ТЕРРИТОРИАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ
РЯЗАНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 15 сентября 2011 г. № 256/1
ОБ УСИЛЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ВЕДЕНИИ
ПЕРСОНИФИЦИРОВАННОГО УЧЕТА В СФЕРЕ ОМС В ТФОМС
РЯЗАНСКОЙ ОБЛАСТИ
В целях усиления политики информационной безопасности при ведении персонифицированного учета в сфере обязательного медицинского страхования в ТФОМС Рязанской области и согласно Федерального закона
от 27 июля 2006 г. № 152-ФЗ "О персональных данных" приказываю:
1. Утвердить Положение
о защите персональных данных, обрабатываемых в автоматизированной информационной системе персонифицированного учета "ОМС - Рязанская область" (Приложение № 1).
2. Утвердить матрицу доступа субъектов к защищаемым информационным ресурсам информационной системы персональных данных ТФОМС Рязанской области (Приложение № 2 - не приводится).
3. Утвердить список лиц, допущенных к обработке персональных данных в информационной системе персонифицированного учета сведений о субъектах ОМС "ОМС - Рязанская область" (Приложение № 3 - не приводится).
4. Утвердить список лиц, допущенных к обработке персональных данных в информационной системе контроля за правильностью исчисления, полнотой и своевременностью уплаты (перечисления) страховых взносов "Страхователи" (Приложение № 4 - не приводится).
5. Утвердить перечень помещений, в которых производится обработка данных в информационной системе ТФОМС Рязанской области (Приложение № 5 - не приводится).
6. Утвердить инструкцию пользователя автоматизированной информационной системы ТФОМС Рязанской области (Приложение № 6 - не приводится).
7. Отделу АСУ вести журнал регистрации, учета и выдачи съемных электронных носителей персонифицированной информации по форме согласно Приложению № 7 (не приводится).
8. Отделу ИБ вести журнал учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных по форме согласно Приложению № 8 (не приводится).
9. Начальникам отделов ТФОМС Рязанской области, должностные лица которых имеют право доступа к персонифицированной информации субъектов, обеспечить:
- доведение настоящего приказа до сотрудников отдела под роспись;
- своевременную подачу в отдел ИБ заявок на доступ к информационным системам персонифицированного учета;
- предоставление сведений в отдел ИБ о перемещениях и переводах в другие подразделения должностных лиц, работающих в информационной системе персонифицированного учета, в день принятия решения о переводе или перемещении;
10. Контроль за исполнением настоящего приказа оставляю за собой.
Директор
Г.Б.АРТЕМЬЕВА
Приложение № 1
к приказу
от 15 сентября 2011 г. № 256/1
ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В
АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ
ПЕРСОНИФИЦИРОВАННОГО УЧЕТА "ОМС - РЯЗАНСКАЯ ОБЛАСТЬ"
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о защите персональных данных (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных субъектов, обрабатываемых в автоматизированных информационных системах персонифицированного учета Территориального фонда обязательного медицинского страхования Рязанской области (далее - ТФОМС), расположенного по адресу Рязанская область, г. Рязань, ул. 6-я линия, д. 6, в соответствии с законодательством Российской Федерации.
1.2 Настоящее Положение разработано в соответствии с:
- Федеральным законом
от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
В официальном тексте документа, видимо, допущена опечатка: Федеральный закон № 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" имеет дату принятия 29.11.2010, а не 29.11.2011.
3.8 Защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена ТФОМС за счет ее средств в порядке, установленном федеральными законами Российской Федерации.
4. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Персонифицированные данные о субъектах, обрабатываемые в АИС ТФОМС Рязанской области, на бумажных носителях хранятся в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах ПД, находятся у начальников отделов, допущенных к обработке ПДн.
4.2. Персонифицированные данные о субъектах, обрабатываемые в АИС ТФОМС Рязанской области с использованием средств автоматизации, хранятся в защищенной локальной вычислительной сети на серверах и рабочих станциях. Серверы и рабочие станции защищенной локальной вычислительной сети оборудованы сертифицированными аппаратными и программными средствами защиты информации, согласно требованиям и рекомендациям нормативно-методических документов уполномоченных регулирующих органов Российской Федерации по обеспечению защиты персональных данных в информационных системах персональных данных, обрабатываемых с использованием средств автоматизации.
