ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ ООО «Элос Медикал»
1. Назначение
1.1 Настоящее Положение о защите персональных данных (далее-Положение) определяет политику ООО «Элос Медикал» (далее Оператор) в области обработки персональных данных, основные принципы, порядок и условия обработки персональных данных, содержит сведения о реализуемых мерах по их защите, а также позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации в отношении:
-лица, получающего медицинскую помощь на основании договора на оказание платных медицинских услуг (далее Пациент);
-лица, представляющего интересы Пациента на основании закона, решения уполномоченного органа, судебного акта, доверенности и иных документов, дающих право гражданину представлять интересы Пациента в медицинской организации при получении платных медицинских услуг (далее Представитель), вместе далее по тексту настоящего Положения именуемых Субъект ПД или Субъекты ПД.
1.2. По всем вопросам, касающимся обработки персональных данных, субъекты персональных данных могут обратиться по телефону Оператора: 8(928)1905080 и на электронную почту Оператора по адресу: beautyline2010@mail.ru
2. Нормативные ссылки
|
Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами: |
|
|
Принята всенародным голосованием от 1.07.2020г. |
Конституция Российской Федерации |
|
Федеральный закон №152-ФЗ от 27.07.2006г. |
О персональных данных |
|
Федеральный закон №51-ФЗ от 30.11.1994г. |
Гражданский кодекс РФ Часть 1 |
|
Федеральный закон №14-ФЗ от 26.01.1996г. |
Гражданский кодекс РФ Часть 2 |
|
Федеральный закон №146-ФЗ от 26.11.2001г. |
Гражданский кодекс РФ Часть 3 |
|
Федеральный закон №230-ФЗ от 18.12.2006г. |
Гражданский кодекс РФ Часть 4 |
|
Федеральный закон №195-ФЗ от 30.12.2001г. |
Кодекс об административных правонарушениях РФ |
|
Федеральный закон №63-ФЗ от 13.06.1996г. |
Уголовный кодекс РФ |
|
Федеральный закон №149-ФЗ от 27.07.2006г. |
Об информации, информационных технологиях и о защите информации |
|
Закон РФ №2300-1 от 07.02.1993г. |
О защите прав потребителей |
|
Постановление Правительства РФ №687 от 15.09.2008г. |
Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации |
|
Постановление Правительства РФ №1119 от 01.11.2012г. |
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных |
|
Постановление Правительства РФ №211 от 21.03.2012г. |
Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» |
|
Основанием для обработки персональных данных являются: |
|
|
Федеральный закон №323-ФЗ от 21.11.2011г. |
Об основах здоровья граждан Российской Федерации |
|
Федеральный закон №149-ФЗ от 27.07.2006г. |
Об информации, информационных технологиях и о защите информации |
|
Федеральный закон №14-ФЗ от 08.02.1999г. |
Об обществах с ограниченной ответственностью |
|
Приказ Минздрава России №105 н от 12.11.2012г. |
Об утверждении Порядка дачи информированного добровольного согласия на медицинское вмешательство и отказа от медицинского вмешательства, формы информированного добровольного согласия на медицинское вмешательство и формы отказа от медицинского вмешательства. |
|
Постановление Правительства РФ №736 от 11.05.2023г. |
Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг |
|
Указ Президента РФ №188 от06.03.1997г. |
Об утверждении Перечня сведений конфиденциального характера |
|
Приказ Минздрава РФ от 30.12.2014г. №956н |
Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями и требованиях к содержанию и форме предоставления информации о деятельности медицинских организациях, размещаемой на официальных сайтах Министерства Здравоохранения Российской Федерации, органов государственной власти субъектов РФ, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет» |
|
Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 17.07.2020г. №ОП-П24-070-19433 |
Разъяснения Министерства цифрового развития, связи и массовых коммуникаций РФ о некоторых нормах Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» |
Основанием для обработки персональных данных могут являться и иные нормативные правовые акты, прямо в настоящем Положении не упомянутые, но предусматривающие нормы и требования, подлежащие соблюдению при обработке персональных данных.
