Открыть файл в исходном варианте
Текстовое содержание файла
Страница 1
Приказ ОАО "РЖД" от 20.07.2016 N 60
"Об обеспечении защиты персональных данных
в ОАО "РЖД"
(Вместе с Положением и Порядком)
Страница 2
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 2 из 32
ОАО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"
ПРИКАЗ
от 20 июля 2016 г. N 60
ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД"
С ц елью обеспечения защиты персональных данных в ОАО "РЖД" приказываю:
1. Назначить вице -президента Федосеева Н.В. ответственным за организацию обработки
персональных данных в ОАО "РЖД".
2. Утвердить прилагаемые:
Положение об обработке и защите персональных данных работников ОАО "РЖД";
Порядок обработки и обеспечения режима защиты персональных данных работников ОАО "РЖД".
3. Руководителям подразделений аппарата управления, филиалов и стру ктурных подразделений ОАО
"РЖД":
1) до 30 августа 2016 г.:
а) назначить из числа своих заместителей ответственных за организацию обработки персональных
данных;
б) определить лиц, уполномоченных на обработку персональных данных;
в) ознакомить работников под подпись с утвержденными настоящим приказом документами и
обеспечить их исполнение;
г) организовать подписание работниками согласия на обработку персональных данных,
предусмотренного Порядком, утвержденным настоящим приказом;
2) до 30 сентября 2016 г. прив ести в соответствие с утвержденными настоящим приказом
документами должностные инструкции работников, функции которых связаны с обработкой персональных
данных, а также организационно -распорядительные документы.
4. Начальнику Департамента управления дочерни ми и зависимыми обществами Давыдову А.Ю.:
1) обеспечить доведение до 30 августа 2016 г. утвержденных настоящим приказом документов до
дочерних и зависимых обществ ОАО "РЖД";
2) инициировать разработку и утверждение органами управления дочерних и зависимых обществ
внутренних нормативных документов, содержащих требования к обработке и обеспечению режима защиты
персональных данных работников, соответствующих документам, утвержденным настоящим приказом.
5. Начальнику Управления по защите персональных данных Ери ну Л.Т. контролировать исполнение
подразделениями аппарата управления, филиалами и структурными подразделениями, а также дочерними
и зависимыми обществами ОАО "РЖД" утвержденных настоящим приказом документов и оказывать им
методическую помощь.
6. Признать утратившим силу приказ ОАО "РЖД" от 10 июня 2013 г. N 48 "Об утверждении типового
положения о защите персональных данных работников ОАО "РЖД".
7. Контроль за исполнением настоящего приказа возложить на вице -президентов Федосеева Н.В. и
Шаханова Д.С.
Президент ОАО "РЖД"
О.В.Белозеров
Страница 3
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 3 из 32
УТВЕРЖДЕНО
приказом ОАО "РЖД"
от 20 июля 2016 г. N 60
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ Д АННЫХ РАБОТНИКОВ ОАО "РЖД"
I. Общие положения
1. Настоящее Положение, разработанное в соответствии с Конституцией Российской Федерации,
Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, федеральными
законами "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных" , "О персональных данных" , "Об информации, информационных
технологиях и о защите информации" , иными нормативными правовыми актами Российской Федерации и
нормативными документами ОАО "РЖД", определяет цели, принципы, условия и правила о бработки
персональных данных работников, меры по обеспечению режима их защиты, права и обязанности
субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих
обработку персональных данных.
2. Настоящее Положение распрос траняется на подразделения аппарата управления, филиалы и
структурные подразделения ОАО "РЖД".
3. ОАО "РЖД" является оператором, самостоятельно или совместно с другими лицами организующим
и (или) осуществляющим обработку персональных данных работников и др угих субъектов персональных
данных в целях:
обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации;
обеспечения выполнения трудовых договоров с работниками;
содействия работникам в обучении и продвижении по службе;
обеспечени я личной безопасности работников;
контроля количества и качества выполняемой работы и обеспечения сохранности имущества ОАО
"РЖД";
обеспечения транспортной безопасности;
обеспечения пропуска субъектов персональных данных на объекты ОАО "РЖД";
выполнения со циальных обязательств, а также в других целях, предусмотренных уставом и
нормативными документами ОАО "РЖД".
4. Действие настоящего Положения не распространяется на отношения, возникающие при:
хранении, комплектовании, учете и использовании сведений, содер жащих персональные данные,
архивных документов ОАО "РЖД" (документов, законченных делопроизводством и переданных на хранение
в соответствующий архив ОАО "РЖД") в соответствии с законодательством об архивном деле в Российской
Федерации;
обработке персональн ых данных, отнесенных в установленном порядке к сведениям, составляющим
государственную тайну.
5. Руководители подразделений аппарата управления, филиалов и структурных подразделений ОАО
"РЖД" несут персональную ответственность за обработку и обеспечение р ежима защиты персональных
данных, выполнение работниками требований законодательства Российской Федерации и нормативных
документов ОАО "РЖД" в области обработки и защиты персональных данных.
II. Основные понятия
6. В настоящем Положении используются след ующие понятия:
1) работник - физическое лицо, вступившее в трудовые отношения с ОАО "РЖД";
2) персональные данные - любая информация, относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту персональных данных);
3) субъе кты персональных данных - работники, их близкие родственники, кандидаты для приема на
работу (соискатели), пенсионеры, состоящие на учете в ОАО "РЖД", и их официальные представители, а
также иные лица, чьи персональные данные стали известны в силу предоста вления им со стороны ОАО
"РЖД" социальных льгот, гарантий и компенсаций;
4) подразделения ОАО "РЖД" - подразделения аппарата управления, филиалы и структурные
подразделения ОАО "РЖД";
Страница 4
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 4 из 32
5) ответственный за организацию обработки персональных данных в подразде лении -
уполномоченное лицо, назначаемое руководителем подразделения;
6) уполномоченные работники - работники ОАО "РЖД", имеющие допуск к персональным данным
субъектов персональных данных;
7) персональные данные ограниченного доступа - персональные данные субъектов персональных
данных, подлежащие защите в установленном законодательством Российской Федерации порядке;
8) специальные категории персональных данных - персональные данные субъектов персональных
данных, касающиеся расовой, национальной принадлежнос ти, политических взглядов, религиозных или
философских убеждений, состояния здоровья, интимной жизни и судимости;
9) биометрические персональные данные - сведения, характеризующие физиологические и
биологические особенности субъекта персональных данных, ко торые используются оператором для
установления личности субъекта персональных данных;
10) информационная система ОАО "РЖД" - совокупность содержащейся в базах данных информации
и обеспечивающих ее обработку информационных технологий и технических средств;
11) обработка персональных данных - любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию, накопл ение, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение, предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
12) автоматизированная обработка персональных данных - обработка персональных данных с
помощью средств вычислительной техники;
13) неавтоматизированная обработка персональных данных - обработка персональных данных,
осуществляемая при непосредственном участии человека без использования средств вычислительной
техники;
14) передача персональных данных - любое действие или совокупность действий, совершаемых с
использованием средств автоматизации или без использования таких средств, представляющих собой
доступ, распространение, предоставление персональных данных;
15) распространение персональных данных - действия, направленные на раскрытие персональных
данных неопределенному кругу лиц;
16) блокирование персональных данных - временное прекращение обработки персональных данных
(за исключением случаев, если обработка н еобходима для уточнения персональных данных);
17) уничтожение персональных данных - действия, в результате которых становится невозможным
восстановить содержание персональных данных в информационной системе и (или) в результате которых
уничтожаются материа льные носители;
18) трансграничная передача персональных данных - передача персональных данных на территорию
иностранного государства органу власти иностранного государства, иностранному физическому или
юридическому лицу;
19) конфиденциальность персональны х данных - обязательное для соблюдения ОАО "РЖД"
требование не раскрывать третьим лицам персональные данные и не допускать их распространение без
согласия субъектов персональных данных или наличия иного законного основания;
20) безопасность персональных да нных - состояние защищенности персональных данных,
характеризуемое способностью пользователей, технических средств и информационных технологий
обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в
информационных си стемах персональных данных;
21) защита персональных данных - деятельность ОАО "РЖД", включающая принятие правовых,
организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа,
уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также
от иных неправомерных действий в отношении персональных данных;
22) режим защиты персональных данных - нормативно установленные правила, определяющие
ограничения доступа к персональным данным, порядок п ередачи и условия их хранения.
III. Состав и категории персональных данных, обрабатываемых в подразделениях ОАО "РЖД"
7. Состав персональных данных, обрабатываемых в подразделениях ОАО "РЖД":
1) фамилия, имя, отчество (в том числе предыдущие фамилии, име на и (или) отчества в случае их
изменения);
2) число, месяц, год рождения;
Страница 5
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 5 из 32
3) место рождения;
4) сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства;
5) вид, серия, номер документа, удостоверяющего личность, дата выдач и, наименование органа,
выдавшего его;
6) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического
проживания;
7) номера рабочих, домашних и мобильных телефонов или сведения о других способах связи;
8) реквизиты свидетельства обя зательного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты полиса обязательного медицинского страхования;
11) реквизиты свидетельства о браке;
12) сведения о семейном положении, составе семьи и близких родственниках, об рабатываемые в
соответствии с законодательством Российской Федерации;
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании (когда и какие образовательные, научные и иные орг анизации окончил,
номера документов об образовании, направление подготовки или специальность по документу об
образовании, квалификация);
16) сведения об ученой степени;
17) сведения о владении иностранными языками, включая уровень владения;
18) фотография работника;
19) сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому
договору;
20) сведения о пребывании за границей;
21) сведения о наличии или отсутствии судимости - только кандидатов для приема на работу
(соискателей) - в сл учаях, определенных федеральными законами;
22) сведения об оформленных допусках к государственной тайне;
23) сведения о государственных наградах, иных наградах и знаках отличия;
24) сведения о профессиональной переподготовке и (или) повышении квалификации;
25) результаты медицинского обследования работника на предмет годности к выполнению трудовых
обязанностей;
26) сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с
обучением (учебных отпусках) и отпусках без сохранения зар аботной платы;
27) сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и
социальных выплат;
28) другие персональные данные, необходимые для обеспечения реализации целей обработки,
указанных в пункте 3 настоящего Положения.
