Основная информация
| Дата опубликования: | 23 июля 2018г. |
| Номер документа: | RU03000201800925 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Башкортостан |
| Принявший орган: | Министерство здравоохранения Республики Башкортостан |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
ПРИКАЗ
от 23 июля 2018 года № 2036-Д
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ, НАПРАВЛЕННЫХ НА РАБОТУ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
Зарегистрирован в Государственном комитете Республики Башкортостан по делам юстиции 12.09.2018 года № 11681
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», в целях обеспечения защиты персональных данных в Министерстве здравоохранения Республики Башкортостан приказываю:
1. Утвердить:
1.1. Правила обработки, хранения и уничтожения персональных данных в Министерство здравоохранения Республики Башкортостан согласно приложению № 1 к настоящему приказу.
1.2. Правила рассмотрения запросов субъектов персональных данных или их законных представителей в Министерстве здравоохранения Республики Башкортостан согласно приложению № 2 к настоящему приказу.
1.3. Положение по обработке персональных данных в Министерстве здравоохранения Республики Башкортостан согласно приложению № 3 к настоящему приказу.
2. Назначить заместителя министра здравоохранения Республики Башкортостан Д.Р.Еникееву ответственным лицом за организацию обработки персональных данных в Министерстве здравоохранения Республики Башкортостан.
3. Признать утратившим силу приказ Министерства здравоохранения Республики Башкортостан от 28 февраля 2014 года № 594-Д «Об утверждении в Министерстве здравоохранения Республики Башкортостан перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами».
4. Контроль за исполнением настоящего приказа оставляю за собой.
И.о. министра
Р.Г.Яппаров
Приложение № 1
к приказу Министерства
здравоохранения
Республики Башкортостан
от 23 июля 2018 г. № 2036-Д
ПРАВИЛА ОБРАБОТКИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие правила обработки, хранения и уничтожения персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Правила) определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации и Республики Башкортостан в области персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Оператор).
1.2. Правила разработаны в целях обеспечения требований законодательства в области персональных данных, сохранения неприкосновенности частной, личной и семейной тайны, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых Оператором.
1.3. Действие Правил не распространяется на устанавливаемый государственными органами режим защиты сведений, составляющих государственную тайну Российской Федерации.
1.4. Все работники Оператора ознакамливаются с настоящими Правилами под подпись.
1.5. Настоящие Правила разработаны в соответствии с:
Трудовым кодексом Российской Федерации (далее - Трудовой кодекс);
Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ);
Федеральным законом от 27 мая 2003 года № 58-ФЗ «О системе государственной службы Российской Федерации»;
Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее - Федеральный закон № 79-ФЗ);
Федеральным законом от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции» (далее - Федеральный закон № 273-ФЗ);
Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Указом Президента Российской Федерации от 1 февраля 2005 года № 112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации»;
Указом Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
распоряжением Правительства Российской Федерации от 26 мая 2005 года № 667-р «Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации»;
приказом Федеральной службы по техническому и экспертному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
II. ОБЛАСТЬ ПРИМЕНЕНИЯ
2.1. Правила являются локальным нормативным актом, регламентирующим деятельность Оператора в сфере обработки и защиты персональных данных.
2.2. Требования Правил обязательны для выполнения работниками Оператора, которые допущены к работе с персональными данными.
III. СУБЪЕКТЫ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
3.1. Субъектами персональных данных, обработка которых осуществляется Оператором, являются:
государственные гражданские служащие Республики Башкортостан, замещающие должности государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан (далее - государственные гражданские служащие), и лица, состоящие в родстве (свойстве) с субъектами персональных данных (далее - ПДн);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
работники Министерства здравоохранения Республики Башкортостан, замещающие должности, не отнесенные к должностям государственной гражданской службы Республики Башкортостан;
граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы;
лица, замещающие должности руководителей и заместителей руководителей организаций, находящихся в ведении Министерства здравоохранения Республики Башкортостан (далее - руководителей и заместителей руководителей организаций);
граждане, претендующие на замещение должностей руководителей и заместителей руководителей организаций;
участники конкурсов на замещение вакантных должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
государственные гражданские служащие и лица, состоящие с ними в родстве (свойстве) в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения;
лица, с которыми заключены договоры;
граждане, обратившиеся по вопросам, относящимся к компетенции Министерства здравоохранения Республики Башкортостан;
работники медицинских организаций - участников федеральной программы «Земский доктор»;
представители лицензиатов;
граждане-заявители, обратившиеся в Министерство здравоохранения республики Башкортостан за получением государственной услуги;
иные лица, персональные данные которых обрабатываются Оператором в соответствии с законодательством.
3.2. При определении объема и содержания обрабатываемых персональных данных работника Оператор руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом № 79-ФЗ и иными федеральными законами.
