Приказ Министерства здравоохранения Донецкой Народной Республики от 30.06.2023 N 1467 "Об утверждении Политики защиты и обработки персональных данных Министерства здравоохранения Донецкой Народной Республики"

В соответствии с подпунктом б пункта 14 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", частью 1 статьи 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", руководствуясь пунктом 3.5 раздела III, пунктом 4.2 раздела IV Положения о Министерстве здравоохранения Донецкой Народной Республики (в новой редакции), утвержденного Постановлением Правительства Донецкой Народной Республики от 17.02.2020 года N 6-5, приказываю:

1. Утвердить прилагаемую Политику защиты и обработки персональных данных Министерства здравоохранения Донецкой Народной Республики.

2. Контроль исполнения настоящего Приказа возложить на заместителя Министра здравоохранения Донецкой Народной Республики Мартынову А.Л.

3. Настоящий Приказ вступает в силу со дня его подписания.

И.о. Министра

Д.А. Гарцев

УТВЕРЖДЕНА
приказом Министерства
здравоохранения Донецкой
Народной Республики
от 30.06.2023 N 1467

Политика защиты и обработки персональных данных Министерства здравоохранения Донецкой Народной Республики

I. Общие положения

1.1. Настоящая Политика Министерства здравоохранения Донецкой Народной Республики в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований:

ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных);

Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

Постановления Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

Постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

Постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

иных нормативных правовых актов Российской Федерации

в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая Политика определяет порядок сбора, учета, обработки, накопления, использования, распространения и хранения персональных данных работников, кандидатов, а также иных лиц, в отношении которых Министерство здравоохранения Донецкой Народной Республики выступает работодателем, а также лиц, которые являются сотрудниками организаций, подведомственных Министерству здравоохранения Донецкой Народной Республики (в части аттестации, повышения квалификации и прочее) (далее - сотрудники), и гарантии конфиденциальности сведений о работнике, предоставленных работодателю.

1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Министерство здравоохранения Донецкой Народной Республики.

1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Министерства здравоохранения Донецкой Народной Республики.

1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Министерства здравоохранения Донецкой Народной Республики.

II. Термины и принятые сокращения

2.1. Персональные данные (ПД) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Персональные данные, разрешенные субъектом персональных данных для распространения - это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2.3. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение.

2.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.8. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.10. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.11. Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.12. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.13. Защита персональных данных - деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

III. Получение, обработка и хранение, уничтожение, передача и распространение персональных данных

3.1. Персональные данные сотрудника Министерство здравоохранения Донецкой Народной Республики (далее - работодатель, Оператор) получает непосредственно от сотрудника. В состав персональных данных, которые сотрудник сообщает работодателю, входят: фамилия, имя, отчество, пол, дата рождения, место рождения, возраст, гражданство, сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации, адрес места проживания, паспортные данные, сведения о воинском учете страховой номер индивидуального лицевого счета, сведения о трудовой деятельности, биометрические персональные данные, сведения о семейном положении, специальные персональные данные: сведения о судимости, сведения о состоянии здоровья, иные сведения, которые относятся к трудовой деятельности работника.

3.2. Документами, которые содержат персональные данные сотрудника, являются: комплекты документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекты материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность; подлинники и копии приказов (распоряжений) по кадрам; личные дела, трудовые книжки, сведения о трудовой деятельности сотрудников; дела, содержащие материалы аттестаций сотрудников; дела, содержащие материалы внутренних расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); копии отчетов, направляемых в государственные контролирующие органы.

3.3. Работодатель должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.

3.4. Работодатель не вправе требовать от сотрудника представления персональных данных, которые не характеризуют сотрудника как сторону трудовых отношений.

3.5. Сотрудник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные сотрудником, с имеющимися у сотрудника документами.

3.6. При изменении персональных данных, сотрудник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 30 рабочих дней.

3.7. По мере необходимости работодатель истребует у сотрудника дополнительные сведения. Сотрудник предоставляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

3.8. Анкета сотрудника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным сотрудника. Ведение личных дел возложено на сектор государственной гражданской службы и кадров Министерства здравоохранения Донецкой Народной Республики. Ответственным за ведение личных дел является работник сектора государственной гражданской службы и кадров Министерства здравоохранения Донецкой Народной Республики, закрепленный приказом Министерства здравоохранения Донецкой Народной Республики.

3.9. Чтобы обрабатывать персональные данные сотрудника, работодатель получает от каждого сотрудника согласие на обработку его персональных данных. Такое согласие работодатель получает, если закон не предоставляет работодателю права обрабатывать персональные данные без согласия.

