Во исполнение
постановления правительства РФ от 21.03.2012 года № 211 "Об утверждении
перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных ФЗ "О персональных данных" и принятии в соответствии с
ним нормативными провавыми актами, операторами, являющимися государственными или муниципальными органами"
ГУЗ "Елецкая РБ" публикует:
Государственное
учреждение
здравоохранения
«Елецкая РБ»
Приказ
от «____»_____________2016г.
№______
п.
Газопровод
Об
утверждении документов, направленных
на
обеспечение выполнения
обязанностей, предусмотренных
Федеральным
законом «О персональных данных»
В целях обеспечения выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных» и
Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об
утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных»,
приказываю:
1. Назначить ответственным за
организацию обработки персональных данных в ГУЗ «Елецкая РБ» начальника отдела
кадров А.В. Долматову.
2. Утвердить следующие документы,
направленные на обеспечение выполнения обязанностей, предусмотренных
Федеральным законом «О персональных данных»:
Правила обработки персональных данных,
устанавливающие процедуры, направленные на выявление и предотвращение нарушений
законодательства Российской Федерации в сфере персональных данных, а также
определяющие для каждой цели обработки персональных данных содержание
обрабатываемых персональных данных, категории субъектов, персональные данные
которых обрабатываются, сроки их обработки и хранения, порядок уничтожении при
достижении целей обработки или при наступлении иных законных оснований
(Приложение № 1);
Правила рассмотрения запросов субъектов
персональных данных или их представителей (Приложение № 2);
Правила осуществления внутреннего
контроля соответствия обработки персональных данных требованиям к защите
персональных данных, установленным Федеральным законом «О персональных данных»,
принятыми в соответствии с ним нормативными правовыми актами и локальными
актами оператора (Приложение № 3);
Правила работы с обезличенными данными»
(Приложение № 4);
Перечень информационных систем
персональных данных (Приложение N 5);
Перечень персональных данных,
обрабатываемых в Учреждении (Приложение № 6);
Перечень должностей работников,
ответственных за проведение мероприятий по обезличиванию обрабатываемых
персональных данных» (Приложение №7);
Перечень должностей работников,
должностные обязанности которых предусматривают осуществление обработки
персональных данных либо осуществление доступа к персональным данным»
(Приложение № 8);
Должностная инструкция ответственного за
организацию обработки персональных данных в Учреждении» (Приложение № 9);
Типовое обязательство работника,
непосредственно осуществляющего обработку персональных данных, в случае
расторжения с ним трудового договора прекратить обработку персональных данных,
ставших известными ему в связи с исполнением должностных обязанностей»
(Приложение №10);
Типовая форма согласия на обработку
персональных данных работников, иных субъектов персональных данных, а также
типовая форма разъяснения субъекту персональных данных юридических последствий
отказа предоставить свои персональные данные» (Приложение № 11);
Порядок доступа работников в помещения,
в которых ведется обработка персональных данных» (Приложение № 12);
3. Контроль за исполнением настоящего
приказа оставляю за собой.
Главный
врач ГУЗ «Елецкая РБ» Д.А. Юзбеков
Приложение
№ 1 к приказу
ГУЗ «Елецкая РБ»
от
«___»______2016 г. №_______
Правила
обработки персональных данных, устанавливающие процедуры, направленные на
выявление и предотвращение нарушений законодательства российской федерации в
сфере персональных данных, а также определяющие для каждой цели обработки
персональных данных содержание обрабатываемых персональных данных, категории
субъектов, персональные данные которых обрабатываются, сроки их обработки и
хранения, порядок уничтожения при достижении целей обработки или при
наступлении иных законных оснований
Перечень сокращений:
ПДн
Персональные
данные
Оператор Государственный орган, муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели обработки
персональных данных, состав персональных данных, подлежащих обработке, действия
(операции), совершаемые с персональными данными
НСД
Несанкционированный
доступ
АИС
Автоматизированная
информационная система
ИСПДн
Информационная система персональных
данных
СКЗИ
Средство криптографической защиты
информации
АРМ
Автоматизированное рабочее место
Правила Правила
обработки персональных данных, устанавливающие процедуры, направленные на
выявление и предотвращение нарушений законодательства Российской Федерации в
сфере персональных данных, а также определяющие для каждой цели обработки
персональных данных содержание обрабатываемых персональных данных, категории
субъектов, персональные данные которых обрабатываются, сроки их обработки и
хранения, порядок уничтожения при достижении целей обработки или при
наступлении иных законных оснований
Учреждение Государственное учреждение здравоохранения «Елецкая районная
больница»
Термины и определения:
Автоматизированная обработка персональных данных — обработка персональных
данных с помощью средств вычислительной техники.
Блокирование персональных данных — временное прекращение
обработки персональных данных (за исключением случаев, если обработка
необходима для уточнения персональных данных).
Документированная информация —
зафиксированная на материальном носителе путем документирования информация с реквизитами,
позволяющими определить такую информацию или ее материальный носитель.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий и технических средств.
Использование персональных данных — действия (операции) с персональными данными, совершаемые
должностным лицом (лицами) Учреждения в целях принятия решений или совершения
иных действий, порождающих юридические последствия в отношении сотрудников либо
иным образом затрагивающих их права и свободы или права и свободы других лиц.
Конфиденциальность персональных данных — обязанность Учреждения и его сотрудников не раскрывать третьим
лицам и не распространять персональные данные без согласия субъекта
персональных данных, если иное не предусмотрено федеральным законом.
Персональные данные (ПДн) – любая
информация, относящаяся к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление,
изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных.
Обработка персональных данных без использования средств автоматизации
(неавтоматизированная) — обработка персональных данных
соответствующая характеру действий (операций), совершаемых с персональными
данными с использованием средств автоматизации, то есть позволяющая
осуществлять в соответствии с заданным алгоритмом поиск персональных данных,
зафиксированных на материальном носителе и содержащихся в картотеках или иных
систематизированных собраниях персональных данных, и (или) доступ к таким
персональным данным.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым
предоставлен с согласия субъекта ПДн или на которые в соответствии с
федеральными законами не распространяется требование соблюдения
конфиденциальности.
Предоставление персональных данных — действия, направленные на
раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных – действия, в
результате которых становится невозможным восстановить содержание персональных
данных в информационной системе персональных данных и (или) в результате
которых уничтожаются материальные носители персональных данных.
Обезличивание
персональных данных
- действия, в результате которых становится невозможным без использования
дополнительной информации определить принадлежность персональных данных конкретному
субъекту персональных данных.
1.
Общие положения
1.1. Настоящие Правила разработаны в
соответствии с:
Статьей 24 Конституции Российской Федерации;
Главой 14
Трудового Кодекса Российской Федерации;
Федеральным законом Российской Федерации № 152-ФЗ «О персональных
данных» от 27.07.2006;
Федеральным законом № 149-ФЗ «Об информации, информационных
технологиях и о защите информации» от
27.07.2006;
Постановлением Правительства РФ от 21.03.2012 № 211 «Об
утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных» и принятыми в
соответствии с ним нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами»;
Постановлением Правительства РФ от 01.11.2012 № 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
Постановлением Правительства РФ от 15.09.2008 № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований
о защите информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах».
Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении
Состава и содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных».
Приказом Роскомнадзора от 05.09.2013 N 996 «Об утверждении
требований и методов по обезличиванию персональных данных»
Методические рекомендации по применению приказа Роскомнадзора
от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по
обезличиванию персональных данных» (утв. Федеральной службой по надзору в сфере
связи, информационных технологий и массовых коммуникаций 13 декабря
2013 г.)
1.2. Цель разработки документа —
определение порядка обработки ПДн субъектов ПДн; обеспечение защиты прав и
свобод субъектов ПДн при обработке их ПДн, а также установление ответственности
должностных лиц, имеющих доступ к ПДн субъектов, за невыполнение требований
норм, регулирующих обработку и защиту ПДн.
1.3. Порядок ввода в действие и изменения Правил.
1.3.1
Настоящие Правила вступают в силу с момента их
утверждения Руководителем Учреждения и действуют бессрочно, до замены их новыми
Правилами.
1.3.2
Все изменения в Правила вносятся приказом.
2.1
Персональные данные, обрабатываемые в Учреждении,
относятся к сведениям конфиденциального характера (конфиденциальной информации).
2.2
В
Учреждении обрабатываются ПДн следующих субъектов ПДн:
сотрудники Учреждения;
субъекты ПДн, не являющиеся сотрудниками Учреждения.