IV. ПОРЯДОК СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператором установлен следующий порядок сбора и обработки персональных данных работников.
При заключении служебного контракта гражданин представляет Оператору перечень документов в соответствии с Федеральным законом № 79-ФЗ.
Запрещается требовать от лица, поступающего на работу, документы, не предусмотренные Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
Личные дела и документы работников формируются отделом государственной гражданской службы и кадров Оператора.
Личные дела и документы, содержащие персональные данные работников, хранятся в помещении отдела государственной гражданской службы и кадров Министерства здравоохранения в специально отведенном металлическом шкафу (сейфе) в условиях, обеспечивающих защиту от несанкционированного доступа.
Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах работников, относятся к сведениям конфиденциального характера.
Личное дело считается завершенным при увольнении работника и хранится в течение срока, установленного законодательством Российской Федерации.
4.2. Оператором установлен следующий порядок сбора и обработки персональных данных лиц, с которыми заключены договоры.
Оператор осуществляет обработку следующих персональных данных лиц, с которыми заключены договоры:
фамилия, имя, отчество;
дата рождения;
реквизиты документа, удостоверяющего личность;
адрес регистрации;
ИНН;
СНИЛС;
контактная информация (телефон, адрес, e-mail).
Оператором установлен следующий порядок сбора и обработки персональных данных граждан, обратившихся к Оператору.
Состав персональных данных:
фамилия, имя, отчество;
адрес для направления корреспонденции;
электронный адрес;
иные персональные данные, указанные гражданином в обращении.
Хранение рассмотренных обращений регистрационно-контрольной карточки обеспечивается в текущем архиве Оператора в течение 5 лет с момента регистрации обращения.
Места хранения материальных носителей персональных данных определяются приказом руководителя Оператора.
Обработка персональных данных осуществляется гражданскими служащими, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные.
Гражданские служащие, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные, подписывают обязательство о неразглашении персональных данных.
Перечень должностей гражданских служащих, которые осуществляют обработку персональных данных либо имеют доступ к персональным данным, утверждается приказом министра здравоохранения Республики Башкортостан.
Все работники, имеющие доступ к персональным данным субъектов, ознакомляются с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), настоящими Правилами и иными правовыми актами Оператора по вопросам обработки персональных данных.
V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Доступ к персональным данным ограничивается в соответствии с законодательством и настоящими Правилами.
5.2. Оператор не вправе разглашать полученные в результате своей профессиональной деятельности персональные данные.
5.3. Доступ к персональным данным, подлежащим обработке с использованием и (или) без использования средств автоматизации, разрешен только уполномоченным работникам в соответствии с Перечнем подразделений и должностных лиц, допущенных к работе с персональными данными, утверждаемым приказом министра здравоохранения Республики Башкортостан. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения служебных обязанностей.
VI. ОРГАНИЗАЦИЯ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.
6.2. Срок хранения персональных данных, внесенных в информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.
6.3. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, обособляются от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
6.4. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами.
VII. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ
ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
7.1. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению.
7.2. Документы, содержащие персональные данные, на бумажном носителе передаются в архив для уничтожения в порядке, установленном законодательством Российской Федерации об архивном деле.
7.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
VIII. ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ, В КОТОРЫХ
ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Доступ в помещения, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, содержащиеся на материальных носителях персональных данных, имеют государственные гражданские служащие, уполномоченные на обработку персональных данных.
8.2. Пребывание лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении государственного гражданского служащего, уполномоченного на обработку персональных данных.
Приложение № 1
к Правилам обработки, хранения
и уничтожения персональных данных
в Министерстве здравоохранения
Республики Башкортостан
Типовая форма
Журнал учета электронных носителей персональных данных
Журнал начат «__» _________ 20__ г. Журнал завершен «__» ________ 20__ г.
Должность ответственного за Должность ответственного за
обеспечение безопасности персональных обеспечение безопасности персональных
данных в информационных системах данных в информационных системах
Оператора Оператора
_________________________________ __________________________________
________________/________________ ________________/_________________
Подпись (ФИО) Подпись (ФИО)
№ п/п
Тип носителя
Регистрационный номер
Место хранения
Отметка о постановке на учет (выдаче носителя)
Отметка об уничтожении
Подпись ответственного
Дата
ФИО, должность
Подпись
Дата
ФИО, должность
Подпись
1
2
3
4
5
6
7
8
9
10
11
Приложение № 2
к Правилам обработки, хранения
и уничтожения персональных данных
в Министерстве здравоохранения
Республики Башкортостан
Типовая форма
Акт уничтожения носителей персональных данных
Комиссия в составе:
провела отбор материальных носителей персональных данных и установила, что
в соответствии с Правилами обработки персональных данных в Министерстве
здравоохранения Республики Башкортостан, записанная на них в процессе
обработки персональных данных, подлежит гарантированному уничтожению:
№ п/п
Дата
Тип носителя
Регистрационный номер носителя персональных данных
Примечание
Всего материальных носителей:
___________________________________________________________________________
(цифрами и прописью)
Перечисленные носители персональных данных уничтожены путем
___________________________________________________________________________
__________________________________________________________________________.
(способы: измельчение, сжигание, механическое уничтожение и т.п.)
