Положение о защите персональных данных работников и пациентов

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных работников и пациентов (далее – Положение) определяет порядок сбора, обработки, организации хранения, учета, передачи и использования персональных данных работников и пациентов (далее – гражданин, субъект) при обработке персональных данных, с соблюдением защиты получаемых в ее распоряжение данных о гражданах и гарантии конфиденциальности предоставляемых сведений от несанкционированного, в том числе случайного, доступа и разглашения в краевом государственном бюджетном учреждении здравоохранения «Красноярский краевой врачебно-физкультурный диспансер» (далее – КГБУЗ ККВФД, Оператор).

1.2. Положение разработано в соответствии с Конституцией Российской Федерации (далее – РФ), Трудовым кодексом РФ, Гражданским кодексом РФ, Кодексом об административных правонарушениях РФ, Уголовным кодексом РФ, Федеральным закон РФ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее – ФЗ № 323 от 21.11.2011), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152
от 27.07.2006), Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».

1.3. Настоящее Положение утверждается и вводится в действие приказом главного врача ККВФД и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.

2. Понятие и состав персональных данных субъектов

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, разрешенные гражданином для распространения неограниченному кругу лиц путем дачи согласия на обработку персональных данных в порядке, предусмотренном действующим федеральным законодательством.

2.2. Состав персональных данных, обрабатываемых в КГБУЗ ККВФД:

2.2.1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (фамилия, имя, отчество, пол, дата рождения и место рождения, место регистрации (проживания), а также иные данные, содержащиеся в документах, удостоверяющих личность гражданина), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2.2.2. Сведения, связанные с состоянием здоровья, данные медицинского характера, данные о членах семьи, данные страхового свидетельства обязательного пенсионного страхования (далее ‒ СНИЛС), полиса обязательного медицинского страхования гражданина (далее ‒ ОМС), а также иные персональные данные, при определении объема и содержания которых Оператор руководствуется настоящим Положением и федеральным законодательством.

2.2.3. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

2.2.4. Документы, содержащие персональные данные работающих граждан в КГБУЗ ККВФД (личные дела; трудовые книжки и сведения о трудовой деятельности; дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям; подлинники и копии приказов (распоряжений) по кадрам; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов; положения о структурных подразделениях; должностные инструкции и иные сведения, относящиеся к персональным данным работника).

2.3. Обработка персональных данных граждан в ККВФД осуществляется в соответствии с нормативными правовыми актами, предусмотренными действующим федеральным законодательством.

3. Права субъекта персональных данных

Гражданин имеет право:

3.1. На полную информацию о своих персональных данных и обработке этих данных.

3.12. Получать доступ к своим персональным данным и ознакомление
с ними, включая право на безвозмездное получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законодательством. Сведения предоставляются субъекту Оператором в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.

3.3. Требовать от Оператора исключения или исправления неверных
или неполных персональных данных, а также данных, обработанных
с нарушением требований, определенных федеральным законодательством.
При отказе Оператора исключить или исправить персональные данные гражданин имеет право заявить в письменной форме о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера, гражданин имеет право дополнить заявлением, выражающим его собственную точку зрения.

3.4. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

3.5. Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке любые неправомерные действия
или бездействие Оператора при обработке и защите персональных данных.

4. Сбор, обработка, хранение, передача и защита персональных данных граждан

4.1.1. Сбор персональных данных субъекта

Все персональные данные о гражданине Оператор может получить у него самого или его законного представителя (родителя).

Гражданин обязан предоставить Оператору полные и достоверные данные
о себе, в случае изменения сведений, составляющих персональные данные, незамедлительно предоставить данную информацию Оператору.

Оператор имеет право проверять достоверность сведений, предоставленных гражданином, сверяя данные с имеющимися у гражданина документами.

