О Департаменте

Персональные данные

Политика в отношении обработки персональных данных 

1. Общие положения

1.1. Политика в отношении обработки персональных данных
в Депздраве Югры (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологий и о защите информации», Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и другими нормативными правовыми актами, регулирующими отношения, связанные с обработкой персональных данных.

1.2. Политика определяет порядок и условия обработки персональных данных в Депздраве Югры с использованием средств автоматизации и без использования таких средств.

1.3. Политика вступает в силу с даты утверждения приказом Депздрава Югры.

1.4. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Депздрава Югры, а также в случаях изменения законодательства Российской Федерации в области обеспечения безопасности персональных данных (далее – ПДн).

1.5. Основные понятия, используемые в Политике, соответствуют основным понятиям, указанным в статье 3 Федерального закона Российской Федерации от 27.07.2006 № 152 «О персональных данных».

1.6. Политика подлежит опубликованию на официальном сайте Депздрава Югры в течение 10 дней после ее утверждения.

2. Цели и правовые основания обработки персональных данных

2.1. Обработка ПДн осуществляется в следующих целях:

 выполнения требований законодательства о государственной гражданской службе Российской Федерации и Ханты-Мансийского автономного округа – Югры в части ведения кадрового учета, заключения служебных контрактов, ведения личных дел (карточек), ведения воинского учета, профилактики коррупционных и иных правонарушений, ведения бухгалтерского и налогового учета;

 выполнения требований трудового законодательства Российской Федерации в части ведения кадрового учета, заключения трудовых и иных договоров, ведения личных дел (карточек), ведения воинского учета, ведения бухгалтерского и налогового учета;

 реализации трудовых отношений, ведение личных дел (карточек), ведение воинского учета, бухгалтерской политики, оформления налоговых вычетов и других льгот;

 формирования кадрового резерва должностей государственной гражданской службы Ханты-Мансийского автономного округа – Югры, участие в конкурсе по формированию кадрового резерва для замещения должностей государственной гражданской службы Югры Ханты-Мансийского автономного округа – Югры;

 размещения на общедоступных источниках персональных данных;

 предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Депздрава Югры;

 оформления договорных отношений;

 осуществления контроля за сроками исполнения поручений;

2.2. Правовые основания обработки ПДн:

 Трудовой кодекс Российской Федерации (Федеральный закон от 30.12.2001 № 197-ФЗ);

 Гражданский кодекс Российской Федерации (Федеральный закон от 26.01.1996 № 14-ФЗ);

 Налоговый кодекс Российской Федерации (Федеральный закон от 31.07.1998 № 146-ФЗ);

 Федеральный закон от 27.05.2003 № 58-ФЗ «О системе государственной службы Российской Федерации»;

 Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

 Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции» (далее – Закон № 273-ФЗ);

 Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

 Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

 Указ Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

 Распоряжение Правительства Российской Федерации от 26.05.2005 № 667-р «Об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации» (Собрание законодательства Российской Федерации);

 Постановление Правительства РФ от 27.11.2006 № 719 (ред. от 29.12.2016) «Об утверждении Положения о воинском учете»;

 Согласие субъекта персональных данных на обработку его персональных данных.

3. Категории субъектов, персональные данные которых обрабатываются

3.1. В соответствии с целями обработки ПДн, указанными в пункте 2 Политики, Депздрава Югры осуществляется обработка следующих категорий субъектов ПДн:

 государственные гражданские служащие, в том числе уволенные;

 работники, в том числе уволенные;

 родственники государственных гражданских служащих, работников, в том числе уволенных;

 граждане, состоящие в резерве для замещения должностей государственной гражданской службы Ханты-Мансийского автономного округа – Югры; граждане, участвующие в конкурсе по формированию кадрового резерва для замещения должностей государственной гражданской службы Ханты-Мансийского автономного округа – Югры;

 граждане;

 физические лица, вступающие с Депздравом Югры в договорные отношения по договору гражданско-правового характера;

3.2. Перечень обрабатываемых ПДн утвержден приказом Депздрава Югры.

4. Принципы обработки персональных данных

4.1. Обработка ПДн осуществляется на законной основе.

4.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

4.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обработке подлежат только те ПДн, которые отвечают целям их обработки.

4.5. Содержание и объем ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточным по отношению к заявленным целям их обработки.

4.6. При обработке ПДн обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Депздравом Югры обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных.

4.7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Условия обработки персональных данных

5.1. Условия обработки иных категорий ПДн:

5.1.1. Обработка иных категорий ПДн осуществляется Депздравом Югры с соблюдением следующих условий:

 обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Депздрав Югры функций, полномочий и обязанностей;

 обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

 обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

5.2. Условия обработки общедоступных категорий ПДн:

5.2.1. Осуществляется обработка ПДн, сделанных общедоступными с согласия субъекта ПДн.