3.1. Обработка ПДн осуществляется после
получения согласия субъекта ПДн, за
исключением случаев, предусмотренных частью 3.2 настоящих Правил.
3.2. Согласие субъекта ПДн,
предусмотренное п.3.1 настоящих Правил
не требуется в следующих случаях:
1) обработка ПДн необходима для достижения целей,
предусмотренных международным договором Российской Федерации или законом, для
осуществления и выполнения, возложенных законодательством Российской Федерации
на Учреждение функций, полномочий и обязанностей;
2) обработка ПДн необходима для осуществления правосудия,
исполнения судебного акта, акта другого органа или должностного лица,
подлежащих исполнению в соответствии с законодательством Российской Федерации
об исполнительном производстве;
3) обработка ПДн необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому является субъект
ПДн, а также для заключения договора по инициативе субъекта ПДн или договора,
по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
4) обработка ПДн необходима для защиты жизни, здоровья или
иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн
невозможно;
5) обработка ПДн необходима для осуществления прав и законных
интересов Учреждения или третьих лиц, либо для достижения общественно значимых
целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
3.3. Письменное согласие субъекта ПДн
должно включать:
1) фамилию, имя, отчество, адрес
субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения
о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес
представителя субъекта ПДн, номер основного документа, удостоверяющего его
личность, сведения о дате выдачи указанного документа и выдавшем его органе,
реквизиты доверенности или иного документа, подтверждающего полномочия этого
представителя (при получении согласия от представителя субъекта ПДн);
3) наименование или фамилию, имя,
отчество и адрес Оператора;
4) цель обработки ПДн;
5) перечень ПДн, на обработку которых
дается согласие субъекта ПДн;
6) наименование или фамилию,
имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора,
если обработка будет поручена такому лицу;
7) перечень действий с ПДн, на
совершение которых дается согласие, общее описание используемых оператором
способов обработки ПДн;
8) срок, в течение которого действует
согласие субъекта ПДн, а также способ его отзыва, если иное не установлено
федеральным законом;
9) подпись
субъекта ПДн.
3.4. Обработка специальных категорий ПДн,
касающихся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья, интимной жизни, не
допускается, за исключением случаев, предусмотренных п. 3.5 настоящих Правил.
3.5. Обработка специальных категорий ПДн
допускается в случаях, если:
1) субъект ПДн дал согласие в письменной форме на обработку
своих ПДн;
2) ПДн сделаны общедоступными субъектом ПДн;
3) обработка ПДн осуществляется в соответствии с
законодательством о государственной социальной помощи, трудовым
законодательством, законодательством Российской Федерации о пенсиях по
государственному пенсионному обеспечению, о трудовых пенсиях;
4) обработка ПДн необходима для защиты жизни, здоровья или
иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных
жизненно важных интересов других лиц и получение согласия субъекта ПДн
невозможно;
5) обработка ПДн необходима для установления или
осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с
осуществлением правосудия;
6) обработка ПДн осуществляется в соответствии с
законодательством Российской Федерации об обороне, о безопасности, о
противодействии терроризму, о транспортной безопасности, о противодействии
коррупции, об оперативно-розыскной деятельности, об исполнительном
производстве, уголовно-исполнительным законодательством Российской Федерации;
7) обработка ПДн
осуществляется в соответствии с законодательством об обязательных видах
страхования, со страховым законодательством.
3.6. Лица, допущенные к обработке ПДн, в
обязательном порядке под роспись знакомятся с требованиями настоящих Правил.
3.7. Запрещается:
обрабатывать ПДн в присутствии лиц, не допущенных к их
обработке;
осуществлять
ввод ПДн под диктовку (голосовой ввод).
Обработка ПДн подразделяется на:
обработка ПДн в ИСПДн;
обработка ПДн, осуществляемая без использования средств
автоматизации.
4.1.1
Обработка
ПДн в ИСПДн с использованием средств автоматизации осуществляется в
соответствии с требованиями Постановления Правительства Российской Федерации от
01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при
их обработке в информационных системах персональных данных», нормативных и
руководящих документов уполномоченных федеральных органов исполнительной
власти.
Не допускается обработка ПДн в ИСПДн
с использованием средств автоматизации, если применяемые меры и средства
обеспечения безопасности не соответствуют требованиям, утвержденным Постановлением
Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных
системах персональных данных».
Обработка ПДн с
использованием средств автоматизации осуществляется в рамках ИСПДн Учреждения и
внешних информационных систем, предоставляемых
сторонними организациями. Состав ИСПДн Учреждения определяется «Перечнем
информационных систем персональных данных», утверждаемым руководителем Учреждения.
4.2.1
Лица,
осуществляющие обработку ПДн без использования средств автоматизации (в том
числе сотрудники Учреждения или лица,
осуществляющие такую обработку по
договору с Учреждением), должны быть проинформированы о факте обработки ими ПДн,
обработка которых осуществляется Учреждением без использования средств
автоматизации, категориях обрабатываемых ПДн, а также об особенностях и
правилах осуществления такой обработки, установленных нормативными правовыми
актами федеральных органов исполнительной власти, органов исполнительной власти
субъектов Российской Федерации, а также локальными правовыми актами Учреждения.
4.2.2
При использовании
типовых форм документов, характер информации в которых предполагает или
допускает включение в них ПДн (далее - типовая форма), должны соблюдаться
следующие условия:
типовая форма или связанные с ней
документы (инструкция по ее заполнению, карточки, реестры и журналы) должны
содержать сведения о цели обработки ПДн, осуществляемой без использования
средств автоматизации; имени (наименовании) и адресе Учреждения; фамилию, имя,
отчество и адрес субъекта ПДн;
источник получения ПДн; сроки
обработки ПДн; перечень действий с ПДн, которые будут совершаться в процессе
их обработки; общее описание используемых Учреждением способов обработки ПДн;
типовая форма должна предусматривать
поле, в котором субъект ПДн может
поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при
необходимости получения письменного согласия на обработку ПДн;
типовая форма должна исключать
объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
5.1.1.
Учреждение получает ПДн непосредственно от субъекта ПДн
или от законных представителей субъектов, наделенных соответствующими
полномочиями.
5.1.2.
Субъект
ПДн обязан предоставлять Учреждению достоверные сведения о себе. Учреждение
имеет право проверять достоверность сведений, предоставленных субъектом, сверяя
данные, предоставленные субъектом, с имеющимися у Учреждения документами.
Предоставление
субъектом ПДн - сотрудником Учреждения подложных документов или заведомо ложных
сведений при заключении трудового договора является основанием для расторжения
трудового договора в соответствии с пунктом 11 части первой статьи 81 Трудового
кодекса Российской Федерации.
При изменении
ПДн субъект ПДн - сотрудник Учреждения
письменно уведомляет Учреждение о таких изменениях в разумный срок, не
превышающий 14 дней с момента изменений. Данное обязательство не
распространяется на изменение ПДн, предоставление которых требует
соответствующее согласие сотрудника.
5.1.3.
Еcли обязанность
предоставления ПДн установлена федеральным законом, сотрудники Учреждения
обязаны разъяснить субъекту ПДн юридические последствия отказа предоставить
свои ПДн;
5.1.4. Если ПДн
получены не от субъекта ПДн, Учреждение, за исключением случаев,
предусмотренных частью 4 статьи 18 Федерального закона Российской Федерации от
27.07.2006 № 152-ФЗ «О персональных данных», до начала обработки таких ПДн
обязано предоставить субъекту ПДн следующую информацию:
1)
наименование либо фамилия, имя, отчество и адрес оператора или его
представителя;
2) цель
обработки ПДн и ее правовое основание;
3)
предполагаемые пользователи ПДн;
4)
установленные федеральным законом права субъекта ПДн;
5) источник
получения ПДн.
5.1.5. Учреждение
освобождается от обязанности предоставить субъекту ПДн сведения,
предусмотренные п. 5.1.4, в случаях, если:
1) субъект ПДн уведомлен об
осуществлении обработки его ПДн соответствующим оператором;
2) ПДн получены Учреждением на основании федерального
закона или в связи с исполнением договора, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект ПДн;
3) ПДн сделаны общедоступным субъектом ПДн или получены из общедоступного
источника.
5.2.1.
Персональные
данные субъектов ПДн хранятся на материальных носителях (бумажные, электронные
носители), в том числе и на внешних (съемных) электронных носителях в ИСПДн.
5.2.2.