3.10. Согласие на обработку персональных данных может быть отозвано сотрудником. В случае отзыва сотрудником согласия на обработку персональных данных, работодатель вправе продолжить обработку персональных данных без согласия сотрудника при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.

3.11. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.12. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

3.13. Обработка персональных данных осуществляется путем:

а) получения персональных данных в устной и письменной форме непосредственно с согласия сотрудника на обработку или распространение его персональных данных;

б) внесения персональных данных в журналы, реестры и информационные системы Оператора;

в) использования иных способов обработки персональных данных.

3.14. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия сотрудника, если иное не предусмотрено федеральным законом.

3.15. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

3.16. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

а) определяет угрозы безопасности персональных данных при их обработке;

б) принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

в) назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

г) создает необходимые условия для работы с персональными данными;

д) организует учет документов, содержащих персональные данные;

е) организует работу с информационными системами, в которых обрабатываются персональные данные;

ж) хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

з) организует обучение работников Оператора, осуществляющих обработку персональных данных.

3.17. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

3.18. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.19. Обработка Оператором персональных данных осуществляется в следующих целях:

а) обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации и Донецкой Народной Республики;

б) осуществление своей деятельности в соответствии с Положением о Министерстве здравоохранения Донецкой Народной Республики в новой редакции, утвержденным Постановлением Правительства Донецкой Народной Республики от 17 февраля 2020 года N 6-5;

в) ведение кадрового делопроизводства;

г) содействие сотрудникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности сотрудников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;

д) привлечение и отбор кандидатов на работу у Оператора;

е) организация постановки на индивидуальный (персонифицированный) учет сотрудников в системе обязательного пенсионного страхования;

ж) заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

з) осуществление гражданско-правовых отношений;

и) ведение бухгалтерского учета;

к) осуществление пропускного режима.

3.20. Обработка персональных данных сотрудников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3.21. Обрабатываются ПД следующих категорий сотрудников:

а) физические лица, состоящие с работодателем в трудовых отношениях;

б) физические лица, уволившиеся из Министерства здравоохранения Донецкой Народной Республики, а также лица, которые прекратили трудовые отношения, в которых Оператор выступал в качестве работодателя;

в) физические лица, являющиеся кандидатами на работу;

г) физические лица, состоящие с Оператором в гражданско-правовых отношениях;

д) физические лица, которые являются сотрудниками организаций, подведомственных Министерству здравоохранения Донецкой Народной Республики (в части аттестации, повышения квалификации и прочее).

3.22. Работодатель вправе получать персональные данные сотрудника от третьих лиц при наличии письменного согласия сотрудника или в иных случаях, прямо предусмотренных в законодательстве, а также без такового в случаях, предусмотренных законодательством Российской Федерации. Согласие на обработку персональных данных, разрешенных сотрудником для распространения, оформляется отдельно от иных согласий сотрудника на обработку его персональных данных.

3.23. При передаче работодателем персональных данных, сотрудник должен дать на это согласие в письменной или электронной форме. Если сотрудник оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.

3.24. Работодатель не вправе предоставлять персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных законодательством,

3.25. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным сотрудника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело сотрудника.

3.26. Работодатель не вправе распространять персональные данные сотрудников третьим лицам без согласия сотрудника на передачу таких данных.

3.27. Согласие на обработку персональных данных, разрешенных сотрудником для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

3.28. Работодатель обязан обеспечить сотруднику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

3.29. В случае, если из предоставленного сотрудником согласия на распространение персональных данных не следует, что сотрудник согласился с распространением персональных данных, такие персональные данные обрабатываются работодателем без права распространения.

3.30. В случае если из предоставленного сотрудником согласия на передачу персональных данных не следует, что сотрудник не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых сотрудник устанавливает условия и запреты, работодатель обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.

3.31. Согласие на обработку персональных данных, разрешенных сотрудником для распространения, может быть предоставлено Оператору непосредственно.

3.32. В согласии на распространение персональных данных работник вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных работодателем неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ работодателя в установлении работником данных запретов и условий не допускается.

3.33. Передача (распространение, предоставление, доступ) персональных данных, разрешенных работником для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.

3.34. Действие согласия работника на распространение персональных данных прекращается с момента поступления работодателю требования, указанного в пункте 3.33 настоящей Политики.

3.35. Работник вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Закона о персональных данных или обратиться с таким требованием в суд. Работодатель или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования работника или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то работодатель или третье лицо обязаны прекратить передачу персональных данных работника в течение трех рабочих дней с момента вступления решения суда в законную силу.

3.36. Оператор осуществляет хранение персональных данных в форме, позволяющей определить сотрудника, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.

3.37. Персональные данные сотрудников предоставляются сотрудниками, проходят дальнейшую обработку и передаются на хранение как на бумажных носителях, так и в электронном виде.

