Положение по персональным данным

08.11.2022 14:53 (ред.09.12.2022 15:04)

Утверждено приказом

МКУ ЗАТО Северск «Централизованная

бухгалтерия образовательных учреждений»

от 30.12.2021 №87 

 

Положение о порядке обработки и обеспечении безопасности персональных данных работников и других субъектов персональных данных

МКУ ЗАТО Северск «Централизованная бухгалтерия образовательных учреждений»

  1. Общие положения

 1.1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2. Настоящее Положение об обработке и защите персональных данных (далее — Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативно-правовыми актами, действующими на территории Российской Федерации.

  1. Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1. Оператор персональных данных (далее оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является — МКУ ЗАТО Северск «Централизованная бухгалтерия образовательных учреждений»;

2.2. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.3. Субъект – субъект персональных данных.

2.4. Работник — физическое лицо, состоящее в трудовых отношениях с оператором и заказчиком услуг, оказываемых в соответствии с Уставом оператора.

2.5. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

2.6. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.7. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.8 Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

2.9. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

  1. Состав персональных данных и цель их обработки.

3.1. К персональным данным относятся:

3.1.1. Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.

3.1.2. Информация, содержащаяся в трудовой книжке работника.

3.1.3. Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.

3.1.4. Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.

3.1.5. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.

  • Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.
  • Сведения о семейном положении работника.

3.1.8. Информация медицинского характера, в случаях, предусмотренных законодательством.

3.1.9.  Сведения о заработной плате работника.

3.1.10. Сведения о социальных льготах.

3.1.11. Сведения о наличии судимостей.

3.1.12. Место работы или учебы членов семьи.

3.1.13. Содержание трудового договора.

3.1.14. Подлинники и копии приказов по личному составу.

3.1.15. Основания к приказам по личному составу.

3.1.16. Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование.

3.1.17. Сведения о награждении государственными наградами Российской Федерации,  присвоении почетных, воинских и специальных званий.

            3.2. Целью обработки персональных данных является соблюдение условий трудовых договоров и  договоров об оказании услуг по ведению бухгалтерского учета с целью соблюдения законодательства Российской Федерации.

  1. Обработка персональных данных

 4.1.Общие требования при обработке персональных данных.

В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:

4.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы.

4.1.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

4.1.3. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4.1.4. Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

4.1.5. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

4.2.Получение персональных данных.

4.2.1. Персональные данные поступают оператору от субъекта персональных данных, являющегося работником оператора. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает  письменное согласие на их обработку оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении №1 к настоящему положению.

4.2.2. Обмен Информацией в рамках Договора Оператора с Заказчиком услуг, оказываемых Оператором в соответствии с Уставом Оператора осуществляется лицами, состоящими в трудовых отношениях с Заказчиком и/или Оператором, уполномоченными на представление интересов данной Стороны в качестве контактных лиц при взаимодействии с другой Стороной с учетом требований действующего законодательства Российской Федерации.

3.2.3. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма заявления-согласия на обработку персональных данных подопечного представлена в приложении №2  к настоящему положению. (Для работников Оператора).

3.2.4. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

3.2.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях указанных в пункте 3.2.3. настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении №3 к настоящему положению.

3.2.6. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.7. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.8. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

4.3. Хранение персональных данных.

4.3.1. Хранение персональных данных субъектов – работников Оператора осуществляется кадровой службой Оператора.

4.3.2. Хранение персональных данных субъектов – работников Заказчика услуг осуществляется кадровой службой Заказчика.

4.3.3. Хранение персональных данных субъектов, отраженных в бухгалтерских и расчетных документах осуществляется бухгалтерией на бумажных и электронных носителях с ограниченным доступом.

4.3.2. Трудовые книжки, документы по воинскому учёту, личные карточки Т-2 работников Оператора хранятся в специально отведённой секции сейфа, обеспечивающего защиту от несанкционированного доступа.

Журнал регистрации трудовых книжек и вкладышей пронумерован по страницам, прошнурован и заверен подписью руководителя и печатью организации.

Порядок хранения документов, указанных в данном пункте, у Заказчика услуг определяется Заказчиком самостоятельно.

4.3.3. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования.

4.4.Передача персональных данных

4.4.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

  • не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне представлена в приложении №4 настоящего Положения;
  • предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
  • не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
  • передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
  • все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в приложении №5 к настоящему Положению.

4.4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют:

  • руководитель организации, заместитель руководителя организации;
  • главный бухгалтер, заместитель главного бухгалтера;
  • сотрудник кадровой службы;
  • непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении, а также доступ к персональным данным субъектов в части его касающейся);
  • бухгалтер (доступ к персональным данным субъектов в части его касающейся);
  • экономист (доступ к персональным данным субъектов в части его касающейся);
  • инженер-программист (доступ к персональным данным субъектов в части его касающейся);
  • делопроизводитель;
  • сам субъект, носитель данных.

