Положение об обработке и защите ПД работников ОАО «РЖД»

УТВЕРЖДЕНО

приказом ОАО «РЖД»

от « 20» июля 2016 г. № 60

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящее Положение, разработанное в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, федеральными законами «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации и нормативными документами ОАО «РЖД», определяет цели, принципы, условия и правила обработки персональных данных работников, меры по обеспечению режима их защиты, права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.

Настоящее Положение распространяется на подразделения аппарата управления, филиалы и структурные подразделения ОАО «РЖД».

ОАО «РЖД» является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников и других субъектов персональных данных в целях:

-    обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации;

-    обеспечения выполнения трудовых договоров с работниками;

-    содействия работникам в обучении и продвижении по службе;

-    обеспечения личной безопасности работников;

-    контроля количества и качества выполняемой работы и обеспечения сохранности имущества ОАО «РЖД»;

-    обеспечения транспортной безопасности;

-    обеспечения пропуска субъектов персональных данных на объекты ОАО «РЖД»;

-    выполнения социальных обязательств, а также в других целях, предусмотренных уставом и нормативными документами ОАО «РЖД».

Действие настоящего Положения не распространяется на отношения, возникающие при:

-    хранении, комплектовании, учете и использовании сведений, содержащих персональные данные, архивных документов ОАО «РЖД» (документов, законченных делопроизводством и переданных на хранение в соответствующий архив ОАО «РЖД») в соответствии с законодательством об архивном деле в Российской Федерации;

-    обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Руководители подразделений аппарата управления, филиалов и структурных подразделений ОАО «РЖД» несут персональную ответственность за обработку и обеспечение режима защиты персональных данных, выполнение работниками требований законодательства Российской Федерации и нормативных документов ОАО «РЖД» в области обработки и защиты персональных данных.

2. ОСНОВНЫЕ ПОНЯТИЯ

В настоящем Положении используются следующие понятия:

-    работник - физическое лицо, вступившее в трудовые отношения с ОАО «РЖД»;

-    персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

-    субъекты персональных данных - работники, их близкие родственники, кандидаты для приема на работу (соискатели), пенсионеры, состоящие на учете в ОАО «РЖД», и их официальные представители, а также иные лица, чьи персональные данные стали известны в силу предоставления им со стороны ОАО «РЖД» социальных льгот, гарантий и компенсаций;

-    подразделения ОАО «РЖД» - подразделения аппарата управления, филиалы и структурные подразделения ОАО «РЖД»;

-    ответственный за организацию обработки персональных данных в подразделении - уполномоченное лицо, назначаемое руководителем подразделения;

-    уполномоченные работники - работники ОАО «РЖД», имеющие допуск к персональным данным субъектов персональных данных;

-    персональные данные ограниченного доступа - персональные данные субъектов персональных данных, подлежащие защите в установленном законодательством Российской Федерации порядке;

-    специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

-    биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных;

-    информационная система ОАО «РЖД» - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

-    обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

-    автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

-    неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии человека без использования средств вычислительной техники;

-    передача персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных;

-    распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

-    блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

-    уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители;

-    трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу;

-    конфиденциальность персональных данных - обязательное для соблюдения ОАО «РЖД» требование не раскрывать третьим лицам персональные данные и не допускать их распространение без согласия субъектов персональных данных или наличия иного законного основания;

-    безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

-    защита персональных данных - деятельность ОАО «РЖД», включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

-    режим защиты персональных данных - нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок передачи и условия их хранения.

3. СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ПОДРАЗДЕЛЕНИЯХ ОАО «РЖД»

Состав персональных данных, обрабатываемых в подразделениях ОАО «РЖД»:

-    фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);

-    число, месяц, год рождения;

-    место рождения;

-    сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства;

-    вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;

-    адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

-    номера рабочих, домашних и мобильных телефонов или сведения о других способах связи;

-    реквизиты свидетельства обязательного пенсионного страхования;

-    идентификационный номер налогоплательщика;

-    реквизиты полиса обязательного медицинского страхования;

-    реквизиты свидетельства о браке;

-    сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Российской Федерации;

-    сведения о трудовой деятельности;

-    сведения о воинском учете и реквизиты документов воинского учета;

-    сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

-    сведения об ученой степени;

-    сведения о владении иностранными языками, включая уровень владения;

-    фотография работника;

-    сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;

-    сведения о пребывании за границей;

-    сведения о наличии или отсутствии судимости - только кандидатов для приема на работу (соискателей) - в случаях, определенных федеральными законами;

-    сведения об оформленных допусках к государственной тайне;

-    сведения о государственных наградах, иных наградах и знаках отличия;

-    сведения о профессиональной переподготовке и (или) повышении квалификации;

-    результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей;

-    сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках) и отпусках без сохранения заработной платы;

-    сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат;

-    другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 3 настоящего Положения.

Категории персональных данных, обрабатываемых в подразделениях ОАО «РЖД»:

-    персональные данные, включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (корпоративные справочники, адресные книги):

а) фамилия, имя, отчество;

б) место работы;

в) занимаемая должность;

г) номера стационарных и мобильных рабочих телефонов;

д) адреса корпоративной электронной почты;

е) фотография работника;

-    персональные данные ограниченного доступа - персональные данные, перечисленные в пункте 7 настоящего Положения, за исключением персональных данных, перечисленных в подпункте 1 настоящего пункта;

-    специальные категории персональных данных, касающиеся состояния здоровья работников (обрабатываются в соответствии с требованиями федеральных законов «О персональных данных» и «Об основах охраны здоровья граждан в Российской Федерации»);

-    иные специальные категории персональных данных и биометрические персональные данные (обрабатываются в соответствии с требованиями законодательства Российской Федерации).

