту ПДн положение принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения.

7.8.Сотрудники Станции получают доступ к ПДн субъектов исключительно в объеме, необходимом для выполнения своих должностных обязанностей.

7.9.Список сотрудников Станции, имеющих доступ к ПДн, определяется в «Перечне должностей сотрудников Станции, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным».

7.10.«Перечень должностей сотрудников Станции, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным»», разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введении новых должностей и т.п.) ответственным лицом на основании заявок руководителей подразделений.

7.11.Работнику, должность которого не включена в «Перечень должностей сотрудников Станции, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным», но которому необходим разовый или временный доступ к ПДн субъектов ПДн в связи с исполнением должностных обязанностей, распоряжением по Станции может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя сотрудника.

7.12.Работник Станции получает доступ к ПДн субъектов ПДн после ознакомления и изучения требований настоящих Правил и иных внутренних нормативных документов Станции по защите персональных данных в части, его касающейся.

8. Передача (распространение, предоставление, доступ) персональных данных

8.1.Сотрудник Станции или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу для выдачи документов, связанных с его трудовой деятельностью (копии приказов о приеме на работу, переводу на другую работу, увольнении с работы, выписок из трудовой книжки, справок о месте и периоде работы и др.).

8.2.Субъект ПДн (иное физическое лицо) или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу к руководству Станции.

8.3. Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта ПДн или его представителя;

- сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта ПДн в отношениях со Станцией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Станцией;

- подпись субъекта ПДн или его представителя.

В случае направления запроса по почте, он должен содержать нотариально заверенную подпись субъекта ПДн или его законного представителя.

8.4. Субъект ПДн имеет право на получение при обращении информации, касающейся обработки его ПДн, в том числе содержащей:

- подтверждение факта обработки ПДн Станцией;

- правовые основания и цели обработки ПДн;

- цели и применяемые Станцией способы обработки ПДн;

- наименование и место нахождения Станции, сведения о лицах (за исключением сотрудников Станции), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Станции, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные федеральными законами.

8.5.Уполномоченные лица обязаны сообщить субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя не позднее тридцати рабочих дней с даты получения запроса субъекта ПДн или его законного представителя.

8.6.Ответ в адрес субъекта ПДн может быть выдан на руки субъекту ПДн или его законному представителю курьером (непосредственно в руки адресату под роспись) или направлен через отделение почтовой связи заказным письмом с уведомлением о вручении.

8.7.В случае отказа в предоставлении субъекту ПДн или его законному представителю при обращении либо при получении запроса субъекта ПДн или его законного представителя информации о наличии ПДн о соответствующем субъекте ПДн, а также таких ПДн, уполномоченные лица обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта ПДн или его законного представителя, либо с даты получения запроса субъекта ПДн или его законного представителя.

8.8.Мотивированный ответ в адрес субъекта ПДн может быть выдан на руки субъекту ПДн или его законному представителю курьером (непосредственно в руки адресату под роспись) или направлен через отделение почтовой связи заказным письмом с уведомлением о вручении.

8.9.В случае отзыва субъектом ПДн согласия на обработку его ПДн Станция обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Станции) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Управления) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Станцией и субъектом ПДн, либо если Станция не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.

8.10.В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Станция обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Станции) с момента такого обращения или получения указанного запроса на период проверки.

8.11.В случае выявления неправомерной обработки ПДн, осуществляемой Станцией или лицом, действующим по поручению Станции, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Станции. В случае, если обеспечить правомерность обработки ПДн невозможно, Станция в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Станция обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, Станция также обязана уведомить указанный орган.

8.12.В случае достижения цели обработки ПДн Станция обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Станции) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Станции) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Станцией и субъектом ПДн, либо если Станция не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.

8.13.Передача (обмен и т.д.) ПДн между подразделениями Станции осуществляется только между сотрудниками, допущенными к обработке ПДн субъектов.