В
целях обеспечения сохранности и конфиденциальности ПДн все операции по
оформлению, формированию, ведению и хранению
данной информации должны выполняться только сотрудниками Учреждения,
осуществляющими данную работу в соответствии со своими служебными
обязанностями, зафиксированными в их должностных инструкциях.
5.2.3.
Хранение
ПДн должно происходить в порядке, исключающем их утрату или неправомерное
использование.
5.2.4.
При
работе с документами, содержащими ПДн, запрещается оставлять их на рабочем
месте или оставлять шкафы (сейфы) с данными документами открытыми (незапертыми)
в случае выхода из рабочего помещения.
5.2.5.
В
конце рабочего дня все документы, содержащие ПДн, должны быть убраны в шкафы
(сейфы).
5.2.6.
Хранение
документов, содержащих ПДн сотрудников Учреждения, должно осуществляться
следующим образом:
Личные дела сотрудников, картотеки,
учетные журналы и книги учета хранятся в запирающихся шкафах;
Трудовые книжки хранятся в несгораемом
сейфе;
Бланки документов, ключи от рабочих
шкафов сотрудников отдела организационной правовой работы и кадров хранятся у
ответственного лица, назначенного начальником отдела;
Хранение ПДн субъектов ПДн
осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем
этого требуют цели их обработки в соответствии со сроками хранения,
определяемыми законодательством Российской Федерации и нормативными документами
Учреждения;
ПДн субъектов ПДн хранятся в отделах
(подразделениях) Учреждения, которые отвечают за взаимодействие с субъектами;
ПДн на бумажных носителях должны
находиться в помещениях Учреждения в сейфах, металлических или запираемых
шкафах, обеспечивающих защиту от несанкционированного доступа;
Доступ к ИСПДн, содержащим ПДн,
должен обеспечиваться с использованием средств защиты от несанкционированного
доступа и копирования;
Все электронные носители ПДн должны
быть учтены. Учет внешних съемных электронных носителей информации, содержащих ПДн,
осуществляется в подразделениях, осуществляющих обработку ПДн.
5.2.7.Сотрудник,
имеющий доступ к ПДн сотрудников Учреждения в связи с исполнением трудовых
обязанностей:
обеспечивает хранение информации,
содержащей ПДн, исключающее доступ к ним третьих лиц;
при уходе в отпуск, нахождении в служебной
командировке и иных случаях длительного отсутствия сотрудника на своем рабочем
месте он обязан передать документы и иные носители, содержащие ПДн, лицу, на
которое приказом или распоряжением Учреждения будет возложено исполнение его
трудовых обязанностей.
Примечание 1. В случае если такое лицо не назначено,
документы и иные носители, содержащие ПДн, передаются другому работнику,
имеющему доступ к ПДн по указанию руководителя структурного подразделения.
Примечание 2. Сотрудники отдела кадров,
осуществляющие ведение личных дел сотрудников Учреждения, обязаны обеспечивать
конфиденциальность сведений, содержащихся в личных делах сотрудников Учреждения.
Примечание 3. Сотрудники отдела кадров, осуществляющие
ведение личных дел сотрудников Учреждения, обязаны ознакамливать сотрудника Учреждения
с документами своего личного дела не реже одного раза в год, а также по просьбе
сотрудника и во всех иных случаях, предусмотренных законодательством Российской
Федерации.
5.2.8. При увольнении сотрудника,
имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, сдаются сотрудником
своему непосредственному руководителю.
5.2.9. Режим конфиденциальности ПДн
снимается в случаях их обезличивания и по истечении срока их хранения, если
иное не определено законом.
5.2.10. После увольнения сотрудника
папка «Личное дело сотрудника» перемещается в архив уволенных сотрудников и
хранится в архиве 75 лет.
5.3.1.
В
Учреждении должны быть учтены все машинные и бумажные носители информации,
содержащие ПДн.
5.3.2. Для
организации учета машинных носителей ПДн каждому носителю присваивается учетный
номер. Для этого все машинные носители должны быть промаркированы печатью или наклейкой
с инвентарным номером. На носители (компакт-диски и др.), на которые
наклеивание ярлыка недопустимо по техническим причинам, реквизиты ярлыка
полностью наносятся на диск специальным нестираемым маркером.
5.3.3. Учет машинных носителей
осуществляется по «Журналу учета машинных носителей ПДн».
5.3.4. Ежегодно необходимо проводить инвентаризацию
всех носителей информации, на которых хранятся ПДн. Результаты инвентаризации
должны документироваться.
5.4.1.
Запрещается
принятие на основании исключительно автоматизированной обработки ПДн решений,
порождающих юридические последствия в отношении субъекта ПДн или иным образом
затрагивающих его права и законные интересы, за исключением случаев,
предусмотренных п. 5.4.2 настоящих Правил.
5.4.2.
Решение,
порождающее юридические последствия в отношении субъекта ПДн или иным образом
затрагивающее его права и законные интересы, может быть принято на основании
исключительно автоматизированной обработки его ПДн только при наличии согласия
в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными
законами, устанавливающими также меры по обеспечению соблюдения прав и законных
интересов субъекта ПДн.
5.4.3.
Учреждение
обязано разъяснить субъекту ПДн положение принятия решения на основании
исключительно автоматизированной обработки его ПДн и возможные юридические
последствия такого решения, предоставить возможность заявить возражение против
такого решения.
5.4.4.
С
документами, содержащими ПДн сотрудника, которые создаются в Учреждении в
период трудовой деятельности сотрудника (приказы, служебные записки и т.п.), сотрудник
должен быть ознакомлен под роспись.
5.4.5.
Исключение
или исправление неверных или неполных ПДн сотрудников Учреждения осуществляют
работники отдела кадров по устному требованию сотрудника после предъявления
подтверждающих документов.
5.4.6.
Копии
документов, являющихся основанием для
исправления неверных или неполных данных ПДн сотрудников, хранятся в папке
«Личное дело сотрудника».
5.5.1.
Приказом
по Учреждению назначается лицо,
ответственное за организацию обработки ПДн в Учреждении (далее - Ответственное лицо).
5.5.2.
Ответственное лицо получает указания
непосредственно от Руководителя Учреждения и подотчетно ему.
5.5.3.
Ответственное
лицо обязано:
1) осуществлять
внутренний контроль за соблюдением Учреждением
и его сотрудниками законодательства Российской Федерации о ПДн, в том
числе требований к защите ПДн;
2) доводить
до сведения сотрудников Учреждения положения законодательства Российской
Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите
ПДн;
3)
организовывать прием и обработку обращений и запросов субъектов ПДн или их
представителей и (или) осуществлять контроль за приемом и обработкой таких
обращений и запросов.
5.6.1.
Сотрудники
Учреждения получают доступ к ПДн субъектов ПДн исключительно в объеме,
необходимом для выполнения своих должностных обязанностей.
5.6.2.
Список
сотрудников Учреждения, имеющих доступ к ПДн, определяется в «Перечне должностей
работников Учреждения, замещение которых предусматривает осуществление
обработки персональных данных либо осуществление доступа к персональным данным»;
5.6.3.
«Перечень
должностей работников Учреждения, замещение которых предусматривает
осуществление обработки персональных данных либо осуществление доступа к
персональным данным», разрабатывается и пересматривается по мере необходимости
(изменение организационно-штатной структуры, введении новых должностей и т.п.) ответственным
лицом на основании заявок руководителей (начальников) отделов (подразделений).
5.6.4.
Работнику,
должность которого не включена в «Перечень должностей работников Учреждении,
замещение которых предусматривает осуществление обработки персональных данных
либо осуществление доступа к персональным данным», но которому необходим
разовый или временный доступ к ПДн субъектов ПДн в связи с исполнением
должностных обязанностей, распоряжением Руководителя Учреждения может быть
предоставлен такой доступ на основании письменного мотивированного запроса
непосредственного руководителя сотрудника.
5.6.5.
Работник
Учреждения получает доступ к ПДн субъектов ПДн после ознакомления и изучения требований настоящих Правил и иных внутренних
нормативных документов Учреждения по защите персональных данных в части, его
касающейся.
5.7.1.
Субъект
ПДн имеет право на свободный доступ к своим ПДн, включая право на получение
копии любой записи (за исключением случаев, когда предоставление ПДн нарушает
конституционные права и свободы других лиц), содержащей его ПДн. Субъект имеет
право вносить предложения по внесению изменений в свои ПДн в случае обнаружения
в них неточностей.
5.7.2.
