Образец Информационного письма о внесении изменений в
advertisement
Образец Информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных, для учреждений здравоохранения (с памяткой по заполнению) N Наименование п/п сведений, которые должны быть представлены в Информационном письме I II 1. Полное наименование оператора 2. Сокращённое наименование оператора 3. Адрес местонахождения 4. Адрес почтовый 5. 6. Тип оператора ИНН 7 ОГРН Регистрационный номер в Реестре операторов ПД 8. Основание внесения изменений Сведения Примечание (указываются в именительном падеже) III IV Указывается полное наименование юридического лица в соответствии с записью в Едином государственном реестре юридических лиц (ЕГРЮЛ). Указывается сокращённое наименование юридического лица в соответствии с записью в ЕГРЮЛ. Указывается адрес в соответствии с записью в ЕГРЮЛ. Указывается адрес по месту фактического нахождения юридического лица, куда направляются почтовые отправления. При совпадении адреса местонахождения и почтового адреса → заполнить как в п. 3. Юридическое лицо Указываются в соответствии с записью в ЕГРЮЛ. Смотрите реестр операторов ПД, выбираете по ИНН юридического лица. Изменения в законодательстве РФ Первое предложение о персональных данных. является общим для всех Изменение наименования операторов, получивших оператора, обработка запрос Управления об дополнительных категорий персональных данных, дополнительные меры безопасности… 9. Правовое основание обработки персональных данных исполнении ч. 2.1. ст. 25 Федерального закона «О персональных данных». Далее Вы указываете те основания изменений, которые присущи только Вашей организации. Конституция Российской Посмотрите внимательно Федерации; Трудовой кодекс весь представленный Российской Федерации; перечень нормативноГражданский кодекс Российской правовых документов, Федерации; Налоговый кодекс как в III столбце данного Российской Федерации; пункта. Если какие-то Федеральный закон -ФЗ «О документы к Вам не персональных данных»; имеют отношения → Федеральный закон -ФЗ «О удаляете их из списка. воинской обязанности и военной Если Вам есть что службе»; постановление добавить (Федеральные Правительства РФ «Об законы РФ, утверждении Положения о постановления воинском учете»; Федеральный Правительства РФ, закон -ФЗ «Об информации, нормативные документы информационных технологиях и о Белгородской области, защите информации»; регламентирующие постановление Правительства деятельность Вашей «Об утверждении требований к организации) → защите персональных данных при добавляете в список. их обработке в информационных системах персональных данных»; Далее указывается Устав постановление Правительства РФ юридического лица, кем «Об утверждении Положения об он утвержден, дата и особенностях обработки номер документа, персональных данных, которым он утверждён → осуществляемой без см. титульный лист использования средств Устава. При этом автоматизации»; постановление указывается первичная Правительства РФ «Об дата утверждения Устава. утверждении требований к Если впоследствии материальным носителям вносились изменения, биометрических персональных дополнения → то в данных и технологиям хранения скобках написать так: (с таких данных вне последующими информационных систем изменениями и персональных данных»; дополнениями). постановление Правительства РФ «О трудовых книжках»; Например: Устав постановление Минтруда РФ «Об <наименование утверждении инструкции по организации> № ___, заполнению трудовых книжек»; утверждённый приказом Федеральный закон -ФЗ «О _________ (с порядке рассмотрения обращений последующими граждан Российской Федерации»; изменениями и Федеральный закон -ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Устав (краткое название учреждения в соответствии с п. 2 данного Информационного письма), утверждённый (кем и когда) … 10. 