_________________/_________________/
Подпись (ФИО)
______________________
дата
Приложение № 2
к Приказу Министерства
здравоохранения
Республики Башкортостан
от 23 июля 2018 г. № 2036-Д
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ЗАКОННЫХ ПРЕДСТАВИТЕЛЕЙ В МИНИСТЕРСТВЕ
ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
I. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие Правила рассмотрения запросов субъектов персональных данных или их законных представителей (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации» и определяют порядок обработки поступающих обращений субъектов персональных данных в части обработки персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Министерство).
II. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Право на получение информации, касающейся обработки своих персональных данных в Министерстве, имеют следующие субъекты персональных данных:
государственные гражданские служащие Республики Башкортостан, замещающие должности государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан (далее - государственные гражданские служащие), и лица, состоящие в родстве (свойстве) с субъектами персональных данных (далее - ПДн);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
работники Министерства здравоохранения Республики Башкортостан, замещающие должности, не отнесенные к должностям государственной гражданской службы Республики Башкортостан;
граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы;
лица, замещающие должности руководителей и заместителей руководителей организаций, находящихся в ведении Министерства здравоохранения Республики Башкортостан (далее - руководителей и заместителей руководителей организаций);
граждане, претендующие на замещение должностей руководителей и заместителей руководителей организаций;
участники конкурсов на замещение вакантных должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
государственные гражданские служащие и лица, состоящие с ними в родстве, в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения;
лица, с которыми заключены договоры;
граждане, обратившиеся по вопросам, относящимся к компетенции Министерства здравоохранения Республики Башкортостан;
работники медицинских организаций - участников федеральной программы «Земский доктор»;
представители лицензиатов;
граждане-заявители, обратившиеся в Министерство здравоохранения Республики Башкортостан за получением государственной услуги;
иные лица, персональные данные которых обрабатываются Оператором в соответствии с законодательством.
2.2. Субъекты персональных данных, указанные в пункте 2.1 настоящих Правил, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в Министерстве;
правовые основания и цели обработки персональных данных;
цели и применяемые в Министерстве способы обработки персональных данных;
наименование и место нахождения Министерства, сведения о гражданах (за исключением государственных гражданских служащих Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании законодательства Российской Федерации;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации в области персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения в Министерстве;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче персональных данных;
наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такой организации или лицу;
иные сведения, предусмотренные законодательством Российской Федерации.
2.3. Субъект персональных данных имеет право на получение сведений, указанных в пункте 3 настоящих Правил, за исключением части 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
2.4. Сведения, указанные в пункте 2.2 настоящих Правил, предоставляются субъекту персональных данных Министерством в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.5. Сведения, указанные в пункте 2.2 настоящих Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Министерства, осуществляющим обработку персональных данных, при получении запроса субъекта персональных данных или его представителя.
2.6. Запрос должен содержать:
1) основной документ, удостоверяющего личность субъекта персональных данных или его представителя;
2) сведения о дате выдачи указанного документа и о выдавшем его органе;
3) сведения, подтверждающие участие субъекта персональных данных в отношениях с Министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Министерстве;
4) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.7. Если сведения, указанные в пункте 2.2 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Министерство или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.2 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.8. Субъект персональных данных вправе обратиться повторно в Министерство или направить повторный запрос в целях получения сведений, указанных в пункте 2.2 настоящих Правил, в соответствии с частью 4 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». В случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 2.6 настоящих Правил, должен содержать обоснование направления повторного запроса.
2.9. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 2.7 и 2.8 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Министерстве.
2.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации в области персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Приложение № 3
к приказу Министерства
здравоохранения
Республики Башкортостан
от 23 июля 2018 г. № 2036-Д
ПОЛОЖЕНИЕ
ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ
ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Положение по обработке персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
1.3. Основные понятия, используемые в Положении:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Основные права субъекта персональных данных:
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
Субъект персональных данных имеет право на получение сведений, указанных в пункте 1.4 настоящего Положения, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования, отзыва или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Указанные сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.5. Обязанности Оператора персональных данных:
При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 4 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилию, имя, отчество и адрес Оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» права субъекта персональных данных;
5) источник получения персональных данных.
II. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
Цели сбора персональных данных включают в себя:
регистрацию и учет работников, обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
рассмотрение обращений субъектов персональных;
разработку и реализацию мер по развитию здравоохранения, организации оказания медицинской помощи населению и его лекарственного обеспечения;
обеспечение функционирования ведомственной системы специального профессионального образования в сфере здравоохранения;
санитарно-просветительную работу по формированию здорового образа жизни у населения;
координацию деятельности субъектов государственной, муниципальной и частной систем здравоохранения, иных хозяйствующих субъектов в области охраны здоровья граждан.
III. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовыми основаниями обработки персональных данных являются следующие нормативно-правовые акты:
Трудовой кодекс Российской Федерации (далее - Трудовой кодекс);
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»);
Федеральный закон от 27 мая 2003 года № 58-ФЗ «О системе государственной службы Российской Федерации»;
Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее - Федеральный закон «О государственной гражданской службе Российской Федерации»);
Федеральный закон от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции» (далее - Федеральный закон «О противодействии коррупции»);
Федеральный закон от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее - Федеральный закон «Об организации предоставления государственных и муниципальных услуг»);
Федеральный закон от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее - Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»);
Указ Президента Российской Федерации от 1 февраля 2005 года № 112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации»;
Указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
постановление Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
распоряжение Правительства Российской Федерации от 26 мая 2005 года № 667-р;
приказ Федеральной службы по техническому и экспертному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
постановление Правительства Республики Башкортостан от 9 июля 2014 года № 310 «Об утверждении положения о Министерстве здравоохранения Республики Башкортостан».
IV. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ходе выполнения возложенных на Оператора функций ведется обработка следующих категорий субъектов персональных данных:
государственные гражданские служащие Республики Башкортостан, замещающие должности государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан (далее - государственные гражданские служащие), и лица, состоящие в родстве (свойстве) с субъектами персональных данных (далее - ПДн);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
работники Министерства здравоохранения Республики Башкортостан, замещающие должности, не отнесенные к должностям государственной гражданской службы Республики Башкортостан;
граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы;
лица, замещающие должности руководителей и заместителей руководителей организаций, находящихся в ведении Министерства здравоохранения Республики Башкортостан (далее - руководителей и заместителей руководителей организаций);
граждане, претендующие на замещение должностей руководителей и заместителей руководителей организаций;
участники конкурсов на замещение вакантных должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
государственные гражданские служащие и лица, состоящие с ними в родстве, в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения;
лица, с которыми заключены договоры;
граждане, обратившиеся по вопросам, относящимся к компетенции Министерства здравоохранения Республики Башкортостан;
работники медицинских организаций - участников федеральной программы «Земский доктор»;
представители лицензиатов;
граждане-заявители, обратившиеся в Министерство здравоохранения республики Башкортостан за получением государственной услуги;
иные лица, персональные данные которых обрабатываются Оператором в соответствии с законодательством.
По данным категориям субъектов персональных данных обрабатываются следующие персональные данные:
1) персональные данные субъектов ПДн (пациентов):
ФИО;
дата рождения;
контактный телефон;
адрес прописки;
адрес фактического проживания;
паспортные данные;
данные о состоянии здоровья (история болезни);
2) персональные данные сотрудников:
фамилия, имя, отчество;
место, год и дата рождения;
адрес по прописке;
паспортные данные (серия, номер паспорта, кем и когда выдан);
информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
информация о трудовой деятельности до приема на работу;
информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
адрес проживания (реальный);
телефонный номер (домашний, рабочий, мобильный);
семейное положение и состав семьи (муж/жена, дети);
информация о знании иностранных языков;
форма допуска;
оклад;
данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
ИНН;
данные об аттестации работников;
данные о повышении квалификации;
данные о наградах, медалях, поощрениях, почетных званиях;
информация о приеме на работу, перемещении по должности, увольнении;
информация об отпусках;
информация о командировках;
информация о болезнях;
информация о негосударственном пенсионном обеспечении.
V. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные обрабатываются Оператором с использованием средств автоматизации и без использования таких средств. Оператором определен перечень действий (операций) с персональными данными при их обработке: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Трансграничная передача персональных данных Оператора на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, не осуществляется.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, если имеется согласие в письменной форме субъекта персональных данных, или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных допускается в следующих случаях:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон от 2 июля 2010 года № 151 «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
При выполнении одного из перечисленных условий согласие не требуется.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных;
обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ «О Всероссийской переписи населения»;
обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Обработка персональных данных о судимости может осуществляться в случаях и в порядке, которые определяются в соответствии с законодательством.
Обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), и которые используются Оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». В поручении Оператора определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
Ответственность за отправку персональных данных Оператору через незащищенные каналы связи (электронная почта) несет сам отправитель.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
В случае отсутствия возможности уничтожения персональных данных в течение указанных выше сроков Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
VI. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ
НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
ПРИКАЗ
от 23 июля 2018 года № 2036-Д
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ, НАПРАВЛЕННЫХ НА РАБОТУ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
Зарегистрирован в Государственном комитете Республики Башкортостан по делам юстиции 12.09.2018 года № 11681
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», в целях обеспечения защиты персональных данных в Министерстве здравоохранения Республики Башкортостан приказываю:
1. Утвердить:
1.1. Правила обработки, хранения и уничтожения персональных данных в Министерство здравоохранения Республики Башкортостан согласно приложению № 1 к настоящему приказу.
1.2. Правила рассмотрения запросов субъектов персональных данных или их законных представителей в Министерстве здравоохранения Республики Башкортостан согласно приложению № 2 к настоящему приказу.
1.3. Положение по обработке персональных данных в Министерстве здравоохранения Республики Башкортостан согласно приложению № 3 к настоящему приказу.
2. Назначить заместителя министра здравоохранения Республики Башкортостан Д.Р.Еникееву ответственным лицом за организацию обработки персональных данных в Министерстве здравоохранения Республики Башкортостан.
3. Признать утратившим силу приказ Министерства здравоохранения Республики Башкортостан от 28 февраля 2014 года № 594-Д «Об утверждении в Министерстве здравоохранения Республики Башкортостан перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами».
4. Контроль за исполнением настоящего приказа оставляю за собой.
И.о. министра
Р.Г.Яппаров
Приложение № 1
к приказу Министерства
здравоохранения
Республики Башкортостан
от 23 июля 2018 г. № 2036-Д
ПРАВИЛА ОБРАБОТКИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие правила обработки, хранения и уничтожения персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Правила) определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации и Республики Башкортостан в области персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Оператор).
1.2. Правила разработаны в целях обеспечения требований законодательства в области персональных данных, сохранения неприкосновенности частной, личной и семейной тайны, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых Оператором.
1.3. Действие Правил не распространяется на устанавливаемый государственными органами режим защиты сведений, составляющих государственную тайну Российской Федерации.
1.4. Все работники Оператора ознакамливаются с настоящими Правилами под подпись.
1.5. Настоящие Правила разработаны в соответствии с:
Трудовым кодексом Российской Федерации (далее - Трудовой кодекс);
Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ);
Федеральным законом от 27 мая 2003 года № 58-ФЗ «О системе государственной службы Российской Федерации»;
Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее - Федеральный закон № 79-ФЗ);
Федеральным законом от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции» (далее - Федеральный закон № 273-ФЗ);
Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Указом Президента Российской Федерации от 1 февраля 2005 года № 112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации»;
Указом Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
распоряжением Правительства Российской Федерации от 26 мая 2005 года № 667-р «Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации»;
приказом Федеральной службы по техническому и экспертному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
II. ОБЛАСТЬ ПРИМЕНЕНИЯ
2.1. Правила являются локальным нормативным актом, регламентирующим деятельность Оператора в сфере обработки и защиты персональных данных.
2.2. Требования Правил обязательны для выполнения работниками Оператора, которые допущены к работе с персональными данными.
III. СУБЪЕКТЫ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
3.1. Субъектами персональных данных, обработка которых осуществляется Оператором, являются:
государственные гражданские служащие Республики Башкортостан, замещающие должности государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан (далее - государственные гражданские служащие), и лица, состоящие в родстве (свойстве) с субъектами персональных данных (далее - ПДн);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
работники Министерства здравоохранения Республики Башкортостан, замещающие должности, не отнесенные к должностям государственной гражданской службы Республики Башкортостан;
граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы;
лица, замещающие должности руководителей и заместителей руководителей организаций, находящихся в ведении Министерства здравоохранения Республики Башкортостан (далее - руководителей и заместителей руководителей организаций);
граждане, претендующие на замещение должностей руководителей и заместителей руководителей организаций;
участники конкурсов на замещение вакантных должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
государственные гражданские служащие и лица, состоящие с ними в родстве (свойстве) в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения;
лица, с которыми заключены договоры;
граждане, обратившиеся по вопросам, относящимся к компетенции Министерства здравоохранения Республики Башкортостан;
работники медицинских организаций - участников федеральной программы «Земский доктор»;
представители лицензиатов;
граждане-заявители, обратившиеся в Министерство здравоохранения республики Башкортостан за получением государственной услуги;
иные лица, персональные данные которых обрабатываются Оператором в соответствии с законодательством.
3.2. При определении объема и содержания обрабатываемых персональных данных работника Оператор руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом № 79-ФЗ и иными федеральными законами.
IV. ПОРЯДОК СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператором установлен следующий порядок сбора и обработки персональных данных работников.
При заключении служебного контракта гражданин представляет Оператору перечень документов в соответствии с Федеральным законом № 79-ФЗ.