8. Категории пер сональных данных, обрабатываемых в подразделениях ОАО "РЖД":
1) персональные данные, включенные с письменного согласия субъекта персональных данных в
общедоступные источники персональных данных (корпоративные справочники, адресные книги):
а) фамилия, имя, отчество;
б) место работы;
в) занимаемая должность;
г) номера стационарных и мобильных рабочих телефонов;
д) адреса корпоративной электронной почты;
е) фотография работника;
2) персональные данные ограниченного доступа - персональные данные, перечисленные в пункте 7
настоящего Положения, за исключением персональных данных, перечисленных в подпункте 1 настоящего
пункта;
3) специальные категории персональных данных, касающиеся состояния здоровья работников
(обрабатываются в соответствии с требованиями федеральных законов "О персональных данных" и "Об
основах охраны здоровья граждан в Российской Федерации" );
4) иные специальные категории персональных данных и биометрические персональные данные
(обрабатываются в соответств ии с требованиями законодательства Российской Федерации).
9. Документы, содержащие персональные данные:
1) анкета, автобиография, которые заполняются при приеме на работу;
2) копия документа, удостоверяющего личность;
Страница 6
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 6 из 32
3) личная карточка работника (форма N Т -2);
4) трудовая книжка или ее копия;
5) копии свидетельств о заключении брака, рождении детей;
6) документы воинского учета;
7) справки о доходах с предыдущего места работы;
8) копии документов об образовании;
9) копии документов обязательного пенсионного страхования;
10) трудовой договор;
11) подлинники и копии приказов по личному составу;
12) матери алы по повышению квалификации и переподготовке, аттестации, служебным
расследованиям;
13) копии отчетов, направляемые в органы статистики;
14) другие документы, содержащие персональные данные.
IV. Принципы, условия и правила обработки персональных данных
10. Принципы обработки персональных данных:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, заранее
определенных и законных целей. Не допускается обработка персональных данных, не совместимая с
целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых
осуществляется в целях, не совместимых между собой;
4) обработке подле жат только те персональные данные, которые отвечают целям их обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным
целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к
заявленным целям их обработки;
6) при обработке персональных данных должны быть обеспечены их точность и достаточность, а в
необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по
отношению к целям обработки;
7) хран ение персональных данных должно осуществляться в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
11. Условия обработки персональных данных:
1) обработка персональных данных осущес твляется с согласия субъектов персональных данных, если
иное не предусмотрено федеральными законами. Получение согласия осуществляется в соответствии с
Порядком обработки и обеспечения режима защиты персональных данных работников ОАО "РЖД" (далее -
Порядок обработки персональных данных);
2) обработка персональных данных необходима для:
а) выполнения возложенных на ОАО "РЖД" законодательством Российской Федерации и уставом
ОАО "РЖД" функций, полномочий и обязанностей;
б) осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц,
подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном
производстве;
в) исполнения договора в рамках трудовых и (или) гражданско -правовых отношений, стороной
которого либо выгодоприобретателем или поручителем по которому является субъект персональных
данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по
которому субъект персональных данных будет являться выгодоприобр етателем или поручителем;
г) защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных,
если получение его согласия невозможно;
д) осуществления прав и законных интересов оператора или третьих лиц либо для достижения
общественн о значимых целей при условии, что при этом не нарушаются права и свободы субъекта
персональных данных;
3) обрабатываются персональные данные, подлежащие опубликованию или обязательному
раскрытию в соответствии с федеральными законами.
12. Персональные данн ые обрабатываются подразделениями ОАО "РЖД" следующими способами:
1) неавтоматизированная обработка;
2) автоматизированная обработка.
Страница 7
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 7 из 32
13. Обработка персональных данных осуществляется путем:
1) получения оригиналов необходимых документов, предоставляемых су бъектами персональных
данных;
2) получения заверенных в установленном порядке копий документов, содержащих персональные
данные, или копирования оригиналов документов;
3) формирования персональных данных в ходе кадровой работы;
4) получения информации, соде ржащей персональные данные, в устной и письменной форме
непосредственно от субъектов персональных данных;
5) получения персональных данных в ответ на запросы, направляемые ОАО "РЖД" в органы
государственной власти, государственные внебюджетные фонды, иные государственные органы, органы
местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и
порядке, предусмотренных законодательством Российской Федерации;
6) получения персональных данных из общедоступных источников;
7) фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных
формах;
8) внесения персональных данных в информационные системы ОАО "РЖД";
9) использования иных средств и способов фиксации персональных данных, получаемых в рамка х
осуществляемой ОАО "РЖД" деятельности.
14. ОАО "РЖД" вправе поручить обработку персональных данных другому лицу на основании
заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных, обязано
соблюдать принципы и правила обра ботки персональных данных, предусмотренные законодательством
Российской Федерации в области обработки и защиты персональных данных и настоящим Положением.
15. Передача персональных данных третьим лицам, в том числе трансграничная передача,
допускается толь ко с письменного согласия субъектов персональных данных, за исключением случаев,
когда это необходимо для предупреждения угрозы жизни и здоровью субъектов персональных данных, а
также в иных случаях, предусмотренных федеральными законами.
Персональные данн ые передаются третьим лицам в соответствии с Порядком обработки
персональных данных.
16. Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в
случае утраты необходимости в достижении этих целей, если иное не предусмотрен о федеральным
законом.
17. Сроки обработки, хранения и порядок уничтожения персональных данных на материальных
носителях, а также в информационных системах ОАО "РЖД" определяются Порядком обработки
персональных данных.
V. Меры по обеспечению режима защиты персональных данных
18. Подразделения ОАО "РЖД" обеспечивают режим защиты персональных данных при их обработке
в соответствии с законодательством Российской Федерации и нормативными документами ОАО "РЖД" на
основании принимаемых ими правовых, организацио нных и технических мер для защиты персональных
данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения, а также от иных неправомерных действий.
19. Режим защиты персональных данных обеспечивает предотвращение нарушения
конфиденциальности, целостности и доступности персональных данных при их обработке.
20. Защита персональных данных в подразделениях ОАО "РЖД" предусматривает ограничение
доступа к ним.
Доступ к персональным данн ым субъектов персональных данных разрешается в соответствии с
Порядком обработки персональных данных только уполномоченным работникам, которым эти
персональные данные необходимы для выполнения должностных обязанностей.
21. Подразделения ОАО "РЖД" обеспечив ают безопасность персональных данных при их обработке в
соответствии с федеральными законами, указами Президента Российской Федерации, постановлениями
Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, Порядком
обработки персональных данных и другими нормативными документами ОАО "РЖД".
22. Обеспечение безопасности персональных данных достигается путем:
1) определения угроз безопасности персональных данных при их обработке;
2) применения организационных и технических мер п о обеспечению безопасности персональных
данных при их обработке;
Страница 8
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 8 из 32
3) проведения проверки соответствия законодательству Российской Федерации в области обработки
и защиты персональных данных применяемых мер защиты информации и оценки их эффективности;
4) учет а машинных носителей персональных данных в установленном ОАО "РЖД" порядке;
5) обнаружения фактов несанкционированного доступа к персональным данным и принятия
соответствующих мер;
6) восстановления персональных данных, измененных или уничтоженных вследств ие
несанкционированного доступа к ним;
7) установления правил доступа к персональным данным, обрабатываемым в информационной
системе, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными
в информационной системе ОАО "Р ЖД", в установленном ОАО "РЖД" порядке;
8) внутреннего контроля за соблюдением подразделениями ОАО "РЖД" при обработке персональных
данных законодательства Российской Федерации и нормативных документов ОАО "РЖД".
23. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в
соответствии со специальными требованиями к технической защите информации, определенными ФСТЭК
России, а также в соответствии с нормативными документами ОАО "РЖД" в области обеспечения
информационной безопасно сти.
24. При автоматизированной обработке персональных данных для каждой информационной системы
организационные и (или) технические меры определяются с учетом уровней защищенности персональных
данных, актуальных угроз безопасности персональных данных и инф ормационных технологий,
используемых в информационной системе ОАО "РЖД".
VI. Права и обязанности субъектов персональных данных
25. Субъекты персональных данных имеют право на:
1) полную информацию о своих персональных данных, обрабатываемых подразделения ми ОАО
"РЖД";
2) доступ к своим персональным данным, включая право на получение копии любой записи,
содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;
3) уточнение своих персональных данных, их блокирование или у ничтожение в случае, если
персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки;
4) дополнение своих персональных данных оценочного характера заявлением, выражающим
собственную точку зрения;
5) извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные
данные, обо всех произведенных в них исправлениях или дополнениях;
6) отзыв согласия на обработку своих персональных данных;
7) обжалование в соответствии с законодательством Российской Федерации действий ОАО "РЖД"
при обработке персональных данных или его бездействия;
8) осуществление иных прав, предусмотренных законодательством Российской Федерации.
26. Субъекты персональных данных обязаны:
1) предоставить ОАО "РЖД" свои персональные данные в соответствии с законодательством
Российской Федерации и настоящим Положением;
2) своевременно информировать ОАО "РЖД" об изменениях своих персональных данных;
3) обеспечить конфиденциальность персональных данных других субъектов персональных данных в
соответствии с требованиями законодательства Российской Федерации, Кодекса деловой этики и других
нормативных документов ОАО "РЖД".