5.3. Поручение обработки ПДн:

5.3.1. Депздрав Югры вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

5.3.2. Лицо, осуществляющее обработку ПДн по поручению Депздрава Югры, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящей Политикой, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящей Политикой. В поручении Депздрава Югры определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьей 18.1. 152-ФЗ, обязанность по запросу Депздрава Югры в течение срока действия поручения Депздрава Югры, в т.ч. до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Депздрава Югры требований, установленных в соответствии со статьей 6 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также указываются требования к защите обрабатываемых ПДн в соответствии со статьей 19 152-ФЗ, в т.ч. требование об уведомлении Депздрава Югры о случаях, предусмотренных частью 3.1. статьи 21 152-ФЗ.

5.3.3. Лицо, осуществляющее обработку ПДн по поручению Депздрава Югры, не обязано получать согласие субъекта ПДн на обработку его ПДн;

5.3.4. В случае, если Депздрав Югры поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Депздрав Югры. Лицо, осуществляющее обработку ПДн по поручению Депздрава Югры, несет ответственность перед Депздравом Югры.

6. Конфиденциальность персональных данных

Сотрудники Депздрава Югры, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством.

7. Общедоступные источники персональных данных

7.1. В целях информационного обеспечения Депздрав Югры размещает ПДн на общедоступных источниках ПДн. Сведения о субъекте ПДн исключаются из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

7.2. В общедоступные источники ПДн включены следующие сведения:

7.2.1. Государственные гражданские служащие:

фамилия, имя, отчество;

фотография;

номер рабочего телефона;

адрес рабочей электронной почты;

номер кабинета;

сведения о занимаемой должности.

7.2.2. Граждане, участвующие в конкурсе по формированию кадрового резерва должностей государственной гражданской службы автономного округа; граждане участвующие в конкурсе на замещение вакантной должности государственной гражданской службы автономного округа:

фамилия, имя, отчество.

8. Согласие субъекта персональных данных на обработку его персональных данных

8.1. При необходимости обеспечения условий обработки ПДн субъекта может предоставляться согласие субъекта ПДн на обработку его ПДн.

8.2. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, ели иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Депздравом Югры.

8.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Депздрав Югры вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 152-ФЗ.

8.4. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн возлагается на Депздрав Югры.

8.5. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности:

 фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

 фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

 наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

 цель обработки ПДн;

 перечень ПДн, на обработку которых дается согласие субъекта ПДн;

 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

 перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

 срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

 подпись субъекта ПДн.

8.6. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.

8.7. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

8.8. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, может быть предоставлено Депздравом Югры непосредственно или с использованием информационной системы уполномоченного органа по защите прав субъектов ПДн.

9. Право субъекта персональных данных на доступ к его персональным данным

9.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

 подтверждение факта обработки ПДн Депздравом Югры;

 правовые основания и цели обработки ПДн;

 цели и применяемые Депздравом Югры способы обработки ПДн;

 наименование и место нахождения Депздрава Югры, сведения о лицах (за исключением сотрудников Депздрава Югры), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Депздравом Югры или на основании федерального закона;

 обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

 сроки обработки ПДн, в том числе сроки их хранения;

 порядок осуществления субъектом ПДн прав, предусмотренных Законом № 152-ФЗ;

 информацию об осуществленной или о предполагаемой трансграничной ПДн;

 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Депздрава Югры, если обработка поручена или будет поручена такому лицу;

 информацию о способах исполнения Депздравом Югры обязанностей, установленных статьей 18.1 152-ФЗ;

 иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

9.2. Субъект ПДн имеет право на получение запрашиваемой субъектом информации, за исключением следующих случаев:

 обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

 обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

 обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

 доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

 обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9.3. Субъект ПДн имеет право на получение сведений, указанных в пункте 9.1 Политики, за исключением случаев, при которых доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц. Субъект ПДн вправе требовать от Депздрава Югры уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.4. Сведения, указанные в пункте 9.1 Политики, должны быть предоставлены субъекту ПДн Депздрава Югры в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

9.5. Сведения, указанные в пункте 9.1 Политики, предоставляются субъекту ПДн или его представителю Депздрава Югры в течение 10 (десяти) рабочих дней с момента обращения либо получения Депздравом Югры запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Депздравом Югры в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Депздравом Югры (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Депздравом Югры, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Депздрав Югры предоставляет сведения, указанные в пункте 9.1 Политики, субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

9.6. В случае, если сведения, указанные в пункте 9.1 Политики, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно Депздрав Югры или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1 Политики, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

9.7. Субъект ПДн вправе обратиться повторно в Депздрав Югры или направить ему запрос в целях получения сведений, указанных в пункте 9.1 Политики, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 9.6. Политики, в случае, если такие сведения и (или) обрабатываемы ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать основание направления повторного запроса.

9.8. Депздрав Югры вправе отказать субъекту ПДн в выполнении повторного запроса, несоответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Депздрав Югры.

9.9. Формы запросов субъектов ПДн или их представителей и уполномоченного органа по защите прав субъектов ПДн представлены в приложении к настоящей Политике.

10. Право на обжалование действий или бездействий Депздрава Югры

10.1. Если субъект ПДн считает, что Депздрав Югры осуществляет обработку его ПДн с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействия Депздрава Югры в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке.

10.2. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

11. Обязанности Депздрава Югры

11.1. При сборе ПДн Депздрав Югры обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную в пункте 9.1 Политики.