Документы, содержащие персональные данные:

-    анкета, автобиография, которые заполняются при приеме на работу;

-    копия документа, удостоверяющего личность;

-    личная карточка работника (форма № Т-2);

-    трудовая книжка или ее копия;

-    копии свидетельств о заключении брака, рождении детей;

-    документы воинского учета;

-    справки о доходах с предыдущего места работы;

-    копии документов об образовании;

-    копии документов обязательного пенсионного страхования;

-    трудовой договор;

-    подлинники и копии приказов по личному составу;

-    материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;

-    копии отчетов, направляемые в органы статистики;

-    другие документы, содержащие персональные данные.

4. ПРИНЦИПЫ, УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Принципы обработки персональных данных:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

-    обработке подлежат только те персональные данные, которые отвечают целям их обработки;

-    содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

-    при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;

-    хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

Условия обработки персональных данных:

-    обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено федеральными законами. Получение согласия осуществляется в соответствии с Порядком обработки и обеспечения режима защиты персональных данных работников ОАО «РЖД» (далее - Порядок обработки персональных данных);

-    обработка персональных данных необходима для:

а) выполнения возложенных на ОАО «РЖД» законодательством Российской Федерации и уставом ОАО «РЖД» функций, полномочий и обязанностей;

б) осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

в) исполнения договора в рамках трудовых и (или) гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

г) защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;

д) осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральными законами.

Персональные данные обрабатываются подразделениями ОАО «РЖД» следующими способами:

- неавтоматизированная обработка;

- автоматизированная обработка.

Обработка персональных данных осуществляется путем:

- получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;

- получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;

- формирования персональных данных в ходе кадровой работы;

- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

- получения персональных данных в ответ на запросы, направляемые ОАО «РЖД» в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

- получения персональных данных из общедоступных источников;

- ôиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

- внесения персональных данных в информационные системы ОАО «РЖД»;

- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой ОАО «РЖД» деятельности.

ОАО «РЖД» вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области обработки и защиты персональных данных и настоящим Положением.

Передача персональных данных третьим лицам, в том числе трансграничная передача, допускается только с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных федеральными законами.

Персональные данные передаются третьим лицам в соответствии с Порядком обработки персональных данных.

Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Сроки обработки, хранения и порядок уничтожения персональных данных на материальных носителях, а также в информационных системах ОАО «РЖД» определяются Порядком обработки персональных данных.

5. МЕРЫ ПО ОБЕСПЕЧЕНИЮ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Подразделения ОАО «РЖД» обеспечивают режим защиты персональных данных при их обработке в соответствии с законодательством Российской Федерации и нормативными документами ОАО «РЖД» на основании принимаемых ими правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

Режим защиты персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.

Защита персональных данных в подразделениях ОАО «РЖД» предусматривает ограничение доступа к ним.

Доступ к персональным данным субъектов персональных данных разрешается в соответствии с Порядком обработки персональных данных только уполномоченным работникам, которым эти персональные данные необходимы для выполнения должностных обязанностей.

Подразделения ОАО «РЖД» обеспечивают безопасность персональных данных при их обработке в соответствии с федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, Порядком обработки персональных данных и другими нормативными документами ОАО «РЖД».

Обеспечение безопасности персональных данных достигается путем:

- определения угроз безопасности персональных данных при их обработке;

- применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;

- проведения проверки соответствия законодательству Российской Федерации в области обработки и защиты персональных данных применяемых мер защиты информации и оценки их эффективности;

- учета машинных носителей персональных данных в установленном ОАО «РЖД» порядке;

- обнаружения фактов несанкционированного доступа к персональным данным и принятия соответствующих мер;

- восстановления персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;

- установления правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе ОАО «РЖД», в установленном ОАО «РЖД» порядке;

- внутреннего контроля за соблюдением подразделениями ОАО «РЖД» при обработке персональных данных законодательства Российской Федерации и нормативных документов ОАО «РЖД».

Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными ФСТЭК России, а также в соответствии с нормативными документами ОАО «РЖД» в области обеспечения информационной безопасности.

При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе ОАО «РЖД».

6. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъекты персональных данных имеют право на:

- полную информацию о своих персональных данных, обрабатываемых подразделениями ОАО «РЖД»;

- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;

- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;

- извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;

- отзыв согласия на обработку своих персональных данных;

- обжалование в соответствии с законодательством Российской Федерации действий ОАО «РЖД» при обработке персональных данных или его бездействия;

- осуществление иных прав, предусмотренных законодательством Российской Федерации.

Субъекты персональных данных обязаны:

- предоставить ОАО «РЖД» свои персональные данные в соответствии с законодательством Российской Федерации и настоящим Положением;

- своевременно информировать ОАО «РЖД» об изменениях своих персональных данных;

- обеспечить конфиденциальность персональных данных других субъектов персональных данных в соответствии с требованиями законодательства Российской Федерации, Кодекса деловой этики и других нормативных документов ОАО «РЖД».

7. ОБЯЗАННОСТИ ОАО «РЖД»

ОАО «РЖД» обязано принимать следующие необходимые и достаточные меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации:

- назначать ответственного за организацию обработки персональных данных;

- издавать документы, определяющие политику ОАО «РЖД» в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также нормативные документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранение последствий таких нарушений;

-    применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

- разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;

- блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством Российской Федерации;

- уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;

- представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными документами ОАО «РЖД»;

- осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Лица, виновные в нарушении законодательства Российской Федерации и нормативных документов ОАО «РЖД» в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.

Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством Российской Федерации и нормативными документами ОАО «РЖД» в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.