Субъект
ПДн – сотрудник Учреждения или его законный представитель, получает доступ к
своим ПДн или к иной информации, касающейся обработки его ПДн по запросу в
следующее подразделение:
Отдел кадров для выдачи документов,
связанных с его трудовой деятельностью (копии приказов о приеме на работу,
переводу на другую работу, увольнении с работы, выписок из трудовой книжки,
справок о месте работы, периоде работы в Учреждении и др.);
5.7.3.
Субъект
ПДн – иное физическое лицо или его законный представитель, получает доступ к
своим ПДн или к иной информации, касающейся обработки его ПДн по запросу
Ответственному лицу.
5.7.4.
Запрос
должен содержать номер основного документа, удостоверяющего личность субъекта ПДн
или его представителя, сведения о дате выдачи указанного документа и выдавшем
его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Учреждением
(номер договора, дата заключения договора, условное словесное обозначение и
(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки
ПДн Учреждением, подпись субъекта ПДн или его представителя. В случае
направления запроса по почте, он должен содержать нотариально заверенную подпись
субъекта ПДн или его законного представителя.
5.7.5.
Субъект
ПДн имеет право на получение при обращении информации, касающейся обработки его
ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн Учреждением;
2) правовые основания и цели
обработки ПДн;
3) цели и применяемые Учреждением
способы обработки ПДн;
4) наименование и место нахождения Учреждения,
сведения о лицах (за исключением сотрудников Учреждении), которые имеют доступ
к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором
или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к
соответствующему субъекту ПДн, источник их получения, если иной порядок
представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе
сроки их хранения;
7) порядок осуществления субъектом ПДн
прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о
предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество
и адрес лица, осуществляющего обработку ПДн по поручению Учреждения, если
обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные
федеральными законами.
5.7.6.
Уполномоченные
лица обязаны сообщить субъекту ПДн или его законному представителю информацию о
наличии ПДн, относящуюся к соответствующему субъекту ПДн, а также предоставить
возможность ознакомления с ней при обращении субъекта ПДн или его законного
представителя не позднее тридцати рабочих дней с даты получения запроса
субъекта ПДн или его законного представителя.
5.7.7.
Ответ
в адрес субъекта ПДн может быть направлен через отделение почтовой связи
заказным письмом с уведомлением о вручении или курьером (непосредственно в руки
адресату под роспись).
5.7.8.
В
случае отказа в предоставлении субъекту ПДн или его законному представителю при
обращении либо при получении запроса субъекта ПДн или его законного
представителя информации о наличии ПДн о соответствующем субъекте ПДн, а также
таких ПДн, уполномоченные лица обязаны дать в письменной форме мотивированный
ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О
персональных данных» или иного федерального закона, являющееся основанием для
такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения
субъекта ПДн или его законного представителя, либо с даты получения запроса
субъекта ПДн или его законного представителя.
5.7.9.
Мотивированный
ответ в адрес субъекта ПДн может быть направлен через отделение почтовой связи
заказным письмом с уведомлением о вручении или курьером (непосредственно в руки
адресату под роспись).
5.7.10. В случае отзыва субъектом ПДн
согласия на обработку его ПДн Учреждение обязано прекратить их обработку или
обеспечить прекращение такой обработки (если обработка ПДн осуществляется
другим лицом, действующим по поручению Учреждении) и в случае, если сохранение ПДн
более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их
уничтожение (если обработка ПДн осуществляется другим лицом, действующим по
поручению Учреждения) в срок, не превышающий тридцати дней с даты поступления
указанного отзыва, если иное не предусмотрено договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект ПДн, иным
соглашением между Учреждением и субъектом ПДн, либо если Учреждение не вправе
осуществлять обработку ПДн без согласия субъекта ПДн на основаниях,
предусмотренных федеральными законами.
5.7.11. В случае выявления неправомерной
обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу
субъекта ПДн или его представителя либо уполномоченного органа по защите прав
субъектов ПДн Учреждение обязано осуществить блокирование неправомерно
обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их
блокирование (если обработка ПДн осуществляется другим лицом, действующим по
поручению Учреждения) с момента такого обращения или получения указанного
запроса на период проверки. В случае выявления неточных ПДн при обращении
субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного
органа по защите прав субъектов ПДн Учреждение обязано осуществить блокирование
ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если
обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения)
с момента такого обращения или получения указанного запроса на период проверки,
если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или
третьих лиц.
5.7.12. В случае подтверждения факта
неточности ПДн Учреждение на основании сведений, представленных субъектом ПДн
или его представителем либо уполномоченным органом по защите прав субъектов ПДн,
или иных необходимых документов обязано уточнить ПДн либо обеспечить их
уточнение (если обработка ПДн осуществляется другим лицом, действующим по
поручению Учреждения) в течение семи рабочих дней со дня представления таких
сведений и снять блокирование ПДн.
5.7.13. В случае выявления неправомерной
обработки ПДн, осуществляемой Учреждением или лицом, действующим по поручению Учреждении,
оператор в срок, не превышающий трех рабочих дней с даты этого выявления,
обязан прекратить неправомерную обработку ПДн или обеспечить прекращение
неправомерной обработки ПДн лицом, действующим по поручению Учреждения. В
случае, если обеспечить правомерность обработки ПДн невозможно, Учреждение в
срок, не превышающий десяти рабочих дней с даты выявления неправомерной
обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об
устранении допущенных нарушений или об уничтожении ПДн Учреждение обязано
уведомить субъекта ПДн или его представителя, а в случае, если обращение
субъекта ПДн или его представителя либо запрос уполномоченного органа по защите
прав субъектов ПДн были направлены уполномоченным органом по защите прав
субъектов ПДн, также указанный орган.
5.7.14. В случае достижения цели обработки ПДн Учреждение
обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн
осуществляется другим лицом, действующим по поручению Учреждения) и уничтожить ПДн
или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом,
действующим по поручению Учреждения) в срок, не превышающий тридцати дней с
даты достижения цели обработки ПДн, если иное не предусмотрено договором,
стороной которого, выгодоприобретателем или поручителем по которому является
субъект ПДн, иным соглашением между Учреждением и субъектом ПДн, либо если Учреждение
не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях,
предусмотренных федеральными законами.
5.7.15. Передача (обмен и т.д.) ПДн между отделами
(подразделениями) Учреждения осуществляется только между сотрудниками, имеющими
доступ к ПДн субъектов.
5.7.16. При передаче ПДн субъекта сотрудники,
осуществляющие передачу, предупреждают лиц, получающих данную информацию, о
том, что эти данные могут быть использованы лишь в целях, для которых они
сообщены.
5.7.17. Допуск к ПДн сотрудников Учреждения,
не имеющим надлежащим образом оформленного разрешения, запрещается.
5.8.1.
К
числу внешних потребителей ПДн Учреждения в соответствии с нормами действующего
законодательства относятся государственные органы:
налоговые
органы;
правоохранительные
органы;
военкоматы;
органы
социального страхования;
пенсионные
фонды;
банк, в который Учреждение осуществляет перечисление заработной платы в
соответствии с заявлением сотрудника;
судебные
органы по запросу субъекта ПДн.
5.8.2.
При
передаче ПДн субъекта уполномоченные лица должны придерживаться следующих требований:
Передача ПДн субъекта третьим лицам осуществляется только с письменного
согласия субъекта, за исключением случаев, установленных федеральными законами;
Не допускается передача ПДн субъекта в коммерческих целях без его
письменного согласия;
Передача ПДн по телефону запрещается;
Сотрудникам Учреждения, имеющим доступ к ПД, запрещена запись, хранение и
вынос за пределы Учреждения на внешних носителях информации (диски, дискеты,
USB флэш-карты и т.п.), передача по внешним адресам электронной почты или
размещение в сети Интернет информации, содержащей ПДН субъектов, за исключением
случаев, указанных в настоящих Правилах или установленных иными внутренними
документами Учреждения;
Передача третьим лицам документов (иных материальных носителей),
содержащих ПДн субъектов, осуществляется по письменному запросу третьего лица
на предоставление ПДн субъекта. Ответы на письменные запросы даются на бланке Учреждения
и в том объеме, который позволяет не разглашать излишних сведений о субъекте
ПДн;
Работники Учреждения, передающие ПДн субъектов третьим лицам, должны
передавать их с обязательным уведомлением лица, получающего эти документы, об
обязанности использования полученной конфиденциальной информации лишь в целях,
для которых она сообщена, и с предупреждением об ответственности за незаконное
использование данной конфиденциальной информации в соответствии с федеральными
законами. Уведомление и предупреждение могут быть реализованы путем подписания
акта передачи носителей ПДн, в котором приведены указанные условия;
Представителю субъекта (в том числе адвокату) ПДн передаются в порядке,
установленном действующим законодательством и настоящим документом. Информация
передается при наличии одного из документов;
нотариально удостоверенной доверенности представителя субъекта;
письменного заявления субъекта, написанного в присутствии уполномоченного
сотрудника (если заявление написано
субъектом не в его присутствии, то оно должно быть нотариально заверено);
Предоставление ПДн субъекта государственным органам производится в соответствии
с требованиями действующего законодательства Российской Федерации;
ПДн субъекта могут быть предоставлены родственникам или членам его семьи
только с письменного разрешения самого субъекта, за исключением случаев, когда
передача ПДн субъекта без его согласия допускается действующим
законодательством РФ;
Документы, содержащие ПДн субъекта, могут быть отправлены посредством
федеральной почтовой связи заказным письмом. При этом должна быть обеспечена их
конфиденциальность. Документы, содержащие ПДн, вкладываются в конверт, в
документах делается надпись о том, что ПДн, содержащиеся в письме, являются
конфиденциальной информацией и не подлежат распространению и (или)
опубликованию. Лица, виновные в нарушении требований конфиденциальности, несут
ответственность, предусмотренную законодательством Российской Федерации.
