УТВЕРЖДЕНО Приказом Территориального органа Федеральной службы по
advertisement
УТВЕРЖДЕНО Приказом Территориального органа Федеральной службы по надзору в сфере здравоохранения по Чувашской Республике от 19.06.2012 № П21-206/12 Положение по обработке персональных данных в Территориальном органе Федеральной службы по надзору в сфере здравоохранения по Чувашской Республике 1. Общие положения 1.1. Настоящее Положение по обработке персональных данных (далее – Положение) в Территориальном органе Федеральной службы по надзору в сфере здравоохранения по Чувашской Республике (далее – Территориальный орган) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Федеральным законом «О государственной гражданской службе Российской Федерации», иными нормативными актами Российской Федерации. 1.2. Основными целями настоящего Положения являются: – определение порядка обработки персональных данных должностных лиц Территориального органа (далее – сотрудников) и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий Территориального органа; – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; – установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. 1.3. Настоящее Положение вступает в силу с момента его утверждения руководителем Территориального органа и действует бессрочно, до замены его новым Положением. Все изменения в Положение вносятся приказом. 1.4. Сотрудники, допущенные к работе с персональными данными, в обязательном порядке под подпись знакомятся с настоящим Положением. Субъекты персональных данных обрабатываемых Территориальным органом, имеют право знакомиться с настоящим Положением в части касающейся обработки персональных данных в соответствии со статьей 14 Федерального закона «О персональных данных». 2. Основные понятия и состав персональных данных 2.1. Для целей настоящего Положения используются следующие основные понятия: - персональные данные сотрудника – любая информация, относящаяся к определенному или определяемому на основании такой информации сотруднику Территориального органа, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями; - персональные данные гражданина – любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту – гражданину, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, и ряд других сведений, в соответствии с Федеральным законом «О персональных данных»; - персональные данные – любая информация, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); - обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; - конфиденциальность персональных данных – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; - распространение персональных данных – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; - предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; - доступ к информации – возможность получения информации и ее использования; - блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); - уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; - обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; - информация – сведения (сообщения, данные) независимо от формы их представления; - документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. 2.2. В Территориальном органе обрабатываются следующие документы, содержащие персональные данные: - комплекты документов, сопровождающие процесс оформления трудовых отношений при приеме на федеральную государственную гражданскую службу, назначении на должность, прохождении государственной гражданской службы, увольнении; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - дела, содержащие основания к приказу по личному составу; - дела, содержащие материалы аттестации сотрудников; - подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководителю Территориального органа, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы Территориальный орган и другие учреждения; - документы для составления актов проверки организаций; - документы необходимые для лицензирования деятельности; - документы необходимые при записи граждан на прием и регистрации их обращений. 3. Основные принципы обработки персональных данных субъекта персональных данных 3.1. Обработка персональных данных осуществляется на основе следующих принципов: - законности целей и способов обработки персональных данных и добросовестности; - соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Территориального органа; - соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; - достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; - недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. 3.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 3.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Территориальному органу своих персональных данных. 3.4. Территориальный орган распоряжается персональными данными в пределах, установленных законодательством Российской Федерации и настоящим Положением. 3.5. Обработка персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам в трудоустройстве, обеспечения личной безопасности сотрудника, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Территориальный орган. 