VII. Обязанности ОАО " РЖД"
27. ОАО "РЖД" обязано принимать следующие необходимые и достаточные меры для выполнения
обязанностей оператора, предусмотренных законодательством Российской Федерации:
1) назначать ответственного за организацию обработки персональных данных;
2) издав ать документы, определяющие политику ОАО "РЖД" в отношении обработки персональных
данных, нормативные документы по вопросам обработки персональных данных, а также нормативные
документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений
законодательства Российской Федерации и устранение последствий таких нарушений;
3) применять правовые, организационные и технические меры для защиты персональных данных
Страница 9
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 9 из 32
субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения, а также от иных
неправомерных действий;
4) разъяснять субъектам персональных данных юридические последствия отказа предоставить их
персональные данные, если предоставление персональных данных является обязательным в соответствии
с законодательством Российской Федерации;
5) блокировать неправомерно обрабатываемые персональные данные, прекращать обработку
персональных данных в соответствии с законодательством Российской Федер ации;
6) уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке
их персональных данных;
7) представлять субъектам персональных данных по их просьбе или их представителям информацию,
касающуюся обработки их персональных да нных, в порядке, установленном законодательством Российской
Федерации и нормативными документами ОАО "РЖД";
8) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных
законодательству Российской Федерации о персональных да нных, требованиям к защите персональных
данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
9) проводить оценку вреда, который может быть причинен субъектам персональных данных в случае
нарушения законодательств а Российской Федерации о персональных данных, соотношения указанного
вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей,
предусмотренных законодательством Российской Федерации в области обработки и защиты персональных
данных.
VIII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
28. Лица, виновные в нарушении законодательства Российской Федерации и нормативных
документов ОАО "РЖД" в области обработки и защиты персональных данных, несут дисциплинарную,
гражданско -правовую, административную и уголовную ответственность.
29. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав,
правил обработки персональных данных, а также требований к защите персональ ных данных,
установленных законодательством Российской Федерации и нормативными документами ОАО "РЖД" в
области обработки и защиты персональных данных, подлежит возмещению в соответствии с
законодательством Российской Федерации.
УТВЕРЖДЕН
приказом ОАО "РЖД"
от 20 июля 2016 г. N 60
ПОРЯДОК
ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО
"РЖД"
I. Общие положения
1. Настоящий Порядок, разработанный в соответствии с законодательством Российской Федерации в
области обработки и защ иты персональных данных, политикой ОАО "РЖД" по обработке и защите
персональных данных, Положением об обработке и защите персональных данных работников ОАО "РЖД" и
другими нормативными документами ОАО "РЖД", устанавливает единые корпоративные требования к
обработке и обеспечению режима защиты персональных данных работников ОАО "РЖД".
2. Требования настоящего Порядка обязательны для выполнения работниками подразделений
аппарата управления, филиалов и структурных подразделений ОАО "РЖД" (далее - подразделения ОАО
"РЖД").
3. В настоящем Порядке используются следующие понятия и термины:
1) допуск к обработке персональных данных - процедура оформления права на доступ к
персональным данным;
Страница 10
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 10 из 32
2) доступ к персональным данным - возможность обработки персональных данны х;
3) разглашение персональных данных - действия (бездействие), в результате которых персональные
данные в любой возможной форме (устной, письменной, иной форме, в том числе с использованием
технических средств) становятся известными третьим лицам без пись менного согласия субъекта
персональных данных;
4) обезличивание персональных данных - действия, в результате которых становится невозможным
без использования дополнительной информации определить принадлежность персональных данных
конкретному субъекту персо нальных данных;
5) удаление персональных данных - действия, в результате которых становится невозможным
ознакомиться с их содержанием в информационной системе персональных данных;
6) вымарывание персональных данных - действия, исключающие дальнейшую обрабо тку этих
персональных данных с сохранением возможности обработки иных данных, зафиксированных на
материальном носителе;
7) уполномоченный орган по защите прав субъектов персональных данных - федеральная служба по
надзору в сфере связи, информационных техно логий и массовых коммуникаций (Роскомнадзор);
8) контролируемая зона - пространство (административные здания ОАО "РЖД", прилегающая к ним
территория), на котором на законных основаниях осуществляется контроль за пребыванием и действиями
физических лиц и (и ли) транспортных средств;
9) материальный носитель - бумажный или машинный носитель, предназначенный для фиксирования,
передачи и хранения персональных данных;
10) машинный носитель - материальный носитель информации, предназначенный для записи и
воспроизв едения информации средствами вычислительной техники, а также сопрягаемыми с ними
устройствами (внутренние жесткие диски, флэш -накопители, внешние жесткие диски, CD -диски и иные
устройства);
11) электронный документ - документированная информация, представл енная в электронной форме,
то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных
машин, а также для передачи по информационно -телекоммуникационным сетям или обработки в
информационных системах ОАО "РЖД";
12) ПЭВМ - персональная электронная вычислительная машина;
13) СНИ - съемные машинные носители информации, используемые для хранения информации вне
ПЭВМ (флэш -накопители, внешние жесткие диски, CD -диски и иные устройства).
Понятия "работник", "персональные данные", " субъекты персональных данных", "подразделения ОАО
"РЖД", "ответственный за организацию обработки персональных данных в подразделении",
"уполномоченные работники", "информационная система ОАО "РЖД", "обработка персональных данных",
"автоматизированная обраб отка персональных данных", "неавтоматизированная обработка персональных
данных", "передача персональных данных", "распространение персональных данных", "блокирование
персональных данных", "уничтожение персональных данных", "трансграничная передача персонал ьных
данных", "конфиденциальность персональных данных", "безопасность персональных данных", "защита
персональных данных", "режим защиты персональных данных" используются в настоящем Порядке в
значениях, которые предусмотрены в пункте 6 Положения об обработке и защите персональных данных
работников ОАО "РЖД".
II. Допуск и доступ к обработке персональных данных
4. Основанием для допуска работника к обработке персональных дан ных является приказ о
назначении его на должность, должностная инструкция, предусматривающая обработку персональных
данных, обязательство о неразглашении персональных данных, составленное по форме согласно
приложен ию N 1 .
5. Руководитель подразделения ОАО "РЖД":
1) назначает приказом, составленным по форме согласно приложению N 2 , ответственного за
организацию обработки персональных данных;
2) утверждает список работников, уполномоченных на обработку персональных данных,
составленный по форме согласно приложению N 3 . Уполномоченные работники имеют право обрабатывать
только те персональные данные, которые необходимы для выполнения к онкретных функций в
определенных целях;
3) до предоставления доступа к обработке персональных данных ответственного за организацию
обработки персональных данных в подразделении и уполномоченных работников обеспечивает:
Страница 11
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 11 из 32
а) их ознакомление под подпись с наст оящим Порядком;
б) подписание ими обязательства о неразглашении персональных данных, составленного по форме
согласно приложению N 1 .
Обязательство о неразглашении персональных данных хранится в личном деле работни ка.
6. Обязанности ответственных за организацию обработки персональных данных, а также
уполномоченных работников в подразделении включаются в их должностные инструкции.
7. Доступ уполномоченных работников к обработке персональных данных в информационных
си стемах ОАО "РЖД" осуществляется в соответствии с Порядком предоставления доступа к
информационным системам ОАО "РЖД", утвержденным распоряжением ОАО "РЖД" от 28 ноября 2011 г. N
2546р.
8. Представители сторонних органи заций допускаются к обработке персональных данных на
основании заключаемых договоров в соответствии с требованиями, изложенными в пункте 21 настоящего
Порядка.
III. Требования к обработке персональных данных
9. Требования к обработке персональных данных, устанавливаемые настоящим Порядком,
распространяются на персональны е данные, состав и категории которых, а также перечень документов, их
содержащих, определены в разделе III Положения об обработке и защите п ерсональных данных
работников ОАО "РЖД".
Обработка персональных данных, не отвечающая целям обработки, запрещается.
10. При приеме на работу уполномоченный работник получает у субъекта персональных данных
согласие на обработку его персональных данных, в то м числе на включение персональных данных в
общедоступные источники персональных данных (корпоративные справочники, адресные книги), которое
оформляется по форме согласно приложению N 4 .
11. В случаях, предусмотрен ных федеральными законами, когда обработка персональных данных
субъекта персональных данных осуществляется только с его согласия, уполномоченный работник получает
у субъекта персональных данных согласие на обработку его персональных данных, составленное по форме
согласно приложению N 5 .
12. Согласие на обработку персональных данных уполномоченный работник получает у субъекта
персональных данных до начала их обработки.
13. Согласия на обработку персональных данных р аботников хранятся в их личных делах.
14. Получение согласия близких родственников работника на обработку их персональных данных не
требуется при заполнении анкет в объеме, предусмотренном унифицированной формой N Т -2, либо в
случаях, установленных законодательством Российской Федерации (исполнение законодательства в сфере
транспортной безопасности, полу чение алиментов, оформление допуска к государственной тайне,
оформление социальных выплат и другие случаи).
15. В иных случаях получение согласия близких родственников работника является обязательным
условием обработки их персональных данных и оформляется по форме согласно приложению N 5 .
16. Субъект персональных данных вправе отозвать согласие на обработку персональных данных,
направив в ОАО "РЖД" отзыв, составленный по форме согласно приложению N 6 , либо в произвольной
форме.
17. В случае отзыва субъектом персональных данных согласия на обработку персональных данных
ОАО "РЖД" вправе продолжить обработку персональных данных без согласия субъекта персональных
данных при нал ичии оснований, предусмотренных законодательством Российской Федерации.
18. Если персональные данные работника возможно получить только у третьей стороны, то работник
должен быть уведомлен об этом заранее по форме согласно приложению N 7 , и дать письменное согласие
на получение персональных данных у третьих лиц, составленное по форме согласно приложению N 8 .
ОАО "РЖД" сообщает работнику о целях, предполагаемых источниках и способах получения
персональных данных, а также о характере подлежащих получению персональных данных и последствиях
отказа работника от дачи письменного согласия на их получение.
Необходимость согласия на получение персональных данных у третьих лиц и напр авления
уведомления об этом может возникнуть, например, при подтверждении факта получения диплома,
свидетельства, аттестата об образовании, при восстановлении трудовой книжки, свидетельства о
получении квалификации, при подтверждении факта работы в том или ином месте, факта смены фамилии
и др., в том числе если утрата сведений произошла в связи со стихийными бедствиями, иными
обстоятельствами.
Страница 12
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 12 из 32
19. ОАО "РЖД" не вправе запрашивать у третьих лиц даже с согласия субъекта персональных данных
информацию, не имеющ ую отношения к целям обработки персональных данных.
20. ОАО "РЖД" вправе поручить обработку персональных данных субъектов персональных данных с
их согласия другому лицу на основании заключаемого с ним договора.
21. Договор должен содержать перечень действи й (операций) с персональными данными, цели
обработки, обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать
безопасность персональных данных при их обработке, а также требования к защите обрабатываемых
персональных данных в соотв етствии с законодательством Российской Федерации, настоящим Порядком и
иными нормативными документами ОАО "РЖД".
