1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее положение разработано в соответствии с законодательством Российской Федерации, в том числе Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 06.04.2011 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативно-правовыми актами (далее по тексту – законодательство) и устанавливает порядок работы с персональными данными (далее – ПДн) пациентов (далее – субъектов), обрабатываемыми в ООО «Центр ПРИЗ» (далее по тексту – Общество).

1.2. Принятие настоящего Положения преследует следующие цели:
- защита ПДн субъектов от несанкционированного доступа и разглашения;
- обеспечение защиты прав и свобод субъектов при обработке их ПДн в Обществе;
- предотвращение и выявление нарушений законодательства о ПДн, устранение
последствий выявленных нарушений;
- установление мер ответственности работников, имеющих допуск и доступ к ПДн
субъектов, за невыполнение/нарушение требований законодательства, регулирующего
обработку ПДн.

1.3. Все работники Общества, допущенные к обработке ПДн субъектов, должны быть ознакомлены под роспись с данным Положением и изменениями к нему.

Основные понятия, используемые в настоящем Положении

Персональные данные субъектов – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту ПДн);
Оператор – государственный орган, муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие
обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих
обработке, действия (операции), совершаемые с ПДн;
Обработка персональных данных – любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение ПДн;
Автоматизированная обработка персональных данных – обработка ПДн с помощью
средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие ПДн
неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие ПДн
определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки ПДн (за
исключением случаев, если обработка необходима для уточнения ПДн);
Уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в
результате которых уничтожаются материальные носители ПДн;
Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
ПДн конкретному субъекту ПДн;
Информационная система персональных данных (ИСПДн) – совокупность
содержащихся в базах данных ПДн и обеспечивающих их обработку информационных
технологий, и технических средств;
Трансграничная передача персональных данных – передача ПДн на территорию
иностранного государства органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу;
Информация – сведения (сообщения, данные) независимо от формы их представления;
Документированная информация – зафиксированная на материальном носителе путем
документирования информация с реквизитами, позволяющими определить такую информацию
или в установленных законодательством Российской Федерации случаях ее материальный
носитель.

2. ПОНЯТИЕ И СОСТАВ ПДн СУБЪЕКТА

Полный состав ПДн субъектов, обрабатываемых в Обществе, указан в «Перечне
персональных данных, обрабатываемых в ООО «Центр ПРИЗ»
(далее по тексту - Перечень ПДн), утвержденном директором Общества.
2.1. Информация, содержащая ПДн субъектов, необходима Обществу в целях:

• оказания услуг в соответствии с видами деятельности Общества;
• оформления и выполнения договорных, преддоговорных отношений;
• установления медицинского диагноза и оказания медицинских услуг;
• защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
• проведение статистического учета;
• выполнения требований законодательства Российской Федерации, регулирующего деятельность юридических лиц;
• защиты законных прав и интересов Общества;
• получения информации об услугах и продуктах и их продвижения.

2.2. Состав и объем ПДн субъектов, необходимый Обществу, устанавливается в
зависимости от категории субъекта и обрабатывается в соответствии с целями обработки и
положениями соответствующего законодательства.

3. ПОРЯДОК ОБРАБОТКИ ПДн СУБЪЕКТОВ

3.1. Обработка ПДн субъектов должна осуществляться с соблюдением принципов и правил,
предусмотренных законодательством.
3.2. Организацию и контроль за порядком обработки и защитой ПДн субъектов в
структурных подразделениях Общества, работники которых обрабатывают ПДн, осуществляют
их непосредственные руководители.
3.3. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн,
если иное не предусмотрено законодательством, на основании заключаемого с этим лицом
договора (контракта). При этом лицо, осуществляющее обработку ПДн по поручению
Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные
законодательством.
3.4. Уничтожение персональных данных (носителей, содержащих ПДн), производится в
соответствии с требованиями законодательства.

Помещения, в которых обрабатываются ПДн субъектов

3.5. ПДн субъектов обрабатываются в Общества по направлениям деятельности. В целях
выполнения своих трудовых обязанностей ПДн субъектов могут обрабатываться как на
бумажных носителях, так и в электронном виде.
3.6. Помещения, в которых ведется обработка ПДн субъектов, их оборудование должны
исключать возможность бесконтрольного проникновения в них посторонних лиц и
гарантировать сохранность находящихся в них носителей, содержащих ПДн.
3.7. Помещения, в которых обрабатываются ПДн субъектов, при отсутствии в них
работников должны быть заперты.