5.8.3.
Учет
переданных ПДн осуществляется в рамках принятых в Учреждении правил
делопроизводства путем регистрации входящей и исходящей
корреспонденции и запросов, как государственных органов, так и
структурных подразделений Учреждения о предоставлении ПДн физических (юридических)
лиц либо их представителей. Фиксируются сведения о лицах, направивших такие
запросы, дата выдачи ПДн, а также дата уведомления об отказе в предоставлении ПДн
(в случае отказа).
5.8.4.
В
случае, если лицо, обратившееся в Учреждение с запросом на предоставление ПДн,
не уполномочено на получение информации, относящейся к ПДн, уполномоченные лица
Учреждения обязаны отказать данному лицу в выдаче такой информации. Лицу, обратившемуся
с соответствующим запросом, выдается уведомление в свободной форме об отказе в
выдаче информации, а копия уведомления хранится в соответствии с принятыми
правилами делопроизводства (как исходящая корреспонденция). В случае, если
запрашивались ПДн сотрудника Учреждения, копия уведомления также подшивается в
личное дело сотрудника, ПДн которого не были предоставлены.
5.9.1.
ПДн
подлежат уничтожению по достижении целей обработки или в случае утраты
необходимости в их достижении.
5.9.2.
Уничтожение
ПДн, не подлежащих архивному хранению, осуществляется только комиссией в
составе представителя подразделения (или сотрудника), ответственного за защиту ПДн
и представителя структурного подразделения, в чьем ведении находятся указанные ПДн.
По результатам уничтожения должен
оформляться Акт.
6.1.
С правилами работы и хранения конфиденциальной
информации о ПДн в обязательном порядке должны быть ознакомлены все работники Учреждения, подписав
лист ознакомления с настоящими Правилами.
6.2.
Сотрудник, которому в силу трудовых отношений с Учреждением стала
известна информация, составляющая ПДн, в случае нарушения режима защиты этих ПДн несет материальную,
дисциплинарную, административную, гражданско-правовую или уголовную
ответственность в порядке, установленном федеральными законами Российской
Федерации.
6.3.
Разглашение ПДн субъектов ПДн (передача их посторонним лицам, в
том числе сотрудникам Учреждения, не
имеющим к ним доступа), их публичное раскрытие, утрата документов и иных
носителей, содержащих ПДн субъекта,
а также иные нарушения обязанностей по их защите и обработке, установленных
настоящими Правилами, локальными нормативными актами (приказами,
распоряжениями) Учреждения, может
повлечь наложение на сотрудника, имеющего доступ к ПДн, дисциплинарного
взыскания, если иное не предусмотрено законодательством РФ.
6.4.
Сотрудник Учреждения, имеющий доступ к ПДн субъектов и совершивший
указанный дисциплинарный проступок, несет полную материальную ответственность в
случае причинения его действиями ущерба Учреждению (п.7 ст.243 Трудового кодекса РФ).
6.5.
Сотрудники Учреждения, имеющие доступ к ПДн субъектов, виновные в
незаконном разглашении или использовании ПДн субъектов без согласия субъектов из корыстной или
иной личной заинтересованности и причинившие крупный ущерб, несут
ответственность в соответствии с законодательством РФ.
6.6.
Руководство Учреждении за нарушение норм, регулирующих получение,
обработку и защиту ПДн сотрудника, несет административную ответственность
согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской
Федерации, а также возмещает работнику ущерб, причиненный неправомерным
использованием информации, содержащей ПДн сотрудника.
7.1 Каждый сотрудник
должен быть ознакомлен с настоящими Правилами под роспись при приеме на работу,
а для сотрудников, принятых ранее даты его утверждения, не позднее 1 (одного)
месяца с даты утверждения настоящих Правил.
7.2 Настоящие
Правила хранятся в отделе
кадров Учреждения.
ЛИСТ ОЗНАКОМЛЕНИЯ
с Правилами обработки персональных данных,
устанавливающими процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в сфере персональных данных, а
также определяющие для каждой цели обработки персональных данных содержание
обрабатываемых персональных данных, категории субъектов, персональные данные
которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при
достижении целей обработки или при наступлении иных законных оснований Учреждения
(далее – Правила).
Я,___________________________________________________________________
(Фамилия,
Имя Отчество)
подтверждаю, что ознакомлен(а) с действующей на момент
подписания версией Правил.
«___»___________20__г. ________________ ________________________
(дата)
(подпись) (ФИО)
Приложение № 2 к приказу
ГУЗ «Елецкая РБ»
от «___»______2016 г. №_______
Правила рассмотрения
запросов субъектов персональных данных или их представителей
1. Персональные данные –
любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных).
Оператор – ГУЗ «Елецкая РБ»,
самостоятельно или совместно с другими
лицами организующее и (или) осуществляющее обработку персональных данных, а
также определяющее цели обработки персональных данных, состав персональных
данных, подлежащих обработке, действия (операции), совершаемые с персональными
данными.
2. Субъект персональных
данных имеет право на получение сведений об операторе, о месте его нахождения,
о наличии у оператора персональных данных в отношении себя, а также на
ознакомление с такими персональными данными.
Субъект персональных данных
вправе требовать от оператора уточнения своих персональных данных, их
блокирования или уничтожения в случае, если персональные данные являются
неполными, устаревшими, недостоверными, незаконно полученными или не являются
необходимыми для заявленной цели обработки, а также принимать предусмотренные
законом меры по защите своих прав.
3. Сведения о наличии
персональных данных должны быть представлены субъекту персональных данных
оператором в доступной форме, и в них не должны содержаться персональные
данные, относящиеся к другим субъектам персональных данных.
4. Доступ к своим
персональным данным представляется субъекту персональных данных или его
законному представителю оператором при обращении либо при получении запроса
субъекта персональных данных или его законного представителя. Запрос должен
содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем его органе и собственноручную подпись субъекта
персональных данных или его законного представителя. Запрос может быть
направлен в электронной форме и подписан электронной цифровой подписью в
соответствии с действующим законодательством Российской Федерации.
Законный представитель
представляет оператору документ, подтверждающий его полномочия.
5. Субъект персональных
данных имеет право на получение при обращении к оператору, следующих сведений:
1) подтверждение факта
обработки персональных данных оператором;
2) правовые основания и
цели обработки персональных данных;
3) цели и применяемые
оператором способы обработки персональных данных;
4) наименование и место
нахождения оператора, сведения о лицах (за исключением работников оператора),
которые имеют доступ к персональным данным или которым могут быть раскрыты
персональные данные на основании договора с оператором или на основании федерального
законодательства Российской Федерации;
5) обрабатываемые
персональные данные, относящиеся к соответствующему субъекту персональных
данных, источник их получения, если иной порядок представления таких данных не
предусмотрен федеральным законодательством Российской Федерации;
6) сроки обработки
персональных данных, в том числе сроки их хранения;
7) порядок
осуществления субъектом персональных данных прав, предусмотренных Федеральным
законом от 27.07.2006 № 152-ФЗ
«О персональных данных»;
8) информацию об
осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или
фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных
данных по поручению оператора, если обработка поручена или будет поручена
такому лицу;
10) иные сведения,
предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных» или другими федеральными законами Российской Федерации.
6. Если запрос субъекта
персональных данных связан с внесением изменений в персональные данные субъекта
в связи с тем, что персональные данные, обрабатываемые оператором, являются
неполными, устаревшими, недостоверными, то в таком запросе субъект персональных
данных должен указать какие именно персональные данные изменяются или
уточняются.
