Нарвская, г.СПб, Нарвский пр., 18 Пн-Сб с 09:00 до 20:00
1. Общие положения
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников ООО “Клиника “Нарвская” (далее – Работодатель или Организация). Под работниками подразумеваются лица, заключившие трудовой договор с Работодателем.
1.2. Цель настоящего Положения – защита персональных данных работников Организации от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных», другие действующие нормативные правовые акты Российской Федерации.
1.4. Настоящее Положение и изменения к нему утверждаются руководителем Работодателя и вводятся приказом. Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
1.5. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
2. Понятие персональных данных
2.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.
2.2. Персональными данными, разрешенными субъектом персональных данных для распространения, являются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных».
2.3. К субъектам, персональные данные которых обрабатываются в Организации в соответствии с Положением, относятся:
• кандидаты для приема на работу в Организацию;
• работники Организации;
• бывшие работники Организации;
• члены семей работников Организации – в случаях, когда согласно законодательству сведения о них предоставляются работником;
• иные лица, персональные данные которых Организация обязано обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
3. Состав персональных данных
3.1. Состав персональных данных работника:
• фамилия, имя, отчество;
• пол, возраст;
• сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
• место жительства;
• семейное положение, наличие детей, состав семьи, родственные связи;
• факты биографии и предыдущая трудовая деятельность (в том числе место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение, сведения о заработной плате;
• паспортные данные;
• сведения о воинском учете;
• сведения о социальных льготах;
• специальность;
• занимаемая должность;
• размер заработной платы;
• наличие судимостей;
• номера телефонов;
• содержание трудового договора;
• подлинники и копии приказов по личному составу;
• личные дела, трудовые книжки и сведения о трудовой деятельности;
• основания к приказам по личному составу;
• дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;
• копии отчетов, направляемых в органы статистики;
• сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
• фотографии и иные сведения, относящиеся к персональным данным работника;
• принадлежность лица к конкретной нации, этнической группе, расе;
Из указанного списка Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.
3.2. Сведения, указанные в п. 3.1. настоящего Положения, и документы, их содержащие, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 50 лет срока хранения, если иное не определено законом.
3.3. Документами, содержащими персональные данные работников, являются:
• документы, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
• материалы по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
• подлинники и копии приказов (распоряжений) по кадрам;
• личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТДР);
• дела, содержащие материалы аттестаций работников;
• дела, содержащие материалы внутренних расследований;
• справочно-информационный банк данных по персоналу (картотеки, журналы);
• подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Работодателя, руководителям структурных подразделений;
• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
4. Обработка персональных данных работников
4.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. До начала обработки персональных данных работодатель обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) о своем намерении осуществлять их обработку.
4.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.
4.2.1. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона № 152-ФЗ от 27.07.2006 допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.
4.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
4.4. Обработка персональных данных работников работодателем возможна только с их согласия. Исключение составляют случаи, прямо предусмотренные законодательством РФ, в которых согласие субъекта персональных данных на обработку его персональных данных не требуется.
4.5. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Федерального закона № 152-ФЗ от 27.07.2006). Письменное согласие работника на их обработку должно включать в себя, в частности, сведения, указанные в п. п. 1-9 ч. 4 ст. 9 указанного Закона.
4.5.1. Если предоставление персональных данных и (или) получение работодателем согласия на их обработку являются обязательными, он должен разъяснить работнику юридические последствия отказа их предоставить и (или) дать согласие на обработку.
4.6. Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. Согласие оформляется в соответствии с требованиями к его содержанию, утвержденными Роскомнадзором.
4.6.1. Письменное согласие на обработку персональных данных, разрешенных для распространения, работник предоставляет работодателю лично либо в форме электронного документа, подписанного электронной подписью с использованием информационной системы Роскомнадзора.
4.6.2. Работодатель обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
4.7. Работник представляет в отдел кадров достоверные сведения о себе. Отдел кадров проверяет достоверность сведений. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
4.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:
4.8.1. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
4.8.2. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональные данные, полученные исключительно в результате их автоматизированной обработки или электронного получения.
4.8.3. Защита персональных данных работника от неправомерного их использования и утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Работодатель обязан взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, в частности, сообщать о компьютерных инцидентах, из-за которых произошла неправомерная передача (предоставление, распространение, доступ) персональных данных.