Если персональные данные гражданина, возможно, получить только у третьей стороны, то гражданин должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить гражданину о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, данные о полисе ОМС в страховой компании при отсутствии такового у гражданина или при возникновении сомнений
в правильности предоставляемых гражданином данных и т.п.) и последствиях отказа гражданина дать письменное согласие на их получение;

В целях обеспечения прав и свобод человека и гражданина Оператор
и его представители при обработке персональных данных гражданина соблюдают следующие требования:

4.1.2. При заключении трудового договора гражданин, поступающий
на работу к Оператору, предъявляет в отдел кадров КГБУЗ ККВФД:

паспорт или иной документ, удостоверяющий личность;

трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой, повреждением или по другим причинам;

СНИЛС;

документы воинского учета ‒ для военнообязанных и лиц, подлежащих призыву на военную службу;

документ об образовании и (или) квалификации или наличии специальных знаний ‒ при поступлении на работу, требующую специальных знаний или специальной подготовки;

справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к выполнению которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию, (пп. 14, 15 Административного регламента, утвержденного Приказом МВД России от 07.11.2011 № 1121);

дополнительные документы ‒ в отдельных случаях, предусмотренные Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

4.1.3. При обращении в регистратуру КГБУЗ ККВФД гражданин (либо его законный представитель) предоставляет персональные данные о себе:

паспорт или иной документ, удостоверяющий личность субъекта или его законного представителя;

СНИЛС;

при необходимости полис ОМС (для получения медицинской услуги по реабилитации).

4.1.4. После оформления гражданина в регистратуре КГБУЗ ККВФД к документам, содержащим персональные данные, также будут относиться:

талон пациента, получающего медицинскую помощь в амбулаторных условиях;

врачебно-контрольная карта физкультурника;

врачебно-контрольная карта диспансерного наблюдения;

врачебно-консультативная карта.

4.1.5. Лица, получающие персональные данные гражданина, обязаны соблюдать режим секретности (конфиденциальности). Заполнение документации, содержащей персональные данные гражданина, осуществлять в соответствии с унифицированными формами медицинской документации, утвержденными приказами Минздрава СССР 04.10.1980 № 1030 «Об утверждении форм первичной медицинской документации учреждений здравоохранения», Минздрава России от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению, Минздрава России от 19.03.2021 № 231н «Об утверждении Порядка проведения контроля объемов, сроков, качества и условий предоставления медицинской помощи по обязательному медицинскому страхованию застрахованным лицам, а также
ее финансового обеспечения».

4.2 Обработка персональных данных граждан

4.2.1. Обработка персональных данных граждан ‒ любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъекта.

Цель обработки персональных данных: получение, хранение, комбинирование, передача или любое другое использование персональных данных граждан, в том числе при ведение кадрового учёта, расчёта заработной платы сотрудников, ведении налогового и воинского учёта, учёте рабочего времени сотрудников, предоставлении отчётности в государственные органы.

4.2.2. При определении объёма и содержания, обрабатываемых персональных данных гражданина, Оператор руководствуется Конституцией РФ
и иными федеральными законами РФ.

4.2.3. Обработка персональных данных граждан Оператором осуществляется с согласия субъекта, исключения составляют случаи, предусмотренные федеральным законодательством.

4.2.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Оператору:

непосредственно;

с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

4.2.5. Согласие субъекта на обработку его персональных данных в письменной форме должно включать в себя, в частности:

фамилию, имя, отчество, адрес регистрации (проживания) субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес регистрации (проживания) представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

подпись субъекта персональных данных.

4.2.6. Гражданин и его законные представители могут быть по желанию ознакомлены с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также осведомлены об их правах

4.2.7. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Данное требование должно включать в себя фамилию, имя, отчество
(при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

4.2.8. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ № 152 от 27.07.2006.

4.2.9. При принятии решений, затрагивающих интересы граждан, Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4.2.10. При обработке персональных данных граждан Оператор должен соблюдать следующие требования:

не сообщать персональные данные граждан в коммерческих целях без его личного письменного согласия, согласия его законного представителя;

предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций;

передавать персональные данные субъекта представителям гражданина
в порядке, установленном настоящим Положением, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.

4.2.11 Оператор не имеет права получать и обрабатывать сведения о гражданине, относящиеся в соответствии с федеральным законодательством в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.

4.2.12. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

4.2.13. Защита персональных данных субъекта от неправомерного их использования, утраты обеспечивается Оператором за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

4.3 Хранение персональных данных субъекта

4.3.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъекта.