8.14.При передаче ПДн субъекта сотрудники, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

8.15.По истечении нормативных сроков временного хранения документы с ПДн работников Станции (документы по личному составу) передаются на архивное хранение только сотрудниками, допущенными к обработке ПДн субъектов, с обязательным оформлением итоговых документов передачи.

8.16.Допуск к ПДн сотрудников Станции, не имеющим надлежащим образом оформленного разрешения, запрещается.

8.17. Запрещается использовать для передачи персональных данных съёмные носители, не учтённые в «Журнале учета машинных носителей информации».

9.Обезличивание персональных данных

9.1.Обезличивание ПДн на Станции применяют к ПДн субъектов, не являющихся сотрудниками Станции.

9.2.Обезличивание осуществляют с применением автоматизированных информационных систем, которые обрабатывают ПДн субъектов в базе данных комплексной автоматизированной системы управления деятельностью Станцией с применением метода обезличивания – декомпозиция данных.

9.3.Массивы хранения сведений ПДн субъектов разделены на блоки, которые невозможно использовать по отдельности. Данный метод обезличивания ПДн субъектов приводит к тому, что применение полученной информации из базы данных Станции не имеет практического смысла.

9.4.Обезличивание ПДн должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

9.5.ПДн субъектов должны обезличиваться методами (обратимость, вариативность, изменяемость, стойкость, совместимость), определяющими возможность обеспечения заданных свойств обезличенных данных и обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

10.Уничтожение (удаление) персональных данных

10.1. ПДн субъекта подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Документом, подтверждающим удаление персональных данных, обработка которых осуществлялась без использования средств автоматизации, является акт об уничтожении персональных данных (далее – Акт).

Документом, подтверждающим удаление персональных данных, обработка которых осуществлялась с использованием средств автоматизации, является Акт и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – Выгрузка из журнала).

10.2.Бумажные документы с персональными данными, не подлежащие архивному хранению, уничтожаются только комиссией в составе сотрудника, ответственного за защиту ПДн и представителя структурного подразделения, в чьем ведении находятся указанные ПДн, с составлением Акта. Персональные данные, обрабатываемые в информационной системе, не подлежащие хранению в соответствии с законодательством Российской Федерации, уничтожаются только комиссией в составе сотрудника, ответственного за защиту ПДн и администратора информационной системы, в которой находятся указанные ПДн, с составлением Акта и Выгрузки из журнала.

10.3.Испорченные копии бумажных документов с персональными данными должны быть уничтожены без возможности их восстановления (например, в шредерах) с составлением Акта.

10.4.Бумажные документы с персональными данными соискателей вакантных должностей уничтожаются в течении 30 дней назначенной комиссией с составлением Акта.

10.5.Для машинных носителей допускается гарантированное удаление информации методом многократной перезаписи с помощью специализированных программ без уничтожения материального носителя.

10.6.Все машинные носители персональных данных, выведенные из эксплуатации, должны быть уничтожены без возможности восстановления с составлением Акта.

10.7.Большие объёмы бумажных документов с персональными данными, съёмные носители с персональными данными, а также встроенные в компьютеры носители с персональными данными должны уничтожаться под контролем ответственного за организацию обработки персональных данных, способом, исключающим дальнейшее восстановление информации.

10.8.Акт об уничтожении персональных данных и Выгрузка из журнала подлежат хранению в течении 3 лет с момента уничтожения персональных данных.

11.Регламент обмена/выдачи информации (ПДн субъекта) третьим лицам (физическим и юридическим)

11.1.К числу внешних потребителей ПДн Станции в соответствии с нормами действующего законодательства относятся государственные органы:

- налоговые органы;

- правоохранительные органы;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения муниципальных органов управления;

- банк, в который Станция осуществляет перечисление заработной платы в соответствии с заявлением сотрудника;

- судебные органы по запросу субъекта ПДн.

