УТВЕРЖДАЮ:

Главный врач

ГБУЗ "ГДП № 1 г. Копейск"

     _______Т.Д. Олюнина

от 01.11.2016 г. №_____

Правила

рассмотрения запросов субъектов персональных данных или их представителей

в ГБУЗ "ГДП № 1 г. Копейск"

I. Общие положения

1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей (далее – Правила, ПДн) регулируют отношения, возникающие при выполнении ГБУЗ "ГДП № 1 г. Копейск" обязательств согласно требованиям статей 14, 20 и 21 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

2. Положения настоящих Правил определяют порядок учета (регистрации), рассмотрение запросов на подтверждение наличия, ознакомления, уточнения, уничтожения ПДн или отзыв согласия на обработку ПДн, а также на устранение нарушений законодательства, допущенных при обработке ПДн.

3. Правила разработаны в соответствии со следующими нормативными правовыми актами в области обработки и обеспечения безопасности ПДн:

1) Трудовой Кодекс Российской Федерации;

2) Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);

3) Федеральный закон от 5 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации »;

4) Федеральный закон от 7 февраля 2007 г. № 25-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации »;

5) Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

6) Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения  обязанностей,  предусмотренных  Федеральным  законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

7) иные нормативные правовые акты в области обработки и обеспечения безопасности ПДн, а также руководящие документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации.

II. Организация и проведение работ ГБУЗ "ГДП № 1 г. Копейск"

по запросу ПДн

4. Субъект ПДн имеет право на получение информации от администрации, касающейся обработки его ПДн в соответствии с частью 7 статьи 14 Федерального закона № 152-ФЗ.

5. Право субъекта ПДн на доступ к его ПДн в ГБУЗ "ГДП № 1 г. Копейск" может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ.

6. Субъект ПДн вправе требовать от ГБУЗ "ГДП № 1 г. Копейск" уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются субъекту ПДн администрацией при получении запроса от субъекта ПДн.

8. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, должны быть предоставлены субъекту ПДн в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

9. Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с ГБУЗ "ГДП № 1 г. Копейск" (номер трудового договора, дата заключения трудового договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн ГБУЗ "ГДП № 1 г. Копейск", подпись субъекта ПДн. 

10. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

11. Рассмотрение запросов является служебной обязанностью должностных лиц ГБУЗ "ГДП № 1 г. Копейск", в чьи обязанности входит обработка ПДн. Должностные лица ГБУЗ "ГДП № 1 г. Копейск" обеспечивают:

1) объективное, всестороннее и своевременное рассмотрения запроса;

2) принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов ПДн;

3) направление письменных ответов по существу запроса.

12. Ведение делопроизводства по запросам осуществляется сотрудником по работе с обращениями граждан ГБУЗ "ГДП № 1 г. Копейск".

13. Все поступившие запросы регистрируются в день их поступления в журнале учета запросов граждан (субъектов ПДн) по вопросам обработки ПДн. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации.

14. В случае подачи субъектом ПДн повторного запроса в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, необходимо руководствоваться частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Повторный запрос наряду со сведениями, указанными выше, должен содержать обоснование направления повторного запроса.

15. ГБУЗ "ГДП № 1 г. Копейск" вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным.

16. Прошедшие регистрацию запросы в тот же день направляются главному врачу ГБУЗ "ГДП № 1 г. Копейск" либо лицу, его заменяющему, который дает по каждому из них письменное указание исполнителям.

17. Исполнители при рассмотрении и разрешении запроса обязаны:

1) внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о ПДн;

2) принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;

3) сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.

18. ГБУЗ "ГДП № 1 г. Копейск" обязана сообщить субъекту ПДн информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при запросе субъекта ПДн в течение тридцати дней с даты получения запроса субъекта ПДн.

19. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн при получении запроса субъекта ПДн администрация обязана руководствоваться частью 2 статьи 20 Федерального закона № 152-ФЗ.

20. ГБУЗ "ГДП № 1 г. Копейск" обязана:

1) предоставить безвозмездно субъекту ПДн возможность ознакомления с ПДн, относящимися к этому субъекту ПДн;

2) уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

21. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

22. Ответы на запросы оформляются в соответствии с инструкцией по делопроизводству в ГБУЗ "ГДП № 1 г. Копейск".

23. Непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов осуществляет главный врач ГБУЗ "ГДП № 1 г. Копейск". На контроль берутся все запросы.

