ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ - МедИнтегро
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ

ПЕРСОНАЛЬНЫХ  ДАННЫХ

В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ

«МЕДИНТЕГРО»

 

 

Термины и определения:

 

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Врачебная тайна — это не подлежащие разглашению сведения о пациенте, факте обращения за медицинской помощью, диагнозе и иные сведения о состоянии здоровья и частной жизни, полученные в результате обследования и лечения (ст. 13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации»).

Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информация ограниченного доступа — информация, доступ к которой ограничен федеральными законами.

Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Пациент — физическое лицо, обратившееся за медицинской помощью, получающее медицинскую помощь и связанные с ней услуги независимо от наличия или отсутствия у него заболевания.

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в соответствии с ФЗ «О защите персональных данных».

Персональные данные работников Учреждения — информация, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника.

Персональные данные пациентов Учреждения — информация, которая необходима Учреждению для оказания медицинской помощи пациенту и связанных с ней услуг.

Работник — физическое лицо, состоящее в трудовых отношениях с Учреждением.

Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Специальные категории персональных данных — сведения о субъекте персональных данных, касающиеся его национальной принадлежности, состояния здоровья, интимной жизни.

Субъект персональных данных — физическое лицо, которому принадлежат персональные данные.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

 

  1. Общие положения

1.1 Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2 Настоящее Положение об обработке и защите персональных данных (далее — Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников и граждан в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

1.3 Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативно-правовыми актами, действующими на территории Российской Федерации.

 

  1. Состав персональных данных

2.1 Состав персональных данных

2.1.1 К персональным данным, обрабатываемым в Учреждении, относятся:

— персональные данные работников Учреждения;

— персональные данные уволенных работников;

— персональные данные кандидатов на вакантные должности;

— персональные данные детей и супругов сотрудников Учреждения;

— персональные данные сотрудников, вышедших на пенсию;

— персональные данные пациентов Учреждения.

2.2 Персональные данные работников Учреждения

2.2.1 Категория, объем и состав персональных данных работников Учреждения

Состав ПДн : пол, фамилия, имя отчество работника, дата рождения, гражданство, ИНН, номер страхового свидетельства государственного пенсионного страхования, сведения об образовании, стаж работы, семейное положение, состав семьи (ФИО, год рождения степень родства на детей и супругов), паспортные данные, номер телефона, сведения о воинском учете, сведения о приеме на работу и переводах на другую работу, сведения о наличии социальных льгот, реквизиты полиса ОМС, данные свидетельств о регистрации брака и рождении детей, другая информация, необходимая Оператору в связи с трудовыми отношениями, кроме специальных категорий персональных данных.

2.2.2 Цель и правовое основание обработки персональных данных

Обработка персональных данных работников Учреждения ведется в соответствии с Трудовым кодексом РФ и на основании заключенного трудового договора, в целях обучения и продвижения по службе, обеспечения личной безопасности работников,контроля количества и качества выполняемой работы и обеспечения сохранности имущества, а также в целях соблюдения пенсионных прав работников.

Сроки хранения персональных данных работников Учреждения, обрабатываемых в бумажном виде, определяются Трудовым Кодексом РФ, Федеральным законом от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации».

2.3 Персональные данные пациентов Учреждения

2.3.1 Категория, объем и состав персональных данных пациентов Учреждения

Объем обрабатываемых персональных данных: одновременно обрабатываются менее 100 субъектов персональных данных.

Состав: ФИО, пол, дата рождения пациента, данные о месте работы, данные об образовании, специальность, национальность, семейное положение, телефон, гражданство, СНИЛС. адрес проживания, серия и номер полиса обязательного медицинского страхования, согласие на обработку данных, данные документа, удостоверяющего личность, если пациент является несовершеннолетним, то для него является обязательным заполнение данных о родителе или представителе: статус, (отсутствует, родитель, опекун, попечитель), фамилия, имя, отчество представителя, данные о состоянии здоровья и назначенном лечении, количество оказанных услуг.