4.8.4. Работники и их представители должны быть ознакомлены под расписку с документами Работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
4.8.5. Заключаемый с работником договор не может содержать положения, которые ограничивают его права и свободы, устанавливают случаи обработки персональных данных несовершеннолетних (если иное не предусмотрено законодательством РФ), а также допускают в качестве условия заключения договора бездействие работника.
4.9. Работники обязаны:
4.9.1. Передавать Работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
4.9.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать Работодателю об изменении своих персональных данных
5. Передача персональных данных работников
5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
5.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.
5.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
5.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
5.1.4. Осуществлять передачу персональных данных работников в пределах ООО “Клиника Нарвская” в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под подпись.
5.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
5.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
5.2. Установленные работником запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
5.3. Персональные данные работников обрабатываются и хранятся в отделе кадров.
5.4. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
5.5. При получении персональных данных не от работника (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона № 152-ФЗ от 27.07.2006) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• установленные Федеральным законом № 152-ФЗ от 27.07.2006 права субъекта персональных данных;
• источник получения персональных данных.
6. Доступ к персональным данным работников
6.1. Право доступа к персональным данным работников имеют:
• руководитель Организации;
• работники отдела кадров;
• работники бухгалтерии;
• работники секретариата (информация о фактическом месте проживания и контактные телефоны работников);
• руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).
6.2. Работник, в частности, имеет право:
6.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.
6.2.2. Требовать от работодателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
6.2.3. Получать от работодателя сведения о наименовании и месте нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
6.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.2.5. Получать информацию о способах исполнения работодателем обязанностей, предусмотренных ст. 18.1 Федерального закона № 152-ФЗ от 27.07.2006.
6.2.6. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
6.2.7. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
6.3. Внешний доступ.
Работодатель вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных действующим законодательством Российской Федерации. Перед передачей персональных данных Работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.
Не требуется согласие работника на передачу персональных данных:
• третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
• в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
• в налоговые органы;
• в военные комиссариаты;
• по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства Работодателем;
• по мотивированному запросу органов прокуратуры;
• по мотивированному требованию правоохранительных органов и органов безопасности;
• по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
• по запросу суда;
• в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
• в случаях, связанных с исполнением работником должностных обязанностей;
• в кредитную организацию, обслуживающую платежные карты работников.
6.4. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
6.5. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника
7. Защита персональных данных работников
7.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
7.2. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
7.3. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Работодателя и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках.
7.4. Передача информации, содержащей сведения о персональных данных работников, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
7.5. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. Выдача ключей от шкафов и помещений осуществляется под подпись.
7.6. Доступ к персональной информации, содержащейся в информационных системах Организации, осуществляется по индивидуальным паролям.
7.7. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
7.8. Работодатель обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
7.9. В Организации проводятся внутренние расследования в следующих ситуациях:
• при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
• в иных случаях, предусмотренных законодательством в области персональных данных.
7.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
• за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
• соответствием указанных актов требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается руководителем.
7.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
7.10.3. По итогам внутренней проверки оформляется докладная записка на имя руководителя. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – инцидент).
7.11.1. В случае инцидента Организация в течение 24 часов уведомляет Роскомнадзор:
• об инциденте;
• его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
• принятых мерах по устранению последствий инцидента;
• представителе Организации, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора.
7.11.2. В течение 72 часов Организация обязано сделать следующее:
• уведомить Роскомнадзор о результатах внутреннего расследования;
• предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных.
7.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Организация уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
7.13. Организация уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
7.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Организация уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Организация уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
8. Порядок уничтожения персональных данных
8.1. Организация уничтожает (блокирует) персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
8.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
8.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
8.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Организацией либо если Организация не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
8.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Организацией. Кроме того, персональные данные уничтожаются в указанный срок, если Организация не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Организации, обрабатывающие персональные данные.
8.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом руководителя.
8.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 8.4, 8.5, 8.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора, а именно:
• актом об уничтожении персональных данных – если данные обрабатываются без использования средств автоматизации;
• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных – если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом руководителя.
8.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
8.8.5. Уничтожение персональных данных, не указанных в п. 6.8.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом руководителя.
9. Ответственность за нарушение норм регулирующих обработку персональных данных
9.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
9.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом № 152-ФЗ от 27.07.2006 подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.
