Приказ ОАО "РЖД" от 20.10.2023 N 72
ОАО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"
ПРИКАЗ
от 20 октября 2023 г. N 72
ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД"
С целью совершенствования работы по обработке и обеспечению безопасности персональных данных в ОАО "РЖД" приказываю:
1. Утвердить прилагаемые:
Положение об обработке и обеспечении безопасности персональных данных в ОАО "РЖД" (далее - Положение);
Перечень целей обработки персональных данных в ОАО "РЖД", состава персональных данных и их категорий, а также категорий субъектов персональных данных (далее - Перечень).
2. Руководителям подразделений аппарата управления, филиалов и структурных подразделений ОАО "РЖД" обеспечить ознакомление под роспись работников с Положением и Перечнем, а также их исполнение.
3. Начальникам Департамента корпоративного управления Евсегнеевой В.А. и Центра по корпоративному управлению пригородным комплексом Белянкину А.Ю. довести Положение и Перечень до сведения руководителей хозяйственных обществ с участием ОАО "РЖД" по перечню согласно приложению N 1 и руководителей пригородных пассажирских компаний - хозяйственных обществ с участием ОАО "РЖД" по перечню согласно приложению N 2 для использования в своей деятельности и при разработке или актуализации соответствующих внутренних документов, а также доведения до сведения собственных подконтрольных обществ.
4. Признать утратившими силу:
приказ ОАО "РЖД" от 20 июля 2016 г. N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД";
распоряжение ОАО "РЖД" от 11 июля 2017 г. N 1327р "Об утверждении Инструкции по обработке и защите в ОАО "РЖД" персональных данных пользователей услуг, контрагентов и иных субъектов персональных данных";
приказ ОАО "РЖД" от 18 октября 2019 г. N 86 "О внесении изменений в приказ ОАО "РЖД" от 20 июля 2016 г. N 60";
приказ ОАО "РЖД" от 7 сентября 2021 г. N 81 "О внесении изменений в некоторые нормативные документы ОАО "РЖД" в области персональных данных".
5. Контроль за исполнением настоящего приказа возложить на заместителя генерального директора ОАО "РЖД" Федосеева Н.В.
Генеральный директор -
председатель правления ОАО "РЖД"
О.В.БЕЛОЗЕРОВ
Утверждено
приказом ОАО "РЖД"
от 20.10.2023 г. N 72
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ОАО "РЖД"
I. Общие положения
1. Настоящее Положение, разработанное в соответствии с законодательством Российской Федерации и нормативными документами ОАО "РЖД", определяет условия и требования к обработке и обеспечению безопасности персональных данных в ОАО "РЖД", а также обязанности и ответственность работников ОАО "РЖД", осуществляющих их обработку.
2. ОАО "РЖД" является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников ОАО "РЖД" и других субъектов персональных данных.
3. Требования настоящего Положения распространяются на подразделения аппарата управления, филиалы и структурные подразделения ОАО "РЖД" (далее - подразделения ОАО "РЖД"), а также на случаи, когда ОАО "РЖД" обрабатывает персональные данные по поручению стороннего оператора (в таких случаях в договоре на обработку персональных данных между ОАО "РЖД" и сторонним оператором указываются дополнительные условия об обработке и обеспечении безопасности персональных данных).
4. Действие настоящего Положения не распространяется на отношения, возникающие при:
хранении, комплектовании, учете и использовании сведений, содержащих персональные данные, архивных документов ОАО "РЖД" (документов, завершенных делопроизводством, подлежащих хранению в подразделении ОАО "РЖД" или переданных на хранение в архив ОАО "РЖД") в соответствии с законодательством об архивном деле в Российской Федерации;
обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
5. Руководители подразделений ОАО "РЖД" несут персональную ответственность за обработку и обеспечение безопасности персональных данных, выполнение работниками ОАО "РЖД" требований законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных.
II. Термины и определения
6. В настоящем Положении используются следующие термины и определения:
1) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2) автоматизированное рабочее место - рабочее место работника ОАО "РЖД", оснащенное персональным компьютером, программным обеспечением и совокупностью информационных ресурсов индивидуального или коллективного пользования, которые позволяют ему вести обработку данных с целью получения информации, обеспечивающей поддержку принимаемых им решений при выполнении профессиональных функций;
3) безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
4) биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
5) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
6) вымарывание персональных данных - действия, исключающие дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе;
7) допуск к обработке персональных данных - процедура оформления права на доступ к персональным данным;
8) доступ к персональным данным - возможность обработки персональных данных;
9) информационная система ОАО "РЖД" - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
10) компьютерный инцидент - факт нарушения, и (или) прекращения функционирования объекта информационной инфраструктуры ОАО "РЖД", и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;
11) контролируемая зона - пространство, в пределах которого осуществляется контроль над пребыванием и действиями физических лиц и/или транспортных средств;
12) конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
13) материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных;
14) машинный носитель - материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние и внешние жесткие диски, флеш-накопители, CD/DVD и иные устройства);
15) неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии работника ОАО "РЖД" без использования средств вычислительной техники;
16) несъемный машинный носитель - машинный носитель, установленный в корпус средства вычислительной техники, используемый для хранения и обработки информации (внутренние жесткие диски и иные устройства);
17) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
18) обеспечение безопасности персональных данных - деятельность, включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
19) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление (в том числе вымарывание), уничтожение персональных данных;
20) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
21) ответственный за обеспечение безопасности персональных данных в информационных системах ОАО "РЖД" - должностное лицо подразделения ОАО "РЖД", назначенное приказом, отвечающее за обеспечение безопасности персональных данных, обрабатываемых в информационной системе ОАО "РЖД", функциональным заказчиком которой является это подразделение ОАО "РЖД";
22) ответственный за организацию обработки персональных данных - должностное лицо, назначенное в ОАО "РЖД" из числа заместителей генерального директора ОАО "РЖД", а в подразделениях ОАО "РЖД" - из числа заместителей руководителя подразделения ОАО "РЖД", в ведении которого находятся вопросы организации обработки персональных данных, уполномоченное (в пределах своей компетенции) осуществлять контроль за соблюдением режима защиты персональных данных, инициировать проведение проверок соблюдения законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных, режима защиты персональных данных;
23) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
24) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных";
25) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
26) разглашение персональных данных - действия (бездействие), в результате которых персональные данные в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становятся известными третьим лицам без письменного согласия субъекта персональных данных;
27) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
28) режим защиты персональных данных - нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок их обработки, передачи и условия хранения;
29) специальные категории персональных данных - категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
30) средство вычислительной техники - совокупность технических устройств и программ, обеспечивающих их функционирование, способных функционировать самостоятельно или в составе других систем;
31) субъекты персональных данных - пользователи услуг, контрагенты, работники ОАО "РЖД", их близкие родственники, кандидаты для приема на работу (соискатели), пенсионеры, состоящие на учете в ОАО "РЖД", и их официальные представители, а также иные лица, чьи персональные данные стали известны ОАО "РЖД" при осуществлении своей деятельности, в том числе в силу предоставления им со стороны ОАО "РЖД" социальных льгот, гарантий и компенсаций;
32) съемный машинный носитель - машинный носитель, используемый для хранения информации вне автоматизированного рабочего места (флеш-накопители, внешние жесткие диски, CD/DVD-диски и иные устройства);
33) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
34) удаление персональных данных - действия, в результате которых становится невозможным ознакомиться с содержанием персональных данных в информационной системе или на материальном носителе;
35) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе или на машинном носителе и (или) в результате которых уничтожаются материальные носители;
36) уполномоченные работники - работники подразделений ОАО "РЖД", имеющие допуск к персональным данным субъектов персональных данных.
III. Условия обработки персональных данных в ОАО "РЖД"
7. Обработка персональных данных в ОАО "РЖД" должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации и нормативными документами ОАО "РЖД" в области персональных данных. Обработка персональных данных в ОАО "РЖД" допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для:
а) достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных на ОАО "РЖД" законодательством Российской Федерации и уставом ОАО "РЖД" функций, полномочий и обязанностей;
б) исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
в) исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
г) защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия на обработку персональных данных невозможно;
д) осуществления прав и законных интересов ОАО "РЖД" или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
е) осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
ж) статистических или иных исследовательских целей при условии обязательного обезличивания персональных данных и в порядке, предусмотренном Федеральным законом "О персональных данных";
з) опубликования или обязательного раскрытия информации в соответствии с законодательством Российской Федерации.
8. Обработка персональных данных граждан Российской Федерации, в том числе сбор персональных данных посредством сети "Интернет", должна осуществляться с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.
9. Обработка персональных данных в ОАО "РЖД" осуществляется с использованием средств автоматизации и/или без использования таких средств.
10. Обработка специальных категорий персональных данных, а также биометрических персональных данных в ОАО "РЖД" осуществляется в соответствии с требованиями законодательства Российской Федерации.
