Политика в отношении обработки персональных данных в государственном бюджетном учреждении здравоохранения "Волгоградский областной медицинский информационно-аналитический центр"

1. Общие положения

Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Федеральный закон), постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее – ПП №1119), постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ними нормативными правовыми актами, операторами являющимися государственными или муниципальными органами" (далее – ПП №211) и устанавливает единый порядок обработки персональных данных в государственном бюджетном учреждении здравоохранения "Волгоградский областной медицинский информационно-аналитический центр" (далее – ГБУЗ "ВОМИАЦ").

В документе используются следующие термины и понятия:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Основные условия проведения обработки персональных данных

Обработка персональных данных осуществляется:

после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;

после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Волгоградской области, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;

после принятия необходимых мер по защите персональных данных.

В ГБУЗ "ВОМИАЦ" приказом руководителя назначается сотрудник, ответственный за организацию обработки персональных данных и определяется перечень лиц, допущенных к обработке персональных данных.

Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим документом (далее – политика) и подписывают обязательство о неразглашение информации, содержащей персональные данные, по форме утвержденной приказом по ГБУЗ "ВОМИАЦ".

Запрещается:

обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

осуществлять ввод персональных данных под диктовку.

3. Порядок определения защищаемой информации

ГБУЗ "ВОМИАЦ" создает в пределах своих полномочий, установленных в соответствии с федеральными законами, информационные системы, в целях обеспечения реализации прав объектов персональных данных.

В ГБУЗ "ВОМИАЦ" на основании "Перечня сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации 06.03.1997 № 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - защищаемая информация) и перечень информационных систем персональных данных.

На стадии проектирования каждой информационной системы определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных

4. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации

Обработка персональных данных в информационных системах ГБУЗ "ВОМИАЦ" с использованием средств автоматизации осуществляется в соответствии с требованиями ПП №1119 и ПП №211, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

Оператором осуществляется определение уровня защищенности информационных систем в соответствии с ПП №1119 в зависимости от категории обрабатываемых данных, их количества и наличия трудовых взаимоотношений с ГБУЗ "ВОМИАЦ".

Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", а также от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

утвержденных организационно-технических документов о порядке эксплуатации информационных систем, включающих акт по установлению уровня защищенности данных, инструкции пользователя, администратора, по организации антивирусной защиты, и других нормативных и методических документов;

настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с частной моделью угроз безопасности персональных данных;

охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.

ГБУЗ "ВОМИАЦ" прекращает обработку персональных данных или обеспечивает прекращение их обработки лицом, действующим по поручению ГБУЗ "ВОМИАЦ", в случае:

изменения, признания утратившими силу нормативно-правовых актов, устанавливающих правовые основания обработки персональных данных;

изменения или расторжения соглашений, заключенных ГБУЗ "ВОМИАЦ" во исполнение нормативно-правовых актов, на основании которых осуществляется обработка персональных данных;

выявление неправомерной обработки персональных данных осуществляемой ГБУЗ "ВОМИАЦ" или лицом, действующим по поручению ГБУЗ "ВОМИАЦ";

достижение цели обработки персональных данных;

отзыва субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с законодательством Российской Федерации обработка персональных данных допускается только с согласия субъекта персональных данных.

5. Ответственность должностных лиц

Гражданские государственные служащие, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.