2.3.2 Цель и правовое основание обработки персональных данных

Обработка персональных данных пациентов ведется в целях оказания медицинской помощи на основанииПостановления  Правительства Российской Федерации от 4 октября 2012 г. № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»,  Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», заключенного договора о предоставлении платных медицинских услуг, на основании полиса ДМС.

2.4 Сроки обработки и хранения персональных данных

В электронном виде обработка персональных данных ведется до достижения целей обработки. В случае достижения цели обработки, персональные данные подлежат уничтожению. Не подлежат уничтожению те данные, которые работодатель обязан хранить в соответствии с законодательством РФ.

Сроки хранения персональных данных пациентов Учреждения, обрабатываемых в бумажном виде, определяются Письмом Минздрава России от 07.12.2015 N 13-2/1538 «О сроках хранения медицинской документации».

 

  1. Обработка персональных данных

3.1 Общий порядок обработки

3.1.1 Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.2 При принятии решений, затрагивающих интересы субъекта персональных данных, оператор имеет право основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.

3.1.3 Обработка персональных данных в структурных подразделениях Учреждения ведется работниками в объеме, необходимом для выполнения должностных обязанностей.

3.1.4 Главным врачом Учреждения определяются работники, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения своих служебных (трудовых) обязанностей.

3.1.5 Обработка персональных данных ведется работниками на рабочих местах, выделенных для исполнения ими должностных обязанностей.

3.1.6 Обработка специальных категорий персональных данных пациентов должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

3.1.7 При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы, а так же на носителях, которые не были должным образом учтены в журнале учета съемных носителей.

3.2 Получение (сбор) персональных данных

3.2.1 Сбор персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, профилактической и медицинской помощи пациентам, реализации и организации лекарственной помощи пациентам, организации медицинской реабилитации.

3.2.2 Запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

3.2.3 Оператор не имеет права получать и обрабатывать персональные данные работников о его национальной принадлежности, политических, религиозных и иных убеждениях, а также интимной жизни и состояния здоровья без его письменного согласия.

3.2.4 Работники Учреждения должны быть ознакомлены под расписку с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.3 Хранение персональных данных

3.3.1 Хранение персональных данных субъектов осуществляется отделом кадров, бухгалтерией, медицинским персоналом и административно-управленческим персоналом на бумажных и электронных носителях с ограниченным доступом.

3.3.2 Личные дела, содержащие персональные данные работников, должны вестись в соответствии с требованиями действующих инструкций. Личные дела хранятся в специально отведенной секции шкафа (сейфа), обеспечивающего защиту от несанкционированного доступа.

3.3.3 Амбулаторные карты и иные медицинские документы, содержащие персональные данные пациентов, ведутся в соответствии с требованиями действующих инструкций и других локальных документов в Учреждении. Использование этих документов работниками Учреждения должно исключать бесконтрольное их распространение и ознакомление с ними лиц, не допущенных к сведениям, содержащихся в этих документах.

Амбулаторные карты хранятся в закрытом отдельном помещении Учреждения, обеспечивающем защиту от несанкционированного доступа.

3.3.4 Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа от копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ от 15.09.2008 №687.

3.4 Уничтожение персональных данных

3.4.1 Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4.2 Уничтожение или обезличивание части персональных данных, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.4.3 При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию.

3.5 Передача персональных данных

3.5.1 Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные сотрудников или пациентов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

3.5.2 По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:

— в судебные органы в связи с осуществлением правосудия;

— в органы государственной безопасности.

— в органы прокуратуры;

— в органы полиции, в следственные органы;

— в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20  Федерального закона №323-ФЗ;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

3.1) в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;

4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20  Федерального закона №323-ФЗ, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54  Федерального закона №323-ФЗ, для информирования одного из его родителей или иного законного представителя;

5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти и федеральных государственных органов, в которых федеральным закономпредусмотрена военная и приравненная к ней служба;

7) в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность, и в соответствии с частью 6 статьи 34.1 Федерального закона от 4 декабря 2007 года N 329-ФЗ «О физической культуре и спорте в Российской Федерации» несчастного случая с лицом, проходящим спортивную подготовку и не состоящимв трудовых отношениях с физкультурно-спортивной организацией, не осуществляющей спортивной подготовки и являющейся заказчиком услуг по спортивной подготовке, во время прохождения таким лицом спортивной подготовки в организации, осуществляющей спортивную подготовку, в том числе во время его участия в спортивных соревнованиях, предусмотренных реализуемыми программами спортивной подготовки;

8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

9) в целях осуществления учета и контроля в системе обязательного социального страхования;

10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.