Если для внесения изменений
в персональные данные необходимы подтверждающие документы, то субъект
персональных данных прикладывает к своему запросу об изменении персональных
данных доказательства, на основании которых оператор должен внести изменения
или уточнить персональные данные.
В случае отсутствия
доказательств, на которые ссылается субъект персональных данных, оператор
оставляет персональные данные в неизменном виде. Внесение изменений или
уточнение персональных данных оператором должны быть выполнены в течение 7
рабочих дней со дня предоставления таких сведений.
Изменения, уничтожение или
блокирование персональных данных соответствующего субъекта осуществляется
оператором на безвозмездной основе.
Приложение № 3 к приказу
ГУЗ «Елецкая РБ»
от «___»______2016 г. №_______
Правила осуществления
внутреннего контроля соответствия обработки персональных данных требованиям к
защите персональных данных, установленным федеральным законом «о персональных
данных», принятыми в соответствии с ним нормативными правовыми актами и
локальными актами оператора
Настоящими
Правилами осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных, установленным
Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными
правовыми актами и локальными актами (далее – Правила) определяются процедуры,
направленные на выявление и предотвращение нарушений законодательства
Российской Федерации в сфере персональных данных; основания, порядок, формы и
методы проведения внутреннего контроля соответствия обработки персональных
данных требованиям к защите персональных данных.
В настоящих
Правилах используются основные понятия, определенные в статье 3
Федерального закона от 27.07.2006 № 152 «О персональных данных».
В целях
осуществления внутреннего контроля соответствия обработки персональных данных
установленным требованиям в ГУЗ «Елецкая РБ» (далее – Учреждение)
организовывается проведение периодических проверок условий обработки
персональных данных.
Проверки
осуществляются ответственным за организацию обработки персональных данных в Учреждении
либо комиссией, созданной на основании Приказа руководителя Учреждении.
В проведении
проверки не может участвовать сотрудник Учреждении, прямо или косвенно
заинтересованный в ее результатах.
Проверки
соответствия обработки персональных данных установленным требованиям в Учреждении
проводятся на основании утвержденного руководителем Учреждения ежегодного плана
осуществления внутреннего контроля соответствия обработки персональных данных
установленным требованиям или на основании поступившего письменного заявления о
нарушениях правил обработки персональных данных (внеплановые проверки).
Проведение
внеплановой проверки организуется в течение трех рабочих дней с момента
поступления соответствующего заявления.
При проведении
проверки соответствия обработки персональных данных установленным требованиям
должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и
технических мер по обеспечению безопасности персональных данных при их
обработке, необходимых для выполнения требований к защите персональных данных,
исполнение которых обеспечивает установленные уровни защищенности персональных
данных;
порядок и
условия применения средств защиты информации;
эффективность
принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых
в информационной системе персональных данных;
состояние
учета машинных носителей персональных данных;
соблюдение
правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным
данным и принятие необходимых мер;
осуществление
мероприятий по обеспечению целостности персональных данных.
Ответственный
за организацию обработки персональных данных в Учреждении (члены комиссии)
имеет право:
запрашивать у сотрудников Учреждения
информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку
персональных данных должностных лиц уточнения, блокирования или уничтожения
недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или
прекращению обработки персональных данных, осуществляемой с нарушением
требований законодательства Российской Федерации;
представлять руководителю Учреждения
предложения о совершенствовании правового, технического и организационного
регулирования обеспечения безопасности персональных данных при их обработке;
представлять руководителю Учреждения
предложения о привлечении к дисциплинарной ответственности лиц, виновных в
нарушении законодательства Российской Федерации в отношении обработки
персональных данных.
В
отношении персональных данных, ставших известными ответственному за организацию
обработки персональных данных (членам комиссии) в Учреждении в ходе проведения
мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность
персональных данных.
Проверка должна
быть завершена не позднее чем через месяц со дня принятия решения о ее проведении.
По результатам проведенной проверки составляется Акт, в котором указывается перечень
мер, необходимых для устранения выявленных нарушений.
Приложение
№ 4 к приказу
ГУЗ «Елецкая РБ»
от «___»______2016 г. №_______
Правила работы с обезличенными данными
1.ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Перечень
сокращений:
ПДн
Персональные
данные
НСД
Несанкционированный
доступ
АИС
Автоматизированная
информационная система
ИСПДн Информационная
система персональных данных
Учреждение ГУЗ «Елецкая РБ»
В рамках
данного документа используются следующие термины и определения:
Доступ к информации – возможность
получения информации и ее использования.
Защита
информации от несанкционированного доступа (защита от НСД) или воздействия –
деятельность, направленная на предотвращение получения информации
заинтересованным субъектом (или воздействия на информацию) с нарушением
установленных прав или правил.
Информация – сведения (сообщения,
данные) независимо от формы их представления.
Информационная система – совокупность
содержащейся в базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных
персональных данных и обеспечивающих их обработку информационных технологий и
технических средств.
Персональные данные – любая информация,
относящаяся к прямо или косвенно определенному или определяемому физическому
лицу (субъекту персональных данных).
Конфиденциальность персональных данных –
обязательное для соблюдения оператором или иным получившим доступ к
персональным данным лицом требование не допускать их распространения без
согласия субъекта персональных данных или наличия иного законного основания.
АИС Учреждения – объединение
информационных систем, в том числе информационных систем персональных данных,
компьютерного, телекоммуникационного и офисного оборудования всех отделов
(подразделений) Учреждения, посредством их подключения к единой компьютерной
сети передачи данных с использованием различных физических и логических каналов
связи.
Нарушение информационной безопасности –
событие, при котором компрометируется один или несколько аспектов безопасности
информации (доступность, конфиденциальность или целостность).
Обезличивание персональных
данных – действия, в результате
которых становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту персональных
данных.
Обработка персональных данных - любое
действие (операция) или совокупность действий (операций), совершаемых с
использованием средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование,
передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными данными.
Пользователь информационной системы –
сотрудник Учреждения (штатный, временный, работающий по гражданско-правовому
договору и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.),
зарегистрированные в АИС Учреждения в
установленном порядке.
2. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие Правила
работы с обезличенными персональными данными Учреждения разработаны с учетом Федерального закона от
27.07.2006
№ 152-ФЗ «О персональных данных», Постановления Правительства РФ от 21.03.2012
№ 211 «Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных»,
Приказа Федеральной службы по надзору в сфере связи, информационных технологий
и массовых коммуникаций (Роскомнадзор) от 05.09.2013 № 996 «Об утверждении
требований и методов по обезличиванию персональных данных" (с приложением
«Требований и методов по обезличиванию персональных данных, обрабатываемых в
информационных системах персональных данных, в том числе созданных и
функционирующих в рамках реализации федеральных целевых программ») и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или муниципальными
органами».
3. ПОРЯДОК
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПДн
Обезличивание ПДн должно обеспечивать не только защиту от
несанкционированного использования, но и возможность их обработки. Для этого
обезличенные данные должны обладать свойствами, сохраняющими основные
характеристики обезличиваемых ПДн.
К свойствам обезличенных данных относятся:
- полнота (сохранение всей информации о конкретных субъектах или
группах субъектов, которая имелась до
обезличивания);
- структурированность (сохранение структурных связей между
обезличенными данными конкретного субъекта или группы субъектов, соответствующих
связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке ПДн и
получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики ПДн при их
обезличивании);
- применимость (возможность решения задач обработки ПДн, стоящих
перед оператором, осуществляющим обезличивание ПДн, обрабатываемых в ИСПДн, в
том числе созданных и функционирующих в рамках реализации федеральных целевых
программ (далее - оператор, операторы), без предварительного деобезличивания
всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов ПДн,
полученных в результате обезличивания, без применения дополнительной
информации).
К характеристикам (свойствам) методов обезличивания ПДн (далее - методы
обезличивания), определяющим возможность обеспечения заданных свойств
обезличенных данных, относятся:
- обратимость (возможность преобразования, обратного обезличиванию
(деобезличивание), которое позволит привести обезличенные данные к исходному
виду, позволяющему определить принадлежность ПДн конкретному субъекту,
устранить анонимность);
- вариативность (возможность внесения изменений в параметры метода и
его дальнейшего применения без предварительного деобезличивания массива
данных);
- изменяемость (возможность внесения изменений (дополнений) в массив
обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию субъекта ПДн);
- возможность косвенного деобезличивания (возможность проведения
деобезличивания с использованием информации других операторов);
- совместимость (возможность интеграции ПДн, обезличенных различными
методами);
- параметрический объем (объем дополнительной (служебной)
информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможность оценки качества данных (возможность проведения
контроля качества обезличенных данных и соответствия применяемых процедур
обезличивания установленным для них требованиям).