4. Обработка персональных данных 4.1. При заключении служебного контракта в соответствии с Федеральным законом «О государственной гражданской службе», лицо, поступающее на службу, предъявляет Территориальному органу следующие документы, содержащие персональные данные сотрудника: - паспорт или иной документ, удостоверяющий личность; - трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или сотрудник поступает на работу на условиях совместительства, либо трудовая книжка у сотрудника отсутствует в связи с ее утратой или по другим причинам; - страховое свидетельство государственного пенсионного страхования; - документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету; - документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки; - свидетельство о присвоении ИНН (при его наличии у работника); - собственноручно заполненную и подписанную анкету установленной формы (для заключения служебного контракта); - сведения о доходах, об имуществе и обязательствах имущественного контракта (для заключения служебного контракта); - иные документы, предусмотренные действующим законодательством Российской Федерации и Чувашской Республики. 4.1.1. При оформлении сотрудника в Территориальном органе, сотрудником, ответственным за ведение кадрового обеспечения, заполняется унифицированная форма Т-2ГС «Личная карточка государственного (муниципального) служащего», в которой отражаются следующие анкетные и биографические данные сотрудника: - общие сведения (Ф.И.О. сотрудника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные); - сведения о воинском учете; - данные о приеме на работу. В дальнейшем в личную карточку вносятся: - сведения об аттестации; - сведения о повышении квалификации; - сведения о профессиональной переподготовке; - сведения о наградах (поощрениях), почетных званиях; - сведения об отпусках; - сведения о социальных гарантиях; - сведения о месте жительства и контактных телефонах 4.1.2. Все персональные данные сотрудника получаются у него самого. Специалист Территориального органа, ответственный за документационное обеспечение кадровой деятельности, принимает от сотрудника документы, проверяет их полноту и правильность указываемых сведений. Если персональные данные сотрудника возможно получить только от третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Территориальный орган должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника их предоставить. 4.2. Территориальный орган в соответствии с Приказом Министерства здравоохранения и социального развития Российской Федерации от 22 ноября 2004 года № 205 «Об утверждении Положения о территориальном органе Федеральной службы по надзору в сфере здравоохранения и социального развития по субъекту Российской Федерации (Управление Росздравнадзора по субъекту Российской Федерации)» организует прием граждан. Гражданин имеет возможность записаться на прием, отправив письмо по электронной почте установленной формы, которую он может найти на официальном сайте Территориальный орган, позвонив по телефону и сообщив необходимые данные для записи на прием, а так же непосредственно у сотрудника Территориальный орган. 4.2.1. При регистрации гражданина на прием сотрудником Территориальный орган осуществляется запись в соответствующий журнал приема граждан, а также заполняется электронная форма, в которой отражаются следующие данные: – фамилия, имя и отчество гражданина; – паспортные данные; – адрес проживания – контактный телефон. 4.2.2. Все персональные данные гражданина получаются у него самого. Территориальный орган должно сообщить гражданину о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа гражданина их предоставить. 4.3. Территориальный орган в соответствии с Приказом Министерства здравоохранения и социального развития Российской Федерации от 22 ноября 2004 года № 205 «Об утверждении Положения о территориальном органе Федеральной службы по надзору в сфере здравоохранения и социального развития по субъекту Российской Федерации (Территориальный орган Росздравнадзора по субъекту Российской Федерации)» обеспечивает своевременное и полное рассмотрение обращений граждан, принимает по ним решение и направляет заявителям ответы. Территориальный орган получает обращения граждан как в электронном виде по электронной почте, так и на бумажных носителях. 4.3.1. При обращении гражданина в Территориальный орган его обращение регистрируется сотрудником Территориальный орган, который заполняет электронную форму, содержащую следующие персональные данные: – фамилия гражданина; – адрес, на который будет выслан ответ. После рассмотрения обращения гражданина сотрудник направляет ему ответ. В зависимости от желания гражданина ответ может быть выслан на адрес электронной почты или по адресу указанному в обращении гражданина. 