Развернуть форму поиска

Поиск документов

Выбрать
с по

Положение ОАО "РЖД" № 2524р

Политика ОАО "РЖД" по обработке и защите персональных данных.

Дата официального опубликования: 29.10.2015


Перейти к содержанию документа   I. Общие положения

1. Настоящий документ, разработанный на основании конституции Российской Федерации, Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, федеральных законов "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных", "О персональных данных", "Об информации, информационных технологиях и о защите информации" и иных нормативных правовых актов Российской Федерации и нормативных актов ОАО "РЖД", устанавливает единые корпоративные цели, принципы и правила обработки персональных данных в ОАО "РЖД" и определяет основные меры, реализуемые ОАО "РЖД" для обеспечения защиты персональных данных.

2. ОАО "РЖД", являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ними нормативными правовыми актами.

3. Настоящий документ является общедоступным и подлежит размещению на официальном сайте ОАО "РЖД".

Перейти к содержанию документа   II. Основные понятия

4. В настоящем документе используются следующие понятия:

  • пользователь услуг ОАО "РЖД" - пассажир, грузоотправитель, грузополучатель либо иное физическое или юридическое лицо, пользующиеся услугами, оказываемыми ОАО "РЖД";
  • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • субъекты персональных данных - пользователи услуг ОАО "РЖД" - пользователи услуг ОАО "РЖД", работники ОАО "РЖД", а также иные лица, чьи персональные данные стали известны в силу предоставления им со стороны ОАО "РЖД" социальных льгот, гарантий и компенсаций;
  • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными;
  • специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
  • информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных;
  • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
  • конфиденциальность персональных данных - обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
  • защита персональных данных - деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

Перейти к содержанию документа   III. Цели обработки персональных данных

5. Обработка персональных данных пользователей услуг ОАО "РЖД" осуществляется в целях:
исполнения договоров перевозки и предоставления дополнительных услуг во время осуществления перевозки;
обеспечения транспортной безопасности;
повышения качества обслуживания пассажиров и доступности железнодорожных перевозок путем реализации дополнительных программ поощрения пользователей услуг ОАО "РЖД".

6. Обработка персональных данных физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с ОАО "РЖД", осуществляется в целях исполнения заключенных с ними договоров.

7. Обработка персональных данных работников ОАО "РЖД" осуществляется в целях обеспе6чения выполнения договорных соглашений с работником, выполнения социальных обязательств, а также в других целях, предусмотренных уставом ОАО "РЖД" и иными нормативными актами ОАО "РЖД".

Перейти к содержанию документа   IV. Принципы и условия обработки персональных данных

8. Обработка персональных данных в ОАО "РЖД" осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных", и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны, а именно:

  • обработка осуществляется на законной и справедливой основе;
  • обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целям их сбора;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
  • обработке подлежат только те персональные данные, которые отвечают целям обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка данных, избыточных по отношению к заявленным целям;
  • при обработке обеспечиваются точность и достаточность персональных данных и при необходимости актуальность по отношению к целям обработки. ОАО "РЖД" принимает меры по удалению или уточнению неполных или неточных данных либо обеспечивает принятие таких мер;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

9. Обработка персональных данных в ОАО "РЖД" осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. При обработке персональных данных ОАО "РЖД" обязано обеспечить их конфиденциальность.

Перейти к содержанию документа   V. Субъекты персональных данных

10. ОАО "РЖД" осуществляет обработку персональных данных следующих категорий субъектов персональных данных: пользователей услуг ОАО "РЖД", физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с ОАО "РЖД", работников ОАО "РЖД" и других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в разделе III настоящего документа).

Перейти к содержанию документа   VI. Обрабатываемые персональные данные

11. ОАО "РЖД" обрабатывает следующие персональные данные пользователей услуг:

  • фамилия, имя, отчество;
  • число, месяц, год рождения;
  • место рождения;
  • вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (для несовершеннолетних - свидетельство о рождении или его нотариально заверенная копия);
  • пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);
  • дата поездки.
  • В соответствии с программами поощрения пользователей услуг ОАО "РЖД" дополнительно обрабатываются следующие персональные данные:
  • пол;
  • дата и место рождения;
  • контактный телефон;
  • адрес электронной почты;
  • полный почтовый адрес участника программы;
  • гражданство;
  • индивидуальный номер налогоплательщика.

В ОАО "РЖД" могут обрабатываться также другие персональные данные пользователей услуг ОАО "РЖД", необходимые для реализации целей обработки, указанных в пункте 5 настоящего документа.

