Точный
Действующий
Текст


ДЕПАРТАМЕНТ ЗДРАВООХРАНЕНИЯ КОСТРОМСКОЙ ОБЛАСТИ

ПРИКАЗ

от 29 декабря 2016 года N 874

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ДЕПАРТАМЕНТА ЗДРАВООХРАНЕНИЯ КОСТРОМСКОЙ ОБЛАСТИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:

1. Утвердить Положение, определяющее политику департамента здравоохранения Костромской области в отношении обработки персональных данных (приложение).

2. Ответственному за организацию обработки персональных данных в департаменте здравоохранения Костромской области опубликовать Положение, определяющее политику в отношении обработки персональных данных, на официальном сайте департамента здравоохранения Костромской области в течение 10 дней со дня его вступления в силу.

3. Контроль за исполнением настоящего приказа оставляю за собой.

4. Приказ вступает в силу со дня подписания.



Директор департамента
здравоохранения
Костромской области
Е.В.НЕЧАЕВ




Приложение
к приказу
департамента
здравоохранения
Костромской области
от 29 декабря 2016 года N 874

ПОЛОЖЕНИЕ, определяющее политику департамента здравоохранения Костромской области в отношении обработки персональных данных

1. Общие положения

1.1. Настоящее Положение, определяющее политику в отношении обработки персональных данных, (далее - Положение) разработано в соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.2. Положение определяет цели, принципы обработки персональных данных и реализуемые требования к их защите в департаменте здравоохранения Костромской области (далее - Департамент).

1.3. Персональные данные являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.


2. Основные понятия

2.1. В настоящем Положении используются следующие основные понятия:

2.1.1. Субъектами персональных данных Департамента являются граждане Российской Федерации, направившие обращение в адрес Департамента; лицензиаты и соискатели лицензий (представители юридических лиц и индивидуальные предприниматели); граждане Российской Федерации, больные гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, миелолейкозом, рассеянным склерозом, а также после трансплантации органов и (или) тканей; граждане Российской Федерации, страдающие редкими (орфанными) заболеваниями; граждане Костромской области, нуждающиеся в обследовании и лечении по видам медицинских работ и услуг, за исключением высокотехнологичных; граждане Костромской области, нуждающиеся в высокотехнологичной медицинской помощи; претенденты на вхождение в кадровый резерв Департамента; государственные гражданские служащие и работники Департамента; претенденты на замещение должностей государственных гражданских служащих Департамента; работники подведомственных учреждений, работавшие до 1997 года; молодые специалисты, принятые на работу в государственные медицинские учреждения; граждане Костромской области, обратившиеся за возмещением расходов; лица, состоящие в договорных и/или иных гражданско-правовых отношениях с Департаментом.

2.1.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.1.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

2.2. Конфиденциальность персональных данных - обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.



3. Принципы и цели обработки персональных данных

3.1. Департамент в своей деятельности по обработке персональных данных руководствуется следующими принципами:

3.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.1.2. Цели обработки персональных данных соответствуют полномочиям Департамента.

3.1.3. Содержание и объем обрабатываемых персональных данных соответствуют целям обработки персональных данных.

3.1.4. Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных.

3.1.5. Ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных.

3.1.6. Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.1.7. Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством.

3.1.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

3.2. Обработка персональных данных государственных гражданских служащих и работников Департамента осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия им в прохождении службы, в обучении и должностном росте, в целях обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества государственного органа, учета результатов исполнения ими должностных обязанностей.

3.3. Обработка персональных данных граждан, не являющихся государственными гражданскими служащими и работниками Департамента, осуществляется с целью реализации закрепленных за Департаментом полномочий.



4. Перечень мер по обеспечению безопасности персональных данных при их обработке

4.1. Департамент при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иные необходимые и не противоречащие действующему законодательству меры обеспечения безопасности персональных данных.

Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

4.1.1. Назначение ответственного за организацию обработки персональных данных.

4.1.2. Утверждение локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

4.1.3. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

4.1.4. Ознакомление государственных гражданских служащих и работников Департамента, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных государственных гражданских служащих и работников.

4.1.5. Выполнение требований, установленных Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", при обработке персональных данных, осуществляемой без использования средств автоматизации.

4.1.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.1.7. Учет машинных носителей персональных данных.

4.1.8. Выявление фактов несанкционированного доступа к персональным данным и принятие мер.

4.1.9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.1.10. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых в информационной системе персональных данных.

4.2. Государственные гражданские служащие и работники Департамента, чья вина установлена в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»