3.Термины и определения
|
Термин |
Определения термина |
Источник |
|
Персональные данные (ПД) |
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу 9субъекту персональных данных) |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Обработка персональных данных |
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Персональные данные, разрешенные субъектом персональных данных для распространения |
Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Блокирование персональных данных |
Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Информационная система персональных данных (ПД) |
Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Конфиденциальность персональных данных |
Обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Персональные данные, сделанные общедоступными субъектом персональных данных |
Доступ неограниченного круга лиц, к которым предоставлен самим субъектом персональных данных либо по его просьбе |
Постановление Правительства РФ от 01.11.2012 №1119 |
|
Предоставление персональных данных |
Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Распространение персональных данных |
Действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Обезличивание персональных данных |
Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных |
Федеральный закон от 27.07.2006 №152-ФЗ |
|
Оператор |
Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными |
Постановление Правительства РФ от 01.11.2012 №1119 |
|
Угрозы безопасности персональных данных |
Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных |
Постановление Правительства РФ от 01.11.2012 №1119 |
|
Уничтожение персональных данных |
Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и в результате которых уничтожаются материальные носители персональных данных |
Федеральный закон от 27.07.2006 №152-ФЗ |
4. Требования, предъявляемые Оператором к обеспечению режима конфиденциальности и защиты персональных данных
4.1. Положение является обязательным для исполнения всеми работниками Оператора, имеющими доступ к персональным данным, и действует в отношении всех персональных данных, которые Оператор может получить от Субъекта персональных данных.
4.2. Положение подлежит обязательному опубликованию на официальном сайте ООО «Элос Медикал» www.beautyline-rostov.ru и должно быть размещено на информационном стенде в медицинской организации.
4.3. Ознакомление Субъекта ПД с настоящим Положением и дача согласия на обработку и/или распространение ПД осуществляется в следующем порядке:
-путем собственноручного подписания Согласия на обработку/распространение персональных данных по форме, установленной в мед.организации;
-путем проставления «галочки» (нажатия кнопки «согласен», «принимаю» и пр.) в соответствующем окне, расположенном на официальном сайте Оператора, указанном в п.4.2. настоящего Положения, при использовании сервиса онлайн-записи, онлайн-чата, запроса на обратную связь;
ВАЖНО: подпись Субъекта ПД в форме Согласия на обработку ПД, или онлайн-запись, или начало диалога в онлайн-чате, или заполнение формы обратной связи на официальном сайте мед.организации, или вход посетителя в помещение Оператора означает ознакомление Субъекта ПД с настоящим Положением и условиями обработки персональных данных Оператором.
5. Принципы обработки персональных данных
-Обработка ПД осуществляется на законной и справедливой основе;
-Обработка ПД ограничивается достижением конкретных, заранее определенных законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД;
-Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
-Обработке подлежат только ПД, которые отвечают целям их обработки;
-Не допускается избыточность обрабатываемых ПД по отношению к заявленным целям их обработки;
-Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
6. Цель обработки персональных данных
Целью обработки ПД является оказание населению платных медицинских услуг в соответствии с Федеральным законом от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
7. Обработка персональных данных
7.1.Перечень персональных данных, обрабатываемых Оператором:
-фамилия, имя, отчество;
-дата рождения;
-номера телефонов;
-адреса эл.почты;
-номер СНИЛС;
-номер ИНН;
-реквизиты документа, удостоверяющего личность;
-реквизиты документа, дающего право на предоставление интересов Пациента;
-адреса регистрации и места пребывания;
-данные о состоянии здоровья, имеющихся заболеваниях и назначенном лечении;
-изображения (фотографии) «до» и «после» медицинских вмешательств;
-аудиозапись голоса пациента;
-изображения с камер видеонаблюдения, осуществляющих запись голоса и изображения в целях безопасности;
-файла cookie.
7.2. Документы, содержащие персональные данные (создаются в процессе):
-заполнение анкеты;
-подписание договора на оказание платных медицинских услуг;
-заполнение врачом медицинской карты амбулаторного больного;
-создание иных документов в процессе получения медицинских услуг;
-заполнение форм обратной связи и форм сервиса онлайн записи/онлайн чата на официальном сайте Оператора.
7.3. Хранение персональных данных
-Хранение персональных данных осуществляется на бумажных носителях в медицинских картах, которые хранятся в запираемом шкафу-картотеке. В электронном виде ПД только обрабатываются, но не хранятся в сервисе «Клиентикс» в хостинговом пространстве, Россия.
-Персональные данные пациентов и посетителей Оператора, полученные при помощи камер видеонаблюдения хранятся на сервере Оператора в течение 14 дней.
-Документы, содержащие ПД, подлежащие архивации, сдаются в архив в соответствии с установленным законом требованиями.
7.4. Обязанности Работника
Работник Оператора, имеющий доступ к ПД Субъекта ПД в связи с исполнением своих трудовых обязанностей, должен:
-принимать необходимые организационные и технические меры для защиты персональной информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц;
-обеспечить отсутствие на своем рабочем столе каких-либо документов, содержащих ПД при отсутствии Работника на своем рабочем месте.
