Уничтожение персональных данных пациента с социально значимым заболеванием

Вопрос: В медицинской организации с пациентов берется согласие на обработку персональных данных, которое является частью медицинской карты, медицинская организация зарегистрирована в установленном законом порядке как оператор. В силу Закона

Уничтожение персональных данных пациента с социально значимым заболеванием

В медицинской организации с пациентов берется согласие на обработку персональных данных, которое является частью медицинской карты, медицинская организация зарегистрирована в установленном законом порядке как оператор.

В силу Закона “О защите персональных данных” пациент имеет право на отзыв своего согласия на обработку персональных данных.

Какая должна быть форма отзыва и какие мероприятия должны быть проведены медицинской организацией? Изымается ли это согласие из медицинской карты, или уничтожается вся медицинская документация по пациенту? Какие сроки для этого предусмотрены? Имеют ли право пациенты устанавливать сроки для отзыва своих персональных данных?

В соответствии со ст. 3 Федерального закона от 27.07.

2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) персональными данными (далее – ПДн) является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн).

Любые действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ)

Согласно ст. 6, ст. 9 Закона N 152-ФЗ по общему правилу обработка ПДн допускается только с согласия субъектов ПДн, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ.

В частности, обработка ПДн без согласия субъектов ПДн допускается, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п. 5 ч. 1 ст.

 6 Закона N 152-ФЗ).

Однако в силу ч. 2 ст. 6 Закона N 152-ФЗ обработка специальных категорий ПДн (в частности сведений, касающихся состояния здоровья) регулируется специальными правилами ст. 10 Закона N 152-ФЗ. Подобные сведения могут обрабатываться без согласия субъектов ПДн в случаях, предусмотренных п.п. 2-9 ч. 2 ст. 10 Закона N 152-ФЗ.

К таковым относится в том числе ситуация, когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (п. 4 ч. 2 ст. 10 Закона N 152-ФЗ).

Отметим, что в соответствии со ст. 13 Федерального закона от 21.11.

2011 N 323-ФЗ “Об основах охраны здоровья граждан в Российской Федерации” (далее – Закон N 323-ФЗ) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

Поэтому при необходимости сообщить эти данные другим лицам в интересах обследования и лечения необходимо согласие пациента, за исключением случаев, предусмотренных в ч. 4 ст. 13 Закона N 323-ФЗ. Обращаем Ваше внимание на то, что согласие пациента на разглашение врачебной тайны и его согласие на обработку его ПДн – два разных волеизъявления субъекта.

Закон N 323-ФЗ обязывает хранить врачебную тайну всех лиц, которым подобные сведения стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, т.е. режим врачебной тайны распространяется не только на медицинский, но и, например, на административный персонал лечебного учреждения. Однако согласно п. 4 ч. 2 ст.

 10 Закона N 152-ФЗ обработка ПДн без согласия субъекта ПДн в медицинских целях допускается только лицом, профессионально занимающимся медицинской деятельностью. Иными словами, такая обработка будет законна при ее осуществлении исключительно медицинским персоналом.

Поэтому в случае, если в обработке сведений, касающихся состояния здоровья, участвуют иные лица, необходимо получение согласия субъекта ПДн.

Частью 2 ст. 9 Закона N 152-ФЗ предусмотрено право субъекта ПДн отозвать свое согласие на их обработку. Способ отзыва согласия на обработку ПДн, в том числе форма и сроки отзыва, должны предусматриваться согласием (п. 8 ч. 4 ст. 9 Закона N 152-ФЗ)*(1).

По нашему мнению, целесообразно предусмотреть в согласии ту же форму отзыва, в какой было подано заявление о согласии на обработку ПДн, в рассматриваемом случае – письменную (п. 1 ч. 2 ст. 10 Закона N 152-ФЗ).

Кроме того, целесообразно указать в согласии на то, что субъекту ПДн известны последствия отзыва им согласия на обработку ПДн, которые заключаются в следующем.

