МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ

ПРИКАЗ

от 28 марта 2023 года N 13-38


Об организации обработки и обеспечении безопасности персональных данных в Министерстве здравоохранения Пензенской области

(с изменениями на 27 декабря 2023 года)

(в ред. Приказа Минздрава Пензенской области от 27.12.2023 N 13-154)

В целях соблюдения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями), постановлений Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с последующими изменениями), от 15.09.2008 N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (с последующими изменениями), от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (с последующими изменениями), руководствуясь подпунктом 3.1.8 пункта 3.1 Положения о Министерстве здравоохранения Пензенской области, утвержденного постановлением Правительства Пензенской области от 31.01.2013 N 30-пП (с последующими изменениями), приказываю:

1. Возложить функции и обязанности по организации, обеспечению и контролю мероприятий по защите персональных данных при их обработке в информационных системах на сектор защиты информации отдела мобилизационной подготовки.

2. Назначить ответственными в Министерстве здравоохранения Пензенской области:

2.1. за организацию обработки персональных данных - первого заместителя Министра Романова В.В.;

2.2. за обеспечение безопасности персональных данных - главного специалиста-эксперта сектора защиты информации отдела мобилизационной подготовки Мордовина М.С.

3. Утвердить:

3.1. Положение об обработке и защите персональных данных в Министерстве здравоохранения Пензенской области (приложение N 1);

3.2. Перечень информационных систем персональных данных Министерства здравоохранения Пензенской области (приложение N 2);

3.3. Должностную инструкцию ответственного за организацию обработки персональных данных в Министерстве здравоохранения Пензенской области (приложение N 3);

3.4. Порядок доступа государственных гражданских служащих Министерства здравоохранения Пензенской области в помещения, в которых ведется обработка персональных данных (приложение N 4);

3.5. План внутренних проверок режима защиты персональных данных (приложение N 5);

3.6. Правила обработки персональных данных в Министерстве здравоохранения Пензенской области (приложение N 6);

3.7. Перечень должностей государственных гражданских служащих Министерства здравоохранения Пензенской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение N 7).

3.8. Правила работы с обезличенными персональными данными в Министерстве здравоохранения Пензенской области (приложение N 8)

(пп. 3.8 введен Приказом Минздрава Пензенской области от 27.12.2023 N 13-154)

4. Главному специалисту-эксперту сектора защиты информации отдела мобилизационной подготовки Мордовину М.С.:

4.1. опубликовать документы, указанные в п. 3.6 настоящего приказа на официальном сайте Министерства здравоохранения Пензенской области;

4.2. ознакомить под роспись работников, осуществляющих обработку персональных данных, или имеющих доступ к персональным данным, с настоящим приказом и иными нормативными актами по защите персональных данных.

5. Признать утратившим силу приказ Министерства здравоохранения Пензенской области от 25.05.2015 N 123 "Об организации обработки и обеспечении безопасности персональных данных".

6. Настоящий приказ опубликовать (разместить) на официальном сайте Министерства здравоохранения Пензенской области и на официальном интернет-портале правовой информации (www.pravo.gov.ru) в информационно-телекоммуникационной сети "Интернет".

7. Контроль за исполнением настоящего приказа возложить на заместителя Министра здравоохранения Пензенской области, контролирующего и координирующего вопросы защиты информации.

Заместитель Председателя
Правительства - Министр
здравоохранения
Пензенской области
В.В.КОСМАЧЕВ

Приложение N 1

Утверждено
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ

1. Общие положения

1.1. В настоящем Положении об обработке и защите персональных данных в Министерстве здравоохранения Пензенской области (далее - Положение) используются основные понятия и термины, определенные федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями), от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации".

1.2. Настоящее Положение устанавливает порядок обработки и защиты персональных данных в Министерстве здравоохранения Пензенской области (далее - Министерство).

1.3. Настоящее Положение разработано в соответствии с:

- Конституцией Российской Федерации;

- Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- Трудовым кодексом Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Кодексом об административных правонарушениях Российской Федерации;

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации" (с последующими изменениями);

- Федеральным законом от 27.07.2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (с последующими изменениями);

- постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (с последующими изменениями);

- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями).

1.4. Обработка персональных данных в Министерстве осуществляется на основе принципов, определенных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).