8. Права и обязанности Субъекта персональных данных
Субъект ПД обязан предоставить Оператору достоверные сведения о себе.
Субъект ПД имеет право:
-знать о правовых основаниях и целях обработки ПД;
-знать о способах обработки ПД;
-узнавать сведения о лицах, которые имеют доступ к ПД или о лицах, которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
-знать сроки обработки ПД;
-направлять Оператору запросы и обращения, обжаловать действия или бездействия Оператора;
-требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
-требовать предоставления перечня своих ПД, обрабатываемых Оператором и источник их получения;
-требовать исключения или исправления неверных или неполных ПД;
-определять своих представителей для защиты своих ПД;
-требовать сохранения и защиты своей личности и семейной тайны;
-требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;
-в любой момент отказаться от нахождения в помещении Оператора.
9. Обязанности Оператора
Оператор при обработке ПД обязан:
-назначить ответственных лиц за организацию обработки и обеспечение безопасности ПД, а также определить круг лиц, имеющих доступ к ПД в силу исполнения своих должностных обязанностей;
-при сборе ПД предоставить Субъекту ПД полную информацию об их обработке;
-в случаях, если ПД были получены не от Субъекта ПД, уведомить Субъекта о получении его ПД;
-при отказе Субъекта от предоставления ПД и/или согласия на их обработку, разъяснить последствия такого отказа;
-опубликовать или иным способом обеспечить неограниченный доступ к настоящему Положению, определяющему политику Оператора в отношении защиты ПД при их обработке;
-принимать необходимые правовые, организационные, технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД;
-давать ответы на запросы и обращения Субъектов ПД, их представителей и/или уполномоченного органа по защите прав Субъектов ПД;
-предоставлять ответ в течение десяти рабочих дней с момента получения Оператором соответствующего запроса. Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое Оператор должен направить в адрес лица, направившего запрос. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос), если в нем не указано иное;
-не передавать ПД субъектов третьим лицам без их согласия, за исключением случаев, предусмотренных Федеральными законами РФ;
-в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД;
-в срок, не превышающий 24 часа с момента происшествия уведомить Роскомнадзор о компрометации ПД;
-в течение 72 часов с момента происшествия провести внутреннее расследование причин компрометации ПД и сообщить в Роскомнадзор о его результатах, а также о виновниках (при наличии);
-на сайте Роскомнадзора доступны специальные электронные формы подачи уведомлений (https://pd.rkn.gov.ru/incidents/form/).
10. Порядок, условия и сроки обработки персональных данных
Доступ лиц не уполномоченных производить обработку ПД к документам на бумажном носителе и электронным базам данных, содержащих ПД, запрещен.
Исходя из положений п.2 ст.6 ФЗ №152-ФЗ «о персональных данных», обработка ПД осуществляется только с согласия Субъекта ПД. Все ПД о Субъекте ПД Оператор может и должен получать от него самого либо его законного (уполномоченного) представителя.
Оператор не имеет права получать и обрабатывать ПД, содержащие сведения о политических, религиозных и иных убеждениях Субъекта ПД, его частной жизни, равно как и ПД о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
Срок обработки и хранения ПД лиц, получающих медицинскую помощь по договору на оказание платных медицинских услуг составляет 25 лет. Указанный срок установлен нормативными правовыми актами Российской Федерации, регулирующими условия и сроки хранения медицинской документации.
11. Внутренний доступ к персональным данным и их защита
Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только завладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа.
Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и работниками Оператора.
-Право доступа к ПД Субъектов имеют только те Работники Оператора, которым в связи с выполнением своей трудовой функции необходимо иметь доступ к ПД субъектов.
-Перечень должностей, имеющих доступ к ПД Субъектов ПД, утверждается Приказом по общей деятельности Оператора.
-В случае внесения изменений в Перечень должностей, имеющих доступ к ПД издается новый Приказ.
-Работники Оператора, имеющие доступ к ПД субъектов, имеют право получать только те ПД, которые необходимы им для выполнения конкретных трудовых функций. Допуск к ПД Субъекта ПД других работников Оператора, не имеющих надлежащим образом оформленного доступа, запрещен.
11.1. Процедура оформления доступа к персональным данным субъекта:
-ознакомление Работника Оператора, получающего доступ к ПД, под подпись с настоящим Положением, а также с иными локальными нормативными актами (приказы, распоряжения, инструкции и т.п.), регулирующими политику безопасности Оператора при обработке и защите ПД;
-истребование от третьих лиц, получающих доступ к ПД, письменного обязательства о соблюдении конфиденциальности ПД субъектов и соблюдении правил их обработки;
-свободный доступ Субъекта ПД к своим ПД, включая право на получение копий любой записи (за исключением случаев, предусмотренных федеральным законом), содержащей его ПД, имеет право вносить предложения по внесению изменений в свои ПД в случае обнаружения в них неточностей.