Особенности обработки ПДн без использования средств автоматизации

3.8. ПДн при их обработке, осуществляемой без использования средств автоматизации,
должны обособляться от иной информации, в частности путем фиксации их на отдельных
материальных носителях ПДн (далее - материальные носители), в специальных разделах или на
полях форм (бланков).
3.9. При фиксации ПДн на материальных носителях не допускается фиксация на одном
материальном носителе ПДн, цели обработки которых, заведомо не совместимы. Для обработки
различных категорий ПДн, осуществляемой без использования средств автоматизации, для
каждой категории ПДн должен использоваться отдельный материальный носитель.
3.10. При несовместимости целей обработки ПДн, зафиксированных на одном
материальном носителе, если материальный носитель не позволяет осуществлять обработку
ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты
меры по обеспечению раздельной обработки ПДн, в частности:
а) при необходимости использования или распространения определенных ПДн отдельно
от находящихся на том же материальном носителе других ПДн осуществляется копирование
ПДн, подлежащих распространению или использованию, способом, исключающим
одновременное копирование ПДн, не подлежащих распространению и использованию, и
используется (распространяется) копия ПДн;
б) при необходимости уничтожения или блокирования части ПДн уничтожается или
блокируется материальный носитель с предварительным копированием сведений, не
подлежащих уничтожению или блокированию, способом, исключающим одновременное
копирование ПДн, подлежащих уничтожению или блокированию.
3.11. Уничтожение или обезличивание части ПДн, если это допускается материальным
носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с
сохранением возможности обработки иных данных, зафиксированных на материальном
носителе (удаление, вымарывание). В таком случае составляется акт, утверждаемый
директором Общества.
3.12. Уточнение ПДн при осуществлении их обработки без использования средств
автоматизации производится путем обновления или изменения данных на материальном
носителе, а если это не допускается техническими особенностями материального носителя, -
путем фиксации на том же материальном носителе сведений о вносимых в них изменениях
либо путем изготовления нового материального носителя с уточненными ПДн.
3.13. При хранении материальных носителей должны соблюдаться условия,
обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также
перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.

3.14. При работе с материальными носителями, содержащими ПДн, работники Общества
должны исключить несанкционированный к ним доступ, соблюдая следующие правила:

• при угрозе несанкционированного доступа к материальным носителям, содержащим ПДн, работник обязан исключить возможность визуального съема информации с них и убрать носитель(и) в запираемый шкаф (сейф и т.п.);
• покидая рабочее место, все материальные носители, содержащие ПДн, должны убираться в запираемый шкаф (сейф и т.п.); работник обязан принимать иные меры в соответствии со сложившейся ситуацией, исходя из обязанности исключения несанкционированного доступа к материальным носителям, содержащим ПДн.

3.15. Работники, осуществляющие обработку ПДн без использования средств
автоматизации, должны быть проинформированы о факте обработки ими ПДн, категориях
обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки,
установленных нормативными правовыми актами федеральных органов исполнительной
власти, органов исполнительной власти субъектов Российской Федерации, а также локальными
правовыми актами Общества.