4.3.2. Персональные данные граждан на бумажных носителях хранятся в регистратуре КГБУЗ ККВФД в течение 1 года после последнего обращения к врачам специалистам с целью проведения углубленного медицинского обследования (далее ‒ УМО) занимающимся физической культурой и спортом и лечения при наличии показаний, в том числе медицинских услуг по реабилитации, а также в кабинетах врачей специалистов на момент проведения УМО и лечения.

4.3.3 На электронных носителях персональные данные граждан хранятся в информационных системах в виде электронной базы данных на рабочих серверах и в архивных файлах на серверах резервного копирования, в том числе в информационных медицинских системах: РИАМС «ПроМед», «Поликлиника», МИС программный комплекс «Госпиталь», «Медицинский статистик (поликлиника)», программное обеспечение «PapurusMed3.0» и «Валента»; подсистемах с портала Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) ‒ федеральный регистр медицинских работников (ФРМР) и федеральный реестр медицинских организаций (ФРМО); «1С:Предприятие».

4.3.4. Специалисты регистратуры КГБУЗ ККВФД имеют постоянный доступ к базам данных граждан посредством рабочих станций локальной компьютерной сети, обеспеченной системой паролей. В связи с исполнением трудовых обязанностей обеспечивают защиту персональных данных граждан от несанкционированного доступа и копирования.

4.3.5 Хранение персональных данных граждан в иных структурных подразделениях Оператора, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке, исключающем к ним доступа третьих лиц.

Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия гражданина, которое оформляется
по установленной форме и должно включать в себя:

фамилию, имя, отчество, адрес гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование и адрес Оператора, получающего согласие гражданина;

цель передачи персональных данных;

перечень персональных данных, на передачу которых дает согласие гражданин;

срок, в течение которого действует согласие, а также порядок его отзыва.

Согласия гражданина на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью гражданина, а также в случаях, установленных федеральным законом.

Если лицо, обратившееся с запросом о персональных данных гражданина не уполномочено федеральным законом на получение персональных данных гражданина, Оператор обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

4.3.6. Обязанности по хранению персональных данных гражданина, заполнению, распечатке, формированию счетов в страховые компании возлагаются на работников конкретных (ответственных) подразделений Оператора и закрепляются в должностных инструкциях.

4.3.7. В отсутствии сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные гражданина (соблюдение «политики чистых столов»), при уходе в отпуск, служебную командировку и в иных случаях длительного отсутствия работника на своем рабочем месте он обязан передать документы и иные носители, содержащие персональные данные гражданина, лицу, на которое распоряжением руководителя будет возложено исполнение его трудовых обязанностей.

В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные гражданина, передаются другому сотруднику, имеющему доступ к персональным данным гражданина, по указанию руководителя.

При увольнении сотрудника Оператора, имеющего доступ к персональным данным гражданина, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным гражданина, по указанию руководителя.

4.3.8. В случае реорганизации или ликвидации организации Оператора учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами.

4.3.9. Оператор обеспечивает ограничение доступа к персональным данным граждан лицам, не уполномоченным законом либо Оператором для получения соответствующих сведений.

Доступ к персональным данным гражданина, без специального разрешения имеют работники Оператора, занимающие следующие должности:

главный врач;

заместители главного врача по медицинской части;

заведующие и врачи специалисты;

главная медицинская сестра и медицинские сестры;

работники бухгалтерии и экономист;

администраторы регистраторы;

медицинский статистик;

специалист отдела кадров;

ведущие специалисты, обеспечивающие работоспособность аппаратно-программных средств предназначенных для автоматизированной обработки персональных данных.

4.3.10. При получении сведений, составляющих персональные данные гражданина, указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций, заданий.

4.3.11. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией главного врача доступ к персональным данным субъекта может быть предоставлен иному сотруднику, должность которого не включена в перечень должностей сотрудников, имеющих доступ к персональным данным гражданина, которому они необходимы в связи с исполнением трудовых обязанностей.

4.3.12. В случае если Оператору оказывают услуги юридические и физические лица на основании заключенных договоров они должны иметь доступ к персональным данным гражданина, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации.

4.3.13. В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных граждан.

4.3.14. В отношении некоторых документов действующим федеральным законодательством могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.