11.2. Если предоставление ПДн является обязательным в соответствии с федеральным законом, Депздрав Югры обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

11.3. Если ПДн получены не от субъекта ПДн, Депздрав Югры, за исключением случаев, предусмотренных пункте 9.2 Политики, до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию:

11.3.1. Наименование либо фамилия, имя, отчество и адрес Депздрава Югры или его представителя.

11.3.2. Цель обработки ПДн и ее правовое основание.

11.3.3. Перечень ПДн.

11.3.4. Предполагаемые пользователи ПДн.

11.3.5. Установленные Законом № 152-ФЗ права субъекта ПДн.

11.3.6. Источник получения ПДн.

11.4. Депздрав Югры освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные пункте 9.1 Политики, в случаях, если:

11.4.1. Субъект ПДн уведомлен об осуществлении обработки его ПДн Депздравом Югры.

11.4.2. ПДн получены Депздравом Югры на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн.

11.4.3. Обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 152-ФЗ.

11.4.4. Депздрав Югры осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;

11.4.5. Предоставление субъекту ПДн сведений, предусмотренных
пункте 9.1 Политики, нарушает права и законные интересы третьих лиц.

11.4.6. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 152-ФЗ.

11.4.7. Сообщить в порядке, предусмотренном ст. 14 152-ФЗ, субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5рабочих дней в случае направления Депздравом Югры в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

11.4.8. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

11.4.9. Предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие ПДн. Уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

11.4.10. Сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Депздравом Югры в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

11.4.11. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

11.4.12. В случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн.

11.4.13. В случае выявления неправомерной обработки ПДн, осуществляемой Депздравом Югры или лицом, действующим по поручению Депздрава Югры, в срок, не превышающий 3 рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Депздрава Югры. В случае, если обеспечить правомерность обработки ПДн невозможно, Депздравом Югры в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

11.4.14. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, с момента выявления такого инцидента Депздравом Югры, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Депздравом Югры на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

11.4.15. В случае достижения цели обработки ПДн прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Депздравом Югры и субъектом ПДн либо если Депздрав Югры не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами.

11.4.16. В случае отзыва субъектом ПДн согласия на обработку его ПДн прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Депздравом Югры и субъектом ПДн либо если Депздрав Югры не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами.

11.4.17. В случае обращения субъекта ПДн к Депздраву Югры с требованием о прекращении обработки ПДн в срок, не превышающий 10 рабочих дней с даты получения Депздравом Югры соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Депздравом Югры в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

11.4.18. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в ч. 3 - 5 ст. 21 152-ФЗ, осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Депздрава Югры) и обеспечивает уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

11.4.19. В срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

11.4.20. Обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

 

12. Меры, направленные на обеспечение выполнения Депздравом Югры обязанностей, предусмотренных Законом № 152-ФЗ

12.1. Назначен ответственный за организацию обработки ПДн.

12.2. Изданы документы, определяющие политику Депздрава Югры в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не содержат положения, ограничивающие права субъектов ПДн, а также возлагающие на Депздрав Югры не предусмотренные законодательством Российской Федерации полномочия и обязанности.

12.3. Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн.

12.4. Утверждены правила проведения внутреннего контроля соответствия обработки ПДн требованиям Закона № 152-ФЗ и принятых в соответствии с ними нормативных правовых актов, настоящей Политики, локальных актов Депздрава Югры.

12.5. Проведено ознакомление служащих (работников), непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе, документами, определяющими политику Депздрава Югры в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.

13. Меры по обеспечению безопасности персональных данных при их обработке

13.1. Определены угрозы безопасности ПДн при их обработке в ИСПДн.

13.2. Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн.

13.3. Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.

13.4. Ведется учет машинных носителей ПДн.

13.5. Выполняются меры по обнаружению фактов несанкционированного доступа к ПДн и принятию соответствующих мер.

13.6. Определен комплекс мер по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

13.7. Установлены правила доступа к ПДн, обрабатываемым в ИСПДн, обеспечена регистрация и учет всех действий, совершаемых с ПДн в ИСПДн.

13.8. При передаче (подготовке к передаче) ПДн по каналам связи, имеющим выход за пределы контролируемой зоны, защита от раскрытия, модификации или навязывания (ввода ложной информации) осуществляется путем применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации.

13.9. Для исключения несанкционированного просмотра ПДн на устройствах вывода (отображения, печати) информации, как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны, их не размещают напротив оконных проемов, входных дверей, в коридорах, холлах и иных местах, доступных для несанкционированного просмотра.

13.10. Осуществляется выявление, анализ и устранение уязвимостей ИСПДн на этапах создания и эксплуатации ИСПДн. Такие проверки проводятся с периодичностью один раз в месяц, с учетом того, что должны быть проведены обязательные проверки для критических уязвимостей в случае опубликования в общедоступных источниках персональных данных о новых уязвимостях в средствах ЗИ, ТС и ПО, применяемом в ИСПДн. При выявлении уязвимости составляется отчет и разрабатывается план по их устранению.

13.11. Осуществляется непрерывный контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн.

13.12. Проводятся работы по оценке эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.