Ваш браузер устарел. Рекомендуем обновить его до последней версии.

logo

Содержание
Центр медицинской профилактики

Положение

о персональных данных

КГБУЗ «Наркологический диспансер г.Комсомольск-на-Амуре» министерства здравоохранения Хабаровского края

 

 

1.            Общие положения

Настоящее Положение о персональных данных (далее - Положение):

а)            Является основополагающим внутренним документом КГБУЗ «Наркологический диспансер г.Комсомольск-на-Амуре» министерства здравоохранения Хабаровского края (далее – Учреждение), регулирующим вопросы и правила обработки персональных данных (далее - ПДн);

б)           Устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере ПДн;

в)            Определяет категории обрабатываемых ПДн, а также цели их обработки.

Настоящее Положение разработано в соответствии со следующими нормативно-правовыми актами РФ:

а)            Конституция Российской Федерации (от 25.12.1993);

б)           Федеральный закон «Об информации, Информационных технологиях и о защите информации» (N 149- ФЗ от 27.07.2006);

в)            Федеральный закон «О персональных данных» (N 152-ФЗ от 27.07.2006);

г)            Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (N 1119 от 01.11.2012);

д)           Постановление Правительства РФ «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (N 687 от 15.09.2008);

е)           Постановление Правительства РФ «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (N 211 от 21.03.2012);

ж)           Иные нормативно-правовые акты, разработанные в соответствии с федеральным законом «О персональных данных».

ПДн относятся к категории конфиденциальной информации.

Учреждение обрабатывает следующие категории персональных данных:

а)            Персональные данные физических лиц, работающих по трудовому договору с Учреждением (далее - Работники);

б)           Персональные данные физических лиц, являющихся стороной договора гражданско-правового характера (далее - Контрагенты);

в)            Персональные данные физических лиц граждан пожилого возраста (женщин старше 55 лет, мужчин старше 60 лет) и инвалидов старше 18 лет, имеющих 1 или 2 группу, частично или полностью утративших способность к самообслуживанию и нуждающихся в постоянном постороннем уходе и наблюдении (далее - Пациенты).

Учреждение осуществляет обработку ПДн Работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Учреждение осуществляет обработку ПДн Контрагентов исключительно в целях исполнения договора гражданско-правового характера.

Учреждение осуществляет обработку ПДн Пациентов исключительно в целях оказания медицинской  помощи , реабилитационных мероприятий медицинского, социального и лечебно-трудового характера, обеспечения ухода.

Настоящее Положение вступает в силу на основании приказа главного врача Учреждения.

Все изменения в Положение вносятся приказом главного врача Учреждения. 

Основные термины и понятия

Основные термины и понятия, указанные в п. 2 настоящего положения используются в иных локальных документах Учреждения, принимаемых по вопросу обработки персональных данных в информационной системе персональных данных «Учреждение медицинского обслуживания» (далее - ИСПДн).

Для целей настоящего положения используются следующие термины и понятия:

а)            Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

б)           Субъект - субъект персональных данных;

в)            Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные Работников - информация, необходимая Учреждению для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Персональные данные Контрагентов - информация, необходимая Учреждению для исполнения договора гражданско-правового характера.

Персональные данные Пациентов - информация, необходимая Учреждению в целях оказания реабилитационных мероприятий медицинского, социального и лечебно-трудового характера, обеспечения ухода.

Общие правила обработки персональных данных

В Учреждении устанавливаются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

К обработке персональных данных допускаются только штатные работники, внесенные в список лиц, допущенных к обработке персональных данных и соответствующие должности, внесенной в перечень должностей работников, допущенных к обработке персональных данных.

При работе с персональными данными, в том числе при обработке персональных данных в ИСПДн, работники, допущенные к обработке персональных данных, руководствуются инструкцией пользователя ИСПДн.

Приказом главного врача Учреждения для ИСПДн назначается лицо, ответственное за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных, в своей деятельности руководствуется инструкцией лица, ответственного за организацию обработки персональных данных.

Лицом ответственным за организацию обработки персональных данных определяется список лиц, допущенных в помещения, в которых производится обработка персональных данных.

Лицом, ответственным за организацию обработки персональных данных, производится учет обращений субъектов персональных данных или их законных представителей.

Каждое лицо, допущенное к обработке персональных данных, обязуется не разглашать информацию конфиденциального характера, в том числе персональные данные, полученные в результате исполнения своих должностных обязанностей.

Все места хранилищ носителей информации должны быть учтены.

Все нормативные акты, указанные в п. 3.1-3.7 вступают в силу с момента их утверждения директора Учреждения и действуют бессрочно до замены их новыми актами.

Правила обработки персональных данных в ИСПДн

В Учреждении устанавливаются и соблюдаются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, обрабатываемых в ИСПДн.

Приказом главного врача Учреждения утверждается перечень информационных систем персональных данных.

Определение необходимого уровня защищенности ИСПДн осуществляется комиссией, утвержденной приказом главного врача Учреждения. В комиссию должны входить не менее трех человек из числа Работников Учреждения. По завершении процедуры классификации составляется Акт определения требуемого уровня защищенности ИСПДн.

Состав персональных данных, обрабатываемых в ИСПДн, а также цели их обработки определяются в перечне персональных данных.

Для ИСПДн приказом директора Учреждения назначается администратор информационной безопасности (далее – Администратор).

Администратор в своей деятельности руководствуется инструкцией администратора информационной безопасности.