1.5. Ответственным подразделением по разработке и выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Министерства и координации работ по защите конфиденциальной информации определен сектор защиты информации отдела мобилизационной подготовки.

1.6. В структурных подразделениях Министерства порядок обработки и защиты персональных данных в части работы с обращениями граждан организуется в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (с последующими изменениями) и настоящим Положением.

2. Условия сбора и обработки персональных данных

2.1. Сбор персональных данных может осуществляться, как путем предоставления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники, допущенные к обработке персональных данных, должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

2.2. Обработка персональных данных в Министерстве должна осуществляться с согласия субъектов персональных данных по формам, приведенным в приложениях NN 1, 2 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).

2.3. Министерству запрещается получать, обрабатывать не установленные федеральными законами персональные данные субъекта о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах. Обработка указанных персональных данных возможна только с письменного согласия либо в случаях, предусмотренных федеральными законами.

2.4. Государственные гражданские служащие Министерства, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, приведенной в приложении N 3 к настоящему Положению.

3. Условия и порядок обработки персональных данных государственных гражданских служащих Министерства и лиц, замещающих должности руководителей подведомственных Министерству учреждений

3.1. Обработка персональных данных государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, ведется в соответствии с:

- Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);

- Постановлением Губернатора Пензенской области от 15.05.2010 N 46 "Об организации работы с персональными данными государственных гражданских служащих Правительства Пензенской области и государственных гражданских служащих исполнительных органов государственной власти Пензенской области, назначаемых на должность и освобождаемых от должности Губернатором Пензенской области";

- приказом Министерства здравоохранения Пензенской области от 13.05.2015 N 107 "Об организации работы с персональными данными государственных гражданских служащих Министерства здравоохранения Пензенской области".

3.2. Обработка персональных данных государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, осуществляется в секторе кадровой работы отдела государственной службы, профилактики коррупционных проявлений, юридической работы и наград управления делами Министерства (далее - кадровое подразделение) в целях обеспечения кадровой работы, в том числе:

- в целях прохождения государственной службы;

- формирования кадрового резерва государственной гражданской службы;

- обучения и должностного роста;

- учета результатов исполнения государственными служащими Министерства должностных обязанностей;

- обеспечения государственным служащим Министерства установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

3.3. Перечень должностных лиц, допущенных к пользованию личными делами, которые ведутся кадровым подразделением, определяется приказом Министерства.

3.4. Перечень обрабатываемых в Министерстве персональных данных государственных гражданских служащих Министерства и лиц, замещающих должности руководителей подведомственных Министерству учреждений приведен в приложении N 4 к настоящему Положению.

3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений осуществляется путем:

- получения персональных данных непосредственно от субъекта;

- получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение Министерства);

- копирования оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- формирования персональных данных в ходе кадровой работы.

3.6. При сборе персональных данных сотрудник кадрового подразделения Министерства, осуществляющий сбор (получение) персональных данных непосредственно от субъекта, обязан разъяснить ему юридические последствия отказа в предоставлении персональных данных.

3.7. Персональные данные, содержащиеся в личных делах государственных служащих Министерства и руководителей подведомственных Министерству учреждений, хранятся в кадровом подразделении Министерства в течение десяти лет, с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации.

4. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций

4.1. В Министерстве обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

4.2. Персональные данные граждан, обратившихся в Министерство лично, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

4.3. Перечень персональных данных, обрабатываемых в Министерстве, приведен в приложении N 5 к настоящему Положению.

4.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется структурными подразделениями Министерства, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных физических лиц, обратившихся в Министерство для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

- получения оригиналов необходимых документов (заявление);

- получения копий документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях).

4.6. При предоставлении Министерством государственной услуги или исполнении государственной функции запрещается запрашивать у субъектов персональных данных у третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

4.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Министерства, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

4.8. Передача (распространение, предоставление) Министерством и использование персональных данных заявителей (субъектов персональных данных) осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

5. Требования к защите персональных данных в информационных системах Министерства здравоохранения Пензенской области

5.1. Государственным служащим Министерства, имеющим право осуществлять обработку персональных данных в информационных системах Министерства (далее - ИСПДн), предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами государственных гражданских служащих Министерства.

