Положение о защите и обработке ПДН

III. Сбор, обработка и защита ПДн

Правила получения ПДн

15. Все ПДн работников и прочих физических лиц следует получать у них самих. Если ПДн возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо ГБУЗ "ГДП № 1 г. Копейск"должно сообщить о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта дать письменное согласие на их получение (приложение 2 к Правилам).

16. ГБУЗ "ГДП № 1 г. Копейск" не имеет права получать и обрабатывать ПДн работников и прочих физических лиц об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.

17. ГБУЗ "ГДП № 1 г. Копейск" вправе обрабатывать ПДн физических лиц по их запросу, а также при регистрации субъекта ПДн на едином или региональном портале государственных и муниципальных услуг, без их письменного согласия в соответствии с требованиями статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

18. Все меры конфиденциальности при сборе, обработке и хранении ПДн распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

19. Информация о субъектах ПДн, зафиксированная в автоматизированных системах и на бумажных носителях, должна храниться в условиях, исключающих несанкционированный доступ к ней.

Правила обработки ПДн субъектов ПДн, осуществляемой с использованием средств автоматизации, содержание ПДн

20. Безопасность ПДн, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного доступа к ПДн.

21. Уполномоченными должностными лицами при обработке ПДн в ИСПДн должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

22. Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

23. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи ПДн к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

24. Доступ пользователей (операторов ИСПДн) к ПДн в ИСПДн должен требовать обязательного прохождения процедуры идентификации и аутентификации.

25. Структурными подразделениями администрации (должностными лицами), ответственными за обеспечение безопасности ПДн при их обработке в ИСПДн, должно быть обеспечено:

1) своевременное обнаружение фактов несанкционированного доступа к ПДн и немедленное доведение этой информации до руководства;

2) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

3) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4) постоянный контроль за обеспечением уровня защищенности ПДн;

5) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;

7) при обнаружении нарушений правил предоставления ПДн незамедлительное приостановление предоставления ПДн пользователям ИСПДн до выявления причин нарушений и устранения этих причин;

8) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

26. В случае выявления нарушений правил обработки ПДн в ИСПДн уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

Правила обработки ПДн субъектов ПДн, осуществляемой без использования средств автоматизации

27. Обработка ПДн без использования средств автоматизации уполномоченным должностным лицом осуществляется на материальных (бумажных) носителях ПДн для целей, указанных в пунктах 8 и 9 настоящих Правил.

28. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта ПДн, чьи ПДн вносятся в указанную типовую форму, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки;

2) типовая форма должна предусматривать поле, в котором субъекты ПДн могут поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку ПДн;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи ПДн содержатся в типовой форме, при ознакомлении со своими ПДн, не имел возможности доступа к ПДн иных лиц, содержащимся в указанной типовой форме;

4) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

29. Уничтожение или обезличивание ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

30. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными ПДн.