11. ОАО "РЖД" вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора.
При поручении ОАО "РЖД" обработки персональных данных другому лицу:
1) должны быть определены:
а) перечень персональных данных;
б) перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
в) цели обработки персональных данных;
2) должны быть установлены:
а) обязанность такого лица соблюдать конфиденциальность персональных данных, а также требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона "О персональных данных";
б) обязанность по запросу ОАО "РЖД" в течение срока действия договора ОАО "РЖД", в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения договора ОАО "РЖД" установленных требований;
в) обязанность обеспечивать безопасность персональных данных при их обработке;
3) должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных", в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона "О персональных данных".
12. Лицо, осуществляющее обработку персональных данных по поручению ОАО "РЖД", не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
13. Если ОАО "РЖД" поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет ОАО "РЖД". Лицо, осуществляющее обработку персональных данных по поручению ОАО "РЖД", несет ответственность перед ОАО "РЖД".
В случае если ОАО "РЖД" поручает обработку персональных данных иностранному физическому или юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет ОАО "РЖД" и лицо, осуществляющее обработку персональных данных по поручению ОАО "РЖД".
IV. Допуск и доступ к обработке персональных данных
14. Основаниями для допуска работника к обработке персональных данных в ОАО "РЖД" являются:
1) приказ о назначении на должность, включенную в перечень должностей руководящих работников ОАО "РЖД", уполномоченных на обработку персональных данных в ОАО "РЖД", либо приказ о назначении на должность, при замещении которой должностной инструкцией (приказом о распределении обязанностей или иным организационно-распорядительным документом подразделения ОАО "РЖД") определены в том числе функции, обязанности и ответственность, связанные с обработкой персональных данных;
2) обязательство о неразглашении персональных данных, составленное по форме согласно приложению N 1, подписанное работником и хранящееся в его личном деле или в деле в соответствии с утвержденной номенклатурой дел подразделения ОАО "РЖД".
15. Для организации обработки и обеспечения безопасности персональных данных в ОАО "РЖД" генеральный директор - председатель правления ОАО "РЖД" назначает из числа своих заместителей ответственного за организацию обработки персональных данных в ОАО "РЖД".
16. Руководители подразделений ОАО "РЖД" для организации обработки персональных данных в подразделениях ОАО "РЖД":
1) назначают приказом, составленным по форме согласно приложению N 2, из числа своих заместителей ответственного за организацию обработки персональных данных в подразделении ОАО "РЖД";
2) обеспечивают до предоставления доступа к обработке персональных данных ознакомление ответственного за организацию обработки персональных данных в подразделении ОАО "РЖД" и уполномоченных работников под роспись с законодательством Российской Федерации, нормативными документами ОАО "РЖД" в области персональных данных и настоящим Положением;
3) утверждают списки уполномоченных работников по форме согласно приложению N 3;
4) утверждают перечни помещений, в которых обрабатываются персональные данные (хранятся материальные носители персональных данных), по форме согласно приложению N 4.
17. Руководители региональных (подчиненных) подразделений филиалов и структурных подразделений ОАО "РЖД", осуществляющих свою деятельность в границах железных дорог (дирекции, региональные управления, центры, дистанции, депо, железнодорожные станции и др.), назначают ответственных за организацию обработки персональных данных в этих подразделениях в порядке, предусмотренном пунктом 16 настоящего Положения.
18. Уполномоченные работники должны быть проинформированы о факте обработки ими персональных данных, способе обработки, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством Российской Федерации, а также нормативными документами ОАО "РЖД".
Такое информирование осуществляется при оформлении обязательства о неразглашении персональных данных.
19. Доступ к информационным системам ОАО "РЖД", в которых обрабатываются персональные данные, предоставляется уполномоченным работникам для выполнения функций, предусмотренных их должностными инструкциями (приказом о распределении обязанностей), и осуществляется в установленном ОАО "РЖД" порядке.
V. Согласие субъекта персональных данных на обработку
его персональных данных
20. Уполномоченные работники до начала обработки персональных данных обязаны определить необходимость получения согласия субъекта персональных данных на обработку его персональных данных.
21. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия законных оснований для обработки персональных данных без согласия субъекта персональных данных на обработку его персональных данных возлагается на подразделение ОАО "РЖД", осуществляющее обработку персональных данных.
22. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации.
23. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
24. В случаях, предусмотренных законодательством Российской Федерации в области персональных данных, когда обработка персональных данных субъекта персональных данных осуществляется только с его согласия, уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных, составленное по форме согласно приложению N 5.
25. Согласие на обработку персональных данных недееспособного либо несовершеннолетнего субъекта персональных данных дает законный представитель субъекта персональных данных.
26. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
27. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются уполномоченным работником.
28. В случае если в соответствии с законодательством Российской Федерации предоставление персональных данных является обязательным, уполномоченным работником даются разъяснения субъекту персональных данных о юридических последствиях отказа предоставить свои персональные данные и (или) дать согласие на их обработку, составленные по типовой форме согласно приложению N 6.
29. При обработке персональных данных кандидатов, претендующих на трудоустройство в ОАО "РЖД", оформляется письменное согласие на обработку персональных данных по форме, указанной в приложении N 5 к настоящему Положению.
При этом предусмотрены следующие исключения:
1) согласие кандидата не требуется, если от его имени действует кадровое агентство, с которым он заключил соответствующий договор;
2) согласие кандидата не требуется при поступлении резюме кандидата из Карьерного портала ОАО "РЖД".
30. При приеме на работу работника ОАО "РЖД" уполномоченный работник получает у него письменное согласие на включение его персональных данных в общедоступные источники персональных данных (корпоративные справочники, адресные книги и др.), оформленное по форме согласно приложению N 7.
31. Если персональные данные работника ОАО "РЖД" возможно получить только у третьей стороны, то работник ОАО "РЖД" должен быть уведомлен об этом заранее путем направления ему уведомления о получении персональных данных от третьих лиц, составленного по форме согласно приложению N 8, и дать письменное согласие на получение персональных данных у третьих лиц, составленное по форме согласно приложению N 9.
При этом работник должен быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных у третьих лиц, а также о составе подлежащих получению персональных данных и последствиях отказа работника от дачи письменного согласия на их получение.
32. Получение согласия близких родственников работника ОАО "РЖД" на обработку их персональных данных не требуется при заполнении документов в объеме, предусмотренном унифицированной формой N Т-2, либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат и др.).
В иных случаях получение согласия близких родственников работника ОАО "РЖД" на обработку их персональных данных является обязательным условием обработки их персональных данных и составляется по форме, указанной в приложении N 5 к настоящему Положению.
33. При необходимости получения письменного согласия иных субъектов персональных данных на обработку их персональных данных такое согласие оформляется по форме, указанной в приложении N 5 к настоящему Положению.
34. Документы, подтверждающие согласие субъекта персональных данных на обработку его персональных данных, полученные в соответствии с настоящим Положением, должны храниться в личных делах работников ОАО "РЖД" либо в отдельных делах, если оформление личных дел не предусмотрено нормативными документами ОАО "РЖД".
35. Размещение на официальных информационных ресурсах ОАО "РЖД" в сети "Интернет" материалов, содержащих персональные данные субъектов персональных данных, возможно только при наличии их согласия, за исключением случаев, когда такое размещение осуществляется с целью выполнения возложенных законодательством Российской Федерации на ОАО "РЖД" функций, полномочий и обязанностей.
36. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется по форме согласно приложению N 10 отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
37. Субъект персональных данных вправе установить в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, запреты на передачу ОАО "РЖД" (кроме предоставления доступа) этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
38. Подразделение ОАО "РЖД", получившее согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, обязано в срок не позднее трех рабочих дней с даты получения такого согласия опубликовать установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения.
39. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных, составленному в произвольной форме. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
40. Субъект персональных данных вправе отозвать согласие на обработку его персональных данных, направив в ОАО "РЖД" отзыв согласия на обработку персональных данных, составленный по форме согласно приложению N 11, либо в произвольной форме. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных может быть продолжена без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".
VI. Требования к обработке персональных данных
и обеспечению их безопасности
41. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
42. Доступ к персональным данным разрешается только уполномоченным работникам, которым эти персональные данные необходимы для исполнения должностных обязанностей.
43. При работе с персональными данными уполномоченным работникам запрещается:
1) обрабатывать персональные данные, не отвечающие целям их обработки;
2) работать под чужими учетными записями в информационных системах ОАО "РЖД", в которых обрабатываются персональные данные, и передавать кому-либо индивидуальные атрибуты доступа;
3) допускать несанкционированное использование своего автоматизированного рабочего места другими работниками ОАО "РЖД" и посторонними лицами;
4) использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах ОАО "РЖД";
5) разглашать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным;
6) делать копии документов, содержащих персональные данные, не требующиеся для исполнения своих должностных обязанностей;
7) держать на рабочем месте материальные носители, содержащие персональные данные, дольше времени, необходимого для их обработки (включая хранение);
8) хранить материальные носители, содержащие персональные данные, на рабочих местах ненадлежащим образом;
9) выносить материальные носители, содержащие персональные данные, из рабочих помещений без служебной необходимости.