3.5.3. Внутри Учреждения без письменного согласия субъекта персональных данных разрешается передача персональных данных в структурные подразделения, общественные организации и комиссии, созданные для защиты прав работников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, необходимые им для выполнения своих функций.

3.5.4 Необходимо довести до сведения лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

3.5.5 Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности.

3.5.6 Доступ к персональным данным разрешен исключительно тем лицам, которым они необходимы для выполнения своих служебных (трудовых) обязанностей, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения ими конкретных функций.

3.5.7 Передача персональных данных представителям субъектов персональных данных производится в порядке, установленном существующим законодательством. Объем передаваемой информации должен быть ограничен минимумом, необходимыми для достижения указанных представителем целей получения персональных данных.

3.5.8 Запросы на получение персональных данных, а также факты предоставления персональных данных по этим запросам должны регистрироваться в журнале обращений.

3.5.9 Передачу персональных данных субъектов по общедоступным каналам связи и/или по сетям международного информационного обмена разрешается производить только при использовании средств криптографической защиты информации.

3.6 Общедоступные персональные данные

3.6.1 Персональные данные в Учреждении могут быть ограниченного доступа и общедоступные.

3.6.2 В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги).

3.6.3 В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

3.6.4 Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных.

3.6.5 К персональным данным ограниченного доступа относятся персональные данные, утвержденные главным врачом в перечне персональных данных, подлежащих защите в информационных системах персональных данных Учреждения.

3.6.6 Обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом производится в объеме, согласованном с субъектом персональных данных, и с его письменного согласия.

3.7 Обязанности лиц, допущенных к обработке персональных данных

3.7.1 Каждый работник, принимаемый на работу в Учреждение, должен быть ознакомлен под роспись с обязательством о неразглашении информации ограниченного доступа, ставшими ему известными в ходе выполнения своих служебных обязанностей.

3.7.2 Работники, допущенные к обработке персональных данных, обязаны:

— знать и выполнять требования настоящего Положения, а также требования Федерального закона «О персональных данных»;

— не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством и другими нормативными документами;

— знакомиться только с теми персональными данными, к которым предоставлен официальный доступ;

— не разглашать известные им сведения о персональных данных, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним; предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

— выполнять требования по защите полученных персональных данных субъекта;

— соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;

— соблюдать инструкции, положения касающиеся вопроса безопасности персональных данных;

— предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.

 

  1. Порядок обработки персональных данных без использования средств автоматизации

4.1 На бумажных носителях:

4.1.1 Обработка персональных данных без использования средств автоматизации (далее — не автоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях.

4.1.2 При не автоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

4.1.3 При не автоматизированной обработке персональных данных на бумажных носителях:

не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

— персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

— документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

— дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

4.1.4 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели не автоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

4.2 На электронных носителях:

4.2.1 Не автоматизированная обработка персональных данных в электронном виде осуществляется на электронных носителях информации.

4.2.3 При несовместимости целей не автоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

 

  1. Права и обязанности субъектов персональных данных и оператора

5.1 В целях обеспечения защиты персональных данных субъекты имеют право:

— получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

— осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законодательством;

— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства; при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

— дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

— требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

— обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

5.2 Для защиты персональных данных субъектов оператор обязан:

— за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

— ознакомить работников или его представителей с настоящим положением и его правами в области защиты персональных данных под расписку;

— позапросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;

— осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

— предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;

— обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

— по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

5.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

 

  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1 Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

6.2 Работники несут ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.

6.3 Лица, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.

6.4 Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.

6.5 Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

6.6 Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.