Требования к методам обезличивания подразделяются на:
- требования к свойствам обезличенных данных, получаемых при
применении метода обезличивания;
- требования к свойствам, которыми должен обладать метод
обезличивания.
К требованиям к свойствам получаемых обезличенных
данных относятся:
- сохранение полноты (состав обезличенных данных должен полностью
соответствовать составу обезличиваемых ПДн);
- сохранение структурированности обезличиваемых ПДн;
- сохранение семантической целостности обезличиваемых ПДн;
- анонимность отдельных данных не ниже заданного уровня (количества
возможных сопоставлений обезличенных данных между собой для деобезличивания
как, например, k-anonymity).
К требованиям к свойствам метода обезличивания
относятся:
- обратимость (возможность проведения деобезличивания);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых ПДн.
Методы обезличивания должны обеспечивать требуемые свойства обезличенных
данных, соответствовать предъявляемым требованиям к их характеристикам
(свойствам), быть практически реализуемыми в различных программных средах и
позволять решать поставленные задачи обработки ПДн.
Обезличенные
ПДн не
подлежат разглашению и нарушению конфиденциальности.
Обезличенные
персональные данные могут обрабатываться с использованием и без использования
средств автоматизации.
При
обработке обезличенных ПДн с
использованием средств автоматизации необходимо соблюдение:
- парольной
политики;
- антивирусной
политики;
- правил
работы со съемными носителями (если они используется);
- правил
резервного копирования;
- правил
доступа в помещения, где расположены элементы информационных систем.
При обработке обезличенных ПДн без использования средств
автоматизации необходимо соблюдение:
- правил
хранения бумажных носителей;
- правил
доступа к ним и в помещения, где они хранятся.
4. Ответственность
Ответственность
за осуществление общего контроля выполнения требований настоящих Правил несет ответственный
за организацию обработки ПДн в Учреждении.
Ответственность
за выполнение настоящих Правил возлагается на всех сотрудников Учреждения,
допущенных к обработке ПДн.
Сотрудник Учреждения
несёт ответственность за все действия, совершенные от имени его учетной записи,
если не доказан факт несанкционированного использования учетной записи другими
лицами при соблюдении пользователем требований настоящих Правил.
Сотрудники Учреждения
несут персональную ответственность за ущерб, причиненный Учреждению и субъектам
ПДн вследствие нарушения ими
установленных требований в области обработки и обеспечения защиты ПДн, в соответствии с
законодательством Российской Федерации.
Приложение № 6 к приказу
ГУЗ «Елецкая РБ»
от «___»______2016 г. №_______
Перечень
персональных
данных, обрабатываемых в Учреждении
1. Фамилия, имя,
отчество, дата и место рождения, гражданство.
2. Прежние
фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).
3. Владение
иностранными языками и языками народов Российской Федерации.
4. Образование
(когда и какие образовательные учреждения закончил, номера дипломов,
направление подготовки или специальность по диплому, квалификация по диплому).
5.
Послевузовское профессиональное образование (наименование образовательного или
научного учреждения, год окончания), ученая степень, ученое звание (когда
присвоены, номера дипломов, аттестатов).
6. Выполняемая
работа с начала трудовой деятельности (включая военную службу, работу по
совместительству, предпринимательскую деятельность).
7. Данные о
трудовом договоре (N трудового договора, дата его заключения, дата начала
и дата окончания договора, вид работы, срок действия договора, наличие
испытательного срока, режим труда, длительность основного отпуска, длительность
дополнительного отпуска, обязанности работника, дополнительные социальные
льготы и гарантии, N и число изменения к трудовому договору, характер
работы, форма оплаты, категория персонала, условия труда, продолжительность
рабочей недели, система оплаты).
8. Данные о наградах, медалях,
поощрениях, почетных званиях.
9. Семейное
положение и состав семьи (муж/жена, дети).
10. Адрес
регистрации и фактического проживания.
11. Дата
регистрации по месту жительства.
12. Паспорт
(серия, номер, кем и когда выдан).
13. Номер
телефона (домашний, сотовый).
14. Отношение к
воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в
запасе, и лиц, подлежащих призыву на военную службу).
15.
Идентификационный номер налогоплательщика.
16. Номер
страхового свидетельства обязательного пенсионного страхования.
17. Наличие
(отсутствие) судимости.
18. Данные о
состоянии здоровья, которые относятся к вопросу о возможности выполнения
работником трудовой функции.
19. Результаты
обязательных предварительных (при поступлении на работу) и периодических
медицинских осмотров (обследований), а также обязательного психиатрического
освидетельствования.
20. Сведения о
заработной плате (номера
счетов для расчета с работниками, номера банковских карт, данные
по окладу, надбавкам,
налогам и другие сведения).
21. Фотография.
22. Иные
персональные данные в соответствии с законодательными и иными нормативными
правовыми актами Российской Федерации
Приложение
№ 9 к приказу
ГУЗ «Елецкая РБ»
от «___»______2016 г. №_______
Должностная
инструкция
ответственного за организацию обработки персональных данных
в
Учреждении
I. Общие
положения
1. Должностная инструкция ответственного за
организацию обработки персональных данных в Учреждении разработана в
соответствии с требованиями статьи 22.1
Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных
данных» (далее - Федеральный закон).
2. Настоящая должностная инструкция определяет
права, обязанности и ответственность лица, ответственного за организацию
обработки персональных данных в Учреждении.
3. Ответственный за организацию обработки
персональных данных в Учреждении назначается главным врачом из числа
должностных лиц ГУЗ «Елецкая РБ». Ответственный за организацию обработки
персональных данных получает указания непосредственно от главного врача и
подотчетен ему.
4. Ответственный за обработку персональных данных при осуществлении своей деятельности
руководствуется законодательством Российской Федерации в области персональных
данных и настоящей должностной инструкцией.
II. Права ответственного за организацию
обработки персональных данных
в Учреждении
5. Ответственный за организацию обработки
персональных данных вправе:
5.1. Иметь доступ к информации, касающейся обработки
персональных данных в структурных подразделениях Учреждения, включающей:
цели
обработки персональных данных;
категории
обрабатываемых персональных данных;
категории
субъектов, персональные данные которых обрабатываются;
правовые
основания обработки персональных данных;
перечень
действий с персональными данными, общее описание используемых в Учреждении
способов обработки персональных данных;
описание
мер, предусмотренных статьями 18.1 и 19 Федерального
закона, в том числе сведения о наличии шифровальных (криптографических) средств
и наименования этих средств;
дату
начала обработки персональных данных;
срок
или условия прекращения обработки персональных данных;
сведения
о наличии или об отсутствии трансграничной передачи персональных данных в
процессе их обработки;
сведения
об обеспечении безопасности персональных данных в соответствии с требованиями к защите
персональных данных, установленными Правительством Российской Федерации.
5.2. Привлекать к реализации мер, направленных на
обеспечение безопасности персональных данных, обрабатываемых в структурных
подразделениях Учреждения, должностных лиц структурных подразделений Учреждения
с возложением на них соответствующих обязанностей и закреплением
ответственности.
III. Обязанности ответственного за
организацию обработки персональных данных в Учреждении
6. Ответственный за организацию обработки
персональных данных, в частности, обязан организовывать:
предоставление
субъекту персональных данных либо его представителю по запросу информацию об
обработке его персональных данных;
внутренний
контроль за соблюдением в структурных подразделениях Учреждения законодательства
Российской Федерации о персональных данных, в том числе требований к защите
персональных данных;
доведение
до сведения должностных лиц структурных подразделений Учреждения положений
законодательства Российской Федерации и нормативных правовых актов Учреждения
по вопросам обработки персональных данных и требований к защите персональных
данных;
прием
и обработку обращений и запросов субъектов персональных данных или их
представителей и (или) осуществление контроля за приемом и обработкой таких
обращений и запросов.
получение
обязательства о прекращении обработки персональных данных у лиц,
непосредственно осуществляющих обработку персональных данных, в случае
расторжения с ним договора (контракта).
получение
согласия на обработку персональных данных у субъектов персональных данных (при
необходимости).
разъяснение
субъекту персональных данных юридические последствия отказа предоставления его
персональных данных.