24. При осуществлении контроля обращается внимание на сроки исполнения запроса и полноту рассмотрения поставленных вопросов, своевременность их исполнения и направления ответов заявителям.

III. Действия ГБУЗ "ГДП № 1 г. Копейск" в ответ на запросы по ПДн

25. В случае поступления запроса субъекта ПДн по ПДн необходимо выполнить следующие действия:

1) при получении запроса субъекта ПДн на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) подтвердить обработку ПДн в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации о наличии ПДн;

2) при получении запроса субъекта ПДн на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации по ПДн.

26. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн ГБУЗ "ГДП № 1 г. Копейск";

2) правовые основания и цели обработки ПДн;

3) цели и применяемые ГБУЗ "ГДП № 1 г. Копейск" способы обработки ПДн;

4) наименование и место нахождения организации, сведения о лицах (за исключением работников ГБУЗ "ГДП № 1 г. Копейск"), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с организацией или на основании Федерального закона № 152-ФЗ;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ГБУЗ "ГДП № 1 г. Копейск", если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами;

11) при получении запроса субъекта ПДн или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, по предоставлению субъектом ПДн или его сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет ГБУЗ "ГДП № 1 г. Копейск", являются неполными, неточными или неактуальными (согласно части 3 статьи 20 Федерального закона № 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет ГБУЗ "ГДП № 1 г. Копейск", являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в осуществлении изменения ПДн;

12) при получении запроса субъекта ПДн на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона № 152-ФЗ), и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет ГБУЗ "ГДП № 1 г. Копейск", являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в уничтожении ПДн;

13) при получении запроса на отзыв согласия субъекта ПДн на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно части 5 статьи 21 Федерального закона № 152-ФЗ), если иное не предусмотрено договором, стороной которого выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ГБУЗ "ГДП № 1 г. Копейск"и субъектом ПДн либо если организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (согласно части 5 статьи 21 Федерального закона № 152-ФЗ);

14) при выявлении недостоверности ПДн при обращении или по запросу субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, необходимо уточнить ПДн в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе в изменении ПДн;

15) при выявлении неправомерных действий с ПДн ГБУЗ "ГДП № 1 г. Копейск" по запросу субъекта ПДн необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно части 3 статьи 21 Федерального закона № 152-ФЗ). В случае, если обеспечить правомерность обработки ПДн невозможно, ГБУЗ "ГДП № 1 г. Копейск" в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн (согласно части 3 статьи 21 Федерального закона № 152-ФЗ), обязана уничтожить такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн ГБУЗ "ГДП № 1 г. Копейск" обязана уведомить субъекта ПДн, а в случае, если обращение субъекта ПДн либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;

16) при достижении целей обработки ПДн ГБУЗ "ГДП № 1 г. Копейск" обязана незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты достижения цели обработки ПДн (согласно части 4 статьи 21 Федерального закона № 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ГБУЗ "ГДП № 1 г. Копейск" и субъектом ПДн либо если организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами, и отправить уведомление об уничтожении ПДн.

27. В случае поступления запроса уполномоченного органа по защите прав субъекта ПДн по ПДн, необходимо выполнить следующие действия:

1) при получении запроса необходимо в течение 30 дней (согласно части 4 статьи 20 Федерального закона № 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа;

2) при выявлении недостоверных ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн, необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн;

3) при выявлении неправомерных действий ГБУЗ "ГДП № 1 г. Копейск" с ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо прекратить неправомерную обработку ПДн в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). В случае невозможности обеспечения правомерности обработки ГБУЗ "ГДП № 1 г. Копейск" ПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн.

IV. Ответственность ГБУЗ "ГДП № 1 г. Копейск"

28. ПДн не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает работника ГБУЗ "ГДП № 1 г. Копейск" от взятых им обязательств по неразглашению информации ограниченного доступа.

29. Организация и проведение работ по ответам на запросы, устранению нарушений, а также уточнению, блокированию и уничтожению ПДн возлагается на руководителей структурных подразделений ГБУЗ "ГДП № 1 г. Копейск", обрабатывающих ПДн.

30. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ГБУЗ "ГДП № 1 г. Копейск" ответственность в соответствии с законодательством Российской Федерации.

31. Обобщенный алгоритм действий по запросу ПДн приведен в приложении к настоящим Правилам.

Главный врач ГБУЗ "ГДП № 1 г. Копейск” ___________________Т.Д. Олюнина

Приложение

к Правилам

Действия

по запросу персональных данных

в МЛПУЗ ГДП №1 Копейского ГО