44. При обработке персональных данных должна быть исключена возможность ознакомления с ними посторонних лиц, в том числе работников ОАО "РЖД", не уполномоченных на их обработку, путем принятия следующих мер:
1) экран монитора автоматизированного рабочего места, используемого для работы с персональными данными, а также бумажные носители, содержащие персональные данные, должны размещаться таким образом, чтобы исключить возможность просмотра информации посторонними лицами, включая других работников ОАО "РЖД";
2) для доступа к информационным системам ОАО "РЖД", в которых обрабатываются персональные данные, должны использоваться индивидуальные пароли, отвечающие установленным ОАО "РЖД" требованиям;
3) автоматизированные рабочие места, используемые уполномоченными работниками для обработки персональных данных, во время перерывов в работе должны блокироваться с помощью защищенной паролем экранной заставки;
4) в информационных системах ОАО "РЖД", в которых обрабатываются персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке должны использоваться сертифицированные средства антивирусной защиты;
5) индивидуальные пароли доступа уполномоченного работника к информационным системам ОАО "РЖД", в которых обрабатываются персональные данные, в обязательном порядке должны меняться при его переходе на работу в другое подразделение ОАО "РЖД";
6) бумажные и съемные машинные носители, содержащие персональные данные, после окончания работы с ними или при оставлении уполномоченным работником своего рабочего места должны помещаться в запираемые ящики столов, шкафы (сейфы);
7) работа, связанная с обработкой персональных данных и хранением их носителей, должна осуществляться в находящихся в контролируемой зоне помещениях, включенных в утверждаемый руководителем подразделения ОАО "РЖД" перечень помещений;
8) бумажные носители персональных данных субъектов персональных данных должны храниться в делах в соответствии с номенклатурой дел подразделения ОАО "РЖД";
9) испорченные бланки, черновики и промежуточные редакции документов, содержащие персональные данные, по окончании работы с ними должны уничтожаться без возможности восстановления.
45. Комплекс мер, обеспечивающих безопасность персональных данных, должен включать в себя в том числе:
1) организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;
2) определение угроз безопасности персональных данных при их обработке в информационных системах ОАО "РЖД";
3) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
4) проверку соответствия применяемых мер защиты информации законодательству Российской Федерации в области персональных данных и оценку их эффективности;
5) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер реагирования;
6) восстановление персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;
7) установление правил доступа к персональным данным, обрабатываемым в информационных системах ОАО "РЖД";
8) разграничение доступа пользователей к информационным системам ОАО "РЖД";
9) регистрацию действий пользователей информационных систем ОАО "РЖД" в установленном ОАО "РЖД" порядке;
10) контроль действий персонала, обслуживающего средства вычислительной техники, и недопущение несанкционированного доступа к персональным данным пользователей информационных систем ОАО "РЖД";
11) размещение информационных систем ОАО "РЖД" в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;
12) учет документов, машинных носителей, информационных систем ОАО "РЖД", в которых обрабатываются персональные данные;
13) хранение и использование документов, машинных носителей, информационных систем ОАО "РЖД", в которых обрабатываются персональные данные, исключающие их хищение, подмену, уничтожение, а также несанкционированный доступ к ним;
14) внутренний контроль за соблюдением подразделениями ОАО "РЖД" при обработке персональных данных законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных;
15) оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
46. Меры обеспечения безопасности персональных данных при их автоматизированной обработке устанавливаются в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, требованиями к технической защите информации, определенными ФСТЭК России и ФСБ России, а также нормативными документами ОАО "РЖД" в области обеспечения информационной безопасности.
47. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.
48. В подразделениях ОАО "РЖД", являющихся генеральными функциональными (функциональными) заказчиками информационных систем ОАО "РЖД", в которых обрабатываются персональные данные, в установленном ОАО "РЖД" порядке назначаются ответственные за обеспечение безопасности персональных данных в информационных системах ОАО "РЖД".
49. Все машинные носители, используемые для обработки персональных данных, должны учитываться в журналах учета машинных носителей, содержащих персональные данные, составленных по форме согласно приложению N 12.
В графу 2 журнала вносится учетный номер машинного носителя.
На нерабочую поверхность машинного носителя или на этикетку (бирку, ярлык и т.п.), прикрепленную к носителю (наклеенную на носитель), наносятся любым доступным образом учетные реквизиты: учетный номер машинного носителя, сокращенное наименование подразделения, сокращение "ПДн". Если несъемный машинный носитель установлен в корпусе средства вычислительной техники автоматизированного рабочего места, учетные реквизиты наносятся на видное место на корпусе устройства, в котором он установлен.
В графе 3 журнала указывается вид машинного носителя (жесткий диск (HDD), SSD, оптический диск, USB-флеш, флеш-карта), вносится технический номер машинного носителя (идентификационный (серийный) номер, присвоенный производителем). При отсутствии технического номера в графу 3 журнала вносится номер инвентарного учета. Для несъемных машинных носителей, установленных в корпусах средств вычислительной техники автоматизированных рабочих мест, в графе 3 указывается вид (ПК, ноутбук, планшет и т.п.) и технический или инвентарный номер устройства, в котором установлен машинный носитель.
Несъемные машинные носители, входящие в состав средств вычислительной техники информационных систем ОАО "РЖД", могут учитываться в технических паспортах информационных систем в установленном ОАО "РЖД" порядке. В этом случае в журнале учета машинных носителей учетный номер присваивается всей информационной системе в целом. В графу 2 журнала вносится один учетный номер на все машинные носители, используемые в информационной системе, а в графе 3 журнала указывается наименование информационной системы и номер технического паспорта информационной системы.
При ведении журнала любые исправления заверяются подписью работника, ответственного за ведение журнала, при этом использование корректирующих средств не допускается.
В графу 5 журнала вносятся фамилия, имя, отчество и должность работника, которому выдан в пользование съемный машинный носитель или кто пользуется автоматизированным рабочим местом с установленным несъемным машинным носителем.
В графе 6 журнала работник ОАО "РЖД", получивший в пользование машинный носитель, ставит подпись с указанием даты (число, месяц, год).
В графе 7 журнала работник ОАО "РЖД", осуществляющий в подразделении ОАО "РЖД" учет машинных носителей, ставит подпись, подтверждающую возврат машинного носителя, с указанием даты возврата (число, месяц, год).
При смене пользователя зарегистрированного ранее машинного носителя повторная регистрация машинного носителя не производится. При этом:
1) в журнале учета машинных носителей делается новая запись о выдаче машинного носителя, в графы 2 - 4 журнала вносятся сведения, указанные при первичной регистрации машинного носителя;
2) в графе 8 делается отметка о повторной выдаче машинного носителя с указанием порядкового номера новой записи в журнале.
50. При необходимости отправки машинного носителя в ремонт или вывода машинного носителя из эксплуатации, в том числе для передачи в другое подразделение ОАО "РЖД", хранящаяся на нем информация уничтожается в порядке, установленном пунктом 71 настоящего Положения. При этом в графу 7 журнала учета машинных носителей вносится дата окончания эксплуатации машинного носителя в подразделении ОАО "РЖД", отметка о его передаче в другое подразделение ОАО "РЖД" или подрядную организацию с указанием его/ее наименования, если такая передача производится.
В графе 8 делается соответствующая запись об уничтожении информации или запись об уничтожении машинного носителя.
51. Для обработки персональных данных, цели обработки которых несовместимы между собой, используются отдельные материальные носители (бумажные или съемные машинные). Материальные носители, содержащие персональные данные, обрабатываемые в различных целях, должны храниться раздельно (в разных шкафах, на разных полках, в отдельных ящиках или папках и т.п.).
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе (если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных), уполномоченным работником должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости обработки определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется их копирование;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется весь материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию.
52. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя - путем изготовления нового материального носителя с уточненными персональными данными и уничтожением исходного материального носителя.
53. Обезличивание персональных данных, обрабатываемых в информационных системах ОАО "РЖД", должно осуществляться в соответствии с требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденными приказом Роскомнадзора от 5 сентября 2013 г. N 996.
Обезличивание персональных данных, обрабатываемых на бумажных носителях, должно осуществляться путем вымарывания части персональных данных, без которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.
54. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются законодательством об архивном деле в Российской Федерации и Инструкцией по делопроизводству и документированию управленческой деятельности в ОАО "РЖД", утвержденной приказом ОАО "РЖД" от 14 декабря 2017 г. N 120.
55. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
56. При использовании типовой формы документов, которые предполагают или допускают включение в них персональных данных, должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, анкеты, карточки, реестры, журналы и др.) должны содержать сведения о цели обработки персональных данных, наименование и адрес подразделения ОАО "РЖД", фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных. Указанные сведения должны отражаться хотя бы в одном из связанных с типовой формой документов (включая саму типовую форму);
2) типовая форма должна исключать объединение полей, предназначенных для персональных данных, цели обработки которых заведомо не совместимы;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных;
4) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных.
57. В случаях ведения журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъектов персональных данных на объекты ОАО "РЖД", должны соблюдаться следующие условия:
1) не допускается копирование информации, содержащейся в таких журналах (реестрах, книгах);
2) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (реестр, книгу) не более одного раза в каждом случае пропуска субъекта персональных данных на объект ОАО "РЖД".
VII. Уничтожение и удаление персональных данных
и их материальных носителей
58. Подразделения ОАО "РЖД" осуществляют систематический мониторинг персональных данных, цели обработки которых достигнуты или сроки хранения которых истекли, а также при наступлении иных законных оснований и в дальнейшем уничтожают персональные данные, обрабатываемые в информационных системах ОАО "РЖД", файлах, на автоматизированных рабочих местах или на материальных носителях.
59. Персональные данные подлежат уничтожению:
1) в срок, не превышающий 30 дней, по достижении целей обработки или в случае утраты необходимости в достижении целей обработки персональных данных;
2) в срок, не превышающий 30 дней, в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных (если иной срок не предусмотрен договором или соглашением между ОАО "РЖД" и субъектом персональных данных либо если ОАО "РЖД" вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами);
3) в срок, не превышающий 7 рабочих дней, в случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные:
а) являются неполными, устаревшими, неточными (при условии, что уточнение персональных данных невозможно);
б) получены незаконно;
в) не являются необходимыми для заявленной цели обработки;
4) в срок, не превышающий 10 рабочих дней, в случае выявления неправомерной обработки персональных данных (невозможности обеспечить правомерность обработки персональных данных);
5) в срок, не превышающий 10 рабочих дней, в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных".
60. Уничтожение персональных данных, обрабатываемых в информационных системах ОАО "РЖД", оформляется актом об уничтожении персональных данных, который составляется по форме, указанной в приложении N 13 к настоящему Положению, и выгрузкой из журнала регистрации событий в информационной системе персональных данных по форме согласно приложению N 14.
61. Выгрузка из журнала регистрации событий в информационной системе персональных данных должна содержать:
1) фамилию, имя, отчество (при наличии) субъекта (субъектов) персональных данных или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
2) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
3) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
4) причину уничтожения персональных данных;
5) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
62. Акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
63. Отбор к уничтожению материальных носителей, которые помещаются в дела временного срока хранения, учтенные в номенклатуре дел, производится в соответствии с Инструкцией по делопроизводству и документированию управленческой деятельности в ОАО "РЖД", утвержденной приказом ОАО "РЖД" от 14 декабря 2017 г. N 120.
64. Черновики и рабочие варианты документов, содержащих персональные данные, должны уничтожаться исполнителем документа без возможности восстановления.
65. В процессе уничтожения дел и документов (черновиков) необходимо исключить возможность ознакомления третьих лиц с содержащимися в них персональными данными.
66. Уничтожение материальных носителей в случаях, предусмотренных пунктом 59 настоящего Положения, производится комиссией, образованной не менее чем из трех уполномоченных работников соответствующего подразделения ОАО "РЖД", и оформляется актом об уничтожении персональных данных, который составляется по форме, указанной в приложении N 13 к настоящему Положению.
В графе "Наименование материального носителя персональных данных и его реквизиты" указываются: вид информации (анкеты соискателей, резюме, согласия на обработку персональных данных соискателей и др.), реквизиты (при наличии), а также количество листов (для бумажного носителя).
В графе "Причина уничтожения персональных данных" напротив каждого документа указывается основание для уничтожения документа (цель обработки достигнута, утрачена необходимость в обработке персональных данных и т.д.) и иная информация (при необходимости).
Акт об уничтожении персональных данных завершается итоговой записью, в которой указывается количество включенных в него материальных носителей.
После уничтожения материальных носителей в акте об уничтожении персональных данных делается отметка о способе уничтожения документов, председатель и члены комиссии, в присутствии которых проведено уничтожение материальных носителей, подписывают акт об уничтожении персональных данных.
Если акт составлен на нескольких страницах, председатель и члены комиссии на обороте каждого листа акта (кроме подписного листа) ставят свою подпись и дату проведения уничтожения материальных носителей.
Подписанный комиссией акт регистрируется в Единой автоматизированной системе документооборота ОАО "РЖД" (далее - ЕАСД) как "прочие ОРД" и включается в дело подразделения ОАО "РЖД" в соответствии с номенклатурой дел.
Исправления в акте недопустимы.
Лицо, ответственное за регистрацию документов в подразделении ОАО "РЖД", при необходимости делает соответствующую запись об уничтожении материальных носителей в учетных формах регистрации документов. В акте об уничтожении персональных данных делается запись "Изменения в учетные формы внесены", которая заверяется подписью ответственного лица.
67. В случае необходимости прекращения обработки персональных данных или их части на материальном носителе осуществляется их удаление (вымарывание для бумажных носителей) с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
68. Удаление персональных данных, хранящихся на автоматизированных рабочих местах и (или) на съемных машинных носителях, производится с использованием штатных средств операционных систем.
69. В случае необходимости удаление персональных данных в информационных системах ОАО "РЖД" производится в соответствии с процедурами, определенными в эксплуатационной документации на информационные системы, обрабатывающие персональные данные.
70. При отправке средств вычислительной техники, предназначенных для обработки персональных данных, для проведения гарантийных и ремонтных работ машинные носители из них предварительно должны быть удалены.
71. Если машинные носители подлежат ремонту, то имеющаяся на них информация должна быть уничтожена в установленном ОАО "РЖД" порядке. Если уничтожение информации на машинных носителях невозможно, то такие машинные носители не подлежат ремонту и должны быть уничтожены.
72. Уничтожение машинных носителей должно производиться путем механического нарушения целостности, не позволяющего произвести считывание или восстановление содержания персональных данных (надлом, физическое деформирование). В журнале учета машинных носителей, содержащих персональные данные, производится соответствующая запись об уничтожении, заверенная подписями исполнителя и ответственного работника подразделения ОАО "РЖД", который осуществляет регистрацию машинных носителей.
73. При утрате или несанкционированном уничтожении машинного носителя проводится служебное расследование в соответствии с разделом X настоящего Положения и составляется заключение о его результатах. В журнале учета машинных носителей, содержащих персональные данные, производится запись о снятии с учета утраченного или уничтоженного носителя.
VIII. Передача персональных данных
74. Передача персональных данных субъектов персональных данных общественным организациям, негосударственным пенсионным фондам, кредитным организациям, банкам, лечебным учреждениям, страховым компаниям и иным организациям осуществляется в соответствии с заключенными с этими организациями договорами на оказание услуг и с письменного согласия субъектов персональных данных на передачу персональных данных, составленного по форме согласно приложению N 15.
При этом в договоры включаются условия о соблюдении конфиденциальности и обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения обязательств по договору в соответствии с Федеральным законом "О персональных данных".
До начала передачи персональных данных подразделение ОАО "РЖД", заключающее от имени ОАО "РЖД" договор, должно получить от организации заверенные в установленном порядке документы, подтверждающие выполнение требований по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
75. Передача персональных данных субъектов персональных данных без их согласия допускается:
1) третьим лицам с целью предупреждения угрозы жизни и здоровью субъекта персональных данных (например, передача персональных данных в учреждения здравоохранения);
2) в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств Минтранса России с целью обеспечения транспортной безопасности;
3) по мотивированному запросу органов прокуратуры, правоохранительных органов и органов безопасности, по запросу государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
4) в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом, по перечню оповещаемых органов и с соблюдением сроков направления извещений о несчастном случае, установленных Трудовым кодексом Российской Федерации;
5) в случаях, связанных с исполнением работником должностных обязанностей (например, при направлении в командировку);
6) в случаях опубликования или обязательного раскрытия информации, содержащей персональные данные, в порядке, предусмотренном законодательством Российской Федерации;
7) в иных случаях, предусмотренных законодательством Российской Федерации.
76. Пересылка материальных носителей между различными почтовыми адресами должна производиться в запечатанных конвертах (пакетах) с сопроводительным документом, в котором должно сообщаться о наличии персональных данных и требовании о соблюдении конфиденциальности персональных данных.
Пересылка конвертов (пакетов) с документами, содержащими персональные данные, может производиться фельдъегерской связью, заказными или ценными почтовыми отправлениями. Допускается передача документов, содержащих персональные данные, нарочным (работником подразделения ОАО "РЖД" или работником организации-адресата) с распиской о получении в реестре.