5.2. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Министерства, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

5.2.1. определение угроз безопасности персональных данных при их обработке в ИСПДн;

5.2.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

5.2.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

5.2.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5.2.5. учет машинных носителей персональных данных;

5.2.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

5.2.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

5.2.8. установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;

5.2.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности ИСПДн.

5.3. В случае выявления нарушений порядка обработки персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

6. Сроки обработки и хранения персональных данных

6.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

6.2. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

6.3. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

6.4. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Министерство в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

6.5. Персональные данные, предоставляемые субъектами в связи с предоставлением Министерством государственных услуг и исполнением государственных функций, хранятся в структурных подразделениях Министерства, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции.

6.6. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

6.7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

6.8. Контроль за хранением и использованием материальных носителей персональных данных, исключающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Министерства.

7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

7.1. Руководитель структурного подразделения, в котором ведется обработка персональных данных, осуществляет систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения.

7.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании постоянно действующей экспертной комиссии, состав которой утверждается приказом Министерства.

7.3. По итогам заседания составляются протокол и акт уничтожения документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем, членами комиссии и утверждается руководителем Министерства.

7.4. По окончании процедуры уничтожения, составляется соответствующий акт об уничтожении документов, содержащих персональные данные.

7.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления.

Приложение N 1
к Положению
об обработке и защите
персональных данных в
Министерстве здравоохранении
Пензенской области

Приложение N 2
к Положению
об обработке и защите
персональных данных в
Министерстве здравоохранения
Пензенской области

СОГЛАСИЕ на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Я, ,

(фамилия, имя, отчество полностью)

в соответствии со ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О

персональных данных", в целях повышение информационной открытости и

обеспечение прозрачности деятельности Министерства здравоохранения

Пензенской области, путем размещения информации о моих персональных данных

на официальном сайте Министерства здравоохранения Пензенской области

(https://health.pnzreg.ru/), даю согласие Министерству здравоохранения

Пензенской области (Минздрав Пензенской области), расположенному по адресу:

440000, г. Пенза, ул. Пушкина, 163 (ИНН 5836012921 ОГРН 1025801361035), на

обработку в форме распространения моих персональных данных.

Категории и перечень моих персональных данных, на обработку в форме

распространения которых я даю согласие:

- фамилия, имя, отчество;

- сведения о замещаемой должности государственной гражданской службы

Пензенской в Министерстве здравоохранения Пензенской области;

- контактные данные (телефон, адрес электронной почты)

Биометрические персональные данные:

- фотографическое изображение.

Условия и запреты на обработку вышеуказанных персональных данных (ч. 9

ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных

данных") (нужное отметить):

┌═‰

└═…- не устанавливаю

┌═‰

└═…- устанавливаю запрет на передачу (кроме предоставления доступа)

этих данных оператором неограниченному кругу лиц

┌═‰

└═…- устанавливаю запрет на обработку (кроме получения доступа) этих

данных неограниченным кругом лиц

┌═‰

└═…- устанавливаю условия обработки (кроме получения доступа) этих

данных неограниченным кругом лиц:

.

Условия, при которых полученные персональные данные могут передаваться

оператором только по его внутренней сети, обеспечивающей доступ к

информации лишь для строго определенных сотрудников, либо с использованием

информационно-телекоммуникационных сетей, либо без передачи полученных

персональных данных: не устанавливаю.

Настоящее согласие действует со дня его подписания до дня отзыва в

письменной форме или расторжения служебного контракта.

Приложение N 3
к Положению
об обработке и защите
персональных данных
в Министерстве здравоохранения
Пензенской области

ТИПОВАЯ ФОРМА обязательства о неразглашении персональных данных

Я, ,

(фамилия, имя, отчество)

замещающий(ая) должность государственной гражданской службы Пензенской

области

(наименование должности)

предупрежден(а), что на период исполнения должностных обязанностей в

соответствии с должностным регламентом, мне будет предоставлен допуск к

работе с персональными данными.