Особенности обработки ПДн в ИСПДн

3.16. Общество при обработке ПДн в ИСПДн обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
3.17. Порядок обработки ПДн в ИСПДн Общества регламентируется настоящим
Положением и иными локальным нормативными актами Общества в области технической
защиты ПДн.
3.18. Допуск к обработке ПДн в ИСПДн имеют работники согласно «Перечню должностей
работников, доступ которым к персональным данным необходим для исполнения трудовых
обязанностей в ООО «Центр ПРИЗ». Доступ работников в ИСПДн реализуется посредством
технических средств и способов, не противоречащих законодательству Российской Федерации.
3.19. Использование средств вычислительной техники для обработки ПДн в ИСПДн
допускается только после выполнения требований безопасности информации.
3.20. Обеспечение безопасности ПДн достигается, в частности:
1) определением угроз безопасности ПДн при их обработке в ИСПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн
при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн,
исполнение которых обеспечивает установленные Правительством Российской Федерации
уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия
средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в
эксплуатацию ИСПДн;
5) учетом машинных носителей ПДн;
6) обнаружением фактов несанкционированного доступа к ПДн и принятием
соответствующих мер;
7) восстановлением ПДн, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением
регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня
защищенности ИСПДн.
3.21. При проведении технического обслуживания и ремонта техники, в которой ведется
обработка ПДн, запрещается передавать ремонтным организациям блоки с элементами
накопления и хранения ПДн.
3.22. Машинные носители, содержащие ПДн (несъемные диски - жесткие диски; съемные
носители: гибкие магнитные диски, съемные пакеты дисков, иные магнитные, оптические или
магнитно-оптические диски и т.п.) до начала работы регистрируются ответственным
работником (системным администратором) с проставлением реквизитов, идентифицирующих
каждый носитель.
3.23. Доступ работников в ИСПДн реализуется посредством технических средств и
способов, не противоречащих законодательству Российской Федерации.
3.24. Работники, обрабатывающие ПДн в ИСПДн, обязаны соблюдать следующие
требования:
- проверять все новые данные на наличие вирусов;
- никому не сообщать (не передавать) сведения о доступе (логин, пароль);
- не оставлять без контроля включенным автоматизированное рабочее место;
- при оставлении рабочего места программное обеспечение, используемое при обработке
ПДн в ИСПДн, переводится в режим работы, исключающий доступ к информации без ввода
пароля или идентификатора.
3.25. Общество производит регулярное резервное копирование данных в ИСПДн. Лицо,
ответственное за резервное копирование, назначается директором Общества. Порядок
резервного копирования устанавливается локальными актами Общества.
3.26. Общество обязано в порядке, определенном федеральным органом исполнительной
власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с
государственной системой обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы Российской Федерации, включая
информирование его о компьютерных инцидентах, повлекших неправомерную передачу
(предоставление, распространение, доступ) персональных данных.

4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ

Права субъектов ПДн

Субъект ПДн обладает правами, предоставленными законодательством.
4.1. Субъект ПДн имеет право:
4.1.1. на получение сведений, указанных в п. 5.1.3 настоящего Положения, за исключением
случаев, когда право субъекта на доступ к его ПДн ограничено в соответствии с федеральными
законами;
4.1.2. требовать от Общества уточнения своих ПДн, их блокирования или уничтожения в
случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или
не являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав;
4.1.3. при обращении или направлении запроса*
требовать от Общества предоставления
сведений о наличии его ПДн в доступной форме. При этом в них не должны содержаться ПДн,
относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные
основания для раскрытия таких ПДн.
Запрос должен отвечать требованиям пункта 3 статьи 14 Федерального закона Российской
Федерации от 27.07.2006 №152-ФЗ «О персональных данных». При этом подлежит
предоставлению следующая информация:
1) подтверждение факта обработки ПДн субъекта в Обществе;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые способы обработки ПДн;
4) наименование и место нахождения Общества, сведения о лицах (за исключением
работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн
на основании договора с Обществом или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их
получения, если иной порядок предоставления таких данных не предусмотрен федеральным
законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом
от 27.07.2006 №152-ФЗ «О персональных данных»;
8) информацию об осуществляемой или о предполагаемой трансграничной передаче
данных;
*С данным запросом вправе обратиться представитель субъекта ПДн.
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей
18.1 настоящего Федерального закона;
10) иные сведения, предусмотренные Федеральным законом Российской Федерации от
27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.
Запрос может быть направлен в форме электронного документа и подписан электронной
подписью в соответствии с законодательством Российской Федерации.
Общество предоставляет вышеуказанные сведения субъекту персональных данных или его
представителю в той форме, в которой направлены соответствующие обращение либо запрос,
ели иное не указано в обращении или запросе.
4.1.4. на защиту своих прав и законных интересов, в том числе на возмещение убытков и
(или) компенсацию морального вреда в судебном порядке.
4.1.5. на обжалование действий или бездействия Общества в уполномоченный орган по
защите прав субъектов ПДн или в судебном порядке.
4.2. После предоставления необходимых сведений субъекту ПДн по его запросу, последний
вправе обратиться повторно в Общество или направить ему повторный запрос о
предоставлении данных, не ранее чем через 30 дней после первоначального обращения или
направления первоначального запроса, если более короткий срок не установлен
законодательством, нормативно-правовым актом или договором, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект ПДн.
4.3. Субъект ПДн вправе обратиться повторно в Общество или направить ему повторный
запрос в целях получения необходимых сведений, а также в целях ознакомления с
обрабатываемыми ПДн до истечения срока, указанного в п. 5.2. настоящего Положения в
случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для
ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос наряду со сведениями, предусмотренными законодательством, должен
содержать обоснование его направления.
4.4. Общество вправе отказать субъекту ПДн в выполнении повторного запроса, не
соответствующего условиям, предусмотренным законодательством. Такой отказ должен быть
мотивированным. Обязанность предоставления доказательств обоснованности отказа в
выполнении повторного запроса лежит на Обществе.