К техническому обслуживанию средств и систем ИСПДн допускаются только лица, внесенные в список лиц, допущенных к техническому и программному обслуживанию ИСПДн.

К управлению конфигурацией ИСПДн и системы защиты персональных данных допускаются только лица, внесенные в список лиц, допущенных к управлению конфигурацией ИСПДн и системы защиты персональных данных.

Любые изменения в конфигурации ИСПДн, влияющие на защищенность персональных данных, обрабатываемых в ИСПДн должны быть учтены Администратором в журнале регистрации изменений в конфигурации ИСПДн

Администратор в согласовании с лицом, ответственным за организацию обработки персональных данных, составляет технический паспорт ИСПДн.

Для предотвращения возможных потерь информации с носителей, содержащих персональные данные, Администратором разрабатывается инструкция по резервированию и восстановлению работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.

Для защиты автоматизированных рабочих мест (далее – АРМ) лиц, допущенных к обработке персональных данных, от вирусов и шпионских программ, Администратором разрабатывается инструкция по организации антивирусной защиты.

Для защиты автоматизированных рабочих мест лиц, производящих обработку персональных данных от несанкционированного доступа, Администратором разрабатывается инструкция по организации парольной защиты.

Все съемные и машинные носители персональных данных подлежат учету. Администратором разрабатывается инструкция по порядку учета и хранения машинных и съемных носителей информации.

В случае если в информационной системе персональных данных имеется разграничение прав доступа пользователей к защищаемой информации, Администратор разрабатывает разрешительную систему доступа к информационным ресурсам.

Приказом главного врача Учреждения утверждается перечень регистрируемых событий безопасности. Администратор обеспечивает сбор, обработку, хранение и конфиденциальность таких событий.

Для определения вероятных нарушителей и актуальных угроз безопасности в ИСПДн Администратором оператора разрабатывается модель угроз безопасности персональных данных, обрабатываемых ИСПДн.

Ежегодно, не позднее 1 марта комиссия, указанная в п.4.3 разрабатывает план мероприятий по обеспечению защиты персональных данных на текущий год.

Лицо, ответственное за организацию обработки персональных данных производит учет всех мероприятий, направленных на обеспечение безопасности персональных данных, обрабатываемых в Учреждении в журнале учета мероприятий по защите персональных данных.

Все субъекты персональных данных, данные которых обрабатываются в ИСПДн, подтверждают свое согласие на обработку персональных данных в письменном виде.

Лицо, ответственное за организацию обработки персональных данных направляет и поддерживает в актуальном состоянии уведомление об обработке персональных данных в Учреждение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области.

Все нормативные акты, указанные в п. 4.1-4.21 вступают в силу с момента их утверждения главного врача  Учреждения и действуют бессрочно до замены их новыми актами.

Не допускается обработка персональных данных в ИСПДн:

а)            При отсутствии установленных и настроенных сертифицированных средств защиты информации;

б)           При отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.

При обработке персональных данных запрещается:

а)            Обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

б)           Осуществлять ввод персональных данных под диктовку.

Правила обработки персональных данных без использования средств автоматизации

Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях.

При неавтоматизированной обработке персональных данных:

а)            Не допускается фиксация на одном бумажном носителе персональных данных, цели, обработки которых заведомо не совместимы;

б)           Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

в)            Документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

г)            Дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание)

Факт уничтожения персональных данных оформляется внутренним актом, в котором указывается какие персональные данные, когда, кем и каким образом уничтожены.

Правила обработки персональных данных с применением средств криптографической защиты информации

Двери помещений, где размещены средства криптографической защиты информации (далее - СКЗИ), хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения) должны быть оснащены замками.

Двери Помещений должны быть постоянно закрыты на замок, за исключением необходимости санкционированного прохода.

Двери Помещений должны опечатываться по окончанию рабочего дня или оборудоваться соответствующим техническим устройством, сигнализирующем о несанкционированном вскрытии.

Администратором разрабатываются правила доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях.

Все пользователи, применяющие СКЗИ для обработки персональных данных в ИСПДн, должны быть ознакомлены с инструкцией по работе с СКЗИ, сертификатами ключей подписи, открытыми и закрытыми ключами электронной цифровой подписи.

К работе с СКЗИ допускаются только лица, внесенные в список лиц, допущенных к работе СКЗИ.

Перед внесением пользователя ИСПДн в списки лиц, допущенных к работе с СКЗИ, Администратор проводит инструктаж по работе с СКЗИ с записью в журнал учета проведения инструктажа пользователя, допущенного к работе с СКЗИ.

Администратор обязан вести учет всех СКЗИ, эксплуатационной и технической документации к ним и ключевых документов, используемых в ИСПДн.

Администратор обязан вести учет носителей с ключевой информацией.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

Лицо, ответственное за организацию обработки персональных данных, а также иные руководители Учреждения, разрешающие доступ Работников к документу, содержащему персональные данные, несут персональную ответственность за данное разрешение.

Защита прав субъектов персональных данных осуществляется судом, в целях пресечения неправомерного использования этих персональных данных, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Заключительные положения

Администратор, лицо, ответственное за организацию обработки персональных данных, пользователи ИСПДн обязаны не реже одного раза в полгода ознакомляться с настоящим документом.

Администратор, совместно с лицом, ответственным за организацию обработки персональных данных, обязаны не реже одного раза в год пересматривать и приводить в соответствие законодательству и иных нормативных актов положения настоящего документа.