Настоящим добровольно принимаю на себя обязательства:

- не разглашать, не сообщать устно или письменно, не передавать третьим лицам и не раскрывать публично сведения, составляющие персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей, а также после прекращения действия служебного контракта (трудового договора);

- в случае попытки третьих лиц получить от меня сведения о персональных данных, немедленно сообщать об этом непосредственному руководителю;

- не использовать сведения о персональных данных с целью получения выгоды;

- незамедлительно сообщать непосредственному руководителю об утрате или недостаче носителей информации, пропусков, удостоверений, ключей от хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению сведений о персональных данных;

- в случае прекращения служебного контракта все материальные носители, содержащие сведения о персональных данных (флеш-накопители, дискеты, компакт-диски, документы, черновики, распечатки и пр.) передать непосредственному руководителю;

- выполнять требования нормативных правовых актов, регламентирующих вопросы обработки и защиты персональных данных.

Я предупрежден(а), что в случае нарушения данного обязательства буду привлечен(а) к ответственности в соответствии с действующим законодательством Российской Федерации.

Приложение N 4
к Положению
об обработке и защите
персональных данных
в Министерстве здравоохранения
Пензенской области

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ В СВЯЗИ С РЕАЛИЗАЦИЕЙ ТРУДОВЫХ ОТНОШЕНИЙ

1. Фамилия, имя, отчество, дата и место рождения, пол, гражданство.

2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).

3. Владение иностранными языками и языками народов Российской Федерации.

4. Наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность, дата, место, тема (специальность) прохождения повышения квалификации (переподготовки).

5. Послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов).

6. Выполняемая работа с начала трудовой деятельности.

7. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы, классный чин юстиции (кем и когда присвоены).

8. Государственные награды, иные награды и знаки отличия (кем награжден и когда).

9. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).

10. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).

11. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен).

12. Пребывание за границей (когда, где, с какой целью).

13. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей).

14. Семейное положение и состав семьи (муж/жена, дети).

15. Адрес регистрации и фактического проживания.

16. Дата регистрации по месту жительства.

17. Паспорт (серия, номер, кем и когда выдан).

18. Свидетельства о государственной регистрации актов гражданского состояния.

19. Номер телефона (домашний, мобильный).

20. Идентификационный номер налогоплательщика.

21. Номер страхового свидетельства обязательного пенсионного страхования.

22. Информация о негосударственном пенсионном обеспечении.

23. Сведения о текущем должностном окладе.

24. Наличие (отсутствие) судимости.

25. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата).

26. Заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению.

27. Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей.

28. Сведения воинского учета (категория запаса, воинское звание, категория годности к военной службе, состав (профиль), ВУС, место постановки на воинский учет, информация о снятии с воинского учета).

Приложение N 5
к Положению
об обработке и защите
персональных данных
в Министерстве здравоохранения
Пензенской области

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ

Приложение N 6
к Положению
об обработке и защите
персональных данных
в Министерстве здравоохранения
Пензенской области

ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

1. Государственные гражданские служащие Министерства, граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве и подавшие документы на участие в конкурсе, лица, замещающие должности руководителей подведомственных Министерству учреждений, а также граждане, персональные данные которых обрабатываются в Министерстве в связи с предоставлением государственных услуг и осуществлением государственных функций (далее - Субъекты персональных данных), имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1.1. подтверждение факта обработки персональных данных в Министерстве;

1.2. правовые основания и цели обработки персональных данных;

1.3. применяемые в Министерстве способы обработки персональных данных;

1.4. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

1.5. сроки обработки персональных данных, в том числе сроки их хранения в Министерстве;

1.6. порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

1.7. наименование организации или фамилию, имя, отчество лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такой организации или лицу;

1.8. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

2. Лица, указанные в пункте 1 настоящих Правил (далее - субъекты персональных данных), вправе требовать от Министерства уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3. Сведения, указанные в подпунктах 1.1 - 1.8 пункта 1 настоящих Правил, должны быть предоставлены субъекту персональных данных Министерством в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4. Сведения, указанные в подпунктах 1.1 - 1.8 пункта 1 настоящих Правил, предоставляются субъекту или его представителю уполномоченным должностным лицом структурного подразделения Министерства, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта или его представителя. Запрос должен содержать:

4.1. номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

4.2. сведения, подтверждающие участие субъекта в правоотношениях с Министерством (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы, оказание Министерством государственной услуги или осуществление государственной функции), либо сведения, иным образом подтверждающие факт обработки персональных данных в Министерстве, подпись субъекта или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

5. В случае, если сведения, указанные в подпунктах 1.1 - 1.8 пункта 1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту по его запросу, субъект вправе обратиться повторно в Министерство или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6. Субъект вправе обратиться повторно в Министерство или направить повторный запрос в целях получения сведений, указанных в подпунктах 1.1 - 1.8 пункта 1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.