11.2. Обеспечение внутренней защиты
Для обеспечения внутренней защиты ПД субъектов, чьи ПД обрабатываются Оператором, необходимо соблюдение следующих мер:
-ограничение и регламентация состава Работников Оператора, функциональные обязанности которых требуют владения конфиденциальной информацией;
-строгое избирательное и обоснованное распределение документов и информации между Работниками Оператора;
-рациональное размещение рабочих мест работников, при котором исключалась бы бесконтрольное использование защищаемой информации;
-знание Работниками требований организационных документов Оператора, касающихся защиты информации и сохранению всех видов тайн;
-наличие необходимых условий в помещениях Оператора для работы с конфиденциальными документами и базами данных;
-определение и регламентация состава Работников Оператора, имеющих право доступа к ПД;
-организация порядка уничтожения информации;
-своевременное выявление нарушений требований разрешительной системы доступа к ПД;
-воспитательная и разъяснительная работа с Работниками Оператора по предупреждению ситуаций, связанных с угрозой утраты ПД при работе с документами, содержащими ПД;
-ограничение Оператором числа лиц, имеющих доступ к документам, содержащим ПД субъектов, которые собираются на электронных носителях, обеспечивается политикой конфиденциальности и разграничением доступов к информации;
-разделение документированной информации, в зависимости от содержащихся в ней сведений на соответствующие группы, на которые распространяется правовая охрана и в зависимости от категории, на документах должен быть проставлен соответствующий гриф ограничения доступа.
12. Доступ третьих лиц к персональным данным и их защита от внешних факторов
12.1. Доступ уполномоченных органов к персональным данным.
Предоставление ПД уполномоченным органам возможно исключительно в целях реализации ими норм Федеральных законов:
-на основании надлежащим образом оформленного официального письменного запроса;
-на основании документации, направленной Оператором, в соответствии с требованиями законодательства РФ в целях проведения профилактических мероприятий, выявления и регистрации в медицинской организации случаев возникновения инфекционных и иных болезней, связанных с оказанием медицинской помощи.
Федеральные и региональные органы исполнительной власти имеют право на получение доступа к ПД Субъектов ПД только в сфере своей компетенции в соответствии с законодательством Российской Федерации.
12.2. Направление персональных данных по заявлению Субъекта ПД
Организации, в которые субъект ПД может осуществлять перечисление денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, иные учреждения), могут получить доступ к ПД субъекта только при наличии его письменного согласия.
Документы, содержащие ПД Субъекта, по его заявлению могут быть отправлены через организацию почтовой связи при условии соблюдения требований законодательства РФ, соблюдение которых необходимо при такой отправке.
Оператор не предоставляет и не раскрывает сведения, содержащие ПД Субъектов ПД, третье стороне без письменного согласия самого субъекта ПД, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
12.3. Передача третьим лицам и распространение персональных данных.
Обработка ПД, разрешенных Субъектом ПД для распространения может осуществляться на основании соответствующего согласия субъекта ПД.
Согласие должно содержать перечень ПД по каждой категории ПД, указанной в согласии на обработку ПД, разрешенных Субъектом ПД для распространения.
В согласии на обработку ПД, разрешенных Субъектом ПД для распространения, субъект ПД вправе установить запреты на передачу (кроме предоставления доступа) этих ПД Оператором неограниченному кругу лиц, а также запреты на обработку ПД или условия обработки (кроме получения доступа) этих ПД неограниченным кругом лиц. Отказ Оператором в установлении субъектом ПД запретов и условий, предусмотренных ст.10.1 Федерального закона «О персональных данных», не допускается.
Передача (распространение, предоставление, доступ) ПД, разрешенных Субъектом ПД для распространения, должна быть прекращена в любое время по требованию субъекта ПД. Данное требование должно включать в себя фамилию, имя, отчество, контактную информацию субъекта ПД, а также перечень ПД, обработка которых подлежит прекращению.
Действие согласия на обработку ПД, разрешенных субъектом ПД для распространения, прекращается с момента получения Оператором соответствующего требования.
12.4. Защита конфиденциальной информации
Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ или завладеть информацией.
Под посторонним лицом понимается любое лицо, не имеющее права доступа к ПД субъектов, оформленного в установленном настоящим Положением порядке. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов структурных подразделений, в которых осуществляется обработка ПД.