4.3. Съемные электронные носители, на которых хранятся персонифицированные данные о субъектах, должны быть отмаркированы и учтены в соответствующем журнале.
4.4. Конкретные обязанности по хранению персонифицированных данных о субъектах ОМС, хранению и выдаче документов, отражающих персональные данные, возлагаются на работников ТФОМС и закрепляются в должностных инструкциях.
4.5. ТФОМС обеспечивает ограничение доступа к персонифицированным данным субъектов, не уполномоченных законодательством Российской Федерации для получения соответствующих сведений.
5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При передаче ПДн о субъектах ОМС ТФОМС должен соблюдать следующие требования:
5.1.1. Не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, предусмотренных федеральными законами Российской Федерации.
5.1.2. Не сообщать ПДн субъекта в коммерческих целях без его письменного согласия.
5.1.3. Предупреждать лиц, получающих персонифицированные данные о субъектах, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
5.1.4. Осуществлять передачу ПДн субъекта в пределах ТФОМС в соответствии с настоящим Положением.
5.1.5. Передавать ПДн субъекта представителю субъекта ПДн в порядке, установленном федеральными законами Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
5.1.6. Передача ПДн о субъектах должна производится только в целях ведения персонифицированного учета в сфере ОМС, либо в других случаях предусмотренных Федеральным законом
от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и другими Федеральными законами.
5.1.7. Передача ПДн о субъектах ОМС в целях ведения персонифицированного учета сведений в сфере ОМС должна осуществляться в электронном виде по корпоративной сети передачи данных с использованием электронной цифровой подписи в соответствии с установленными законодательством Российской Федерации требованиями по защите персональных данных.
5.2. Передача персональных данных о субъектах ОМС осуществляется в ФФОМС и ПФР в целях формирования и актуализации территориального и центрального сегментов Единого регистра застрахованного населения.
5.3. Передача персональных данных о субъектах ОМС осуществляется в СМО Рязанской области в целях формирования и актуализации территориального сегмента Единого регистра застрахованного населения.
5.4. Передача персональных данных о субъектах ОМС осуществляется в МО Рязанской области в целях идентификации страховой принадлежности субъекта ПДн.
6. ОБЯЗАННОСТИ ТФОМС
6.1. ТФОМС обязан:
6.1.1. Осуществлять защиту персонифицированных данных субъектов.
6.1.2. Обеспечивать хранение документации, содержащей персонифицированную информацию о застрахованных лицах и оказанной им медицинской помощи, по правилам организации государственного архивного дела.
6.1.3. После истечения срока, установленного для хранения копий документов на бумажном и электронном носителях, они подлежат уничтожению в соответствии с законодательством Российской Федерации на основании акта об их уничтожении, утверждаемого директором ТФОМС.
7. ПРАВА СУБЪЕКТА ПДН В ЦЕЛЯХ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В целях обеспечения защиты персональных данных, обрабатываемых ТФОМС, субъекты ПДн имеют право на:
7.1.1. Полную информацию об их персональных данных и методах их обработки, в частности субъект ПДн имеет право знать перечень обрабатываемых персональных данных, кто и в каких целях использует или использовал его персональные данные.
7.1.2. Свободный запрос и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта ПДн, за исключением случаев, предусмотренных Федеральным законом
от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
7.1.3. Определение представителей для защиты своих персональных данных.
7.1.4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона
от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
7.1.5. Требование об извещении ТФОМС всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.1.6. Обжалование в судебном порядке любых неправомерных действий или бездействии ТФОМС при обработке и защите его персональных данных.
8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ,
РЕГУЛИРУЮЩИХ ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ
ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА ПДН
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн привлекаются к дисциплинарной и материальной ответственности в порядке, установленном федеральными законами Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
8.2. Неправомерный отказ ТФОМС исключить или исправить персональные данные субъекта ПДн, а также любое иное нарушение прав субъекта ПДн на защиту персональных данных влечет возникновение у субъекта ПДн права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.