N 72 от 20 октября 2023 г. - Об обработке и обеспечении безопасности персональных данных в ОАО "РЖД"
ПРИКАЗ
от 20 октября 2023 г. N 72
Об обработке и обеспечении безопасности персональных данных в ОАО "РЖД"
Скачать
Цитата:
С целью совершенствования работы по обработке и обеспечению безопасности персональных данных в ОАО "РЖД" приказываю:
1. Утвердить прилагаемые:
Положение об обработке и обеспечении безопасности персональных данных в ОАО "РЖД" (далее - Положение);
Перечень целей обработки персональных данных в ОАО "РЖД", состава персональных данных и их категорий, а также категорий субъектов персональных данных (далее - Перечень).
2. Руководителям подразделений аппарата управления, филиалов и структурных подразделений ОАО "РЖД" обеспечить ознакомление под роспись работников с Положением и Перечнем, а также их исполнение.
3. Начальникам Департамента корпоративного управления Евсегнеевой В.А. и Центра по корпоративному управлению пригородным комплексом Белянкину А.Ю. довести Положение и Перечень до сведения руководителей хозяйственных обществ с участием ОАО "РЖД" по перечню согласно приложению N 1 и руководителей пригородных пассажирских компаний - хозяйственных обществ с участием ОАО "РЖД" по перечню согласно приложению N 2 для использования в своей деятельности и при разработке или актуализации соответствующих внутренних документов, а также доведения до сведения собственных подконтрольных обществ.
4. Признать утратившими силу:
приказ ОАО "РЖД" от 20 июля 2016 г. N 60 "Об обеспечении защиты персональных данных в ОАО "РЖД";
распоряжение ОАО "РЖД" от 11 июля 2017 г. N 1327р "Об утверждении Инструкции по обработке и защите в ОАО "РЖД" персональных данных пользователей услуг, контрагентов и иных субъектов персональных данных";
приказ ОАО "РЖД" от 18 октября 2019 г. N 86 "О внесении изменений в приказ ОАО "РЖД" от 20 июля 2016 г. N 60";
приказ ОАО "РЖД" от 7 сентября 2021 г. N 81 "О внесении изменений в некоторые нормативные документы ОАО "РЖД" в области персональных данных".
5. Контроль за исполнением настоящего приказа возложить на заместителя генерального директора ОАО "РЖД" Федосеева Н.В.
Генеральный директор -
председатель правления ОАО "РЖД"
О.В.БЕЛОЗЕРОВ
Утверждено
приказом ОАО "РЖД"
от 20.10.2023 г. N 72
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ОАО "РЖД"
I. Общие положения
1. Настоящее Положение, разработанное в соответствии с законодательством Российской Федерации и нормативными документами ОАО "РЖД", определяет условия и требования к обработке и обеспечению безопасности персональных данных в ОАО "РЖД", а также обязанности и ответственность работников ОАО "РЖД", осуществляющих их обработку.
2. ОАО "РЖД" является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников ОАО "РЖД" и других субъектов персональных данных.
3. Требования настоящего Положения распространяются на подразделения аппарата управления, филиалы и структурные подразделения ОАО "РЖД" (далее - подразделения ОАО "РЖД"), а также на случаи, когда ОАО "РЖД" обрабатывает персональные данные по поручению стороннего оператора (в таких случаях в договоре на обработку персональных данных между ОАО "РЖД" и сторонним оператором указываются дополнительные условия об обработке и обеспечении безопасности персональных данных).
4. Действие настоящего Положения не распространяется на отношения, возникающие при:
хранении, комплектовании, учете и использовании сведений, содержащих персональные данные, архивных документов ОАО "РЖД" (документов, завершенных делопроизводством, подлежащих хранению в подразделении ОАО "РЖД" или переданных на хранение в архив ОАО "РЖД") в соответствии с законодательством об архивном деле в Российской Федерации;
обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
5. Руководители подразделений ОАО "РЖД" несут персональную ответственность за обработку и обеспечение безопасности персональных данных, выполнение работниками ОАО "РЖД" требований законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных.