4.3.15. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

4.3.16. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

4.4 Передача персональных данных субъекта

4.4.1 Оператор при передаче персональных данных гражданина должен соблюдать следующие требования:

разрешать доступ к персональным данным гражданина только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной трудовой функции;

запрашивать и передавать информацию о состоянии здоровья гражданина в порядке, установленном федеральным законодательством, и ограничивать передаваемую информацию только теми персональными данными, которые необходимы для выполнения конкретных функций;

передавать персональные данные только тем организациям, с которыми заключен договор с указанием обязанности обеспечивать защиту информации, являющейся государственным информационным ресурсом в соответствии
с федеральным законодательством;

не запрашивать и не передавать информацию о состоянии здоровья гражданина, за исключением случаев предусмотренных федеральным законом.

4.4.2 Распространение и предоставление Оператором персональных данных субъекта третьим лицам запрещается без согласия гражданина (ст. 7 ФЗ № 152 от 27.07.2006).

4.4.3. Оператором допускается разглашение сведений, составляющих врачебную тайну, с письменного согласия субъекта или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения гражданина, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.

4.4.4. Предоставление сведений, составляющих врачебную тайну, без согласия субъекта или его законного представителя возможно (п. 3 ст. 13 ФЗ № 323 от 21.11.2011) в следующих случаях:

в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю;

при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;

в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства
или психотропные вещества без назначения врача, либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение
от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;

в случае оказания медицинской помощи несовершеннолетнему
для информирования одного из его родителей или иного законного представителя;

в целях информирования органов внутренних дел о поступлении гражданина, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;

при обмене информацией между медицинскими организациями,
в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований федерального законодательства о персональных данных;

в целях осуществления учета и контроля в системе обязательного социального страхования.

4.4.5. Передача персональных данных между структурными подразделениями Оператора осуществляется только между сотрудниками, имеющими доступ к персональным данным гражданина.

При передаче персональных данных гражданина Оператор должен соблюдать следующие требования:

осуществлять защиту персональных данных гражданина;

обеспечить хранение медицинской документации.

При этом персональные данные не должны храниться дольше,
чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

4.4.6. Сотрудники Оператора, передающие персональные данные гражданина третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные гражданина. Акт составляется по установленной форме и должен содержать следующие условия:

уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;

предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

4.4.7. Передача документов (иных материальных носителей), содержащих персональные данные граждан, осуществляется при наличии у лица, уполномоченного на их получение:

договора на оказание услуг;

соглашения о неразглашении конфиденциальной информации;

либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных гражданина.

Договор или соглашение должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные гражданина, ее перечень, цель использования, фамилия, имя, отчество и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных гражданина несет работник и руководитель Оператора, осуществляющий передачу персональных данных гражданина третьим лицам.

Предоставление персональных данных гражданина государственным органам производится в соответствии с требованиями действующего федерального законодательства и настоящим Положением.

4.5 Защита персональных данных субъекта

4.5.1. В целях обеспечения сохранности и конфиденциальности персональных данных гражданина, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками КГБУЗ ККВФД с соблюдением конфиденциальности персональных данных и соблюдением правил их обработки.

4.5.2. При наличии локальных нормативных актов (приказы, распоряжения, положения, инструкции и др.) регулирующих обработку и защиту персональных данных гражданина, Оператор осуществляет ознакомление сотрудников под роспись.

4.5.3. Организацию и контроль за защитой персональных данных гражданина, в структурных подразделениях Оператора, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

4.5.4. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке организации Оператора и в том объеме, который позволяет не разглашать излишний объем персональных сведений о субъектах персональных данных.

4.5.5. Личные дела и документы, содержащие персональные данные, хранятся в запирающихся шкафах или отдельно выделенном помещении, обеспечивающих защиту от несанкционированного доступа.

4.5.6. Персональные компьютеры, в которых содержатся персональные данные граждан, должны быть защищены в соответствии с требованиями нормативных документов по защите информации.

4.5.7. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.

4.5.8. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных в соответствии с ФЗ № 152 от 27.07.2006, подлежит возмещению в соответствии с федеральным законодательством. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.