11. Цель обработки персональных данных Категории персональных данных Оказание лечебнопрофилактической помощи населению; амбулаторная помощь взрослым и детям; лечебнооздоровительная помощь; проведение диагностических исследований; экспертная медицинская деятельность; формирование статистической информации в базах и программах. Кадровое обеспечение деятельности (краткое название учреждения в соответствии с п. 2 данного Информационного письма); ведение бухгалтерского учёта в соответствии с законодательством РФ. Фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; место рождения; адрес; образование; профессия; семейное положение; социальное положение; имущественное положение; доходы; состояние здоровья; биометрические персональные данные (расшифровка биометрических персональных данных). дополнениями). Устав учреждения здравоохранения частной формы собственности как правило утверждается Решением общего собрания учредителей или Решением единственного учредителя. Но обязательно должна быть дата Решения и № Решения. Посмотрите внимательно текст, представленный в III столбце данного пункта. Если Вы со всем согласны → оставляете. Если Вам есть что добавить или убрать → делаете в соответствии с реальной (уставной) деятельностью Вашего юридического лица. Делается выборка на портале персональных данных «галочкой». Обратите внимание на специальные категории персональных данных (к ним относится состояние здоровья), биометрические категории персональных данных. Если обрабатываете биометрические персональные данные, то их надо расшифровать (рентгеновские снимки, изображение физического лица, 12. Другие категории персональных данных 13 Категории субъектов, персональные данные которых обрабатываются 14. Перечень действий с персональными данными различные виды анализов и т. д.). Паспортные данные: серия, Посмотрите внимательно номер, дата выдачи, организация, представленный выдавшая паспорт, адрес по месту перечень категорий регистрации; адрес по месту персональных данных. фактического проживания; ИНН; серия и номер свидетельства Если Вам есть что государственного пенсионного добавить → внесите страхования; данные полиса через точку с запятой. обязательного медицинского страхования; данные документа Если какую-то из об образовании: серия и номер, представленных дата выдачи, наименование категорий персональных образовательного учреждения, данных Вы не квалификация по документу; обрабатываете → сведения об аттестации; сведения удалите её. о повышении квалификации; сведения о переподготовке кадров; сведения о наградах, поощрениях; контактная информация (номер домашнего телефона, номер рабочего телефона, номер мобильного телефона, e-mail); сведения о воинском учете; данные трудовой книжки: серия, номер, сведения о трудовом стаже, сведения о предыдущих местах работы. Сотрудники юридического лица, Вместо выделенных состоящие в трудовых красным цветом строк → (договорных) отношениях с вставляете краткое (краткое название учреждения в название своего соответствии с п. 2 данного учреждения в Информационного письма). соответствии с п. 2 Физические лица (пациенты), данного отношения с которыми Информационного осуществляются во исполнение письма. Основ законодательства Российской Федерации об охране здоровья граждан. Граждане, обратившиеся в (краткое название учреждения в соответствии с п. 2 данного Информационного письма) с жалобой или заявлением. Сбор, запись, систематизация, Из указанной цепочки накопление, хранение, уточнение действий с (обновление, изменение), персональными данными извлечение, использование, Вы выбираете те передача (распространение, действия, которые предоставление, доступ), осуществляет Ваша обезличивание, блокирование, удаление, уничтожение. организация. Обратите внимание на действия с персональными данными, выделенные желтым цветом. Если Вы эти действия не делаете → удалите их. 15. Общее описание используемых оператором способов обработки персональных данных. - Неавтоматизированная, - Автоматизированная, Определения понятий представленных действий даны в ст. 3 Федерального закона – ФЗ-152. Делается выборка на портале персональных данных «галочкой». - Смешанная - Информация передаётся по внутренней сети, - Информация не передается по внутренней сети - Информация передаётся по сети Интернет, 16. 17. Осуществление трансграничной передачи персональных данных Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» - Информация не передается по сети Интернет - Используется - Нет Назначено ответственное должностное лицо за организацию обработки персональных данных (далее – ПДн) в (краткое название учреждения в соответствии с п. 2 данного Информационного письма): Фамилия, имя, отчество, должность; раб. тел.; почтовый адрес; e-mail. Разработаны внутренние документы, регламентирующие Делается выборка на портале персональных данных «галочкой». Внимательно смотрите подпункт 7 п. 3 ст. 22 Федерального закона – ФЗ-152. Вам следует указать меры безопасности, предусмотренные статьями 18.1 и 19 названного Федерального закона. Обязательно нужно указать фамилию, имя, отчество должностного лица, ответственного за обработку ПДн и доступ к информации о ПДн: Приказ от (дата) № … «О чем?»; Положение «О чем?», утвержденное (должность руководителя в творительном падеже) (краткое название учреждения в соответствии с п. 2 данного Информационного письма) от (дата); должностные инструкции; Перечень должностных лиц, имеющих право доступа к информации о ПДн, утвержденный (должность руководителя в творительном падеже) (краткое название учреждения в соответствии с п. 2 данного Информационного письма) от (дата). Периодически ведется ознакомление работников (краткое название учреждения в соответствии с п. 2 данного Информационного письма), непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Информация на бумажных носителях хранится в соответствии с законодательством РФ об архивном деле. Наличие сейфов, пожарно-охранной сигнализации, на окнах установлены металлические решетки. Заключен договор с частным охранным предприятием. Информация на компьютерах защищена системой паролей. Наличие антивирусной организацию обработки персональных данных, а также его контактную информацию (см. подпункт 7.1 п. 3 ст. 22 и ст. 22.1 Федерального закона ФЗ-152. При разработке внутренних документов, регламентирующих обработку ПДн и доступ к информации о ПДн, руководствуйтесь постановлениями правительства РФ ; ; (см. п. 9, III столбец данного Информационного письма). Перечень Ваших внутренних документов Вы определяете сами! Если у Вас это имеет место → оставляете. Если чего-то нет → удаляете. Может быть Вам есть что-то другое добавить по этому разделу. программы. Доступ к информации определённого круга лиц. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. Обеспечен неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных. 18. Средства обеспечения безопасности 19. Использование шифровальных (криптографических) средств Базы данных, содержащие персональные данные российских граждан находятся на территории РФ. Пароли, логины, защищённые каналы связи, сейфы, пожарноохранная сигнализация… - Используется, - Не используется Выбираете необходимое или добавляете другие, применяемые Вами средства, не указанные в данном перечне. Делается выборка на портале персональных данных «галочкой». При использовании криптозащиты ↓ Смотреть приказ Роскомнадзора (Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, п. 10). ↓ Вы должны указать следующую информацию, а именно: а) наименование, регистрационные номера и производителей используемых криптографических средств; б) уровень криптографической защиты персональных данных; в) уровень специальной защиты от утечки по каналам побочных излучений и наводок; г) уровень защиты от несанкционированного доступа. 20. Сведения об обеспечении безопасности В отношении каждой категории персональных данных определены места хранения материальных носителей персональных данных и установлен перечень должностных лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечено раздельное хранение материальных носителей персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. (Все эти параметры указываются с помощью выборки на портале персональных данных «галочкой»). Указывается текст, представленный в III столбце данного пункта. Если Вам есть что добавить → добавляете необходимые сведения. Текст, выделенный желтым цветом → при обработке биометрических персональных данных. Обеспечена невозможность несанкционированного доступа к биометрическим персональным данным (далее – БПДн), содержащимся на материальных носителях. Осуществляется учет количества экземпляров материальных носителей БПДн. Материальным носителям БПДн присвоен специальный идентификационный номер, позволяющий точно определить должностного лица, осуществившего запись БПДн на материальный носитель. Установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. В оперативном порядке осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по их восстановлению. 21. Дата начала обработки персональных данных 22. Условие прекращения обработки персональных данных 23. Исполнитель, Ликвидация или реорганизация (краткое название учреждения в соответствии с п. 2 данного Информационного письма). Указывается конкретная дата: день, месяц, год. Часто это может быть дата занесения организации в Единый государственный реестр юридических лиц (ЕГРЮЛ), т. е. дата присвоения действующего ИНН, ОГРН. Как правило это является общим условием прекращения обработки персональных данных для всех юридических лиц. Указывается Фамилия, Имя, Отчество самого Номер контактного телефона (e-mail) исполнителя Информационного письма; номер контактного телефона (email), по которому можно с ним связаться.