Запрещается требовать от лица, поступающего на работу, документы, не предусмотренные Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
Личные дела и документы работников формируются отделом государственной гражданской службы и кадров Оператора.
Личные дела и документы, содержащие персональные данные работников, хранятся в помещении отдела государственной гражданской службы и кадров Министерства здравоохранения в специально отведенном металлическом шкафу (сейфе) в условиях, обеспечивающих защиту от несанкционированного доступа.
Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах работников, относятся к сведениям конфиденциального характера.
Личное дело считается завершенным при увольнении работника и хранится в течение срока, установленного законодательством Российской Федерации.
4.2. Оператором установлен следующий порядок сбора и обработки персональных данных лиц, с которыми заключены договоры.
Оператор осуществляет обработку следующих персональных данных лиц, с которыми заключены договоры:
фамилия, имя, отчество;
дата рождения;
реквизиты документа, удостоверяющего личность;
адрес регистрации;
ИНН;
СНИЛС;
контактная информация (телефон, адрес, e-mail).
Оператором установлен следующий порядок сбора и обработки персональных данных граждан, обратившихся к Оператору.
Состав персональных данных:
фамилия, имя, отчество;
адрес для направления корреспонденции;
электронный адрес;
иные персональные данные, указанные гражданином в обращении.
Хранение рассмотренных обращений регистрационно-контрольной карточки обеспечивается в текущем архиве Оператора в течение 5 лет с момента регистрации обращения.
Места хранения материальных носителей персональных данных определяются приказом руководителя Оператора.
Обработка персональных данных осуществляется гражданскими служащими, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные.
Гражданские служащие, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные, подписывают обязательство о неразглашении персональных данных.
Перечень должностей гражданских служащих, которые осуществляют обработку персональных данных либо имеют доступ к персональным данным, утверждается приказом министра здравоохранения Республики Башкортостан.
Все работники, имеющие доступ к персональным данным субъектов, ознакомляются с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), настоящими Правилами и иными правовыми актами Оператора по вопросам обработки персональных данных.
V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Доступ к персональным данным ограничивается в соответствии с законодательством и настоящими Правилами.
5.2. Оператор не вправе разглашать полученные в результате своей профессиональной деятельности персональные данные.
5.3. Доступ к персональным данным, подлежащим обработке с использованием и (или) без использования средств автоматизации, разрешен только уполномоченным работникам в соответствии с Перечнем подразделений и должностных лиц, допущенных к работе с персональными данными, утверждаемым приказом министра здравоохранения Республики Башкортостан. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения служебных обязанностей.
VI. ОРГАНИЗАЦИЯ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.
6.2. Срок хранения персональных данных, внесенных в информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.
6.3. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, обособляются от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
6.4. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами.
VII. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ
ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
7.1. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению.
7.2. Документы, содержащие персональные данные, на бумажном носителе передаются в архив для уничтожения в порядке, установленном законодательством Российской Федерации об архивном деле.
7.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
VIII. ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ, В КОТОРЫХ
ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Доступ в помещения, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, содержащиеся на материальных носителях персональных данных, имеют государственные гражданские служащие, уполномоченные на обработку персональных данных.
8.2. Пребывание лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении государственного гражданского служащего, уполномоченного на обработку персональных данных.
Приложение № 1
к Правилам обработки, хранения
и уничтожения персональных данных
в Министерстве здравоохранения
Республики Башкортостан
Типовая форма
Журнал учета электронных носителей персональных данных
Журнал начат «__» _________ 20__ г. Журнал завершен «__» ________ 20__ г.
Должность ответственного за Должность ответственного за
обеспечение безопасности персональных обеспечение безопасности персональных
данных в информационных системах данных в информационных системах
Оператора Оператора
_________________________________ __________________________________
________________/________________ ________________/_________________
Подпись (ФИО) Подпись (ФИО)
№ п/п
Тип носителя
Регистрационный номер
Место хранения
Отметка о постановке на учет (выдаче носителя)
Отметка об уничтожении
Подпись ответственного
Дата
ФИО, должность
Подпись
Дата
ФИО, должность
Подпись
1
2
3
4
5
6
7
8
9
10
11
Приложение № 2
к Правилам обработки, хранения
и уничтожения персональных данных
в Министерстве здравоохранения
Республики Башкортостан
Типовая форма
Акт уничтожения носителей персональных данных
Комиссия в составе:
провела отбор материальных носителей персональных данных и установила, что
в соответствии с Правилами обработки персональных данных в Министерстве
здравоохранения Республики Башкортостан, записанная на них в процессе
обработки персональных данных, подлежит гарантированному уничтожению:
№ п/п
Дата
Тип носителя
Регистрационный номер носителя персональных данных
Примечание
Всего материальных носителей:
___________________________________________________________________________
(цифрами и прописью)
Перечисленные носители персональных данных уничтожены путем
___________________________________________________________________________
__________________________________________________________________________.
(способы: измельчение, сжигание, механическое уничтожение и т.п.)
