МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ
РЕСПУБЛИКИ ТЫВА
(Минздрав РТ)

ПРИКАЗ

г. Кызыл

Об утверждении Положения об ответственном за организацию

обработки персональных данных Министерства здравоохранения Республики Тыва и назначении ответственных лиц

Во исполнение требований ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 1 Постановления Правительства Российской Федерации от 21.03.2012 №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", а также в целях обеспечения безопасности конфиденциальной информации, обрабатываемой в Министерстве здравоохранения Республики Тыва, ПРИКАЗЫВАЮ: 

1. Утвердить прилагаемое Положение об ответственном за организацию обработки персональных данных в Министерстве здравоохранения Республики Тыва (далее - Положение).
2. Определить заместителя министра здравоохранения Республики Тыва Монгуш Кудера Кенденовича лицом, ответственным за организацию защиты персональных данных.
3. Назначить начальника отдела информационной безопасности ГБУЗ «Медицинский информационно-аналитический центр Республики Тыва» Самбуга Айгулю Сержиевну лицом, ответственным за организацию работы по обеспечению безопасности персональных данных.
4. Назначить ведущего программиста ГБУ «Учреждение по административно-хозяйственному обеспечению учреждений здравоохранения Республики Тыва» Куулар Александра Александровича лицом, ответственным за администрирование локальной вычислительной сети и средств вычислительной техники, на которых обрабатываются персональные данные.
5. Руководителям структурных подразделений Министерства здравоохранения Республики Тыва:

изучить лично и организовать изучение прилагаемого Положения подчиненными работниками, допускаемыми к работе с персональными данными как с информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности;

взять под личный контроль исполнение подчиненными работниками требований настоящего приказа и Положения.

6. Признать утратившим силу приказ Министерства здравоохранения Республики Тыва от 29 декабря 2016 г. № 197 «О возложении обязанностей на должностных лиц Министерства здравоохранения Республики Тыва».
7. Ответственному лицу отдела организационно-правового обеспечения и кадровой политики ознакомить с настоящим приказом заинтересованных лиц под подпись в журнале ознакомления.
8. Контроль за исполнением настоящего приказа оставляю за собой.

Министр

О.Э. Донгак

Приложение к приказу

Министерства здравоохранения

Республики Тыва

от __.__.20__ №___

ПОЛОЖЕНИЕ

об ответственном за организацию защиты персональных данных

в Министерстве здравоохранения Республики Тыва

г. Кызыл

2018

Оглавление

1. I. Назначение

• Положение об ответственном за организацию защиты персональных данных (далее - Положение) в Министерство здравоохранения Республики Тыва (далее – МЗ РТ) определяет правовой статус, основные права и обязанности ответственного за организацию обработки персональных данных в Учреждении.
• В тексте настоящего Положения под ответственным за организацию обработки персональных данных в МЗ РТ понимается должностное лицо МЗ РТ, на которого приказом МЗ РТ возложены дополнительные обязанности, предусмотренные ст.22.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) применительно к п. а), п. б), п. д) ст.1  Постановления Правительства Российской  Федерации от 21.03.2012 №211 (ред. от 06.09.2014) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и других нормативных правовых актов.
• Ответственным за организацию обработки персональных данных назначается должностное лицо, правомочное по своей штатной должности решать вопросы организации обработки персональных данных в различных подразделениях МЗ РТ.

2. II. Область применения

• Настоящее Положение применяется подразделениями МЗ РТ, обрабатывающими персональные данные.

3. III. Термины, обозначения

• В настоящей Политике используются следующие термины и обозначения:
  • Оператор персональных данных (оператор ПДн) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными^[1].
  • Ответственный за организацию защиты персональных данных - должностное лицо МЗ РТ, осуществляющее:
    • внутренний контроль за соблюдением работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
    • доведение до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных[2];
    • организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществляющее контроль за приемом и обработкой таких обращений и запросов;
    • общий контроль организации конфиденциального делопроизводства;
    • контроль организации учета лиц, допущенных к конфиденциальной информации, обрабатываемой в МЗ РТ.

3.1.3       Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. IV. Правовой статус ответственного за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва

• Министр своим приказом назначает лицо, ответственное за организацию защиты персональных данных (возлагает дополнительные обязанности на существующего штатного работника).
• Лицо, ответственное за организацию защиты персональных данных, получает указания непосредственно от министра^[3].

1. V. Основные права ответственного за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва

• Ответственный за организацию защиты персональных данных в МЗ РТ имеет право:
  • проверять исполнение работниками МЗ РТ, допущенных к конфиденциальной информации, законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  • требовать от должностных лиц МЗ РТ предоставления следующих сведений:^[4]
    • наименование, адрес оператора персональных данных;
    • цель обработки персональных данных;
    • категории персональных данных;
    • категории субъектов, персональные данные которых обрабатываются;
    • правовое основание обработки персональных данных;
    • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
    • описание мер, предусмотренных статьями 18.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015), в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
    • дата начала обработки персональных данных;
    • срок или условие прекращения обработки персональных данных;
    • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
    • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
  • доводить сведения до министра информацию о нарушении работниками МЗ РТ требований по защите охраняемой законом информации и принятых мерах[5].

5. VI. Основные обязанности ответственного за организацию защиты персональных данных в Министерстве здравоохранения Республики Тыва
6. • Ответственный за организацию защиты персональных данных в МЗ РТ обязан:
     • осуществлять внутренний контроль соблюдения работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
     • доводить до сведения работников МЗ РТ положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных[6];
     • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов^[7];
     • осуществлять контроль организации допуска и учета лиц, допущенных к конфиденциальной информации, обрабатываемой в МЗ РТ;
     • докладывать министру о фактах нарушения правил безопасности при обработке персональных данных.
     • выходить с предложениями к министру в вопросах информационной безопасности.

VII. Ответственность

        За нарушение требований настоящей Положения ответственный за организацию защиты персональных данных в МЗ РТ несет ответственность в соответствии с действующим законодательством.

^[1] См.: ч.2.ст.3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).

[2] В соответствии с п.6) ч.1 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).

[3] См.:

• ст.22.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015);
• п. д) ст.1 Постановления Правительства Российской Федерации от 21.03.2012 №211 (ред. от 06.09.2014) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

^[4] В соответствии с ч.3 ст.22 и ч.3 ст.22.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).

^[5] Исполняется в соответствии с:

• ч.2 ст.22.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015);
• п. д) ч.1 Постановления Правительства Российской Федерации от 21.03.2012 №211 (ред. от 06.09.2014) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
• п.7 Инструкции, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001. № 152 (Бюллетень нормативных актов федеральных органов исполнительной власти, 2001. № 34);
• п.2.3. и п. 3.24. «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622.

[6] В соответствии с п.6) ч.1 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).

^[7] См.: ст.22.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).