7. Министерство (уполномоченное должностное лицо Министерства) вправе отказать субъекту данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным.

8. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

Приложение N 7
к Положению
об обработке и защите
персональных данных
в Министерстве здравоохранения
Пензенской области

ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152 ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и другими нормативными правовыми актами.

3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152 ФЗ "О персональных данных".

4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к информационной системе персональных данных организуется проведение периодических проверок условий обработки персональных данных.

5. Проверки проводятся ответственным за организацию обработки персональных данных о чем вносится запись в журнал.

6. В случае поступившего в Министерство письменного заявления о нарушениях правил обработки персональных данных проводится внеплановая проверка проверки соответствия обработки персональных данных установленным требованиям. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне исследованы:

7.1. порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных и обеспечения установленных уровней защищенности персональных данных;

7.2. порядок и условия применения средств защиты информации;

7.3. эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

7.4. состояние учета машинных носителей персональных данных;

7.5. соблюдение правил доступа к персональным данным;

7.6. наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

7.7. мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;

7.8. осуществление мероприятий по обеспечению целостности персональных данных.

8. Ответственный за организацию обработки персональных данных в Министерстве имеет право:

- запрашивать у сотрудников, обрабатывающих персональные данные, информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в сфере обработки персональных данных.

9. Конфиденциальность персональных данных, ставших известными ответственному за организацию обработки персональных данных, должна обеспечиваться в ходе проведения мероприятий внутреннего контроля.

10. В случае выявленных нарушений обработки персональных данных ответственный за организацию обработки персональных данных докладывает руководителю Министерства в форме письменного заключения о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.

11. Ответственный за организацию обработки персональных данных, назначивший внеплановую проверку, обязан контролировать своевременность и правильность ее проведения.

Приложение N 2

Утвержден
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ

Приложение N 3

Утверждена
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ

1. Ответственный за организацию обработки персональных данных в Министерстве (далее - Ответственный за организацию обработки ПДн) назначается руководителем Министерства из числа государственных служащих, относящихся к высшей и (или) главной группе должностей категории "руководители" Министерства в соответствии с распределением обязанностей.

2. Ответственный за организацию обработки ПДн в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящей Инструкцией.

3. Ответственный за организацию обработки ПДн обязан:

3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Министерстве, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

3.2. осуществлять внутренний контроль за соблюдением государственными служащими Министерства требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3.3. доводить до сведения государственных служащих Министерства положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Министерстве;

3.5. в случае нарушения в Министерстве требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

4. Ответственный за организацию обработки ПДн вправе иметь доступ к информации, касающейся обработки персональных данных в Министерстве и включающей:

4.1. цели обработки персональных данных;

4.2. категории обрабатываемых персональных данных;

4.3. категории субъектов, персональные данные которых обрабатываются;

4.4. правовые основания обработки персональных данных;

4.5. перечень действий с персональными данными, общее описание используемых в Министерстве способов обработки персональных данных;

4.6. описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

4.7. дату начала обработки персональных данных;

4.8. срок или условия прекращения обработки персональных данных;

4.9. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

4.10. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

5. Ответственный за организацию обработки ПДн вправе привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Министерстве, иных государственных служащих Министерства с возложением на них соответствующих обязанностей и закреплением ответственности.

6. Ответственный за организацию обработки ПДн несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Министерстве в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Приложение N 4

Утверждены
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ПРАВИЛА ДОСТУПА В ПОМЕЩЕНИЯ, ГДЕ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В РАБОЧЕЕ, НЕРАБОЧЕЕ ВРЕМЯ, В НЕШТАТНЫХ СИТУАЦИЯХ

1. Помещения, в которых ведется обработка персональных данных (далее - Помещения), должны исключать возможность бесконтрольного проникновения в них посторонних лиц и гарантировать сохранность находящихся в этих помещениях документов и средств автоматизации.