77. Материальные носители пересылаются или передаются сторонним адресатам только по указанию руководителя подразделения ОАО "РЖД", осуществляющего их отправку.
78. Передача персональных данных между подразделениями ОАО "РЖД" должна осуществляться исключительно в служебных целях.
79. Запрещается передача персональных данных субъектов персональных данных:
1) по открытым каналам связи, выходящим за пределы контролируемой зоны, и по сетям связи общего пользования, в том числе сети "Интернет", без применения соответствующих организационных и технических мер защиты;
2) с использованием любых, кроме корпоративных, сервисов информационно-телекоммуникационных сетей (в том числе файловых и облачных хранилищ, сервисов обмена сообщениями, сервисов делового планирования), если иное не предусмотрено нормативными документами ОАО "РЖД";
3) на адреса электронной почты, находящиеся в иностранных общедоступных почтовых доменах (gmail.com, yahoo.com и др.), если иное не предусмотрено законодательством Российской Федерации и нормативными документами ОАО "РЖД";
4) с использованием информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями (Viber, WhatsApp, Telegram и др.), в соответствии с частями 8, 10 статьи 10 Федерального закона "Об информации, информационных технологиях и о защите информации".
80. Передача персональных данных, включенных в общедоступные источники персональных данных, между подразделениями ОАО "РЖД" может осуществляться по корпоративным каналам связи без применения соответствующих организационных и технических мер защиты.
Передача персональных данных в объеме, превышающем персональные данные, включаемые в общедоступные источники персональных данных, осуществляется в установленном ОАО "РЖД" порядке.
81. Размещение персональных данных на сетевых ресурсах ОАО "РЖД" возможно при соблюдении мер по недопущению ознакомления с ними лиц, не имеющих доступа к обработке таких персональных данных.
82. При регистрации документа в ЕАСД в регистрационной карточке в обязательном порядке проставляется отметка "Ограниченный доступ", в случаях наличия в нем:
персональных данных работника ОАО "РЖД" в объеме, превышающем персональные данные, включаемые с его письменного согласия в общедоступные источники персональных данных (фамилия, имя, отчество, место работы, занимаемая должность, номера стационарных и мобильных рабочих телефонов и адреса корпоративной электронной почты);
требования обеспечить конфиденциальность направляемых персональных данных.
83. Трансграничная передача персональных данных осуществляется в соответствии с требованиями статьи 12 Федерального закона "О персональных данных" и международными договорами Российской Федерации, а также с письменного согласия субъекта персональных данных, составленного по форме согласно приложению N 16.
Требования статьи 12 Федерального закона "О персональных данных" распространяются на все случаи передачи персональных данных работников ОАО "РЖД" и иных лиц от имени ОАО "РЖД" и в его интересах, а также от имени должностных лиц ОАО "РЖД" в целях исполнения ими своих должностных обязанностей на территорию иностранного государства: органу власти иностранного государства, иностранному юридическому или физическому лицу, в том числе по официально поступившим запросам.
84. ОАО "РЖД" до начала трансграничной передачи персональных данных обязано уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных.
Для подготовки соответствующего уведомления подразделение ОАО "РЖД", планирующее трансграничную передачу персональных данных, должно заблаговременно, не менее чем за 20 дней до начала передачи данных, проинформировать Департамент управления информационной безопасностью о своем намерении осуществлять трансграничную передачу персональных данных, а также сообщить:
1) правовые основания и цели передачи персональных данных;
2) категории и перечень передаваемых персональных данных;
3) категории субъектов персональных данных, персональные данные которых передаются;
4) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
5) сведения об органах власти иностранных государств, иностранных юридических или физических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты);
6) заранее полученные от соответствующих органов власти иностранных государств, иностранных юридических или физических лиц сведения о принимаемых ими мерах по обеспечению безопасности передаваемых им персональных данных и об условиях прекращения обработки персональных данных.
85. В случае трансграничной передачи персональных данных на территории иностранных государств, не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Роскомнадзора от 5 августа 2022 г. N 128 (далее - перечень), подразделение ОАО "РЖД" дополнительно направляет в Департамент управления информационной безопасностью информацию о правовом регулировании в области персональных данных этого иностранного государства.
Трансграничная передача персональных данных на территории иностранных государств, не включенных в перечень, осуществляется только после получения положительного решения Роскомнадзора по результатам рассмотрения поданного уведомления, за исключением случаев, если такая передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов работников ОАО "РЖД" или других лиц.
86. Передача персональных данных филиалам и представительствам ОАО "РЖД", находящимся за рубежом, не является трансграничной передачей персональных данных.
IX. Рассмотрение обращений (запросов) субъектов
персональных данных и Роскомнадзора
87. Субъекты персональных данных имеют право на получение сведений, касающихся обработки их персональных данных в ОАО "РЖД", в соответствии с законодательством Российской Федерации.
88. Сведения предоставляются субъекту персональных данных в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
89. Сведения в отношении субъекта персональных данных предоставляются по его запросу или запросу его представителя в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
90. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ОАО "РЖД" (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ОАО "РЖД", подпись субъекта персональных данных или его представителя.
В случае если в запросе субъекта персональных данных не отражены указанные сведения, то ему направляется мотивированный отказ.
Запрос может быть также направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Сведения предоставляются субъекту персональных данных или его представителю в той форме, в которой направлен соответствующий запрос, если иное не указано в запросе.
91. Если запрашиваемые сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе направить повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через 30 дней после направления первоначального запроса.
До истечения этого срока субъект персональных данных вправе направить в ОАО "РЖД" повторный запрос в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса.
92. ОАО "РЖД" вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктом 90 настоящего Положения. Такой отказ должен быть мотивированным.
93. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных законодательством Российской Федерации.
ОАО "РЖД" в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных при получении его запроса или запроса его представителя обязано дать в письменной форме мотивированный ответ с обоснованием такого отказа в срок, не превышающий 10 рабочих дней со дня обращения либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления ОАО "РЖД" в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
94. ОАО "РЖД" в случае обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных обязано в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных". Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления ОАО "РЖД" в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
95. Если при проверке запроса субъекта персональных данных либо запроса Роскомнадзора были выявлены неточные персональные данные или неправомерная обработка персональных данных, то подразделение ОАО "РЖД" обязано заблокировать такие персональные данные.
При подтверждении факта неточности персональных данных подразделение ОАО "РЖД" обязано уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
При выявлении неправомерной обработки персональных данных подразделение ОАО "РЖД" обязано прекратить их обработку в срок, не превышающий 3 рабочих дней с даты выявления неправомерной обработки персональных данных.
В случае если обеспечить правомерность обработки персональных данных невозможно, подразделение ОАО "РЖД" в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение.
Подразделение ОАО "РЖД" обязано письменно информировать субъекта персональных данных об устранении допущенных нарушений обработки или уничтожении (невозможности уничтожения) персональных данных в срок, не превышающий 3 рабочих дней, путем направления уведомления по форме согласно приложению N 17 и приобщить копию уведомления или справку об уведомлении к материалам служебного расследования (проверки).
96. В случае если запрос субъекта персональных данных был направлен в ОАО "РЖД" Роскомнадзором, подразделение ОАО "РЖД" также обязано уведомить Роскомнадзор.
X. Проведение служебного расследования по факту нарушения
режима защиты персональных данных
97. При выявлении в подразделении ОАО "РЖД" нарушения режима защиты персональных данных (далее - нарушение) разбор (рассмотрение) его у руководителя подразделения ОАО "РЖД" проводится в срок не более 10 рабочих дней. При этом должны быть осуществлены действия, направленные на обеспечение законных прав и свобод субъектов персональных данных, а также приняты исчерпывающие меры по устранению условий, повлекших нарушение, и по минимизации ущерба. Подготовка материалов для разбора (рассмотрения) и принятие указанных мер осуществляются под контролем ответственного за организацию обработки персональных данных подразделения ОАО "РЖД".
По результатам разбора по факту выявления нарушения руководитель подразделения ОАО "РЖД" принимает решение о проведении служебного расследования.
98. Подразделение ОАО "РЖД" в случае обнаружения факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, либо в случае поступления такой информации от Роскомнадзора или от иного заинтересованного лица обязано незамедлительно уведомить Департамент управления информационной безопасностью о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом.
В течение 48 часов с момента выявления нарушения по данному факту подразделением ОАО "РЖД" проводится служебное расследование и предоставляется в Департамент управления информационной безопасностью информация о результатах служебного расследования, в том числе сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
99. В случае выявления компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, подразделение ОАО "РЖД" обязано незамедлительно направить в Департамент управления информационной безопасностью и Центр компетенций по информационной безопасности следующую информацию:
1) описание компьютерного инцидента: дата, время и место инцидента, Ф.И.О. работника ОАО "РЖД" и способ выявления им инцидента;
2) сведения о лицах, действия которых стали причиной компьютерного инцидента (в случае наличия такой информации);
3) полное название автоматизированной информационной системы ОАО "РЖД", в которой выявлен компьютерный инцидент, и подразделение, выполняющее роль функционального заказчика (в случае наличия такой информации);
4) описание используемых уязвимостей (в случае наличия такой информации);
5) краткое описание последствий компьютерного инцидента;
6) принятые меры по устранению компьютерного инцидента;
7) иная информацию, связанная с компьютерным инцидентом.