5.ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЫ ПДн

5.1. К информации, содержащей ПДн субъектов, применяется режим конфиденциальности,
то есть обязательное для соблюдения получившим доступ к ПДн субъектов лицом требование
не раскрывать третьим лицам и не допускать их распространения без согласия субъекта ПДн
или иного законного основания.
5.2. Общество при обработке ПДн принимает необходимые правовые, организационные и
технические меры для защиты персональных данных от неправомерного или случайного
доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления,
распространения, а также от иных неправомерных действий в отношении ПДн.
Защита ПДн направлена на предупреждение нарушения порядка доступа к ПДн,
обеспечение сохранности носителей, содержащих ПДн, обеспечение достоверности ПДн и
соблюдение режима конфиденциальности ПДн.
5.3. Конфиденциальность и защита ПДн обеспечиваются путем принятия Обществом
следующих мер:
- определение перечня ПДн субъектов, обрабатываемых в Обществе;
- ограничение доступа к ПДн путем определения должностных лиц, допущенных к
обработке ПДн;
- определение работников, ответственных за: организацию обработки ПДн; реализацию
мер, необходимых для обеспечения условий для сохранности персональных данных и
исключения несанкционированного к ним доступа;
- обеспечение безопасности ПДн в информационной системе; распределение между ними
соответствующих обязанностей;
- регламентация правил обработки ПДн субъектов путем установления порядка работы с
этой информацией и контроля за его соблюдением;
- учет лиц, получивших доступ к ПДн субъектов, и (или) лиц, которым такая информация
была предоставлена или передана;
- регулирование отношений по использованию ПДн субъектов в рамках договорных
отношений;
- выявление возможных каналов несанкционированного доступа к ПДн субъектов,
обеспечение безопасности информации при обработке ПДн субъектов с использованием
средств вычислительной техники;
- исключение бесконтрольного использования средств обработки ПДн субъектов
посторонними лицами;
- определение помещений, в которых ведется работа с ПДн субъектов, исключение
бесконтрольного доступа посторонних лиц в эти помещения;
- определение мест обработки (хранения) материальных носителей, содержащих ПДн;
- использование необходимых средств технической защиты информации в ИСПДн;
- организация надлежащего порядка уничтожения ПДн, их материальных носителей;
- своевременное выявление нарушения требований системы доступа работниками к
определенным сведениям;
- проведение воспитательной и разъяснительной работы с работниками по
предупреждению нарушения норм законодательства, регулирующего обработку ПДн, обучение;
- принятие иных мер, не противоречащих законодательству.
5.4. Право доступа к ПДн имеют работники, занимающие соответствующие должности
согласно «Перечню должностей работников, доступ которым к персональным данным
необходим для выполнения трудовых обязанностей в ООО «Центр ПРИЗ».
Работники Общества обрабатывают ПДн только в том объеме, который необходим им для
выполнения своих трудовых обязанностей.
5.5. При обработке ПДн работники должны обеспечивать безопасность носителей,
содержащих ПДн, находящихся в их распоряжении.
5.6. Работники, обрабатывающие ПДн, обязаны обеспечивать их конфиденциальность,
соблюдать требования законодательства, настоящего Положения и иных локальных актов
Общества, обеспечивать защиту ПДн от несанкционированного доступа.
5.7. Работникам, осуществляющим обработку ПДн, запрещается оставлять вне контроля
материальные носители и средства обработки ПДн. При оставлении рабочего места
материальные носители убираются в запираемые шкафы, сейфы и т.п., а программное
обеспечение, используемое при обработке ПДн в ИСПДн, переводится в режим работы,
исключающий доступ к информации без ввода пароля или идентификатора.