2. Лица, имеющие доступ в Помещения, определяются списком, утвержденным заместителем Министра, координирующим вопросы защиты информации (далее - Список).

3. Вскрытие Помещений производится строго ответственными лицами, указанными в Списке.

4. Присутствие иных сотрудников, посетителей, а также уборка Помещений допустима при условии нахождения в кабинете лиц, указанных в Списке.

5. Входные двери Помещений оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время.

6. В случае утраты ключей от помещений немедленно производится замена замков.

7. О попытках неконтролируемого проникновения посторонних лиц в Помещения необходимо незамедлительно сообщать руководителю структурного подразделения Министерства и администратору безопасности персональных данных.

8. При закрытии Помещений и сдачу их под охрану сотрудники, ответственные за Помещения, проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации, содержащие ПДн, убираются для хранения в сейф (металлический шкаф).

9. Помещение сдается под охрану следующим образом: дверь закрывается на ключ, который сдается под роспись охраннику на вахте с указанием фио, даты и времени в журнале.

10. Сотрудник, имеющий право на вскрытие помещений, получает на посту охраны ключ от помещения под роспись в журнале с указанием фио сдавшего ключ, даты и времени.

11. Действия лица, имеющего доступ в Помещение:

11.1. в случае подозрения в несанкционированном проникновении посторонних лиц в Помещение необходимо незамедлительно сообщить об инциденте руководителю структурного подразделения и администратору безопасности персональных данных;

11.2. в случае возникновения пожара немедленно вызвать пожарную команду, первичными средствами пожаротушения принять меры к тушению пожара и спасению документов и носителей персональных данных. О случившемся и принятых мерах доложить руководителю структурного подразделения.

12. Сотрудники органов МЧС и аварийных служб, врачи "скорой медицинской помощи" допускаются в Помещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя структурного подразделения Министерства.

Приложение N 5

Утвержден
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ПЛАН ВНУТРЕННИХ ПРОВЕРОК РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приложение N 6

Утверждены
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ

1. Общие положения

1.1. Настоящими Правилами обработки персональных данных в Министерстве здравоохранения Пензенской области (далее - Министерство) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Настоящие Правила разработаны в соответствии с требованиями следующих законодательных и нормативных актов:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);

- Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (с последующими изменениями);

- постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "о персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.3. В настоящих Правилах используются основные понятия и термины, определенные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).

2. Условия и порядок обработки персональных данных государственных гражданских служащих Министерства

2.1. Персональные данные государственных гражданских служащих Министерства, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным гражданским служащим Министерства в прохождении государственной гражданской службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения государственными гражданскими служащими Министерства должностных обязанностей, лиц, замещающих должности руководителей подведомственных Министерству учреждений, и членов их семей, обеспечения государственным гражданским служащим Министерства установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

2.2. В целях, указанных в пункте 2.1 настоящих Правил, обрабатываются следующие категории персональных данных государственных служащих Министерства, лиц, замещающих должности руководителей подведомственных Министерству учреждений, граждан, претендующих на замещение должностей государственной гражданской службы Министерства, а также граждан, претендующих на замещение должностей руководителей подведомственных Министерству учреждений (далее - Субъекты персональных данных):

2.2.1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

2.2.2. число, месяц, год рождения;

2.2.3. место рождения;

2.2.4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

2.2.5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

2.2.6. адрес места жительства (адрес регистрации, фактического проживания);

2.2.7. номер контактного телефона или сведения о других способах связи;

2.2.8. реквизиты страхового свидетельства государственного пенсионного страхования;

2.2.9. идентификационный номер налогоплательщика;

2.2.10. реквизиты страхового медицинского полиса обязательного медицинского страхования;

2.2.11. реквизиты свидетельства государственной регистрации актов гражданского состояния;

2.2.12. семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

2.2.13. сведения о трудовой деятельности;

2.2.14. сведения о воинском учете и реквизиты документов воинского учета;

2.2.15. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

2.2.16. сведения об ученой степени;

2.2.17. информация о владении иностранными языками, степень владения;

2.2.18. медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

2.2.19. фотография;

2.2.20. сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;

2.2.21. информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

2.2.22. информация о классном чине государственной гражданской службы Пензенской области (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

2.2.23. информация о наличии или отсутствии судимости;

2.2.24. информация об оформленных допусках к государственной тайне;

2.2.25. государственные награды, иные награды и знаки отличия;

2.2.26. сведения о профессиональной переподготовке и (или) повышении квалификации;

2.2.27. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

2.2.28. сведения о доходах, об имуществе и обязательствах имущественного характера;

2.2.29. номер расчетного счета;

2.2.30. номер банковской карты;

2.2.31. иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1. настоящих Правил.