Служебное расследование по факту выявления компьютерного инцидента организует и проводит функциональный заказчик системы, в которой он выявлен. Результаты расследования должны быть переданы в установленном порядке в Департамент управления информационной безопасностью и Центр компетенций по информационной безопасности не позднее 48 часов с момента выявления компьютерного инцидента.
100. Информация о выявленных нарушениях, в том числе о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, о выявленных компьютерных инцидентах фиксируется в журнале учета нарушений порядка обработки персональных данных, составленном по форме согласно приложению N 18.
101. Для служебного расследования обстоятельств неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, а также других нарушений приказом руководителя подразделения ОАО "РЖД" образуется комиссия по расследованию нарушения режима защиты персональных данных (далее - комиссия), в состав которой включается ответственный за организацию обработки персональных данных в подразделении ОАО "РЖД". При необходимости в состав комиссии могут быть включены представители Департамента управления информационной безопасностью и иных подразделений ОАО "РЖД".
102. При проведении служебного расследования:
1) определяется обоснованность отнесения переданной, разглашенной либо утраченной информации к персональным данным;
2) устанавливаются обстоятельства расследуемого нарушения и причастные к нему лица;
3) принимаются меры по определению местонахождения материальных носителей;
4) устанавливаются причины и условия, которые привели к нарушению;
5) оценивается причиненный или возможный вред субъекту персональных данных (ОАО "РЖД") вследствие нарушения.
103. Члены комиссии имеют право:
1) опрашивать работников подразделений ОАО "РЖД", которые допустили нарушение, а также работников подразделений ОАО "РЖД", которые могут оказать содействие в установлении обстоятельств допущенного нарушения или в определении местонахождения утраченных материальных носителей, и требовать от них письменные объяснения;
2) запрашивать информацию и документы, имеющие отношение к проведению служебного расследования обстоятельств возникновения нарушения;
3) проводить осмотр помещений, в которых хранятся и обрабатываются персональные данные, рабочих мест уполномоченных работников, обследование средств вычислительной техники, используемых для обработки персональных данных, мест, где могут находиться утраченные материальные носители;
4) проверять наличие материальных носителей персональных данных, учетную документацию, отражающую их поступление и движение;
5) привлекать к работе комиссии с разрешения руководителя подразделения ОАО "РЖД", назначившего служебное расследование, работников (экспертов), обладающих специальными знаниями.
104. По завершении работы комиссии составляется заключение о результатах проведенного служебного расследования, в котором содержатся выводы о причинах и условиях совершения нарушений, рекомендации по их устранению, результаты определения материального или иного вреда, причиненного субъекту персональных данных (ОАО "РЖД") вследствие нарушения режима защиты персональных данных, а также указаны лица, виновные в совершении нарушения.
Заключение о результатах проведенного служебного расследования должно быть подписано всеми членами комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии подписывает заключение и приобщает к нему свое особое мнение (в письменной форме).
105. По окончании служебного расследования руководителем подразделения ОАО "РЖД" принимается решение:
1) о возможности привлечения виновных работников к дисциплинарной и (или) материальной ответственности;
2) об обращении в правоохранительные органы с заявлением о привлечении работников, допустивших нарушение, к административной или уголовной ответственности;
3) о принятии мер по устранению причин и условий, повлекших нарушение.
106. Копия заключения о результатах проведенного служебного расследования, а также информация о мерах, принятых в отношении лиц, допустивших нарушение, направляются в течение 10 рабочих дней в Департамент управления информационной безопасностью.
107. Служебное расследование по факту нарушения, в том числе по факту неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в подразделениях ОАО "РЖД" может проводиться Департаментом управления информационной безопасностью по указанию генерального директора - председателя правления ОАО "РЖД" либо ответственного за обработку персональных данных в ОАО "РЖД".
Для проведения служебного расследования приказом директора ОАО "РЖД" - начальника Департамента управления информационной безопасностью образуется комиссия. При необходимости в состав комиссии могут быть включены представители иных подразделений ОАО "РЖД".
Основанием для проведения служебного расследования является предписание, составленное в 2 экземплярах по форме согласно приложению N 19, которое подписывается ответственным за организацию обработки персональных данных в ОАО "РЖД".
Срок проведения служебного расследования устанавливается лицом, инициировавшим служебное расследование.
108. Заключение о результатах проведенного служебного расследования в установленном порядке докладывается инициировавшему его проведение лицу.
XI. Права субъектов персональных данных
109. Субъекты персональных данных имеют право на:
1) получение по запросу полной информации о своих персональных данных, обрабатываемых подразделениями ОАО "РЖД";
2) ознакомление со своими персональными данными при обращении в ОАО "РЖД";
3) уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) прекращение обработки своих персональных данных;
5) предоставление своих персональных данных и согласия на их обработку свободно, своей волей и в своем интересе;
6) отзыв согласия на обработку своих персональных данных;
7) обжалование в соответствии с законодательством Российской Федерации действий/бездействия ОАО "РЖД" при обработке персональных данных;
8) осуществление иных прав, предусмотренных законодательством Российской Федерации.
XII. Обязанности ответственных за организацию обработки
персональных данных и уполномоченных работников
110. Ответственные за организацию обработки персональных данных и уполномоченные работники обязаны руководствоваться в своей деятельности законодательством Российской Федерации в области персональных данных, Политикой обработки персональных данных в ОАО "РЖД", настоящим Положением и другими нормативными документами ОАО "РЖД" в области персональных данных.
111. Ответственные за организацию обработки персональных данных в подразделениях ОАО "РЖД" обеспечивают:
1) соблюдение законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных;
2) доведение до сведения уполномоченных работников положений законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных;
3) осуществление внутреннего контроля за обеспечением режима защиты персональных данных в подразделении ОАО "РЖД".
112. Уполномоченные работники обязаны:
1) знать нормативные правовые акты Российской Федерации, а также нормативные документы ОАО "РЖД" в области персональных данных;
2) выполнять требования настоящего Положения и других нормативных документов ОАО "РЖД", определяющих порядок обработки и обеспечения безопасности персональных данных в ОАО "РЖД";
3) не разглашать информацию, содержащую персональные данные;
4) обеспечивать конфиденциальность персональных данных, использовать предусмотренные в ОАО "РЖД" меры по защите персональных данных от неправомерных действий;
5) во время работы с информацией и (или) документами, содержащими персональные данные, исключать ознакомление с персональными данными посторонних лиц, в том числе работников ОАО "РЖД", не уполномоченных на их обработку;
6) при увольнении сдавать учтенные материальные носители с персональными данными в установленном подразделением ОАО "РЖД" порядке;
7) информировать ответственного за организацию обработки персональных данных в подразделении ОАО "РЖД" обо всех фактах и попытках несанкционированного доступа к персональным данным и о других нарушениях порядка обработки персональных данных.
XIII. Ответственность за нарушение норм, регулирующих
обработку персональных данных
113. Лица, виновные в нарушении законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.
114. Ущерб, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к обеспечению безопасности персональных данных, установленных законодательством Российской Федерации и нормативными документами ОАО "РЖД" в области персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.
Приложение N 1
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 2
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 3
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
N п/п
Ф.И.О.
Должность
Примечание
Приложение N 4
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
N п/п
Номер помещения
Адрес (место расположения)
Приложение N 5
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 6
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 7
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 8
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 9
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 10
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Категории персональных данных
Перечень персональных данных
Разрешение к распространению (да/нет)
Условия и запреты
Общие
фамилия
имя
отчество
год рождения
месяц рождения
дата рождения
место рождения
адрес
семейное положение
образование
профессия
...
Специальные
состояние здоровья
сведения о судимости
...
Биометрические
цветное цифровое фотографическое изображение лица
...
Информационный ресурс
Действия с персональными данными
Приложение N 11
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 12
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
ЖУРНАЛ
учета машинных носителей, содержащих персональные данные
N п/п
Учетный номер машинного носителя
Технический номер машинного носителя <1>
Дата постановки на учет машинного носителя
Ф.И.О., должность работника, получившего машинный носитель в пользование
(эксплуатирующего машинный носитель)
Дата и подпись работника в получении машинного носителя
(эксплуатирующего машинный носитель)
Дата возврата и подпись уполномоченного работника в получении машинного носителя от работника
Дата и подпись уполномоченного работника и исполнителя об уничтожении машинного носителя (номер и дата акта)
1
2
3
4
5
6
7
8
Образец учетных реквизитов (наносится на машинный носитель):
3/ЦДИ/ПДн, 26/ТЧ 2/ПДн
--------------------------------
<1> Технический номер машинного носителя - идентификационный (серийный) номер, присвоенный производителем, инвентарный номер устройства, в котором установлен машинный носитель/наименование информационной системы и номер технического паспорта информационной системы.