11.2. При передаче ПДн субъекта уполномоченные лица должны придерживаться следующих требований:

- передача ПДн субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, установленных федеральными законами;

- не допускается передача ПДн субъекта в коммерческих целях без его письменного согласия;

- сотрудникам Станции, имеющим доступ к ПД, запрещена запись, хранение и вынос за пределы Станции на внешних носителях информации (диски, дискеты, USB флэш-карты и т.п.), передача по внешним адресам электронной почты или размещение в сети Интернет информации, содержащей ПДН субъектов, за исключением случаев, указанных в настоящих Правилах или установленных иными внутренними документами Станции;

- передача третьим лицам документов (иных материальных носителей), содержащих ПДн субъектов, осуществляется по письменному запросу третьего лица на предоставление ПДн субъекта. Ответы на письменные запросы даются на бланке Станции и в том объеме, который позволяет не разглашать излишних сведений о субъекте ПДн.

- работники Станции, передающие ПДн субъектов третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена, и с предупреждением об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами. Уведомление и предупреждение могут быть реализованы путем подписания акта передачи носителей ПДн, в котором приведены указанные условия или прописаны в самом тексте документа, содержащего ПДн субъектов;

- представителю субъекта (в том числе адвокату) ПДн передаются в порядке, установленном действующим законодательством и настоящим документом. Информация передается при наличии одного из документов:

- нотариально удостоверенной доверенности представителя субъекта;

- письменного заявления субъекта, написанного в присутствии уполномоченного сотрудника (если заявление написано субъектом не в его присутствии, то оно должно быть нотариально заверено).

- предоставление ПДн субъекта государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации;

- ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством РФ;

- документы, содержащие ПДн субъекта, могут быть отправлены посредством федеральной почтовой связи заказным письмом. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие ПДн, вкладываются в конверт, в документах делается надпись о том, что ПДн, содержащиеся в письме, являются конфиденциальной информацией и не подлежат распространению и (или) опубликованию. Лица, виновные в нарушении требований конфиденциальности, несут ответственность, предусмотренную законодательством Российской Федерации.

11.3.Учет переданных ПДн осуществляется в рамках принятых на Станции правил делопроизводства путем регистрации входящей и исходящей корреспонденции и запросов о предоставлении ПДн физических (юридических) лиц либо их представителей с обязательной записью в «Журнале учета передачи персональных данных».

11.4.В случае, если лицо, обратившееся с запросом на предоставление ПДн, не уполномочено на получение информации, относящейся к ПДн, уполномоченные лица Станции обязаны отказать данному лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция). В случае, если запрашивались ПДн сотрудника Станции, копия уведомления также подшивается в личное дело сотрудника, ПДн которого не были предоставлены.

11.5. Категорически запрещается передача ПДн по телефону.

12.Ответственность

12.1.Каждый сотрудник Станции должен быть ознакомлен с настоящими Правилами под роспись при приеме на работу, а для сотрудников, принятых на работу ранее даты утверждения настоящих Правил, не позднее 1 (одного) месяца с даты утверждения настоящих Правил.

12.2.Сотрудник, которому в силу трудовых отношений со Станцией стала известна информация, составляющая ПДн, в случае нарушения режима защиты этих ПДн несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами Российской Федерации.

12.3. Разглашение персональных данных субъектов ПДн (передача их посторонним лицам, в том числе сотрудникам Станции, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящими Правилами, локальными нормативными актами (приказами, распоряжениями) Станции, может повлечь наложение на сотрудника, имеющего доступ к ПДн, дисциплинарного взыскания, если иное не предусмотрено законодательством РФ.

12.4.Сотрудник Станции, имеющий доступ к ПДн субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Станции.

12.5.Сотрудники Станции, имеющие доступ к ПДн субъектов, виновные в незаконном разглашении или использовании ПДн субъектов без согласия субъектов из корыстной или иной личной заинтересованности несут ответственность в соответствии с законодательством РФ.


Заместитель главного врача

по медицинской части  

СС и НМП им. А.С. Пучкова          

 

 

Е.В. Черняков