12. Персональные данные работников, обрабатываемые в ОАО "РЖД", определяются на основании Трудового кодекса Российской Федерации и нормативных актов ОАО "РЖД".

13. Обработка персональных данных работников ОАО "РЖД", касающихся состояния здоровья, осуществляется в соответствии с требованиями Федеральных законов "О персональных данных" и "Об основах охраны здоровья граждан в Российской Федерации".

14. Персональные данные специальных категорий, за исключением данных о состоянии здоровья работников, а также биометрические персональные данные могут обрабатываться в случаях, предусмотренных законодательством Российской Федерации.

Перейти к содержанию документа   VII. Обработка персональных данных в ОАО "РЖД"

15. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

16. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

17. К обработке персональных данных допускаются только те работники ОАО "РЖД", в должностные обязанности которых входит обработка персональных данных.
Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

18. Обработка персональных данных осуществляется путем:

  • получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
  • предоставления субъектами персональных данных оригиналов необходимых документов;
  • получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
  • получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
  • получение персональных данных из общедоступных источников;
  • фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
  • внесения персональных данных в информационные системы ОАО "РЖД";
  • использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой ОАО "РЖД" деятельности.

19. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
При передаче персональных данных третьим лицам в соответствии с заключенными договорами ОАО "РЖД" обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов ОАО "РЖД" в области персональных данных.

20. Передача персональных данных в уполномоченные органы исполнительной власти (Федеральную налоговую службу Российской Федерации, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и др.) осуществляется в соответствии с требованиями законодательства Российской Федерации.

21. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

22. ОАО "РЖД" вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению ОАО "РЖД", обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.

23. В случае, когда ОАО "РЖД" на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.

24. Хранение персональных данных в ОАО "РЖД" осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению. Сроки хранения персональных данных в ОАО "РЖД" определяются в соответствии с законодательством Российской Федерации и нормативными актами ОАО "РЖД".

Перейти к содержанию документа   VIII. Права субъектов персональных данных

25. Субъект персональных данных имеет право:

  • получать полную информацию, касающуюся обработки в ОАО "РЖД" его персональных данных, за исключением случаев, предусмотренных законодательства Российской Федерации;
  • требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;
  • требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
  • отозвать согласие на обработку своих персональных данных;
  • обжаловать действия или бездействие оператора при обработке своих персональных данных в соответствии с законодательством Российской Федерации;
  • осуществлять иные права, предусмотренные законодательством Российской Федерации.

Перейти к содержанию документа   IX. Обязанности оператора

26. ОАО "РЖД" при обработке персональных данных обязано:

  • принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
  • разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
  • осуществлять блокирование неправомерно обрабатываемых персональных данных;
  • осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
  • уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожения его персональных данных;
  • предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами ОАО "РЖД".

27. В целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и нормативными актами ОАО "РЖД", президентом ОАО "РЖД" назначается лицо, ответственное за организацию обработки и защиты персональных данных в ОАО "РЖД".

28. Лицо, ответственное за организацию обработки и защиты персональных данных в ОАО "РЖД", обязано:

  • организовывает принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в ОАО "РЖД", от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • обеспечивать внутренний контроль за соблюдением в ОАО "РЖД" требований законодательства Российской Федерации и нормативных актов ОАО "РЖД" в области персональных данных, в том числе требований к защите персональных данных;
  • организовывать доведение до сведения работников ОАО "РЖД" положений законодательства Российской Федерации в области персональных данных, нормативных актов ОАО "РЖД" по вопросам обработки персональных данных, а также требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или и представителей, а также осуществлять контроль за приемом и обработкой таких обращений в ОАО "РЖД".

Перейти к содержанию документа   X. Обеспечение безопасности персональных данных

29. Обеспечение безопасности персональных данных при их обработке в ОАО "РЖД" осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

30. ОАО "РЖД" предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

31. Меры защиты, реализуемые ОАО "РЖД" при обработке персональных данных, включают:

  • принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
  • назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах ОАО "РЖД";
  • организацию обучения  и проведение методической работы с работниками, осуществляющими обработку персональных данных в ОАО "РЖД";
  • создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
  • организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
  • хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
  • обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
  • обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
  • установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в ОАО "РЖД" мер по обеспечению безопасности персональных данных;
  • обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
  • осуществление внутреннего контроля за соблюдением в ОАО "РЖД" законодательства Российской Федерации и нормативных актов ОАО "РЖД" при обработке персональных данных.

32. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ОАО "РЖД" в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

Версия для печати
screenRenderTime=2