22. Если при обращении субъекта персональных данных либо уполномоченного органа по защите
прав субъектов персональных данных выявлены неточные персональные данные или неправомерная
обработка персональных данных, ОАО "РЖД" обязано осуществить блокирование таких персональных
данных с момента обращения на период проверки.
При подтверждении факта неточности персональных данных ОАО "РЖД" обязано уточн ить
персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять
блокирование персональных данных.
При выявлении неправомерной обработки персональных данных ОАО "РЖД" обязано прекратить их
обработку в срок, не превышающий 3 рабо чих дней с даты выявления. В случае если обеспечить
правомерность обработки персональных данных невозможно, ОАО "РЖД" обязано уничтожить такие
персональные данные в срок, не превышающий 10 рабочих дней с даты выявления неправомерной
обработки персональных данных.
Об устранении допущенных нарушений или об уничтожении (невозможности уничтожить)
персональных данных ОАО "РЖД" обязано письменно уведомить субъекта персональных данных по форме
согласно приложению N 9 или устно и приобщить копию уведомления или справку об уведомлении к
материалам расследования (проверки).
В случае если обращение субъекта персональных данных либо запрос уполномоченного органа по
защите прав субъектов персональных данных были направлены упол номоченным органом по защите прав
субъектов персональных данных, ОАО "РЖД" обязано уведомить указанный орган.
23. Обработка персональных данных кандидатов для приема на работу осуществляется в
соответствии с требованиями раздела III настоящего Порядка. При обработке персональных данных
кандидатов оформляется согласие по форме согласно приложению N 5 .
При этом для кандидатов, поступающих на работу, действует несколько особых случаев:
1) письменное согласие не требуется, если от имени кандидата действует кадровое агентство, с
которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении
кандидатом своего резюме в сети Интернет, доступного неограниченному кругу лиц;
2) письменное согласие кандидата не требуется при поступлении резюме кандидата из банка
вакансий, размещенных на сайте ОАО "РЖД", так как согласие заполняется при размещении резюме на
сайте;
3) если ре зюме кандидата поступило по электронной почте или факсу, уполномоченному работнику
необходимо подтвердить факт направления указанного резюме самим кандидатом. Если из резюме
невозможно однозначно определить физическое лицо, его направившее, данное резюме п одлежит
уничтожению в день поступления.
24. Обезличивание персональных данных, обрабатываемых в информационных системах ОАО
"РЖД", в случае необходимости осуществляется с учетом Требований и методов по обезличиванию
персональных данных, обрабатываемых в информационных системах персональных данных, в том числе
созданных и функционирующих в рамках реализ ации федеральных целевых программ, утвержденных
приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых
коммуникаций от 5 сентября 2013 г. N 996.
Обязанности лиц, осуществляющих проведение мероприятий по обезличиванию п ерсональных
данных, включаются в их должностные инструкции.
25. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные
данные документов Архивного фонда Российской Федерации и других архивных документов
регламентируются Фед еральным законом "Об архивном деле в Российской Федерации" , Перечнем типовых
управленческих архивных документов, образующихся в процессе деятельности государственных органов,
органов местного само управления и организаций, с указанием сроков хранения, утвержденным приказом
Минкультуры России от 25 августа 2010 г. N 558, Перечнем докумен тов, образующихся в деятельности ОАО
"РЖД", с указанием сроков хранения, утвержденным распоряжением ОАО "РЖД" от 28 декабря 2007 г. N
Страница 13
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 13 из 32
2474р, Инструкцией по делопроизводству и документированию управленческой деятельности в ОАО "РЖД",
утвержденной приказом ОАО "РЖД" от 17 июня 2013 г. N 55, Инструкцией по кадровому делопроизводству,
утвержденной распоряжением ОАО "РЖД" от 30 июня 2006 г. N 1 335р.
26. Безопасность персональных данных обеспечивается реализацией комплекса мер, определенных
федеральными законами, указами Президента Российской Федерации, постановлениями Правительства
Российской Федерации, приказами ФСТЭК России, ФСБ России, Роском надзора, нормативными
документами ОАО "РЖД", в том числе включающих:
1) организацию работы с персональными данными, обеспечивающей сохранность носителей
персональных данных и средств защиты информации;
2) размещение информационных систем ОАО "РЖД" и специа льного оборудования в помещениях,
исключающих возможность неконтролируемого пребывания в них посторонних лиц;
3) разграничение доступа пользователей и работников, обслуживающих средства вычислительной
техники, к информационным ресурсам, программным средств ам обработки (передачи) и защиты
информации;
4) учет документов, информационных массивов, содержащих персональные данные;
5) регистрацию действий пользователей информационных систем и работников, обслуживающих
средства вычислительной техники, в порядке, пр инятом ОАО "РЖД";
6) контроль действий и недопущение несанкционированного доступа к персональным данным
пользователей информационных систем ОАО "РЖД", персонала, обслуживающего средства
вычислительной техники;
7) хранение и использование материальных носит елей, исключающих их хищение, подмену и
уничтожение;
8) необходимое резервирование технических средств и дублирование массивов и носителей
информации, содержащей персональные данные.
Для каждой информационной системы ОАО "РЖД" организационные и (или) техни ческие меры
определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности
персональных данных и информационных технологий, используемых в информационной системе.
27. Персональные данные при их обработке, осуществляемой без и спользования средств
автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных
материальных носителях, в специальных разделах или на полях форм (бланков).
28. При несовместимости целей обработки персональных данных, зафиксированных на одном
материальном носителе, если материальный носитель не позволяет осуществлять обработку
персональных данных отдельно от других зафиксированных на том же носителе персональных данных,
должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных
отдельно от находящихся на том же материальном носителе других персональных данных осуществляется
копирование персональных данных, подлежащих распространению или использованию, способом,
исключающим одновременное копирование персональных данных, не подлежащих распространению и
использованию, и используется (распространяется) копия персональных данных;
2) при необходимости унич тожения или блокирования части персональных данных уничтожается или
блокируется материальный носитель с предварительным копированием сведений, не подлежащих
уничтожению или блокированию, способом, исключающим одновременное копирование персональных
данных, подлежащих уничтожению или блокированию.
29. При использовании типовых форм документов, в которые предполагается или допускается
включение персональных данных, должны соблюдаться условия, предусмотренные пунктом 7 Положения
об особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008
г. N 687.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для
однократного пропуска субъекта персональных данных в контролируемую зону или в иных аналогичных
целях, д олжны соблюдаться условия, предусмотренные пунктом 8 указанного положения.
30. Уточнение персональных данных производится путем их обновления или изменения на
материальном носителе, а если это не допускается особенностями материального носителя - путем
изг отовления нового материального носителя с уточненными персональными данными.
31. При работе с документами, содержащими персональные данные, должны быть приняты меры,
исключающие возможность ознакомления с этими документами посторонних лиц, в том числе рабо тников,
не уполномоченных на обработку персональных данных.
Страница 14
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 14 из 32
32. Документы, содержащие персональные данные, должны храниться в специальном шкафу или
помещении, обеспечивающем защиту от несанкционированного доступа.
33. Дела, содержащие персональные данные, должны находиться в рабочих кабинетах или в
специально отведенных для их хранения помещениях, располагаться в запираемых шкафах,
обеспечивающих их полную сохранность.
34. Средства защиты информации, обеспечивающие защиту персональных данных, должны
удовлет ворять требованиям, утвержденным постановлением Правительства Российской Федерации от 1
ноября 201 2 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных", а также нормативным правовым актам в области
обработки и защиты персональных данных Федеральной службы безопасности Россий ской Федерации и
Федеральной службы по техническому и экспортному контролю.
35. Автоматизированная обработка персональных данных разрешается только при условии
применения средств защиты информации, обеспечивающих нейтрализацию актуальных угроз,
определенны х частью 5 статьи 19 Федерального закона "О персональных данных".
36. Во время эксплуатации средст в вычислительной техники, предназначенных для обработки
персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного
подключения к внешним информационным системам, внешним информационно -телекоммуникационным
сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных,
профилактических и других видов работ.
37. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении
каждой категории персональных данных можно было определи ть места хранения персональных данных
(материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных
либо имеющих к ним доступ.
38. Во время перерывов в работе, а также после окончания работы с документами, содержащими
пер сональные данные, необходимо:
убирать документы с поверхности рабочих столов в запирающееся хранилище (сейф, шкаф);
блокировать средство вычислительной техники с помощью защищенной паролем экранной заставки;
принимать необходимые меры по недопущению исполь зования средства вычислительной техники
другими работниками и посторонними лицами.
IV. Требования к обращению с материальными носителями персональных данных, их учет и хранение
39. Требования к подготовке, оформлению, обработке, прохождению (согласованию ), регистрации и
хранению бумажных носителей персональных данных определяются нормативными документами ОАО
"РЖД", устанавливающими порядок ведения делопроизводства, с учетом положений, предусмотренных
настоящим Порядком.
40. Персональные данные субъектов п ерсональных данных хранятся на бумажных носителях в
соответствии с номенклатурой дел и в электронном виде (в информационных системах ОАО "РЖД", на
ПЭВМ, а также на съемных магнитных, оптических и других цифровых носителях), с соблюдением условий,
обеспечив ающих их защиту от несанкционированного доступа.
41. Черновики и рабочие варианты документов, содержащих персональные данные, уничтожаются
исполнителем без возможности восстановления.
42. При хранении материальных носителей должны соблюдаться условия, обес печивающие
сохранность персональных данных и исключающие несанкционированный доступ к ним.
Хранение материальных носителей должно осуществляться в помещениях, находящихся в
контролируемой зоне.
43. Руководителем подразделения ОАО "РЖД" утверждается перечен ь помещений, в которых
хранятся материальные носители персональных данных, по форме согласно приложению N 10 .
44. Копирование и печатание документов, содержащих персональные данные, должно
осуществляться в порядк е, исключающем возможность нарушения конфиденциальности персональных
данных.