Согласно ч. 5, ч. 6 ст. 21 Закона N 152-ФЗ в случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку и уничтожить их, если их сохранение более не требуется для целей обработки ПДн.

Для этого оператору предоставляется срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных данным законом или другими федеральными законами. При отсутствии возможности уничтожить ПДн в 30-дневный срок оператор должен их блокировать и обеспечить их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Отметим, что обязанность оператора уведомлять субъекта ПДн о прекращении обработки, блокировании или уничтожении его ПДн действующим законодательством не предусмотрена. Такая обязанность будет возложена на оператора, только если соответствующие положения будут включены им в свои локальные нормативные акты (Положение об обработке персональных данных).

Под уничтожением персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных (п. 8 ч. 1 ст. 3 Закона N 152-ФЗ).

В случае, если использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн осуществляются при непосредственном участии человека, т.е.

имеет место обработка ПДн без использования средств автоматизации, необходимо руководствоваться Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 N 687 (далее – Положение).

В частности, Положением установлен порядок уничтожения или блокирования части ПДн с материального носителя (п.п. 9, 10 Положения).

Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, например, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Обращаем Ваше внимание на то, что уничтожение ПДн необязательно требует уничтожения материального носителя.

К примеру, поскольку ПДн пациента содержатся лишь в незначительной части договора на оказание медицинских услуг, на наш взгляд, допустимо не уничтожать сам договор, а лишь удалить (вымарать) из него соответствующие сведения. Напротив, медицинская карта пациента содержит исключительно его ПДн.

Поэтому по смыслу Закона N 152-ФЗ она должна уничтожаться полностью*(2). К сожалению, подробно процедура уничтожения всех ПДн ничем не регламентирована.

По нашему мнению, порядок прекращения обработки ПДн и их блокирования и уничтожения в случае отзыва субъектом ПДн согласия на их обработку должен быть разработан оператором в своих локальных нормативных актах (Положении об обработке персональных данных). В любом случае, оператором должны соблюдаться сроки уничтожения, предусмотренные ч. 5, ч. 6 ст. 21 Закона N 152-ФЗ, а также нормы Положения.

В то же время часть 2 ст. 9 Закона N 152-ФЗ специально оговаривает, что оператор вправе продолжить обработку ПДн без согласия субъекта ПДн в случае отзыва им согласия на их обработку при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 данного закона.

В частности, к таким основаниям относится случай, когда обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

На основании приведенных норм полагаем, что в том случае, когда пациент отзывает согласие на обработку своих ПДн, лечебное учреждение может продолжать обработку его ПДн вплоть до окончания действия заключенного ими договора оказания медицинских услуг.

При этом, на наш взгляд, оператору следует в письменной форме известить субъекта ПДн о продолжении их обработки дабы избежать нарушения его прав неосведомленностью.

После окончания исполнения договора ПДн должны быть уничтожены в соответствии с нормами Закона N 152-ФЗ, Положения и локальными нормативными актами оператора. На наш взгляд, оператору целесообразно сохранять у себя полученные от субъектов ПДн отзывы согласия и акты об уничтожении ПДн во избежание негативных последствий их уничтожения (последующих судебных споров например).

Источник: //base.garant.ru/58089918/

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Уничтожение персональных данных пациента с социально значимым заболеванием

→ Статьи → Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов.

Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации.

Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.

2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст.

10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных.

Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст.

13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О.

, адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.).

Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением.

С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст.

13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Источник: //www.garantexpress.ru/statji/personalnie-dannie-patsientov-v-meditsinskih-organizatsijah-trebovania-k-obrabotke-i-otvetstvennost/

Персональные данные

Уничтожение персональных данных пациента с социально значимым заболеванием

Приложение 1

к приказу министерства здравоохранения Тульского области

от «22» сентября 2016 г.  № 1015-осн

1. Общие положения

1.1.Настоящая Политика министерства здравоохранения Тульской области в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в министерстве здравоохранения Тульской области (далее – министерство).