6. СЛУЖЕБНОЕ РАССЛЕДОВАНИЕ ПО ФАКТАМ НАРУШЕНИЯ РЕЖИМА КОНФИДЕНЦИАЛЬНОСТИ И ПРАВИЛ ОБРАБОТКИ ПДн

Создание комиссии

6.1. За нарушение правил обработки ПДн виновные лица привлекаются к ответственности в
соответствии с законодательством.
6.2. По факту нарушения правил обработки ПДн может быть организовано служебное
расследование.
6.3. Для проведения расследования директор Общества образует комиссию из не
заинтересованных в исходе расследования работников, не менее 3-х человек, имеющих допуск
к ПДн. Основная задача комиссии - правильное и объективное установление всех
обстоятельств, а также сбор и анализ доказательной базы.
6.4. В процессе проверочных мероприятий комиссия обязана:

• установить факт совершения дисциплинарного проступка, обстоятельства его совершения;
• при утере носителя(ей) провести обследование мест возможного нахождения утерянного(ых) носителя(ей), содержащего(их) ПДн;
• определить вину лиц, допустивших нарушение правил обработки ПДн (разглашение ПДн либо утерю носителя(ей), содержащего(их) ПДн);
• определить размер причиненного Обществу ущерба;
• выявить мотивы и причины совершения проступка, а также смягчающие и отягчающие обстоятельства;
• соблюдать требования законодательства в части защиты неприкосновенности личной информации работников;
• не придавать огласке информацию, касающуюся проверки.

6.5. При проведении проверочных мероприятий члены комиссии имеют право:

• проводить анализ документации, касающейся обработки ПДн в Обществе;
• запросить письменные объяснения от сотрудника(ов), в отношении которого(ых) проводится проверка, об обстоятельствах произошедшего; если по истечении двух рабочих дней они не представлены - составить соответствующий акт;
• получать письменные пояснения от работников Общества;
• проводить осмотр помещений, хранилищ, столов, шкафов, в которых может(гут) находиться носитель(и), содержащие ПДн (в случае утери);
• направлять запросы в адрес контрагентов, а также в органы государственной власти и местного самоуправления, организации.

Оформление результатов работы комиссии

6.6. Результаты работы комиссии отражаются в акте, в основу которого кладутся собранные
в ходе проверки материалы, подтверждающие/опровергающие факт совершения
работником(ами) проступка и выводы о виновности/невиновности работника(ов).
6.7. По окончании служебного расследования комиссия представляет акт на рассмотрение
директору Общества с подтверждающими обстоятельства документами.
В акте должны быть отражены:
- фамилии, инициалы и должности всех членов комиссии;
- дата, место и точное время составления акта;
- основание и период проведения расследования;
- сведения о проделанной работе;
- время, место и обстоятельства совершения проступка;
- факт совершения дисциплинарного проступка, мотив, причины совершения,
смягчающие и отягчающие обстоятельства;
- фамилии, инициалы и должности виновных лиц;
- размер причиненного ущерба;
- предлагаемые меры наказания (учитывая личные и деловые качества виновных лиц) или
дальнейшие действия.
Кроме того, в акте могут содержаться и другие сведения (напр., предложения по мерам,
которые необходимо принять для поиска носителя, содержащего ПДн, для недопущения
подобных нарушений в дальнейшем).
6.8. Акт подписывается всеми членами комиссии. С ним необходимо ознакомить
работника(ов), виновного(ых) в нарушении установленных норм, регулирующих обработку
ПДн, под роспись. В случае его отказа или уклонения от ознакомления составляется
соответствующий акт.
6.9. По результатам работы комиссии, директор Общества, в случае виновности
работника(ов) вправе применить в отношении него(них) одно из дисциплинарных взысканий.
Взыскание не может быть применено позднее шести месяцев со дня совершения проступка и
позднее одного месяца со дня его обнаружения.
Работник(и) должен(ны) быть ознакомлен(ы) с приказом о наложении дисциплинарного
взыскания в течение трех рабочих дней с момента издания, не считая времени его отсутствия на
работе.

7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПДн

7.1. Работник, обрабатывающий ПДн, несет ответственность за нарушение установленного
порядка и правил обработки.
7.2. Руководитель подразделения осуществляет контроль за обработкой ПДн работниками в
своем подразделении.
7.3. В случае нарушения норм, регулирующих обработку и защиту ПДн, работник может
быть:
- привлечен к дисциплинарной и материальной ответственности в порядке, установленном
трудовым кодексом Российской Федерации и иными федеральными законами;
- привлечен к гражданско-правовой, административной и уголовной ответственности в
порядке, установленном федеральными законами.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Настоящее Положение вступает в силу с момента его утверждения и действует
бессрочно до замены его новым.
8.2. Настоящее Положение обязательно для всех работников Общества.
8.3. Все работники Общества должны быть ознакомлены под подпись с данным
Положением и изменениями к нему.