3.38. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.39. Оператор обеспечивает защиту персональных данных сотрудников от неправомерного использования или утраты.

3.40. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в секторе государственной гражданской службы и кадров Министерства здравоохранения Донецкой Народной Республики в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел сектор государственной гражданской службы и кадров Министерства здравоохранения Донецкой Народной Республики.

3.41. Персональные данные сотрудников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем Министерства здравоохранения Донецкой Народной Республики и сообщаются индивидуально работникам, имеющим доступ к персональным данным сотрудников.

3.42. Доступ к персональным данным сотрудников имеют руководитель Министерства здравоохранения Донецкой Народной Республики, его заместители, главный бухгалтер, а также непосредственный руководитель сотрудника. Работники сектора государственной гражданской службы и кадров Министерства здравоохранения Донецкой Народной Республики - к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других структурных подразделений Оператора к персональным данным осуществляется на основании письменного разрешения руководителя Министерства здравоохранения Донецкой Народной Республики или его заместителей.

3.43. Копировать и делать выписки из персональных данных сотрудников разрешается исключительно в служебных целях с письменного разрешения Министра здравоохранения Донецкой Народной Республики или его заместителей.

3.44. ПД сотрудников, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.45. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.46. Хранение персональных данных в форме, позволяющей определить сотрудника, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.47. Уничтожение документов (носителей), содержащих персональные данные сотрудников, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.48. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.49. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

IV. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.5. Основными мерами защиты ПД, используемыми Оператором, являются:

а) назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и сотрудниками требований к защите ПД;

б) определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД;

в) разработка политики в отношении обработки персональных данных;

г) установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД;

д) установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

е) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

ж) сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

з) соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;

и) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

к) восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

л) обучение сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;

м) осуществление внутреннего контроля и аудита.

V. Гарантии конфиденциальности персональных данных сотрудников

5.1. Информация, относящаяся к персональным данным сотрудника, является служебной тайной и охраняется законом.

5.2. Сотрудник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

5.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.

VI. Основные права сотрудника и обязанности Оператора

6.1. Основные права сотрудника.

6.2. Сотрудник имеет право на доступ к его персональным данным и следующим сведениям: подтверждение факта обработки ПД Оператором; правовые основания и цели обработки ПД; цели и применяемые Оператором способы обработки ПД; наименование и место нахождения Оператора, сведения о сотрудниках (за исключением сотрудников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления сотрудником прав, предусмотренных Законом о персональных данных; наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу; обращение к Оператору и направление ему запросов; обжалование действий или бездействия Оператора.

6.3. Обязанности Оператора:

а) при сборе ПД предоставить информацию об обработке ПД;

б) в случаях если ПД получены не от сотрудника, уведомить сотрудника;

в) при отказе в предоставлении ПД разъяснить сотруднику последствия такого отказа;

г) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

д) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

е) давать ответы на запросы и обращения сотрудников, их представителей и уполномоченного органа по защите прав сотрудников.

VII. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором сотруднику или его представителю при обращении либо при получении запроса сотрудника или его представителя.

7.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

7.3. Запрос должен содержать:

а) номер основного документа, удостоверяющего личность сотрудника или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

б) сведения, подтверждающие участие сотрудника в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

в) подпись сотрудника или его представителя.

7.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.5. Если в обращении (запросе) сотрудника не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

7.6. Право сотрудника на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных, в том числе если доступ сотрудника к его персональным данным нарушает права и законные интересы третьих лиц.

7.7. В случае выявления неточных персональных данных при обращении сотрудника или его представителя либо по их запросу или по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) Оператор осуществляет блокирование персональных данных, относящихся к этому сотруднику, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы сотрудника или третьих лиц.

7.8. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных сотрудником или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

7.9. В случае выявления неправомерной обработки персональных данных при обращении (запросе) сотрудника или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому сотруднику, с момента такого обращения или получения запроса.

7.10. При достижении целей обработки персональных данных, а также в случае отзыва сотрудником согласия на их обработку персональные данные подлежат уничтожению, если:

а) иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является сотрудник;

б) оператор не вправе осуществлять обработку без согласия сотрудника на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

в) иное не предусмотрено другим соглашением между Оператором и сотрудником.

VIII. Заключительные положения

8.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов в области персональных данных определяется в соответствии с законодательством Российской Федерации.

8.2. Настоящая Политика вступает в силу со дня утверждения и действует бессрочно до принятия новой Политики.

8.3. Все изменения и дополнения к настоящей Политике должны быть утверждены приказом Министерства здравоохранения Донецкой Народной Республики.