45. При изъятии из дел или перемещении из одного дела в другое документов, содержащих
персональные данные, производится соответствующая отметка во внутренней описи дела, в которой
указывается новое местонахождение документа.
При необходимости вместо изъятых документов в дело могут быть подшиты их заверенные копии.
46. Машинные носители учитываются в журнале учета машинных носителей персональных данных,
составленном по форме согласн о приложению N 11 .
Страница 15
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 15 из 32
47. Все находящиеся на хранении и в обращении СНИ с персональными данными подлежат учету.
Каждый СНИ, предназначенный для работы с персональными данными, должен иметь этикетку, на которой
указы вается его регистрационный номер, условное или сокращенное название подразделения.
48. Запрещается:
хранить СНИ, содержащие персональные данные, на рабочих местах ненадлежащим образом или
передавать на хранение другим лицам;
выносить СНИ, содержащие персон альные данные, из рабочих помещений без служебной
необходимости.
V. Уничтожение персональных данных и их материальных носителей
49. Подразделения ОАО "РЖД" осуществляют систематический мониторинг персональных данных,
цели обработки которых достигнуты или сроки хранения которых истекли, с последующим уничтожением
документов, иных материальных носителей, содержащих персональные данные, а также удалением
персональных данных, содержащихся в информационных системах ОАО "РЖД", файлах, хранящихся на
ПЭВМ или на внешних перезаписываемых СНИ, в соответствии с законодательством Российской
Федерации или при наступлении иных законных оснований.
50. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:
1) по достижении целей обработки персон альных данных - в 30 -дневный срок;
2) в случае утраты необходимости в достижении целей обработки персональных данных - в 30 -
дневный срок;
3) в случае отзыва субъектом персональных данных согласия на обработку своих персональных
данных - в 30 -дневный срок, если иной срок не предусмотрен договором или соглашением между ОАО
"РЖД" и субъектом персональных данных либо если ОАО "РЖД" не вправе осуществлять обработку
персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных
Федеральным законом "О персональных данных" или другими федеральными законами;
4) при выявлении неправо мерной обработки персональных данных - в срок, не превышающий 10
рабочих дней с даты выявления, в следующих случаях:
а) персональные данные являются неполными, устаревшими, неточными (при условии, что уточнение
персональных данных невозможно);
б) персональные данные получены незаконно;
в) персональные данные не являются необходимыми для заявленной цели обработки.
51. Отбор к уничтожению дел (документов), содержащих персональные данные, и их уничтожение
проводятся на основании документов, указанн ых в пункте 25 настоящего Порядка.
В процессе уничтожения дел и документов необходимо исключить возможность ознакомления
посторонних лиц с содержащимися в них персональными данными.
52. Уничтожение не вошедших в дела документ ов (копий документов), содержащих персональные
данные, должно производиться в подразделении ОАО "РЖД" путем сжигания или с помощью
бумагорезательной машины. При этом должна быть исключена возможность прочтения текста
уничтоженного документа. В учетных форм ах регистрации документа при необходимости производится
соответствующая запись об уничтожении, заверенная подписями исполнителя и работника подразделения,
который осуществляет регистрацию документов.
53. Уничтожение персональных данных, хранящихся в информ ационных системах, производится в
соответствии с порядком, установленным в ОАО "РЖД".
54. Уничтожение персональных данных, хранящихся на ПЭВМ и (или) на перезаписываемых СНИ,
производится с использованием штатных средств информационных и операционных систе м.
55. Уничтожение СНИ производится путем механического нарушения целостности СНИ, не
позволяющего произвести считывание или восстановление содержания персональных данных (надлом,
физическое деформирование). В журнале учета машинных носителей персональных данных производится
соответствующая запись об уничтожении, заверенная подписями исполнителя и уполномоченного
работника подразделения ОАО "РЖД", который осуществляет регистрацию СНИ.
56. Уничтожение или обезличивание части персональных данных, если это доп ускает материальный
носитель, может производиться способом, исключающим дальнейшую обработку этих персональных
данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе
(удаление, вымарывание).
57. При утрате или нес анкционированном уничтожении СНИ проводится служебное расследование и
составляется акт. Соответствующие отметки производятся в журнале учета машинных носителей
Страница 16
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 16 из 32
персональных данных.
VI. Передача персональных данных
58. Передача персональных данных субъект ов персональных данных без их согласия допускается,
если это необходимо для исполнения судебного акта, акта другого органа или должностного лица,
подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном
производстве, по мотивированным запросам правоохранительных органов и иных органов государственной
власти в рамках установленных полномочий, а также в иных случаях предусмотренных федеральными
законами.
59. Передача персональных данных субъектов персональных данных трет ьим лицам осуществляется
с их письменного согласия, составленного по форме согласно приложению N 12 , за исключением случаев,
когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персонал ьных данных,
а также в иных случаях, предусмотренных Федеральным законом "О персональных данных", Трудовым
кодексом Российской Федерации и иными федеральными законами.
Передача персональных данных третьим лицам осуществляется только после получения от третьего
лица заверенных в установленном порядке документов, подтверждающих выполнение условий соблюде ния
конфиденциальности и обеспечения безопасности персональных данных при их обработке.
60. Передача персональных данных субъектов персональных данных общественным организациям,
негосударственным пенсионным фондам и страховым компаниям осуществляется в соо тветствии с
заключенными с этими организациями договорами на оказание услуг и с письменного согласия субъектов
персональных данных, составленного по форме согласно приложению N 4 .
При этом в текст договора включаю тся условия соблюдения конфиденциальности и обеспечения
безопасности персональных данных, обрабатываемых в рамках выполнения обязательств по договору
согласно требованиям Федерального закона "О персональных данных", Положения об обработке и защите
персональных данных работников ОАО "РЖД" и настоящего Порядка.
61. Пересылка материальных носителей органи зациям, государственным органам, а также между
подразделениями ОАО "РЖД", расположенными по различным почтовым адресам, производится в
запечатанных конвертах (пакетах) с сопроводительным документом, в котором указывается о наличии
персональных данных и тре бование о соблюдении конфиденциальности персональных данных.
62. Пересылка конвертов (пакетов) с документами, содержащими персональные данные, может
производиться фельдъегерской связью, заказными или ценными почтовыми отправлениями. Допускается
передача до кументов, содержащих персональные данные, нарочным (работником подразделения ОАО
"РЖД" или работником организации - адресата) с распиской о получении документов в реестре.
63. Передача материальных носителей между подразделениями ОАО "РЖД" осуществляется
уполномоченными работниками в соответствии с запросом или письменным поручением руководителя
подразделения ОАО "РЖД".
Передача дел и СНИ, содержащих персональные данные, осуществляется с распиской о получении в
реестре или других учетных формах подразделени я.
64. Передача персональных данных при их обработке в информационных системах ОАО "РЖД"
осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих
организационных и технических мер, обеспечивающих нейтрализацию актуаль ных угроз безопасности
согласно части 5 статьи 19 Федерального закона "О персональных данных".
65. Запрещается передача персональных данных субъектов персональных данных по открытым
каналам связи, вычислительным сетям вне пределов контролируемой зоны и через сеть международного
информационного обмена (сети связи общего пользования, Интернет) без примен ения соответствующих
организационных и технических мер защиты.
66. Передача персональных данных, включенных в общедоступные источники персональных данных
(фамилия, имя, отчество; место работы; занимаемая должность; номера рабочих телефонов; адреса
корпорат ивной электронной почты) между подразделениями ОАО "РЖД" может осуществляться по
корпоративным каналам связи.
67. При необходимости регистрации в Единой автоматизированной системе документооборота ОАО
"РЖД" документа, содержащего персональные данные, созда ется и регистрируется карточка
сопроводительного документа (входящего, исходящего, организационно -распорядительного) или поручения
в соответствии с требованиями Инструкции по делопроизводству и документированию управленческой
деятельности в ОАО "РЖД". При этом файлы документов, содержащих персональные данные, к карточке
не прикрепляются.
Страница 17
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 17 из 32
68. Пересылка материальных носителей, непосредственная их передача сторонним адресатам
осуществляется только с письменного указания руководителя подразделения ОАО "РЖД",
ос уществляющего отправку документа.
69. Трансграничная передача персональных данных субъектов персональных данных на территории
иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке перс ональных данных, а также иных иностранных государств,
обеспечивающих адекватную защиту прав субъектов персональных данных, перечень которых утвержден
уполномоченным органом по защите прав субъектов персональных данных, осуществляется в соответствии
с Федеральным законом "О персональных данных" и нормативными документами ОАО "РЖД".
70. Трансграничная пе редача персональных данных на территории иностранных государств, не
обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в
случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную
передачу его персональных данных, составленного по форме согласно приложению N 13 ;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ
конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства,
а также обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты
интересов личности, общества и государст ва в сфере транспортного комплекса от актов незаконного
вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или
других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
71. Передача информации ОАО "РЖД" в Петропавловское отделение Южно -Уральской железной
дороги - филиал ОАО "РЖД" производится по защищенным каналам связи (проложен оптико -вол оконный
кабель). Указанная передача не является трансграничной.
72. Трансграничная передача персональных данных субъектов персональных данных может быть
запрещена или ограничена в целях защиты законных интересов ОАО "РЖД" и прав субъектов
персональных данн ых.
73. Передача персональных данных через сеть международного информационного обмена (сети
связи общего пользования, Интернет) должна осуществляться с использованием сертифицированных
средств криптографической защиты информации и в соответствии с норматив ными документами
Федеральной службы безопасности Российской Федерации.
VII. Рассмотрение обращений (запросов) субъектов персональных данных
74. Субъекты персональных данных имеют право получать информацию, касающуюся обработки их
персональных данных в ОА О "РЖД", в соответствии с частями 1 - 7 статьи 14 Федерального закона "О
персональных данных".
75. Сведения предоставляются субъекту персональных данных в доступной форме, в них не
включаются перс ональные данные, относящиеся к другим субъектам персональных данных, за
исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
76. Сведения предоставляются субъекту персональных данных или его представителю
подразделе нием ОАО "РЖД", осуществляющим обработку персональных данных, при обращении либо при
получении запроса.
77. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его представителя, сведения о дате выда чи указанного документа и выдавшем
его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ОАО
"РЖД" (номер договора, дата заключения договора, условное словесное обозначение и (или) иные
сведения), либо сведения, иным обра зом подтверждающие факт обработки персональных данных ОАО
"РЖД", подпись субъекта персональных данных или его представителя.
Запрос может быть также направлен в форме электронного документа и подписан электронной
подписью в соответствии с законодательством Российской Федерации.
В случае если в обращении (запросе) субъекта персональных данных не отражены указанные
сведения, то ему направляется мотивированный отказ.
78. В случае если запрашиваемые сведения были предоставлены для ознакомления субъекту
персонал ьных данных по его запросу, он вправе обратиться повторно в ОАО "РЖД" или направить
Страница 18
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 18 из 32
повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через 30 дней
после первоначального обращения или направления первоначального запроса.
До истечения этого срока субъект персональных данных вправе обратиться повторно в ОАО "РЖД"
или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые персональные
данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения
первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 77 настоящего
Порядка, должен содержать обоснование направления повторного запроса.
79. ОАО "РЖД" вправе отказа ть субъекту персональных данных в выполнении повторного запроса, не
соответствующего условиям, предусмотренным пунктом 78 настоящего Порядка. Такой отказ должен быть
мотивированным.
80. Право субъекта персональных данных на доступ к его персональным данным может быть
ограничено в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных" в том
случае, если доступ субъекта персональных данных к его персональным данным нарушает права и
законные интересы третьих лиц.
81. Ответы на письменные запросы субъектов персональных данных и организаций даются в
письменной форме в объеме, обеспечивающем конфиденциальность персональных данных.
Мотивированный отказ в предоставлении запрашиваемой информации направляется, если субъе кт
персональных данных или организация не обладает правами доступа к запрашиваемой информации или
запрос не соответствует требованиям Федерального закона "О персональных данных".
82. Учет обращений (запросов) субъектов персональных данных ведется в журнале учета,
составленном по форме согласно приложению N 14 .
VIII. Проведение служебного расследования по фактам утраты материальных носителей персональных
данных, разглашения либо неправомерной обработки персональных данных субъектов персональных
данных
83. В случае выявления утраты материальных носителей, раз глашения или неправомерной обработки
персональных данных в подразделении ОАО "РЖД" должны быть осуществлены действия, направленные
на обеспечение законных прав и свобод субъектов персональных данных, а также приняты исчерпывающие
меры по локализации услови й, способствовавших нарушению режима защиты персональных данных, и
минимизации ущерба.
84. О фактах утраты материальных носителей, разглашения персональных данных либо
неправомерной обработки персональных данных информируется письменно руководитель и ответ ственный
за организацию обработки персональных данных подразделения ОАО "РЖД", в котором допущено
нарушение, а также Управление по защите персональных данных. Факт нарушения порядка обработки
персональных данных фиксируется в журнале учета нарушений порядк а обработки персональных данных,
составленном по форме согласно приложению N 15 .
85. Для расследования обстоятельств утраты материальных носителей, разглашения либо
неправомерной обработки персональных данных пр иказом руководителя подразделения ОАО "РЖД"
назначается комиссия по расследованию нарушений обработки персональных данных (далее - комиссия), в
состав которой включается ответственный за организацию обработки персональных данных в
подразделении. При необхо димости в состав комиссии могут быть включены представители Управления по
защите персональных данных и иных подразделений ОАО "РЖД".
86. При проведении служебного расследования обстоятельств утраты материальных носителей,
разглашения либо неправомерной обр аботки персональных данных комиссия выполняет следующие
функции:
1) определяет обоснованность отнесения разглашенной либо утраченной информации к
персональным данным;
2) устанавливает обстоятельства утраты материальных носителей, разглашения либо неправоме рной
обработки персональных данных (время, место, способ);
3) устанавливает лиц, которые допустили утрату материальных носителей, разглашение либо
неправомерную обработку персональных данных;
4) принимает меры к определению местонахождения материальных нос ителей;
5) устанавливает причины и условия, которые привели к утрате материальных носителей,
разглашению либо неправомерной обработке персональных данных;
6) оценивает причиненный или возможный вред субъекту персональных данных вследствие утраты
материальн ых носителей, разглашения либо неправомерной обработки персональных данных;
Страница 19
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 19 из 32
7) составляет заключение о результатах проведенного служебного расследования.
87. Служебное расследование проводится в возможно короткие сроки (не более 20 календарных
дней) со дня установления факта утраты материальных носителей, разглашения либо неправомерной
обработки персональных данных.
88. Члены комиссии, проводящей служебное расследование, имеют право:
1) опрашивать работников подразделений ОАО "РЖД", которые допустили утрату материальных
носителей, разглашение либо неправомерную обработку персональных данных, а также работников
подразделений ОАО "РЖД", которые могут оказать содействие в установлении обстоятельств допущенного
нарушения или в определении местонахождения утрачен ных материальных носителей, и получать от них
письменные объяснения;
2) запрашивать и получать информацию и документы, имеющие отношение к проведению служебного
расследования обстоятельств утраты материальных носителей, разглашения либо неправомерной
обраб отки персональных данных;
3) проводить осмотр помещений, в которых хранятся и обрабатываются персональные данные,
рабочих мест уполномоченных работников, обследование средств вычислительной техники, используемых
для обработки персональных данных, мест, где могут находиться утраченные материальные носители;
4) проверять количество материальных носителей, учетную документацию, отражающую их
поступление и движение;
5) привлекать с разрешения руководителя подразделения ОАО "РЖД", назначившего служебное
расследо вание, к работе комиссии работников (экспертов), обладающих специальными знаниями.
89. Заключение о результатах проведенного служебного расследования должно содержать
следующие сведения:
1) дата и место проведения служебного расследования;
2) состав комисс ии, проводившей служебное расследование;
3) основания для проведения служебного расследования;
4) установленные факты о времени, месте и обстоятельствах нарушения;
5) правильность отнесения разглашенной либо утраченной информации к персональным данным;
6) о виновных лицах и степени их вины;
7) наличие умысла в действиях виновных лиц;
8) выводы по результатам определения материального или иного вреда, причиненного субъекту
персональных данных вследствие утраты материальных носителей, разглашения либо неправо мерной
обработки персональных данных;
9) предложения о прекращении поиска материального носителя и списании его в учетных формах;
10) другие сведения, имеющие отношение к служебному расследованию;
11) выводы о причинах и условиях совершения нарушений, реко мендации по их устранению.
90. Заключение о проведении служебного расследования должно быть подписано всеми членами
комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии подписывает
заключение и приобщает к нему свое особое мнение (в письменном виде).
91. По окончании служебного расследования комиссия обязана представить на рассмотрение
руководителя подразделения ОАО "РЖД", назначившего служебное расследование, следующие
документы:
1) заключение о результатах проведенного слу жебного расследования;
2) письменные объяснения работников, которых опрашивали члены комиссии (при необходимости);
3) другие документы, имеющие отношение к служебному расследованию.
92. По окончании служебного расследования руководитель подразделения ОАО " РЖД", назначивший
служебное расследование, в установленном законодательством Российской Федерации и нормативными
документами ОАО "РЖД" порядке должен принять решение:
1) о привлечении виновных работников к дисциплинарной и (или) материальной ответственност и;
2) об обращении в правоохранительные органы с заявлением о привлечении работников,
допустивших утрату материальных носителей, разглашение либо неправомерную обработку персональных
данных, к административной или уголовной ответственности;
3) о принятии м ер по устранению причин и условий, способствовавших нарушению режима защиты
персональных данных.
93. Копии заключений по результатам служебного расследования, а также информация о мерах,
принятых к работникам, допустившим утрату материальных носителей, раз глашение либо неправомерную
обработку персональных данных, направляются в Управление по защите персональных данных, которое по
результатам рассмотрения представленных материалов информирует руководство ОАО "РЖД".
Страница 20
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 20 из 32
IX. Обязанности ответственных за организац ию обработки и уполномоченных работников на обработку
персональных данных
94. Ответственные за организацию обработки персональных данных и уполномоченные работники
обязаны руководствоваться в своей деятельности законодательством Российской Федерации в обл асти
обработки и защиты персональных данных, политикой ОАО "РЖД" по обработке и защите персональных
данных, Положением об обработке и защите персональных данных работников ОАО "РЖД", настоящим
Порядком и другими нормативными документами ОАО "РЖД".
95. Отве тственные за организацию обработки персональных данных в подразделениях ОАО "РЖД"
обеспечивают:
1) соблюдение законодательства Российской Федерации и нормативных документов ОАО "РЖД" в
области обработки и защиты персональных данных;
2) доведение до сведени я уполномоченных работников подразделения ОАО "РЖД" положений
законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области обработки и
защиты персональных данных;
3) осуществление внутреннего контроля за обеспечением режима защиты пер сональных данных в
подразделении ОАО "РЖД".
96. Уполномоченные работники обязаны:
1) знать и выполнять законодательные и иные нормативные правовые акты Российской Федерации, а
также нормативные документы ОАО "РЖД" в области обработки и защиты персональных данных;
2) выполнять все требования настоящего Порядка, Положения об обработке и защите персональных
данных работников ОАО "РЖД" и других нормативных документов ОАО "РЖД", устанавливающих режим
защиты персональных данных в ОАО "РЖД";
3) не разглашать инфор мацию, содержащую персональные данные субъектов персональных данных;
4) обеспечивать конфиденциальность персональных данных, использовать предусмотренные в ОАО
"РЖД" меры для защиты персональных данных от неправомерных действий;
5) во время работы с информ ацией и (или) документами, содержащими персональные данные,
исключать возможность ознакомления с ними работников, не имеющих права обработки персональных
данных;
6) при увольнении сдавать все имеющиеся в распоряжении материальные носители лицу,
ответственн ому за организацию обработки персональных данных в подразделении ОАО "РЖД";
7) информировать руководителя подразделения ОАО "РЖД" обо всех фактах и попытках
несанкционированного доступа к персональным данным и о других нарушениях порядка обработки
персонал ьных данных.
Приложение N 1
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных
Я,_______________________________________________________________________
(Ф.И.О.)