      4.4.4.Внешний доступ:

  • Учреждение вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.
  • Перед передачей персональных данных Учреждение должно предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.
  • Не требуется согласие работника на передачу персональных данных:

— третьим лицам в целях предупреждения угрозы жизни и здоровью работника;

— в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;

— в налоговые органы;

— в военные комиссариаты;

— по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;

— по мотивированному запросу органов прокуратуры;

— по мотивированному требованию правоохранительных органов и органов безопасности;

— по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;

— по запросу суда;

— в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;

— в случаях, связанных с исполнением работником должностных обязанностей;

— в случае, если в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) предусмотрено право работодателя передавать персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников:

— в кредитную организацию, обслуживающую платежные карты субъектов персональных данных, с их письменного заявления о перечислении заработной платы и/или иных выплат.

4.4.5. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать обязательство о неразглашении персональных данных. Форма обязательства о неразглашении персональных данных представлена в приложении №6 настоящего положения.

4.4.6. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, республиканских и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.4.7.Организации, в которые субъект может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

4.5.Уничтожение персональных данных

4.5.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4.5.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

  1. Права и обязанности субъектов персональных данных и оператора.

 В целях обеспечения защиты персональных данных субъекты имеют право:

  • получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
  • осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
  • при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
  • дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
  • требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
  • обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.
    • Для защиты персональных данных субъектов оператор обязан:
  • за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
  • ознакомить работника оператора с настоящим положением и его правами в области защиты персональных данных под расписку;
  • по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;
  • осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
  • предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
  • обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
  • по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
    • Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
  1. Основные условия проведения обработки персональных данных

6.1. Обработка персональных данных осуществляется:

— после получения согласия субъекта персональных данных, являющегося работником Оператора, составленного по форме согласно приложению №1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;

— Заказчики услуг, оказываемых Оператором в соответствии с Уставом Оператора получают согласие от своих работников на обработку персональных данных самостоятельно;

— после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;

— после принятия необходимых мер по защите персональных данных.

6.2. Защита персональных данных осуществляется в соответствии с Политикой в области обработки и защиты персональных данных:

— назначаются сотрудники, ответственные за настройку, внедрение и сопровождение информационных систем персональных данных, сотрудники, ответственные за информационную безопасность информационных систем персональных данных, защиту персональных данных, и утверждается перечень лиц, допущенных к обработке персональных данных.

— определены требования к персоналу, допущенному к персональным данным.

— определены должностные обязанности пользователей информационных систем персональных данных инструкциями администратора ИСПДн, администратора информационной безопасности ИСПДн, оператора ИСПДн, инструкцией по организации антивирусной защиты в ИСПДн, инструкцией по организации парольной защиты в ИСПДН, инструкцией по выявлению инцидентов безопасности и реагированию на них, инструкция пользователя при возникновении внештатных ситуаций.

— применяются технические и организационные меры по защите персональных данных.

6.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно  приложению № 6 к настоящему Положению.

6.4. Запрещается:

— обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

— осуществлять ввод персональных данных под диктовку.

  1. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации и определение уровня защищенности персональных данных.

7.1. Определение уровня защищённости персональных данных осуществляется с целью установления методов и способов защиты, необходимых для обеспечения безопасности персональных данных, и в соответствии с требованиями, установленными Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

7.2. Проведение классификации ИСПДн осуществляется в соответствии с требованиями, установленными Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации» и п. 6 Приказа ФСТЭК России от 11.02.2013г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

7.3. Оператором определяется уровень защищенности в зависимости от категории обрабатываемых персональных данных и типа актуальных угроз и в соответствии с Приказом ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

  • Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

— утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих перечень ИСПДн и акта уровня защищенности ИСПДн, организации антивирусной защиты, и других нормативных и методических документов;

— настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств, в соответствии с требованиями безопасности информации;

— охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.

  1. Порядок обработки персональных данных без использования средств автоматизации

8.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

8.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

8.3. При неавтоматизированной обработке персональных данных на бумажных носителях:

— не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

— персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

— документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

— дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

8.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных
(далее — типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

8.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

8.6. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

8.7. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях. При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

8.8. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

  1. Ответственность лиц, допущенных к персональным данным.

9.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

9.2. Работники, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

9.3. Работники, допущенные к персональным данным, в случае разглашения персональных данных, ставших доступными им в связи с исполнением должностных обязанностей, несут дисциплинарную ответственность на основании ст. 81 ТК РФ.

9.4. Работники, допустившие разглашение информации, доступ к которой ограничен федеральным законом, в данном случае ст.7 закона 152 ФЗ (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), получившие доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей,  наказываются административным штрафом согласно ст. 13.14 КоАП.

9.5. Работники, допущенные к персональным данным, несут дисциплинарную,  ответственность за нарушение сроков хранения документов, утрату и несанкционированное уничтожение служебных документов на основании ст. 90 ТК РФ.

9.6. Работники, допущенные к персональным данным, виновные в обработке персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных не совместимая с целями сбора персональных данных (если эти действия не содержат уголовно наказуемого деяния), наказываются административным штрафом согласно ст. 13.11. КоАП.

9.7. Работники, допустившие факт использования служебного положения, совершившие умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, несут  на основании ст. 137 УК РФ уголовную ответственность. Понятие персональных данных тождественны сведениям, которые определяют частную жизнь человека в соответствии со ст. 152.2 ГК РФ.