7. Ответственный за организацию обработки
персональных данных должен знать положения законодательства
Российской Федерации и нормативных правовых актов Учреждения по вопросам обработки
персональных данных и требований к защите персональных данных.
IV. Ответственность ответственного за
организацию обработки персональных данных в Учреждении
8. Ответственный за организацию обработки
персональных данных несет предусмотренную законодательством Российской
Федерации ответственность за неисполнение или ненадлежащее исполнение
требований, установленных Федеральным законом, принятыми в соответствии с ним
нормативными правовыми актами, а также настоящей должностной инструкцией.
Приложение № 10
к приказу
ГУЗ «Елецкая РБ»
от
«___»______2016 г. №_______
Типовое
обязательство работника, непосредственно осуществляющего обработку персональных
данных, в случае расторжения с ним трудового
договора прекратить обработку персональных данных, ставших известными
ему в связи с исполнением должностных обязанностей
Я,_________________________________________________________________,
(фамилия, имя,
отчество (при наличии)
обязуюсь
прекратить обработку персональных данных, ставших мне известными в связи с
исполнением должностных обязанностей, в случае расторжения со мной трудового
договора.
В
соответствии со статьей 7 Федерального закона от 27 июля
2006 г. N 152-ФЗ «О персональных данных» я уведомлен(а) о том, что
персональные данные являются конфиденциальной информацией и я обязан(а) не
раскрывать третьим лицам и не распространять персональные данные без согласия
субъекта персональных данных.
Положения
законодательства Российской Федерации, предусматривающие ответственность за
нарушение требований Федерального закона «О персональных
данных», мне разъяснены.
«___»___________ 201___г.
___________________
(дата)
(подпись)
Приложение № 11
к приказу
ГУЗ «Елецкая РБ»
от
«___»______2016 г. №_______
Типовая
форма согласия на обработку персональных данных работников, иных субъектов персональных данных
Я,___________________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный(ная) по адресу_______________________________________,
______________________________________________________________________
паспорт серия______N__________, выдан___________________________________
(кем
выдан, когда)
свободно, своей
волей и в своем интересе даю согласие уполномоченным должностным лицам Учреждения,
зарегистрированного по адресу: Липецкая область, Елецкий район, п. Газопровод,
ул. Зеленая, д. 23 «А» на обработку (любое действие (операцию) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование,
передачу (распространение, предоставление, доступ, блокирование, удаление,
уничтожение) следующих персональных данных:
фамилия, имя,
отчество, дата и место рождения, гражданство;
прежние
фамилия, имя, отчество, дата, место и причина изменения (в случае изменения);
владение
иностранными языками и языками народов Российской Федерации;
образование
(когда и какие образовательные учреждения закончил, номера дипломов,
направление подготовки или специальность по диплому, квалификация по диплому);
послевузовское
профессиональное образование (наименование образовательного или научного
учреждения, год окончания), ученая степень, ученое звание (когда присвоены,
номера дипломов, аттестатов);
выполняемая
работа с начала трудовой деятельности (включая военную службу, работу по
совместительству, предпринимательскую деятельность);
данные
о трудовом договоре (N трудового договора, дата его заключения, дата
начала и дата окончания договора, вид работы, срок действия договора, наличие
испытательного срока, режим труда, длительность основного отпуска, длительность
дополнительного отпуска, обязанности работника, дополнительные социальные
льготы и гарантии, N и число изменения к трудовому договору, характер
работы, форма оплаты, категория персонала, условия труда, продолжительность
рабочей недели, система оплаты);
данные
о наградах, медалях, поощрениях, почетных званиях;
семейное
положение и состав семьи (муж/жена, дети);
адрес
регистрации и фактического проживания;
дата
регистрации по месту жительства;
паспорт
(серия, номер, кем и когда выдан);
номер
телефона (домашний, сотовый);
отношение
к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в
запасе, и лиц, подлежащих призыву на военную службу);
идентификационный
номер налогоплательщика;
номер
страхового свидетельства обязательного пенсионного страхования;
наличие
(отсутствие) судимости;
данные
о состоянии здоровья, которые относятся к вопросу о возможности выполнения
работником трудовой функции;
результаты
обязательных предварительных (при поступлении на работу) и периодических
медицинских осмотров (обследований), а также обязательного психиатрического
освидетельствования;
сведения о
заработной плате (номера
счетов для расчета с работниками, номера банковских карт, данные
по окладу, надбавкам,
налогам и другие сведения);
фотография; иные
персональные данные в соответствии с законодательными и иными нормативными
правовыми актами Российской Федерации.
Вышеуказанные
персональные данные предоставляю для обработки в целях обеспечения соблюдения
в отношении меня
законодательства Российской Федерации в сфере трудовых и непосредственно
связанных с ними отношений для реализации полномочий, возложенных
на Учреждение действующим законодательством.
Я
ознакомлен(а) с тем, что:
согласие на обработку персональных данных действует
с даты подписания настоящего согласия в течение всего срока трудовых и непосредственно
связанных с ними отношений;
согласие
на обработку персональных данных может быть отозвано на основании письменного
заявления в произвольной форме;
в
случае отзыва согласия на обработку персональных данных Учреждение вправе продолжить обработку персональных
данных без согласия при наличии оснований, указанных в пунктах 2 - 11 части
1 статьи 6,
части 2 статьи 10 и части 2
статьи 11 Федерального
закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
после
прекращения трудовых отношений персональные данные будут храниться в Учреждении
в течение предусмотренного законодательством Российской Федерации срока
хранения документов;
персональные
данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в
целях осуществления и выполнения возложенных законодательством Российской
Федерации на Учреждение полномочий и обязанностей.
Дата начала обработки персональных данных:__________________________
(число, месяц, год)
__________________________
(подпись)
Типовая
форма
разъяснения
субъекту персональных данных юридических последствий отказа предоставить свои
персональные данные
Мне,
______________________________________________________________,
(фамилия, имя,
отчество)
разъяснены юридические
последствия отказа предоставить свои
персональные
данные уполномоченным лицам
Учреждения.
_______________________
____________________________
(дата)
(подпись)
Правила доступа работников в
помещения, в которых ведется
обработка
персональных данных
1. Персональные
данные относятся к категории конфиденциальной информации. Лица, получившие
доступ к персональным данным, обязаны не раскрывать третьим лицам и не
распространять персональные данные без согласия субъекта персональных данных,
если иное не предусмотрено федеральным законом.
2. Список
сотрудников, допущенных к обработке персональных данных, утверждается руководителем
Учреждения.
3. Порядок
определяет правила доступа в помещения, где хранятся и обрабатываются
персональные данные, в целях исключения несанкционированного доступа к
персональным данным, а также обеспечения безопасности персональных данных от
уничтожения, изменения, блокирования, копирования, распространения, а также от
иных неправомерных действий в отношении персональных данных.
4. В
помещения, где размещены материальные носители информации, содержащие
персональные данные, допускаются только сотрудники Учреждения, имеющие доступ к
персональным данным.
5. Сотрудники,
имеющие доступ к персональным данным, не должны:
оставлять в свое
отсутствие незапертым помещение, в котором размещены технические средства,
позволяющие осуществлять обработку персональных данных;
оставлять в помещении
посторонних лиц, не имеющих доступа к персональным данным в данном структурном
подразделении, без присмотра.
6. Для
помещений, в которых хранятся и обрабатываются персональные данные,
организуется режим обеспечения безопасности, при котором обеспечивается
сохранность носителей информации, содержащей персональные данные, а также
исключается возможность неконтролируемого проникновения и пребывания в этих
помещениях посторонних лиц. Данный режим обеспечивается:
оснащением помещения охранной и пожарной
сигнализацией;
обязательным запиранием помещения на ключ, даже при
выходе из него в рабочее время;
отдельным хранением дубликатов ключей;
закрытием металлических
шкафов и сейфов, где хранятся носители информации, содержащие
персональные данные.
7. Ответственность
за несоблюдение Порядка несут начальники отделов (структурных подразделений) Учреждения,
в которых ведется обработка персональных данных и осуществляется их хранение.
8. Внутренний
контроль за соблюдением в Учреждении порядка доступа в помещения, в которых
ведется обработка персональных данных, требованиям к защите персональных
данных, осуществляется лицом, ответственным за
организацию обработки персональных данных в соответствии с «Правилами
осуществления внутреннего контроля соответствия обработки персональных данных
требованиям к защите персональных данных, установленным федеральным законом «О
персональных данных», принятыми в соответствии с ним нормативными правовыми
актами и локальными актами Учреждения».