Приложение N 13
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
N п/п
ФИО
Должность
1.
2.
3.
Ф.И.О. или иная информация субъектов, чьи персональные данные были уничтожены
Перечень категорий уничтоженных персональных данных
Наименование ИС/АРМ/машинного носителя, из которых были уничтожены персональные данные
(заполняется в случае обработки персональных данных с использованием средств автоматизации)
Наименование материального носителя и его реквизиты, кол-во листов
(заполняется в случае обработки персональных данных без использования средств автоматизации)
Причина уничтожения персональных данных
Дата уничтожения персональных данных
Приложение N 14
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Выгрузка
из журнала регистрации событий в информационной системе
персональных данных
Ф.И.О. субъекта персональных данных/иная информация, относящаяся к физическому лицу, чьи персональные данные были уничтожены
Перечень категорий уничтоженных данных
Наименование информационной системы, из которой уничтожены персональные данные
Причина уничтожения персональных данных
Дата уничтожения персональных данных
Приложение N 15
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 16
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 17
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
Приложение N 18
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
ЖУРНАЛ
учета нарушений порядка обработки персональных данных
N п/п
Дата
Источник получения информации о нарушении
Краткое содержание нарушения
Дата уведомления
Результаты проверки
Сведения о месте хранения материалов
1
2
3
4
5
6
7
Приложение N 19
к Положению об обработке
и обеспечении безопасности
персональных данных
в ОАО "РЖД"
ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО
"РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"
(ОАО "РЖД")
_____________________ г.
N __________________
Экз. N ____
Утвержден
приказом ОАО "РЖД"
от 20.10.2023 г. N 72
ПЕРЕЧЕНЬ
ЦЕЛЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД", СОСТАВА
ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ КАТЕГОРИЙ, А ТАКЖЕ КАТЕГОРИЙ
СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ <1>
--------------------------------
<1> В случае необходимости обработки персональных данных в иных целях либо в случае изменения категорий и перечня обрабатываемых персональных данных подразделение ОАО "РЖД", инициирующее такую обработку или изменения, в первую очередь информирует в письменном виде Департамент управления информационной безопасностью, для направления в установленном порядке соответствующего уведомления в уполномоченный орган по защите прав субъектов персональных данных.
N п/п
Цели обработки персональных данных
Категории персональных данных
Категории субъектов персональных данных
Общие
Специальные
1.
Ведение кадрового и бухгалтерского учета
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; реквизиты документов воинского учета; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о пребывании за границей; сведения об оформленных допусках к государственной тайне; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы; сведения о заработной плате; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
сведения о состоянии здоровья; сведения о судимости
работники; родственники работников; уволенные работники; контрагенты; пенсионеры, состоящие на учете в ОАО "РЖД"; физические лица, с которыми заключены договоры гражданско-правового характера; работники хозяйственных обществ, акциями (долями) которых владеет ОАО "РЖД", обществ с косвенным участием ОАО "РЖД" и обществ, акции (доли) которых находятся в доверительном управлении ОАО "РЖД" (далее - хозяйственные общества с участием ОАО "РЖД")
2.
Обеспечение соблюдения трудового законодательства Российской Федерации
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; реквизиты документов воинского учета; сведения об ученой степени; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; результаты оценочных мероприятий по системе единых корпоративных требований; сведения о пребывании за границей; сведения об оформленных допусках к государственной тайне; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; сведения о заработной плате
сведения о состоянии здоровья; сведения о судимости
работники; соискатели; родственники работников; уволенные работники; выгодоприобретатели по договорам; законные представители; лица, приравненные к неработающим пенсионерам ОАО "РЖД"; работники хозяйственных обществ с участием ОАО "РЖД"
3.
Обеспечение соблюдения законодательства Российской Федерации в сфере образования
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; полный почтовый адрес; сведения об ученой степени; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения о заработной плате
-
работники; родственники работников; контрагенты; учащиеся; студенты; законные представители; контингент детских садов, общеобразовательных учреждений ОАО "РЖД"; учащиеся детских железных дорог; работники хозяйственных обществ с участием ОАО "РЖД"; участники мероприятий, проводимых подразделениями ОАО "РЖД"; физические лица - получатели грантов ОАО "РЖД"
4.
Подготовка и профессиональное развитие персонала ОАО "РЖД"
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; полный почтовый адрес; сведения об ученой степени; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения о заработной плате
-
работники; контрагенты; учащиеся; студенты; законные представители; контингент детских садов, общеобразовательных; учреждений ОАО "РЖД"; учащиеся детских железных дорог; работники хозяйственных обществ с участием ОАО "РЖД"; участники мероприятий, проводимых подразделениями ОАО "РЖД"; физические лица - получатели грантов ОАО "РЖД"
5.
Подготовка, заключение и исполнение гражданско-правового договора
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; номер расчетного счета; номер лицевого счета; профессия; должность; полный почтовый адрес
-
работники; контрагенты; представители контрагентов; клиенты; физические лица, с которыми заключены договоры гражданско-правового характера
6.
Подбор персонала (соискателей) на должности оператора
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о пребывании за границей; сведения об оформленных допусках к государственной тайне; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; результаты оценочных мероприятий по системе единых корпоративных требований; сведения о заработной плате; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
сведения о состоянии здоровья; сведения о судимости
работники; соискатели; родственники работников; родственники соискателей; уволенные работники; контрагенты; представители контрагентов; клиенты; учащиеся; студенты; пенсионеры, состоящие на учете в ОАО "РЖД"; физические лица, с которыми заключены договоры гражданско-правового характера; работники хозяйственных обществ с участием ОАО "РЖД"
7.
Обеспечение соблюдения страхового законодательства Российской Федерации
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); полный почтовый адрес; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы; сведения о заработной плате
-
работники
8.
Обеспечение соблюдения законодательства Российской Федерации о транспортной безопасности
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; номер расчетного счета; номер лицевого счета; должность; полный почтовый адрес
-
работники; контрагенты; представители контрагентов; пользователи услуг ОАО "РЖД" (пассажиры, иные лица, пользующиеся услугами, оказываемыми ОАО "РЖД"); физические лица, с которыми заключены договоры гражданско-правового характера; работники хозяйственных обществ с участием ОАО "РЖД"; участники мероприятий, проводимых подразделениями ОАО "РЖД"
9.
Обеспечение пропускного режима на территорию оператора
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес места жительства; адрес регистрации; гражданство; данные документа, удостоверяющего личность; должность; фотография работника
-
работники; посетители подразделений ОАО "РЖД" (административных зданий); работники хозяйственных обществ с участием ОАО "РЖД"; участники мероприятий, проводимых подразделениями ОАО "РЖД"
10.
Обеспечение соблюдения налогового законодательства Российской Федерации
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; полный почтовый адрес; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения об оформленных допусках к государственной тайне; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках) и отпусках без сохранения заработной платы; сведения о заработной плате; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
работники; родственники работников; уволенные работники; контрагенты; представители контрагентов; выгодоприобретатели по договорам; учащиеся; студенты; законные представители; пенсионеры, состоящие на учете в ОАО "РЖД"; пользователи услуг ОАО "РЖД" (пассажиры, иные лица, пользующиеся услугами, оказываемыми ОАО "РЖД"); физические лица, с которыми заключены договоры гражданско-правового характера
11.
Обеспечение соблюдения пенсионного законодательства Российской Федерации
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); полный почтовый адрес; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы
-
работники; уволенные работники; законные представители; пенсионеры, состоящие на учете в ОАО "РЖД"; физические лица, с которыми заключены договоры гражданско-правового характера
12.
Обеспечение соблюдения законодательства Российской Федерации о безопасности
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; данные документа, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; реквизиты свидетельства о браке; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о профессиональной переподготовке и (или) повышении квалификации
-
работники
13.
Добровольное медицинское страхование
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; номер телефона; должность; полный почтовый адрес
-
работники
14.
Реализация международных договоров Российской Федерации
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; должность; полный почтовый адрес; фотография работника; сведения о пребывании за границей; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
работники; контрагенты; представители контрагентов; клиенты; пользователи услуг ОАО "РЖД" (пассажиры, иные лица, пользующиеся услугами, оказываемыми ОАО "РЖД"); физические лица, с которыми заключены договоры гражданско-правового характера; посетители подразделений ОАО "РЖД" (административных зданий); работники хозяйственных обществ с участием ОАО "РЖД"; участники мероприятий, проводимых подразделениями ОАО "РЖД"; члены делегаций, в том числе иностранных
15.