________________________________________________________________________
(должность, наименование подразделения ОАО "РЖД")
_______________________________________________________________________,
ознакомлен(а) с Порядком обработки и обеспечения режима защи ты персональных данных
работников ОАО "РЖД" и проинформирован(а) об обработке мною персональных данных, категориях
обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой
обработки.
Я обязуюсь:
Страница 21
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 21 из 32
не разглашать третьим лицам ставшие мне известными в процессе выполнения должностных
обязанностей персональные данные субъектов персональных данных;
незамедлительно сообщать своему непосредственному руководителю в случае попытки третьих лиц
получить от меня персональные данные субъе ктов персональных данных.
Я предупрежден(а) об ответственности в соответствии с законодательством Российской Федерации и
нормативными документами ОАО "РЖД" за умышленное или неосторожное разглашение персональных
данных субъектов персональных данных.
"___"___________20__г. _________/______________________
(подпись) (расшифровка подписи)
Приложение N 2
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД "
ПРИКАЗ
(оформляется на бланке
подразделения ОАО "РЖД")
О назначении ответственного за организацию
обработки персональных данных
В целях обеспечения защиты персональных данных и в соответст вии с
Порядком обработки и обеспечения режима защиты персональных данных
работников ОАО "РЖД", утвержденным приказом ОАО "РЖД" от
"___"___________ 20___г. N ____, приказываю:
1. Назначить______________________________________________ ______________
(должность, Ф.И.О.)
________________________________________________________________________
________________________________________________________________________,
ответственным за организацию обработки персона льных данных______________
________________________________________________________________________
(наименование подразделения ОАО "РЖД")
________________________________________________________________________
с "___"___________ 20___г.
2. Ответственному за организацию обработки персональных данных
_______________________________________________________________________:
(Ф.И.О.)
а) организовать выполнение работниками требований Положения об
обработке и защите персональных данных работников ОАО "РЖД" и Порядка
обработки и обеспечения режима защиты персональных данных работников ОАО
"РЖД";
б) представить на утверждение список работников, уполномоченных на
обработку персональных данных (далее - уп олномоченные работники);
в) организовать доведение до сведения уполномоченных работников
положений законодательства Российской Федерации и нормативных документов
ОАО "РЖД" в области обработки и защиты персональных данных;
г) обеспечить регуля рную проверку полноты списка уполномоченных
работников;
д) обеспечить контроль за включением в должностные инструкции
уполномоченных работников обязанности по обеспечению режима защиты
Страница 22
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 22 из 32
персональных данных, а также положения о б ответственности за
несоблюдение требований законодательства Российской Федерации и
нормативных документов ОАО "РЖД" в области обработки и защиты
персональных данных.
3. ______________________________________________________________ ______
(должность, Ф.И.О. специалиста по кадрам, иного работника)
______________________________________________представить предложения о
приведении должностной инструкции______________________________________
(Ф.И.О. ответственного за
_______________________________________________________________________
организацию обработки персональных данных)
в соответствие с настоящим приказом.
4. Контроль за исполнением настоящего приказа ________________ ___________
(возложить на /оставляю за собой)
___________________________________________________________________________.
__________________________/_____________________/_____________________
(д олжность) (подпись) (расшифровка подписи)
Приложение N 3
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
УТВЕРЖДАЮ
_____________ _________________
(должность руководителя подразделения ОАО "РЖД")
____________________ __________________________
(подпись) (Ф.И.О.)
"___"___________ 20___г.
СПИСОК
работников, уполномоченных на обработку персональных данных
_____________________________________________________
(наименование подразделения ОАО "РЖД")
N
п/п
Ф.И.О. Должность Примечание
Ответственный за организацию
обработки персональных данных _________/_____________________
(подпись) (расшифровка подписи)
"___"_____________20__г.
Страница 23
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 23 из 32
Приложение N 4
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
СОГЛАСИЕ
работника на обработку персональных данных
Я, _____________________________________ ________________________________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан _________________
(дата)
__________________________ _________________________________________________
(кем)
___________________________________________________________________________,
проживающий(ая) по адресу _________________________________________________
_________ __________________________________________________________________,
в соответствии со статьей 9 Федерального закона "О персональных данных",
разделом 4 Положения об обработке и защите персональных данных работников ОАО
"РЖД" и разделом 3 Порядка обработки и обеспечения режима защиты персональных
данных работников ОАО "РЖД", утвержденных приказом ОАО "РЖД" от
"___"___________ 20___г. N ____, даю своей волей и в своем интересе согласие
ОАО "РЖД" __________________________________________________________________
(адрес оператора, получающего согласие субъекта персональных данных)
___________________________________________________________________________
________ ___________________________________________________________________
на обработку следующих моих персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или)
отчества в случае их изменения);
число, месяц, год р ождения;
место рождения;
сведения о гражданстве (подданстве), в том числе предыдущие гражданства,
иные гражданства;
вид, серия, номер документа, удостоверяющего личность, дата выдачи,
наименование органа, выдавшего его;
адрес и д ата регистрации по месту жительства (месту пребывания), адрес
фактического проживания;
номера рабочих, домашних и мобильных телефонов или сведения о других
способах связи;
реквизиты свидетельства обязательного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты полиса обязательного медицинского страхования;
реквизиты свидетельства о браке;
сведения о семейном положении, составе семьи и близких родственниках,
обрабатываемые в соответствии с закон одательством Российской Федерации;
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании (когда и какие образовательные, научные и иные
организации окончил, номера докум ентов об образовании, направление подготовки
или специальность по документу об образовании, квалификация);
сведения об ученой степени;
сведения о владении иностранными языками, включая уровень владения;
фотография работника;
сведения, соде ржащиеся в трудовом договоре, дополнительных соглашениях к
трудовому договору;
сведения о пребывании за границей;
сведения о наличии или отсутствии судимости - только кандидатов для приема
Страница 24
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 24 из 32
на работу (соискателей) - в случаях, определенных федераль ными законами;
сведения об оформленных допусках к государственной тайне;
сведения о государственных наградах, иных наградах и знаках отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
результаты медицинског о обследования работника на предмет годности к
выполнению трудовых обязанностей;
сведения о ежегодных оплачиваемых отпусках, отпусках работников,
совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения
заработной п латы;
сведения о заработной плате, реквизиты банковского счета для перечисления
заработной платы и социальных выплат;
другие персональные данные, необходимые для обеспечения соблюдения законов
и иных нормативных правовых актов Российской Федерации , обеспечения выполнения
трудовых договоров с работниками, содействия работникам в обучении и
продвижении по службе, обеспечения личной безопасности работников, контроля
количества и качества выполняемой работы и обеспечения сохранности имущ ества
ОАО "РЖД", обеспечения транспортной безопасности, обеспечения пропуска
субъектов персональных данных на объекты ОАО "РЖД", выполнения социальных
обязательств, а также в других целях, предусмотренных уставом и нормативными
документами О АО "РЖД".
В указанных целях я даю согласие на осуществление следующих действий с
моими персональными данными: сбор, систематизация, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, обезличивание,
блокирова ние, удаление, уничтожение, а также передача
в___________________________________________________________________________
(название организации(й))
________________________________________________________ ___________________
___________________________________________________________________________.
Даю согласие на включение в общедоступные источники персональных данных
(корпоративные справочники, адресные книги) следующих моих персональных
данных:
фамилия, имя, отчество;
место работы;
занимаемая должность;
номера стационарных и мобильных рабочих телефонов;
адреса корпоративной электронной почты.
Также согласен(а)/не согласен(а) на включение моей фотографии в указанны е
общедоступные источники персональных данных.
Обработка моих персональных данных может осуществляться как
автоматизированным, так и неавтоматизированным способом.
Я ознакомлен(а) с тем, что:
согласие на обработку персональных д анных действует с даты его подписания
в течение всего срока действия трудового договора;
согласие на обработку персональных данных может быть отозвано путем подачи
письменного заявления;
в случае отзыва согласия на обработку персональных данных ОАО "РЖД" вправе
продолжить обработку персональных данных без согласия при наличии оснований,
указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи
11 Федерального закона "О персональных данных";
после увольнения из ОАО "РЖД" (прекращения трудовых отношений)
персональные данные будут храниться в ОАО "РЖД" в течение предусмотренного
законодательством Рос сийской Федерации срока хранения;
предоставляемые мной персональные данные третьих лиц (в том числе близких
родственников) будут обрабатываться только в целях выполнения возложенных на
ОАО "РЖД" функций, полномочий и обязанностей.
"__"_________ ___ 20__ г. ____________ ________________________
Страница 25
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 25 из 32
(подпись) (расшифровка подписи)
Приложение N 5
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
СОГЛАСИЕ
на обработку персональных данных
Я, ______________________________________________________________________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , вы дан _________________
(дата)
___________________________________________________________________________
(кем)
__________________________________________ _________________________________,
проживающий(ая) по адресу _________________________________________________
___________________________________________________________________________,
или мой представитель _____________________________________________ _________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан _________________
(дата)
___________________________________________________ ________________________
(кем)
___________________________________________________________________________,
проживающий(ая) по адресу __________________________________________________,
________________________________ ___________________________________________,
действующий на основании____________________________________________________,
(реквизиты доверенности или документа,
_________________________________________________________________________ __
подтверждающего полномочия представителя)
даю своей волей и в своем интересе согласие ОАО "РЖД" ______________________
___________________________________________________________________________
(адрес оператора, получающего согл асие субъекта персональных данных)
___________________________________________________________________________
___________________________________________________________________________
на обработку следующих моих персональных данных:__________________ _________
___________________________________________________________________________
(состав персональных данных)
___________________________________________________________________________
_____________________________________ ______________________________________
в целях___________________________________________________________________.
(для кандидата на работу - возможное трудоустройство в ОАО "РЖД")
В указанных целях я даю согласие на осуществление следующих действий с
моими персональными данными: сбор, систематизация, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, обезличивание,
блокирование, удаление, уничтожение.
Обработка моих персональных данных может осуществляться как
автоматизированным, так и неавтоматизированным способом.
Я ознакомлен(а) с тем, что:
согласие на обработку персональных данных действует с даты его подписания
_______________________________________________________;
(д о достижения целей обработки персональных данных либо указать срок действия
Страница 26
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 26 из 32
согласия)
согласие на обработку персональных данных может быть отозвано путем подачи
письменного заявления.
