Доступ сотрудников к персональным данным субъектов персональных данных
Сотрудники название ЛПУ получают доступ к персональным данным субъектов персональных данных исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
Список сотрудников название ЛПУ, имеющих доступ к персональным данным субъектов персональных данных, приведен в «Положении о разграничении прав доступа к обрабатываемым персональным данным ИСПДн».
Перечень подразделений и сотрудников, допущенных к работе с персональными данными, обрабатываемыми в название ЛПУ, разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введение новых должностей и т. п.) на основании заявок начальников структурных подразделений.
Сотруднику название ЛПУ, должность которого не включена в перечень подразделений и сотрудников, допущенных к работе с персональными данными, но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом руководителя название ЛПУ может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя сотрудника.
Сотрудник название ЛПУ получает доступ к персональным данным субъектов персональных данных после:
ознакомления и изучения требований настоящего Положения и иных внутренних нормативных документов по защите персональных данных в части, его касающейся;
прохождения инструктажа о соблюдении правил обработки персональных данных;
ознакомления с видами ответственности за нарушение (невыполнение) норм законодательства РФ в сфере обработки персональных данных.
Доступ субъектов персональных данных к персональным данным
В процессе основной деятельности ИСПДн непрерывно взаимодействует с субъектами персональных данных, требуя от субъекта поддержания своих персональных данных в актуальном состоянии.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в Медицинской информационной системе Республики Башкортостан название ЛПУ. Данные сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случае нарушения при таковом доступе конституционных прав и свобод других субъектов персональных данных.
Право на получение информации, касающейся обработки персональных данных, действует на протяжении всего срока обработки персональных данных (включая хранение), предусмотренного действующим законодательством Российской Федерации. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
В случае нарушения установленного федеральным законодательством порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрены административные штрафы.
Приложение А
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я,_____________________________________________________________________,
(Ф.И.О. сотрудника)
исполняющий (ая) должностные обязанности по замещаемой должности _____________________________________________________________________________,
(должность, наименование структурного подразделения)
предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
_________________________________ ________________
(фамилия, инициалы) (подпись)
«_________»______________ ____г.
Приказ
« » 2013г.
|
г. Уфа
|
№_______
|
О проведении работ по защите персональных данных в название ЛПУ
В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в название ЛПУ:
П Р И К А З Ы В А Ю:
1. Назначить комиссию по классификации автоматизированных (информационных) систем обработки персональных данных в следующем составе:
Председатель комиссии: ФИО и должность сотрудника ЛПУ
Члены комиссии: ФИО и должность сотрудника ЛПУ
ФИО и должность сотрудника ЛПУ
ФИО и должность сотрудника ЛПУ
2. В своей работе комиссии руководствоваться требованиями действующих нормативно-методических документов по защите информации.
Контроль за исполнением настоящего приказа возложить на ФИО и должность сотрудника ЛПУ.
_____________ ____________ ______________________
(должность) (подпись) (Ф.И.О.)
УТВЕРЖДАЮ
« » 2013г.
Акт
классификации информационной системы персональных данных
Медицинская информационная система Республики Башкортостан название ЛПУ
Исходные данные для классификации информационной системы персональных данных:
Обрабатываемые персональные данные
|
ФИО, адрес проживания, паспортные данные, ИНН, должность, состояние здоровья, информация о болезнях.
|
Категория обрабатываемых персональных данных
|
1
|
Объем обрабатываемых персональных данных
|
1
|
Структура информационной системы
|
Локальная информационная система
|
Режим обработки персональных данных
|
Многопользовательский
|
Режим разграничения прав доступа пользователей к информационной системе
|
Система с разграничение доступа
|
Наличие подключения информационной системы к сетям связи общего пользования и сетям международного информационного обмена.
|
Имеет подключения
|
Место нахождение технических средств информационной системы
|
В пределах Российской Федерации
|
Дополнительные информация
|
К персональным данным предъявляется требование целостности и (или) доступности
|
Тип информационной системы персональных данных:
|
Специальная
|
На основании анализа исходных данных информационной системы и в соответствии с классификацией утвержденной приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», а также с учетом модели угроз информационной системе присвоен 1 класс.
Председатель комиссии:
Члены комиссии:
|
|
|
|
|
|
|
УТВЕРЖДАЮ
_______________________
_______________________
« » 2013г.
|
|
|
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
|
|
|
|
|
|
|
|
|
|
|
|
|
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение по обработке персональных данных (далее - Положение) медицинского учреждения (далее - организация) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка организации.
1.2. Цель разработки Положения — определение порядка обработки персональных данных работников организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании свих полномочий; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения руководителем организации.
1.3.2. Все изменения в Положение вносятся приказом.
1.4. Все работники организации, которые участвуют в обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись.
1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении определенного срока их хранения, или продлевается на основании заключения экспертной комиссии организации, если иное не определено законом.
2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные субъекта - любая информация, относящаяся к определенному лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая организации в связи с договорными отношениями;
Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов;
Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
Распространение персональных данных - действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным лиц каким-либо иным способом;
Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи;
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители персональных данных субъектов;
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
|