Исполнение договоров перевозки и предоставления дополнительных услуг во время осуществления перевозки
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; номер телефона; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; полный почтовый адрес; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
клиенты; посетители сайта; пользователи услуг ОАО "РЖД" (пассажиры, иные лица, пользующиеся услугами, оказываемыми ОАО "РЖД")
16.
Повышение качества обслуживания и доступности перевозок железнодорожным транспортом, в том числе путем реализации дополнительных программ поощрения пользователей услуг ОАО "РЖД"
фамилия, имя, отчество; адрес электронной почты; номер телефона; полный почтовый адрес; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
клиенты; пользователи услуг ОАО "РЖД" (пассажиры, иные лица, пользующиеся услугами, оказываемыми ОАО "РЖД")
17.
Предоставление информации об оказываемых услугах, о разработке новых продуктов и услуг, а также об услугах, оказываемых хозяйственными обществами с участием ОАО "РЖД"
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; полный почтовый адрес; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
клиенты; посетители сайта; пользователи услуг ОАО "РЖД" (пассажиры, иные лица, пользующиеся услугами, оказываемыми ОАО "РЖД")
18.
Продвижение товаров, работ, услуг на рынке
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность; полный почтовый адрес; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
контрагенты; представители контрагентов; клиенты; законные представители; пользователи услуг ОАО "РЖД" (пассажиры, иные лица, пользующиеся услугами, оказываемыми ОАО "РЖД")
19.
Обеспечение соблюдения законодательства Российской Федерации о противодействии коррупции
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; полный почтовый адрес; сведения о владении иностранными языками, включая уровень владения; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации
-
работники; соискатели; родственники работников; работники хозяйственных обществ с участием ОАО "РЖД"
20.
Обеспечение соблюдения законодательства Российской Федерации об исполнительном производстве
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; реквизиты документов воинского учета; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; фотография работника; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
сведения о состоянии здоровья; сведения о судимости
работники; физические лица, участвующие в исполнительном производстве; физические лица, права и обязанности которых могут быть затронуты в ходе исполнительного производства
21.
Исполнение судебного акта
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; реквизиты документов воинского учета; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; фотография работника; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
сведения о состоянии здоровья; сведения о судимости
работники; физические лица, участвующие в исполнительном производстве; физические лица, права и обязанности которых могут быть затронуты в ходе исполнительного производства
22.
Предоставление от ОАО "РЖД" социальных льгот, гарантий и компенсаций
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; номер расчетного счета; номер лицевого счета; профессия; должность; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; сведения об ученой степени; фотография работника; сведения о государственных наградах, иных наградах и знаках отличия; сведения о заработной плате
-
работники; родственники работников; уволенные работники; выгодоприобретатели по договорам; учащиеся; студенты; законные представители; пенсионеры, состоящие на учете в ОАО "РЖД"; физические лица, которым оказываются услуги по отдыху и оздоровлению в санаториях, детских оздоровительных лагерях и на базах отдыха ОАО "РЖД"; лица, приравненные к неработающим пенсионерам ОАО "РЖД"
23.
Выделение жилья или компенсации за найм жилья
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; имущественное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); полный почтовый адрес; реквизиты свидетельства о браке; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору
-
работники; соискатели; родственники работников; пенсионеры, состоящие на учете в ОАО "РЖД"
24.
Рассмотрение обращений граждан
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; реквизиты документов воинского учета; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о пребывании за границей; сведения о государственных наградах, иных наградах и знаках отличия; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
посетители сайта; граждане, обратившиеся в ОАО "РЖД" (заявители по обращениям, истцы/ответчики); лица, чьи персональные данные обрабатываются при рассмотрении обращений, поступающих с использованием информационных ресурсов ОАО "РЖД"
25.
Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; реквизиты документов воинского учета; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; фотография работника; сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору; сведения о пребывании за границей; сведения об оформленных допусках к государственной тайне; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы; сведения о заработной плате; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
сведения о состоянии здоровья; сведения о судимости
работники; физические лица, участвующие в судебном процессе, а также физические лица, права и обязанности которых могут быть затронуты судебным актом
26.
Осуществление корпоративного управления в отношении хозяйственных обществ с участием ОАО "РЖД"
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; полный почтовый адрес; реквизиты полиса ОМС; реквизиты свидетельства о браке; реквизиты документов воинского учета; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; фотография работника; сведения, содержащиеся в трудовом договоре или ином договоре, дополнительных соглашениях к трудовому договору или к иному договору; сведения о пребывании за границей; сведения об оформленных допусках к государственной тайне; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы; сведения о заработной плате и системе оплаты труда; пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); даты/периоды поездок
-
работники, являющиеся представителями ОАО "РЖД"; физические лица, с которыми заключены договоры гражданско-правового характера; кандидаты на должности в органы управления или контроля, члены органов управления или контроля, кандидаты на руководящие должности (соискатели), в том числе для включения (включенные) в кадровый резерв; работники хозяйственных обществ с участием ОАО "РЖД"; аффилированные лица ОАО "РЖД" и хозяйственных обществ с участием ОАО "РЖД"
Приложение N 1
к приказу ОАО "РЖД"
от 20.10.2023 г. N 72
ПЕРЕЧЕНЬ
ХОЗЯЙСТВЕННЫХ ОБЩЕСТВ С УЧАСТИЕМ ОАО "РЖД"
1. АО "АК "ЖДЯ".
2. АО "Арена-2000".
3. АО "ВВРЗ им. С.М. Кирова".
4. АО "ВНИИЖТ".
5. АО "ВНИКТИ".
6. АО "ВРК-1".
7. АО "ВСМ".
8. АО "ДЦВ ВСЖД".
9. АО "ДЦВ ОЖД".
10. АО "Желдорипотека".
11. АО "Желдорреммаш".
12. АО "Желдоручет".
13. АО "ЖТК".
14. АО "ЗСТ".
15. АО "Издательский дом "Гудок".
16. АО "ИМЗ".
17. АО "ИЦ ЖТ".
18. АО "ИЭРТ".
19. АО "Компания ТрансТелеКом".
20. АО "Люблинский ЛМЗ".
21. АО "Московский ЛРЗ".
22. АО "НИИАС".
23. АО "НПФ "БЛАГОСОСТОЯНИЕ".
24. АО "ОТЛК ЕРА".
25. АО "ОТЛК Логистика".
26. АО "ОТЛК Финансы".
27. АО "ОТЛК".
28. АО "ПНК".
29. АО "ПУЛ транс".
30. АО "РЖД Бизнес Актив".
31. АО "РЖД Логистика".
32. АО "РЖД Медицина".
33. АО "РЖД Управление активами".
34. АО "РЖД-инфраструктурные проекты".
35. АО "РЖДстрой".
36. АО "Росжелдорпроект".
37. АО "РПМ".
38. АО "РТА".
39. АО "Скоростные магистрали".
40. АО "ТВС".
41. АО "ТД РЖД".
42. АО "ТрансТех".
43. АО "УК "МТУ".
44. АО "ФГК".
45. АО "ФК "ЛОКОМОТИВ".
46. АО "ФПК".
47. АО "ЭКЗА".
48. АО "Экспериментальный завод "Металлист - Ремпутьмаш".
49. ОАО "ЭЛТЕЗА".
50. ООО "ЭНЕРГОПРОМСБЫТ".
51. АО "ЯЖДК".
52. ЗАО "ЮКЖД".
53. ООО "1520 (Сигнал)".
54. ООО "Аэроэкспресс".
55. ООО "ВСМ-Сервис".
56. ООО "ОП "РЖД-ОХРАНА".
57. ООО "РЖД Интернешнл".
58. ООО "РЖД Терминал".
59. ООО "РЖД-Технологии".
60. ООО "ТЛЦ "Белый Раст".
Приложение N 2
к приказу ОАО "РЖД"
от 20.10.2023 г. N 72
ПЕРЕЧЕНЬ
ПРИГОРОДНЫХ ПАССАЖИРСКИХ КОМПАНИЙ - ХОЗЯЙСТВЕННЫХ ОБЩЕСТВ
С УЧАСТИЕМ ОАО "РЖД"
1. АО "Алтай-Пригород".
2. АО "Байкальская ППК".
3. АО "Башкортостанская ППК".
4. АО "ВВППК".
5. АО "ВТП".
6. АО "ЗППК".
7. АО "КППК".
8. АО "Краспригород".
9. АО "Кубань Экспресс-Пригород".
10. АО "Кузбасс-пригород".
11. АО "МТ ППК".
12. АО "Омск-пригород".
13. АО "ПКС".
14. АО "ППК "Черноземье".
15. АО "ППК".
16. АО "Самарская ППК".
17. АО "Саратовская ППК".
18. АО "СЗППК".
19. АО "СКППК".
20. АО "Содружество".
21. АО "СПК".
22. АО "СППК".
23. АО "Экспресс Приморья".
24. АО "Экспресс-пригород".