1.2.Политика определяет цели, принципы обработки и реализуемые требования к защите персональных данных в министерстве.

1.3.Персональные данные являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

2. Основные понятия

2.1.    В настоящей Политике используются следующие основные понятия:

2.1.1.

Субъектами персональных данных министерства здравоохранения Тульской области являются: государственные гражданские служащие и работники министерства здравоохранения Тульской области их близкие родственники, руководители подведомственных учреждений, работники подведомственных министерству учреждений здравоохранения, претенденты, подавшие документы для участия в конкурсе на замещение вакантных должностей в министерстве здравоохранения Тульской области, абитуриенты, физические лица, студенты по целевому направлению, граждане РФ, иностранные граждане и лица без гражданства, у которых выявлены социально-значимые заболевания, препятствующие их пребыванию на территории Российской Федерации, умершие граждане РФ, граждане, подвергшиеся радиационным воздействиям или умершие лица, супруги которых желают установить причинную связь смерти с радиационным воздействием, а также сам родственник умершего лица, граждане РФ и иностранных государств, направившие обращение о получение специализированной (в том числе высокотехнологичной) медицинской помощи в адрес министерства здравоохранения Тульской области, дети-сироты, оставшиеся без попечения родителей, дети, находящиеся в трудной жизненной ситуации и их официальные представители,  лицензиаты, соискатели лицензий, и лица, состоящие с ними в трудовых и (или) иных гражданско-правовых отношениях, льготные категории граждан, граждане РФ обратившееся за выдачей разрешения на занятие народной медициной, граждане РФ, страдающие жизнеугрожающими и хроническими прогрессирующими редкими (орфанными) заболеваниями, больные гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, миелолейкозом, рассеянным склерозом, а также после трансплантации, медицинские и фармацевтические работники, работающие в системе здравоохранения Тульской области, граждане РФ, достигшие наивысших результатов в трудовой деятельности в подведомственных учреждениях министерства здравоохранения Тульской области, члены Совета по этике министерства здравоохранения Тульской области, члены Общественного совета при министерстве здравоохранения Тульской области, члены коллегии при министерстве здравоохранения Тульской области.

2.1.2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.1.3.

 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

2.1.4. Конфиденциальность персональных данных – обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. Принципы и цели обработки персональных данных

3.1.         Министерство в своей деятельности по обработке персональных данных руководствуется следующими принципами:

3.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.1.2. Цели обработки персональных данных соответствуют полномочиям министерства.

3.1.3. и объем обрабатываемых персональных данных соответствуют целям обработки персональных данных.

3.1.4. Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных.

3.1.5. Ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных.

3.1.6. Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.1.7. Осуществление хранения персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством.

1.1.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

3.2.

    Обработка персональных данных работников министерства здравоохранения Тульской области осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия им в прохождении службы, в обучении и должностном росте, обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества государственного органа, учета результатов исполнения ими должностных обязанностей.

3.3.         Обработка персональных данных граждан, не являющихся работниками министерства здравоохранения Тульской области, осуществляется с целью реализации закрепленных за министерством полномочий

4. Перечень мер по обеспечению безопасности персональных данных при их обработке

4.1.

Министерство при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

4.1.

1. Назначением ответственного за организацию обработки персональных данных.

4.1.

2. Утверждением локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

4.1.

3. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ
«О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных.

4.1.

4. Ознакомлением работников министерства, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных работников.

4.1.

5. Выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных, осуществляемой без использования средств автоматизации.

4.1.

6. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.1.

7. Учетом машинных носителей персональных данных.

4.1.

8. Выявлением фактов несанкционированного доступа к персональным данным и принятием мер.

4.1.

9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.1.

10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных.

4.2. Работники министерства, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Заместитель министра – директор  

  департамента здравоохранения 

министерства здравоохранения 

Тульской области

                                                                                                               А.В. Караваев

Источник: //minzdrav.tularegion.ru/about/personalnye-dannye/?special_version=Y

Криминальный мир
Добавить комментарий