_________________/_________________/
Подпись (ФИО)
______________________
дата
Приложение № 2
к Приказу Министерства
здравоохранения
Республики Башкортостан
от 23 июля 2018 г. № 2036-Д
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ЗАКОННЫХ ПРЕДСТАВИТЕЛЕЙ В МИНИСТЕРСТВЕ
ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
I. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие Правила рассмотрения запросов субъектов персональных данных или их законных представителей (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации» и определяют порядок обработки поступающих обращений субъектов персональных данных в части обработки персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Министерство).
II. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Право на получение информации, касающейся обработки своих персональных данных в Министерстве, имеют следующие субъекты персональных данных:
государственные гражданские служащие Республики Башкортостан, замещающие должности государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан (далее - государственные гражданские служащие), и лица, состоящие в родстве (свойстве) с субъектами персональных данных (далее - ПДн);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
работники Министерства здравоохранения Республики Башкортостан, замещающие должности, не отнесенные к должностям государственной гражданской службы Республики Башкортостан;
граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы;
лица, замещающие должности руководителей и заместителей руководителей организаций, находящихся в ведении Министерства здравоохранения Республики Башкортостан (далее - руководителей и заместителей руководителей организаций);
граждане, претендующие на замещение должностей руководителей и заместителей руководителей организаций;
участники конкурсов на замещение вакантных должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
государственные гражданские служащие и лица, состоящие с ними в родстве, в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения;
лица, с которыми заключены договоры;
граждане, обратившиеся по вопросам, относящимся к компетенции Министерства здравоохранения Республики Башкортостан;
работники медицинских организаций - участников федеральной программы «Земский доктор»;
представители лицензиатов;
граждане-заявители, обратившиеся в Министерство здравоохранения Республики Башкортостан за получением государственной услуги;
иные лица, персональные данные которых обрабатываются Оператором в соответствии с законодательством.
2.2. Субъекты персональных данных, указанные в пункте 2.1 настоящих Правил, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в Министерстве;
правовые основания и цели обработки персональных данных;
цели и применяемые в Министерстве способы обработки персональных данных;
наименование и место нахождения Министерства, сведения о гражданах (за исключением государственных гражданских служащих Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании законодательства Российской Федерации;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации в области персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения в Министерстве;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче персональных данных;
наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такой организации или лицу;
иные сведения, предусмотренные законодательством Российской Федерации.
2.3. Субъект персональных данных имеет право на получение сведений, указанных в пункте 3 настоящих Правил, за исключением части 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
2.4. Сведения, указанные в пункте 2.2 настоящих Правил, предоставляются субъекту персональных данных Министерством в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.5. Сведения, указанные в пункте 2.2 настоящих Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Министерства, осуществляющим обработку персональных данных, при получении запроса субъекта персональных данных или его представителя.
2.6. Запрос должен содержать:
1) основной документ, удостоверяющего личность субъекта персональных данных или его представителя;
2) сведения о дате выдачи указанного документа и о выдавшем его органе;
3) сведения, подтверждающие участие субъекта персональных данных в отношениях с Министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Министерстве;
4) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.7. Если сведения, указанные в пункте 2.2 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Министерство или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.2 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.8. Субъект персональных данных вправе обратиться повторно в Министерство или направить повторный запрос в целях получения сведений, указанных в пункте 2.2 настоящих Правил, в соответствии с частью 4 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». В случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 2.6 настоящих Правил, должен содержать обоснование направления повторного запроса.
2.9. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 2.7 и 2.8 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Министерстве.
2.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации в области персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Приложение № 3
к приказу Министерства
здравоохранения
Республики Башкортостан
от 23 июля 2018 г. № 2036-Д
ПОЛОЖЕНИЕ
ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ
ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Положение по обработке персональных данных в Министерстве здравоохранения Республики Башкортостан (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
1.3. Основные понятия, используемые в Положении:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Основные права субъекта персональных данных:
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
Субъект персональных данных имеет право на получение сведений, указанных в пункте 1.4 настоящего Положения, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования, отзыва или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Указанные сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.5. Обязанности Оператора персональных данных:
При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 4 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилию, имя, отчество и адрес Оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» права субъекта персональных данных;
5) источник получения персональных данных.
II. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
Цели сбора персональных данных включают в себя:
регистрацию и учет работников, обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
рассмотрение обращений субъектов персональных;
разработку и реализацию мер по развитию здравоохранения, организации оказания медицинской помощи населению и его лекарственного обеспечения;
обеспечение функционирования ведомственной системы специального профессионального образования в сфере здравоохранения;
санитарно-просветительную работу по формированию здорового образа жизни у населения;
координацию деятельности субъектов государственной, муниципальной и частной систем здравоохранения, иных хозяйствующих субъектов в области охраны здоровья граждан.
III. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовыми основаниями обработки персональных данных являются следующие нормативно-правовые акты:
Трудовой кодекс Российской Федерации (далее - Трудовой кодекс);
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»);
Федеральный закон от 27 мая 2003 года № 58-ФЗ «О системе государственной службы Российской Федерации»;
Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее - Федеральный закон «О государственной гражданской службе Российской Федерации»);
Федеральный закон от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции» (далее - Федеральный закон «О противодействии коррупции»);
Федеральный закон от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее - Федеральный закон «Об организации предоставления государственных и муниципальных услуг»);
Федеральный закон от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее - Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»);
Указ Президента Российской Федерации от 1 февраля 2005 года № 112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации»;
Указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
постановление Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
распоряжение Правительства Российской Федерации от 26 мая 2005 года № 667-р;
приказ Федеральной службы по техническому и экспертному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
постановление Правительства Республики Башкортостан от 9 июля 2014 года № 310 «Об утверждении положения о Министерстве здравоохранения Республики Башкортостан».
IV. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ходе выполнения возложенных на Оператора функций ведется обработка следующих категорий субъектов персональных данных:
государственные гражданские служащие Республики Башкортостан, замещающие должности государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан (далее - государственные гражданские служащие), и лица, состоящие в родстве (свойстве) с субъектами персональных данных (далее - ПДн);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
работники Министерства здравоохранения Республики Башкортостан, замещающие должности, не отнесенные к должностям государственной гражданской службы Республики Башкортостан;
граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы;
лица, замещающие должности руководителей и заместителей руководителей организаций, находящихся в ведении Министерства здравоохранения Республики Башкортостан (далее - руководителей и заместителей руководителей организаций);
граждане, претендующие на замещение должностей руководителей и заместителей руководителей организаций;
участники конкурсов на замещение вакантных должностей государственной гражданской службы в Министерстве здравоохранения Республики Башкортостан;
государственные гражданские служащие и лица, состоящие с ними в родстве, в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения;
лица, с которыми заключены договоры;
граждане, обратившиеся по вопросам, относящимся к компетенции Министерства здравоохранения Республики Башкортостан;
работники медицинских организаций - участников федеральной программы «Земский доктор»;
представители лицензиатов;
граждане-заявители, обратившиеся в Министерство здравоохранения республики Башкортостан за получением государственной услуги;
иные лица, персональные данные которых обрабатываются Оператором в соответствии с законодательством.
По данным категориям субъектов персональных данных обрабатываются следующие персональные данные:
1) персональные данные субъектов ПДн (пациентов):
ФИО;
дата рождения;
контактный телефон;
адрес прописки;
адрес фактического проживания;
паспортные данные;
данные о состоянии здоровья (история болезни);
2) персональные данные сотрудников:
фамилия, имя, отчество;
место, год и дата рождения;
адрес по прописке;
паспортные данные (серия, номер паспорта, кем и когда выдан);
информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
информация о трудовой деятельности до приема на работу;
информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
адрес проживания (реальный);
телефонный номер (домашний, рабочий, мобильный);
семейное положение и состав семьи (муж/жена, дети);
информация о знании иностранных языков;
форма допуска;
оклад;
данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
ИНН;
данные об аттестации работников;
данные о повышении квалификации;
данные о наградах, медалях, поощрениях, почетных званиях;
информация о приеме на работу, перемещении по должности, увольнении;
информация об отпусках;
информация о командировках;
информация о болезнях;
информация о негосударственном пенсионном обеспечении.
V. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные обрабатываются Оператором с использованием средств автоматизации и без использования таких средств. Оператором определен перечень действий (операций) с персональными данными при их обработке: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Трансграничная передача персональных данных Оператора на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, не осуществляется.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, если имеется согласие в письменной форме субъекта персональных данных, или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных допускается в следующих случаях:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон от 2 июля 2010 года № 151 «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
При выполнении одного из перечисленных условий согласие не требуется.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных;
обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ «О Всероссийской переписи населения»;
обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Обработка персональных данных о судимости может осуществляться в случаях и в порядке, которые определяются в соответствии с законодательством.
Обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), и которые используются Оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». В поручении Оператора определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
Ответственность за отправку персональных данных Оператору через незащищенные каналы связи (электронная почта) несет сам отправитель.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
В случае отсутствия возможности уничтожения персональных данных в течение указанных выше сроков Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
VI. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ
НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 17.10.2018 |
| Рубрики правового классификатора: | 140.010.010 Общие положения |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