4.4. Территориальный орган в соответствии с Приказом Министерства здравоохранения и социального развития Российской Федерации от 22 ноября 2004 года № 205 «Об утверждении Положения о территориальном органе Федеральной службы по надзору в сфере здравоохранения и социального развития по субъекту Российской Федерации (Территориальный орган Росздравнадзора по субъекту Российской Федерации)» осуществляет в установленном порядке проверку деятельности организаций здравоохранения, аптечных учреждений, организаций оптовой торговли лекарственных средств, организаций, осуществляющих социальную защиту населения, других организаций и индивидуальных предпринимателей, осуществляющих деятельность в сфере здравоохранения и социальной защиты населения. Территориальный орган осуществляет проверки организаций в соответствии с планом контрольно-надзорных мероприятий, а также внеплановые проверки, связанные с обращением граждан в Территориальный орган, по решению суда или прокуратуры. В ходе проверки формируются следующие документы, которые могут содержать персональные данные: – акт проверки; – предписание; – письмо заявителю (если проверка была проведена в результате обращения гражданина); – справка о проведении проверки (если проверка была проведена по решению суда или прокуратуры). 4.4.1. Сотрудники Территориальный орган в ходе проверки формируют в электронном виде документы и в зависимости от целей проверки могут включать в них различные персональные данные, а именно: – персональные данные гражданина, обратившегося с жалобой в Территориальный орган, или персональные данные гражданина, предоставленные Управлению по решению суда или прокуратурой (Ф.И.О. гражданина, дата рождения, адрес проживания, сведения из истории болезни гражданина, данные медицинской карты, диагноз, сведения об инвалидности и прочее); – персональные данные граждан, являющихся сотрудниками проверяемой организации (Ф.И.О., данные документа об образовании, данные трудовой книжки и прочее) – персональные данные сотрудников Территориальный орган, проводивших проверку (Ф.И.О., должность). 4.4.2. Все персональные данные гражданина получаются у него самого. Если персональные данные гражданина получены сотрудниками Территориальный орган в ходе исполнения своих служебных обязанностей по надзору в сфере здравоохранения, то проверяемая организация самостоятельно обеспечивает выполнение необходимых требований по защите прав субъектов персональных данных. 4.5. Персональные данные субъекта могут быть получены от его законных представителей при наличии соответствующего на то указания в доверенности, либо ином документе, на основании которого действуют представители. 4.6. Согласие гражданина, обратившегося с обращением в Территориальный орган, на обработку его персональных данных не требуется в случаях предусмотренных п. 2, п. 4, п.7 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». 4.7. Согласие сотрудника Территориальный орган на обработку его персональных данных не требуется в случаях предусмотренных частью 2 статьи 6 Федерального закона «О персональных данных». 4.8. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае смерти субъекта согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников или законных представителей, если такое согласие не было дано субъектом при его жизни. 4.9. Не допускается получение и обработка персональных данных субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона «О персональных данных». 4.10. Обработка персональных данных в автоматизированных информационных системах персональных данных осуществляется с использованием специализированного программного обеспечения, отвечающего требованиям информационной безопасности, а именно: – «1С: Предприятие»; – «АИС «Росздравнадзор»; – «Инфонет «СБИС» – «УФК «СЭД ПБС»». 4.11. Хранение персональных данных 4.11.1. Персональные данные сотрудников хранятся как на материальных носителях в сейфе в кабинете № 22, ответственный – начальник отдела административного и финансового обеспечения, в архиве Территориальный орган в кабинете № 11, ответственный специалист 1 разряда отдела административного и финансового обеспечения, в сейфе в кабинете № 6, ответственный - сотрудник по ведению кадровой работы, так и в электронном виде в баз данных на сервере в кабинете № 4. Срок хранения персональных данных сотрудников составляет 75 лет. 4.11.2. Персональные данные граждан, записавшихся на прием, хранятся как на материальных носителях в журнале учета приема граждан в кабинете № 25, ответственный специалист 1 разряда отдела административного и финансового обеспечения, а так и в электронном виде в базах данных на сервере Федеральной службы по надзору в сфере здравоохранения и социального развития. 4.11.3. Обращения граждан, хранятся как на материальных носителях сформированной папке, в соответствии с номенклатурой дел Территориальный орган в кабинете № 25, ответственный специалист 1 разряда отдела административного и финансового обеспечения, так и в электронном виде в базах данных на сервере Федеральной службы по надзору в сфере здравоохранения и социального развития. 4.11.4. Документы, сформированные в результате проверки, за исключением справок для прокуратуры, подшиваются в дела и хранятся в архиве в кабинете № 11, ответственный специалист 1 разряда отдела административного и финансового обеспечения, а так же в электронном виде в базе данных на сервере Федеральной службы по надзору в сфере здравоохранения и социального развития. Справки для прокуратуры хранятся только в электронном виде на компьютерах сотрудников. 4.12. Уничтожение персональных данных на материальных носителях производится комиссией состоящих из сотрудников Территориальный орган, а именно лица, непосредственно обрабатывающего персональные данные, лица, ответственного за защиту персональных данных, и лица, ответственного за делопроизводство, по акту. 4.13. Доступ лиц к обработке персональных данных в информационных системах персональных данных осуществляется в соответствии с приказом руководителя Территориальный орган. 