Для обеспечения внешней защиты ПД реализовано разграничение прав доступа к информации, а также разработаны и внедрены следующие меры безопасности:
-действует порядок приема, учета и контроля деятельности посетителей;
-действует пропускной режим;
-действует защита электронной системы хранения и сбора информации путем разграничения доступов и выдачи паролей по категории доступа;
-имеются технические средства охраны, пожарной сигнализации;
-выполняются в полном объеме, установленные законом, требования к защите информации при заполнении медицинской документации;
-при необходимости и наличии такой возможности ПД обезличиваются;
-в целях обеспечения безопасности в помещении ведется видеонаблюдение;
Защита ПД от неправомерного их использования или утраты обеспечивается за счет средств Оператора в порядке, установленном законодательством РФ.
13. Ответственность Оператора за разглашение конфиденциальной информации.
-лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД Субъектов ПД, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами;
-Работник Оператора, допустивший разглашение ПД Субъекта ПД (передача их посторонним лицам, в том числе, Работникам Оператора, не имеющим к ним доступ), их публичное раскрытие, утрату документов и иных носителей, содержащих ПД Субъекта ПД, а также совершивший иные нарушения обязанностей по защите и обработке ПД, установленных настоящим Положением, организационными документами Оператора (приказами, распоряжениями, процедурами и пр.), должен быть привлечен к дисциплинарной ответственности. Данное нарушение приравнивается к грубому нарушению Работником своих трудовых обязанностей.
14. Порядок блокирования и/или уничтожения (обезличивания) персональных данных
14.1. Блокирование (временное прекращение обработки ПД) персональных данных
-в случае выявления неточных ПД, а также в случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекта ПД или его представителей, либо уполномоченного органа по защите прав субъектов ПД Оператор осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, не позднее трех календарных дней с момента такого обращения или получения указанного запроса на период проверки, прекращает неправомерную обработку ПД, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц;
-в случае подтверждения факта неточности или неправомерности обработки ПД Оператор на основании сведений, представленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов уточняет ПД либо обеспечивает их уточнение в течение семи рабочих дней со представления таких сведений и снимает блокирование ПД;
-уточнение ПД при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПД;
-в случае если обеспечить точность и правомерность обработки ПД невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неточной и неправомерной обработки ПД, уничтожает такие ПД. Об устранении допущенных нарушений или об уничтожении ПД Оператор уведомляет Субъект ПД или его представителя, а в случае, если обращение Субъекта ПД или его представителя либо запрос уполномоченного органа по защите прав субъектов ПД были направлены уполномоченным органом по защите прав субъектов ПД, также указанный орган.
14.2. Уничтожение (обезличивание) персональных данных
Уничтожение документов, содержащих ПД, должно производиться в соответствии с общим порядком уничтожения документов:
-в случае отзыва Субъектом ПД согласия на обработку его ПД, в срок, не превышающий 30 (тридцать) календарных дней с даты поступления указанного требования, Оператор прекращает и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожает эти ПД;
-в случае отсутствия возможности уничтожения ПД в течение указанного срока, Оператор блокирует такие ПД и обеспечивает уничтожение ПД в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами;
-в случаях, отдельно предусмотренных действующим федеральным законодательством, после достижения цели обработки или после получения от Субъекта ПД отзыва своего согласия на обработку ПД, документы, содержащие ПД Субъекта ПД могут быть обезличены и помещены в архив;
-в случае отзыва Субъектом ПД согласия на обработку ПД Оператор вправе продолжить обработку ПД без согласия Субъекта ПД при наличии оснований, указанных в п.2-11 части 1 ст.6, части 2 ст. 10 и части 2 ст.11 Федерального закона «О персональных данных (п.2 ст.9 Закона №152-ФЗ) за исключением передачи (распространения, предоставления доступа) ПД, которая должна быть прекращена немедленно;
-уничтожение или обезличивание ПД, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПД и информации, не являющейся ПД.
14.3. Ответственные лица
Ответственным за уничтожение ПД является лицо, назначенное Приказом руководителя Оператора за организацию обработки и обеспечение безопасности ПД.
При наступлении любого из событий, повлекших необходимость уничтожения ПД, лицо, ответственное за организацию обработки и обеспечение безопасности ПД обязано:
-принять меры к уничтожению ПД;
-оформить соответствующий Акт об уничтожении ПД (и/или материальных носителей ПД) и представить Акт об уничтожении ПД 9и/или материальных носителей ПД) на утверждение руководителю Оператора;
-в случае необходимости, уведомить об уничтожении ПД Субъекта ПД и/или уполномоченный орган.