II. Термины и определения
6. В настоящем Положении используются следующие термины и определения:
1) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2) автоматизированное рабочее место - рабочее место работника ОАО "РЖД", оснащенное персональным компьютером, программным обеспечением и совокупностью информационных ресурсов индивидуального или коллективного пользования, которые позволяют ему вести обработку данных с целью получения информации, обеспечивающей поддержку принимаемых им решений при выполнении профессиональных функций;
3) безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
4) биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
5) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
6) вымарывание персональных данных - действия, исключающие дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе;
7) допуск к обработке персональных данных - процедура оформления права на доступ к персональным данным;
8) доступ к персональным данным - возможность обработки персональных данных;
9) информационная система ОАО "РЖД" - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
10) компьютерный инцидент - факт нарушения, и (или) прекращения функционирования объекта информационной инфраструктуры ОАО "РЖД", и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;
11) контролируемая зона - пространство, в пределах которого осуществляется контроль над пребыванием и действиями физических лиц и/или транспортных средств;
12) конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
13) материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных;
14) машинный носитель - материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние и внешние жесткие диски, флеш-накопители, CD/DVD и иные устройства);
15) неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии работника ОАО "РЖД" без использования средств вычислительной техники;
16) несъемный машинный носитель - машинный носитель, установленный в корпус средства вычислительной техники, используемый для хранения и обработки информации (внутренние жесткие диски и иные устройства);
17) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
18) обеспечение безопасности персональных данных - деятельность, включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
19) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление (в том числе вымарывание), уничтожение персональных данных;
20) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
21) ответственный за обеспечение безопасности персональных данных в информационных системах ОАО "РЖД" - должностное лицо подразделения ОАО "РЖД", назначенное приказом, отвечающее за обеспечение безопасности персональных данных, обрабатываемых в информационной системе ОАО "РЖД", функциональным заказчиком которой является это подразделение ОАО "РЖД";
22) ответственный за организацию обработки персональных данных - должностное лицо, назначенное в ОАО "РЖД" из числа заместителей генерального директора ОАО "РЖД", а в подразделениях ОАО "РЖД" - из числа заместителей руководителя подразделения ОАО "РЖД", в ведении которого находятся вопросы организации обработки персональных данных, уполномоченное (в пределах своей компетенции) осуществлять контроль за соблюдением режима защиты персональных данных, инициировать проведение проверок соблюдения законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных, режима защиты персональных данных;
23) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
24) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных";
25) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
26) разглашение персональных данных - действия (бездействие), в результате которых персональные данные в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становятся известными третьим лицам без письменного согласия субъекта персональных данных;
27) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
28) режим защиты персональных данных - нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок их обработки, передачи и условия хранения;
29) специальные категории персональных данных - категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
30) средство вычислительной техники - совокупность технических устройств и программ, обеспечивающих их функционирование, способных функционировать самостоятельно или в составе других систем;
31) субъекты персональных данных - пользователи услуг, контрагенты, работники ОАО "РЖД", их близкие родственники, кандидаты для приема на работу (соискатели), пенсионеры, состоящие на учете в ОАО "РЖД", и их официальные представители, а также иные лица, чьи персональные данные стали известны ОАО "РЖД" при осуществлении своей деятельности, в том числе в силу предоставления им со стороны ОАО "РЖД" социальных льгот, гарантий и компенсаций;
32) съемный машинный носитель - машинный носитель, используемый для хранения информации вне автоматизированного рабочего места (флеш-накопители, внешние жесткие диски, CD/DVD-диски и иные устройства);
33) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
34) удаление персональных данных - действия, в результате которых становится невозможным ознакомиться с содержанием персональных данных в информационной системе или на материальном носителе;
35) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе или на машинном носителе и (или) в результате которых уничтожаются материальные носители;
36) уполномоченные работники - работники подразделений ОАО "РЖД", имеющие допуск к персональным данным субъектов персональных данных.
|
|