2.3. Обработка персональных данных, биометрических персональных данных, специальных категорий персональных данных Субъекта персональных данных, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1. настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 и с подпунктом 2.3. пункта 2 части 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и положениями Федерального закона от 27.05.2003 N 58-ФЗ "О системе государственной службы Российской Федерации", Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации.

2.4. Обработка персональных данных Субъекта персональных данных осуществляется при условии получения согласия указанных лиц в следующих случаях:

2.4.1. при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;

2.4.2. при трансграничной передаче персональных данных;

2.4.3. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

2.5. Обработка персональных данных Субъекта персональных данных, осуществляется отделом государственной службы, профилактики коррупционных проявлений, юридической работы и наград управления делами Министерства (далее - кадровое подразделение Министерства) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Субъектов персональных данных, осуществляется путем:

2.6.1. получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение Министерства);

2.6.2. копирования оригиналов документов;

2.6.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

2.6.4. формирования персональных данных в ходе кадровой работы;

2.6.5. внесения персональных данных в информационные системы Министерства, используемые кадровым подразделением Министерства.

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от Субъекта персональных данных.

2.8. В случае возникновения необходимости получения персональных данных Субъекта персональных данных у третьей стороны, следует известить об этом государственного служащего либо лицо, замещающее должность руководителя подведомственного Министерству учреждения, заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

2.9. Запрещается получать, обрабатывать и приобщать к личному делу Субъекта персональных данных персональные данные, не предусмотренные пунктом 2.2 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.10. При сборе персональных данных сотрудник кадрового подразделения Министерства, осуществляющий сбор (получение) персональных данных непосредственно от Субъекта персональных данных, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

3. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций

3.1. В Министерстве обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

3.2. Персональные данные граждан, обратившихся в Министерство лично, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

3.3. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется структурными подразделениями Министерства, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Министерство для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

3.4.1. получения оригиналов необходимых документов (заявление);

3.4.2. заверения копий документов;

3.4.3. внесения сведений в учетные формы (на бумажных и электронных носителях).

3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

3.6. При предоставлении Министерством государственной услуги или исполнении государственной функции запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

3.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Министерства, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

3.8. Передача (распространение, предоставление) Министерством и использование персональных данных заявителей (субъектов персональных данных) осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

4. Порядок обработки персональных данных субъектов персональных данных в информационных системах

4.1. Государственным служащим Министерства, имеющим право осуществлять обработку персональных данных в информационных системах Министерства (далее - ИСПДн), предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами государственных гражданских служащих Министерства.

4.2. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Министерства, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

4.2.1. определение угроз безопасности персональных данных при их обработке в ИСПДн;

4.2.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

4.2.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4.2.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4.2.5. учет машинных носителей персональных данных;

4.2.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

4.2.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

4.2.8. установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;

4.2.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности ИСПДн.

4.3. В случае выявления нарушений порядка обработки персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

5. Сроки обработки и хранения персональных данных

5.1. Сроки обработки и хранения персональных данных Субъектов персональных данных, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных государственных служащих:

5.1.1. персональные данные, содержащиеся в приказах по личному составу государственных гражданских служащих Министерства (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Министерства в течение двух лет, с последующим формированием и передачей указанных документов в архив Министерства, где хранятся в течение 50 лет;

5.1.2. персональные данные, содержащиеся в личных делах государственных служащих Министерства и руководителей подведомственных Министерству учреждений, а также личных карточках государственных гражданских служащих Министерства, хранятся в кадровом подразделении Министерства, с последующим формированием и передачей указанных документов в архив Министерства, где хранятся в течение 10 лет;

5.1.3. персональные данные, содержащиеся в приказах о материальной помощи государственных гражданских служащих Министерства, подлежат хранению в кадровом подразделении Министерства в течение 5 лет;

5.1.4. персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях государственных гражданских служащих Министерства, подлежат хранению в кадровом подразделении Министерства в течение пяти лет с последующим уничтожением;

5.1.5. Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной службы в Министерстве, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Министерства в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.