"__"____________ 20__ г. __ __________ ________________________
(подпись) (расшифровка подписи)
Приложение N 6
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
ОТЗ ЫВ
согласия на обработку персональных данных
Я, ______________________________________________________________________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан __________ _______
(дата)
___________________________________________________________________________
(кем)
________________________________________________________ ___________________,
проживающий(ая) по адресу _________________________________________________
___________________________________________________________________________,
работающий (работавший) в должности ________________________________________
___ ________________________________________________________________________,
в период с ________________________________ по _____________________________
или мой представитель ______________________________________________________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан _________________
(дата)
___________________________________________________________________________
(кем)
___________________________________________________________________________,
проживающий(ая) по адресу __________________________________________________,
действующий на основании_______________________________________________ _____,
(реквизиты доверенности или документа,
___________________________________________________________________________
подтверждающего полномочия представителя)
в соответствии с пунктом 2 статьи 9 Федерального закона "О персональных
данных" отзываю данное мной "___"__________20___г. согласие на обработк у моих
персональных данных.
Уведомление об уничтожении моих персональных данных прошу направить в
письменной форме по
адресу:_______________________________________________________________ ________
_____________________________________________________________________________.
"__"____________ 20__ г. ____________ ________________________
(подпись) (расшифровка подписи)
Приложение N 7
Страница 27
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 27 из 32
к Поряд ку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
УВЕДОМЛЕНИЕ
о получении персональных данных от третьих лиц
Уважаемый(ая)________________________________________!
(Ф.И.О.)
В связи с ______________________________________ _________________________
(указать причину)
___________________________________________________________________________
у ОАО "РЖД" _____________________________________________________________
(полное наименование подразделения ОАО "РЖД")
________________ ___________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
возникла необходимость получения следующих с ведений, содержащих Ваши персональные
данные__________________________________________________________
(перечислить сведения)
__________________________________________________________________________.
Данные сведения будут запрошены в целях:______________ __________________
(подтверждение страхового стажа,
___________________________________________________________________________
сведений об образовании и т.д.)
При наличии у Вас указанных сведений просим предоставить их_____________
_______________________ ____________________________________________________
(наименование подразделения ОАО "РЖД")
в течение 3 рабочих дней с даты получения настоящего уведомления.
В случае невозможности предоставить эти сведения просим в указанный срок дать письменное
согласие на получение их из следующих
источников:__________________________________________________________________
(указать источники)
___________________________________________________________________________
По результатам обработки указанных сведений планирует ся принять следующие решения, которые
будут доведены до Вас:
_____________________________________________________________________________
(указать решения и иные юридические последствия обработки)
__________________________________________________________ ________________.
Против принятого решения Вы имеете право заявить письменно свои возражения в
___________________ срок.
Информируем Вас о последствиях Вашего отказа предоставить указанные сведения или дать
письменное согласие на получение организацией ука занных сведений:
__________________________________________
(перечислить последствия)
___________________________________________________________________________
Информируем Вас также о Вашем праве в любое время отозвать свое согласие на обработку
персонал ьных данных.
__________________________/_____________________/_____________________
(должность) (подпись) (расшифровка подписи)
"___"__________20___г.
Страница 28
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 28 из 32
С уведомлением
ознакомлен(а):____________________________ ____/________________________
(подпись субъекта персональных (расшифровка подписи)
данных)
"___"__________20___г.
Приложение N 8
к Порядку обработки и
обеспечения режима защиты
персональных данных раб отников ОАО "РЖД"
СОГЛАСИЕ
на получение персональных данных у третьих лиц
Я, ____________________________________________________________________,
(Ф.И.О.)
согласен(а) на получение ОАО "РЖД" ____________________________________
__________________________ ________________________________________
(адрес оператора, получающего согласие субъекта персональных данных)
___________________________________________________________________________
______________________________________________________________________ _____
от______________________________________________________________________
(наименование организации)
___________________________________________________________________________
следующих сведений:_____________________________________________________
(перечень сведений и (или) документов, содержащих персональные данные)
__________________________________________________________________________.
"__"____________ 20__ г. ____________ ________________________
(подпи сь) (расшифровка подписи)
Приложение N 9
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
УВЕДОМЛЕНИЕ
об устранении нарушений обработки или уничтожении (невозможности уничтожения) персональных данных
Ува жаемый(ая)___________________________________________!
(Ф.И.О.)
Настоящим уведомляем, что Ваше обращение от_____________________________
(дата обращения, ___________________________________________________________________________
краткое содержание обраще ния)
___________________________________________________________________________
_______________________________________________________________рассмотрено.
Выявленное(ые) нарушение(я) обработки Ваших персональных
данных:___________________________________ ________________________
Страница 29
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 29 из 32
(краткое описание нарушения)
___________________________________________________________________________
___________________________________________________________________________
(устранены, уничтожены/уничтожение невозможно по п ричине)
__________________________________________________________________________.
__________________________/_____________________/_____________________
(должность) (подпись) (расшифровка подписи)
"___"__________20__ _г.
Уведомление
получил:________________________________/________________________
(подпись субъекта персональных (расшифровка подписи)
данных)
"___"__________20___г.
Приложение N 10
к Порядку обрабо тки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
УТВЕРЖДАЮ
________________________________________________
(должность руководителя подраздел ения ОАО "РЖД")
____________________ __________________________
(подпись) (Ф.И.О.)
"___"___________ 20___г.
ПЕРЕЧЕНЬ
помещений________________ _______________________________________,
(наименование подразделения ОАО "РЖД")
в которых хранятся материальные носители персональных данных
N
п/п
Номер помещения Адрес (место расположения)
Приложение N 11
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД
ЖУРНАЛ
Страница 30
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 30 из 32
учета машинных носителей персональных данных
N п/п Вид машинного носителя
Номер машинного носителя
Дата постановки на учет машинн ого носителя
Ф.И.О., должность работника, получившего машинный носитель в пользование
Дата и подпись работника в получении машинного носителя
Дата возврата и подпись уполномоченного работника в получении машинного носителя от работника
Дата и подпись уполномоченного работника и исполнителя об уничтожении машинного носителя
1 2 3 4 5 6 7 8
Образец учетных реквизитов СНИ
(наносится на СНИ)
Условное или сокращенное
наименование подразделения
Учетный номер
Приложение N 12
к Поря дку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
СОГЛАСИЕ
на передачу персональных данных
Я, _________________________________________________________________ _____,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан _________________
(дата)
_______________________________________________________ ____________________
(кем)
___________________________________________________________________________,
проживающий(ая) по адресу _________________________________________________
______________________________________ _____________________________________,
или мой представитель ______________________________________________________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан _________________
(дата)
___________________________________________________________________________
(кем)
___________________________________________________________________________,
прожи вающий(ая) по адресу __________________________________________________,
действующий на основании____________________________________________________,
(реквизиты доверенности или документа,
_____________________________________________ ______________________________
подтверждающего полномочия представителя)
даю своей волей и в своем интересе согласие ОАО "РЖД" ______________________
___________________________________________________________________________
(адрес оператора, получающего согласие субъекта персональных данных)
___________________________________________________________________________
на передачу следующих моих персональных данных:____________________________
______________________________________ _____________________________________
(состав персональных данных)
Страница 31
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 31 из 32
___________________________________________________________________________
___________________________________________________________________________
в целях__ __________________________________________________________________
в ________________________________________________________________________.
(название и адрес организации, которой передаются персональные данные)
"__"____________ 20__ г. _____ _______ ________________________
(подпись) (расшифровка подписи)
Приложение N 13
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
СОГЛАС ИЕ
на трансграничную передачу персональных данных
Я, ______________________________________________________________________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан _______ __________
(дата)
___________________________________________________________________________
(кем)
_____________________________________________________ ______________________,
проживающий(ая) по адресу _________________________________________________
___________________________________________________________________________,
или мой представитель ______________________________________________________,
(Ф.И.О.)
паспорт серия ________________ N _________________ , выдан _________________
(дата)
______________________________________________________________ _____________
(кем)
___________________________________________________________________________,
проживающий(ая) по адресу __________________________________________________,
действующий на основании____________________ ________________________________,
(реквизиты доверенности или документа,
___________________________________________________________________________
подтверждающего полномочия представителя)
даю своей волей и в своем интересе согласие ОАО "РЖД" ______________________
___________________________________________________________________________
(адрес оператора, получающего согласие субъекта персональных данных)
_____________________________________________________ ______________________
___________________________________________________________________________
на трансграничную передачу следующих моих персональных данных:_____________
___________________________________________________________________________
(перечислить)
в целях___________________________________________________________________.
в ________________________________________________________________________.
(название и адрес организации, которой передаются персонал ьные данные, страна)
"__"____________ 20__ г. ____________ ________________________
(подпись) (расшифровка подписи)
Страница 32
Приказ ОАО "РЖД" от 20.07.2016 N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД" (Вместе с Положением и Порядк...Страница 32 из 32
Приложение N 14
к Порядку обработки и
обеспечения режима защиты
персональных данных работ ников ОАО "РЖД"
ЖУРНАЛ
учета обращений (запросов) субъектов персональных данных
N
п/п
Дата
поступления
обращения
(запроса) в
подразделение
Ф.И.О.
заявителя
Адрес места жительства
заявителя
Количество
листов
обращения
(запроса)
Дата, входящий
номер, откуда
поступило обращение
(запрос),
форма обращения
(личное, письменное,
электронное,
почтовое)
1 2 3 4 5 6
Краткое содержание
Исполнитель ответа
на обращение
(запрос)
(должность, фамилия)
Исходящий номер и
дата ответа
Номер и дата
почтового
отправления
Примечание
7 8 9 10 11
Приложение N 15
к Порядку обработки и
обеспечения режима защиты
персональных данных работников ОАО "РЖД"
ЖУРНАЛ
учета нарушений порядка обработки персональных данных
N
п/п
Дата
Источник
получения
информации
о нарушении
Краткое содержание
нарушения
Дата уведомления
ЦУЗПД
Результаты
проверки
Сведения
о месте
хранения
материалов
1 2 3 4 5 6 7