5. Соблюдение конфиденциальности при обработке персональных данных 5.1. Сотрудниками Территориальный орган и третьими лицами, получающими доступ к персональным данным, обеспечивается конфиденциальность таких данных, за исключением случаев, предусмотренных в пункте 5.2 настоящего Положения. 5.2. Обеспечение конфиденциальности персональных данных не требуется: – в случае обезличивания персональных данных; – в отношении общедоступных персональных данных. 6. Общедоступные источники персональных данных 6.1. В целях информационного обеспечения деятельности структурных подразделений и сотрудников Территориальный орган могут создаваться общедоступные источники персональных данных, такие как официальный интернетсайт Территориальный орган. С письменного согласия сотрудника его персональные данные могут быть включены в такие общедоступные базы. 6.2. Персональные данные сотрудника могут быть в любое время исключены из общедоступных источников персональных данных по его требованию либо по решению руководителя Территориальный орган, либо суда или иных уполномоченных государственных органов. 7. Особенности передачи персональных данных третьим лицам 7.1. Доступ со стороны третьих лиц к персональных данным осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью работника или других лиц, и иных случаев, установленных законодательством Российской Федерации. 7.2. Территориальный орган обязано сообщать персональные данные по надлежаще оформленным запросам суда, прокуратуры и правоохранительных органов. 7.3. При передаче персональных данных Территориальный орган соблюдает следующие условия: – не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации; – не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия; – предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; – осуществлять передачу персональных данных субъектов в пределах и за пределы Территориальный орган в соответствии с настоящим Положением; – разрешать доступ к персональным данным, только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции; – передавать персональные данные представителям субъекта в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом «О государственной гражданской службе Российской Федерации», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций. 8. Типовые формы 8.1. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма) согласно пункту 7 Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» должны удовлетворять следующим требованиям: 8.2. Типовые формы обрабатываются вместе со связанными с ней документами: инструкция по заполнению типовой формы, реестры и журналы. 8.3. Типовая форма заполняется в соответствии с Инструкцией по заполнению типовых форм, в которой содержатся: – цели обработки персональных данных; – наименование адреса Территориальный орган; – фамилия, имя, отчество и адрес субъекта персональных данных; – источник получения персональных данных; – сроки обработки персональных данных; – перечень действий с персональными данными, которые совершаются в процессе обработки; – общее описание обработки. 8.4. Типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о согласии на обработку его персональных данных, за исключением случаев предусмотренных пункт 5 ст. 14 Федерального закона Российской Федерации «О персональных данных». 8.5. Типовая форма исключает объединение полей, предназначенных для заполнения персональными данными, если цели их обработки заведомо не совместимы. 8.6. В Территориальный орган действует следующий перечень типовых форм: – унифицированная форма Т-2ГС «Личная карточка государственного (муниципального) служащего»; – анкета сотрудника, заполненная им собственноручно; – унифицированная форма АО-1 «Авансовый Отчет»; – унифицированная форма КО-2 «Расходный кассовый ордер»; – унифицированная форма Т-53 «Платежная ведомость». 9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных 9.1. Ответственность за утрату материальных носителей, содержащих персональные данные, или разглашение сведений, содержащихся в них, персонально несет каждый работник в соответствии с действующим законодательством Российской Федерации. 9.2. По факту утраты (разглашения) материальных носителей с персональными данными ставится в известность руководитель Территориальный орган, и его приказом назначается комиссия для проведения служебного расследования. 9.3. Комиссия, устанавливает обстоятельства происшествия и виновных в утрате (разглашении), а также причины и условия, способствующие этому. 9.4. Служебное расследование проводится в срок не более одного месяца со дня обнаружения факта утраты (разглашения). Результаты расследования докладываются Руководитель Территориальный орган, назначившему комиссию. На утраченные документы составляется акт, на основании которого делаются соответствующие отметки в учетных формах. По результатам расследования Руководитель Территориального органа принимает решение о привлечении виновных к дисциплинарной или иной (административной, уголовной) ответственности, предусмотренной действующим законодательством Российской Федерации.