5.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Министерство в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 4.1 настоящих Правил, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

5.3. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет в архиве Министерства.

5.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Министерством государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях Министерство, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Министерства.

5.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.

5.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Министерства.

5.8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

5.9. Руководитель структурного подразделения, в котором ведется обработка персональных данных, осуществляет систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения.

5.10. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии по уничтожению документов с персональными данными, состав которой утверждается приказом Министерства.

5.11. По итогам заседания составляются протокол и акт уничтожения документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем, членами комиссии и утверждается руководителем Министерства.

5.12. По окончании процедуры уничтожения, составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.

Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Приложение N 7

Утвержден
приказом
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННОЙ ГРАЖДАНСКОЙ СЛУЖБЫ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Министр здравоохранения Пензенской области;

2. Первый заместитель Министра здравоохранения Пензенской области;

3. Начальник управления делами;

4. Начальник отдела государственной службы, профилактики коррупционных проявлений, юридической работы и наград;

5. Начальник отдела экономического анализа, финансирования и бухгалтерского учета;

6. Главный специалист-эксперт сектора защиты информации отдела мобилизационной подготовки.

Приложение N 8

Утверждены
к приказу
Министерства здравоохранения
Пензенской области
от 28 марта 2023 г. N 13-38

ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ПЕНЗЕНСКОЙ ОБЛАСТИ

(введены Приказом Минздрава Пензенской области от 27.12.2023 N 13-154)

1. Общие положения

1.1. Настоящие Правила работы с обезличенными персональными данными (далее - Правила), обрабатываемыми в Министерстве здравоохранения Пензенской области (далее - Министерство) разработаны в соответствии с Федеральным законом от 27.07.2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

1.2. В соответствии с Федеральным законом от 27.07.2006 года N 152-ФЗ:

1.2.1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.2.2. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.2.3. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.3. Обезличивание персональных данных в Министерстве проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных.

1.4. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

2. Способы и методы обезличивания персональных данных

2.1. К свойствам обезличенных данных относятся:

2.1.1. полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

2.1.2. структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

2.1.3. релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

2.1.4. семантическая целостность (сохранение семантики персональных данных при их обезличивании);

2.1.5. применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);

2.1.6. анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

2.2. К характеристикам методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

2.2.1. обратимость (возможность преобразования, обратного обезличиванию (деобезличивания), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

2.2.2. вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

2.2.3. изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

2.2.4. стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

2.2.5. возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

2.2.6. совместимость (возможность интеграции персональных данных, обезличенных различными методами);

2.2.7. возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

2.3. Способами обезличивания персональных данных при условии их дальнейшей обработки является:

2.3.1. метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

2.3.2. метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

2.3.3. уменьшение перечня обрабатываемых сведений;

2.3.4. обобщение - понижение точности некоторых сведений;

2.3.5. понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

2.3.6. другие способы.

3. Описание порядка обезличивания персональных данных

3.1. Для проведения обезличивания персональных данных выполняется следующий порядок:

3.1.1. решение о необходимости обезличивания персональных данных принимает Заместитель Председателя Правительства - Министр здравоохранения Пензенской области;

3.1.2. сотрудники Министерства, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;

3.1.3. сотрудники Министерства, ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных, осуществляют непосредственное обезличивание персональных данных выбранным способом.

3.2. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

3.3. Обезличенные персональные данные обрабатываются с использованием и без использования средств автоматизации.

3.4. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

3.4.1. парольной политики;

3.4.2. антивирусной политики;

3.4.3. правил работы со съемными носителями (если они используется);

3.4.4. правил резервного копирования;

3.4.5. правил доступа в помещения, где расположены элементы информационных систем.

3.5. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

3.5.1. правил хранения бумажных носителей;

3.5.2. правил доступа к ним и в помещения, где они хранятся.