III. Требования к обработке персональных данных
III. Требования к обработке персональных данных 
9. Требования к обработке персональных данных, устанавливаемые настоящим Порядком, распространяются на персональные данные, состав и категории которых, а также перечень документов, их содержащих, определены в разделе III Положения об обработке и защите персональных данных работников ОАО "РЖД".
Обработка персональных данных, не отвечающая целям обработки, запрещается.
10. При приеме на работу уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных, в том числе на включение персональных данных в общедоступные источники персональных данных (корпоративные справочники, адресные книги), которое оформляется по форме согласно приложению N 4.
11. В случаях, предусмотренных федеральными законами, когда обработка персональных данных субъекта персональных данных осуществляется только с его согласия, уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных, составленное по форме согласно приложению N 5.
12. Согласие на обработку персональных данных уполномоченный работник получает у субъекта персональных данных до начала их обработки.
13. Согласия на обработку персональных данных работников хранятся в их личных делах.
14. Получение согласия близких родственников работника на обработку их персональных данных не требуется при заполнении анкет в объеме, предусмотренном унифицированной формой N Т-2, либо в случаях, установленных законодательством Российской Федерации (исполнение законодательства в сфере транспортной безопасности, получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат и другие случаи).
15. В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных и оформляется по форме согласно приложению N 5.
16. Субъект персональных данных вправе отозвать согласие на обработку персональных данных, направив в ОАО "РЖД" отзыв, составленный по форме согласно приложению N 6, либо в произвольной форме.
17. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ОАО "РЖД" вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.
18. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее по форме согласно приложению N 7 и дать письменное согласие на получение персональных данных у третьих лиц, составленное по форме согласно приложению N 8.
ОАО "РЖД" сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника от дачи письменного согласия на их получение.
Необходимость согласия на получение персональных данных у третьих лиц и направления уведомления об этом может возникнуть, например, при подтверждении факта получения диплома, свидетельства, аттестата об образовании, при восстановлении трудовой книжки, свидетельства о получении квалификации, при подтверждении факта работы в том или ином месте, факта смены фамилии и др., в том числе если утрата сведений произошла в связи со стихийными бедствиями, иными обстоятельствами.
19. ОАО "РЖД" не вправе запрашивать у третьих лиц даже с согласия субъекта персональных данных информацию, не имеющую отношения к целям обработки персональных данных.
20. ОАО "РЖД" вправе поручить обработку персональных данных субъектов персональных данных с их согласия другому лицу на основании заключаемого с ним договора.
21. Договор должен содержать перечень действий (операций) с персональными данными, цели обработки, обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации, настоящим Порядком и иными нормативными документами ОАО "РЖД".
22. Если при обращении субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных выявлены неточные персональные данные или неправомерная обработка персональных данных, ОАО "РЖД" обязано осуществить блокирование таких персональных данных с момента обращения на период проверки.
При подтверждении факта неточности персональных данных ОАО "РЖД" обязано уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
При выявлении неправомерной обработки персональных данных ОАО "РЖД" обязано прекратить их обработку в срок, не превышающий 3 рабочих дней с даты выявления. В случае если обеспечить правомерность обработки персональных данных невозможно, ОАО "РЖД" обязано уничтожить такие персональные данные в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных.
Об устранении допущенных нарушений или об уничтожении (невозможности уничтожить) персональных данных ОАО "РЖД" обязано письменно уведомить субъекта персональных данных по форме согласно приложению N 9 или устно и приобщить копию уведомления или справку об уведомлении к материалам расследования (проверки).
В случае если обращение субъекта персональных данных либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, ОАО "РЖД" обязано уведомить указанный орган.
23. Обработка персональных данных кандидатов для приема на работу осуществляется в соответствии с требованиями раздела III настоящего Порядка. При обработке персональных данных кандидатов оформляется согласие по форме согласно приложению N 5.
При этом для кандидатов, поступающих на работу, действует несколько особых случаев:
1) письменное согласие не требуется, если от имени кандидата действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении кандидатом своего резюме в сети Интернет, доступного неограниченному кругу лиц;
2) письменное согласие кандидата не требуется при поступлении резюме кандидата из банка вакансий, размещенных на сайте ОАО "РЖД", так как согласие заполняется при размещении резюме на сайте;
3) если резюме кандидата поступило по электронной почте или факсу, уполномоченному работнику необходимо подтвердить факт направления указанного резюме самим кандидатом. Если из резюме невозможно однозначно определить физическое лицо, его направившее, данное резюме подлежит уничтожению в день поступления.
24. Обезличивание персональных данных, обрабатываемых в информационных системах ОАО "РЖД", в случае необходимости осуществляется с учетом Требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996.
Обязанности лиц, осуществляющих проведение мероприятий по обезличиванию персональных данных, включаются в их должностные инструкции.
25. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются Федеральным законом "Об архивном деле в Российской Федерации", Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры России от 25 августа 2010 г. N 558, Перечнем документов, образующихся в деятельности ОАО "РЖД", с указанием сроков хранения, утвержденным распоряжением ОАО "РЖД" от 28 декабря 2007 г. N 2474р, Инструкцией по делопроизводству и документированию управленческой деятельности в ОАО "РЖД", утвержденной приказом ОАО "РЖД" от 17 июня 2013 г. N 55, Инструкцией по кадровому делопроизводству, утвержденной распоряжением ОАО "РЖД" от 30 июня 2006 г. N 1335р.
26. Безопасность персональных данных обеспечивается реализацией комплекса мер, определенных федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, нормативными документами ОАО "РЖД", в том числе включающих:
1) организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;
2) размещение информационных систем ОАО "РЖД" и специального оборудования в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;
3) разграничение доступа пользователей и работников, обслуживающих средства вычислительной техники, к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
4) учет документов, информационных массивов, содержащих персональные данные;
5) регистрацию действий пользователей информационных систем и работников, обслуживающих средства вычислительной техники, в порядке, принятом ОАО "РЖД";
6) контроль действий и недопущение несанкционированного доступа к персональным данным пользователей информационных систем ОАО "РЖД", персонала, обслуживающего средства вычислительной техники;
7) хранение и использование материальных носителей, исключающих их хищение, подмену и уничтожение;
8) необходимое резервирование технических средств и дублирование массивов и носителей информации, содержащей персональные данные.
Для каждой информационной системы ОАО "РЖД" организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе.
27. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
28. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
29. При использовании типовых форм документов, в которые предполагается или допускается включение персональных данных, должны соблюдаться условия, предусмотренные пунктом 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных в контролируемую зону или в иных аналогичных целях, должны соблюдаться условия, предусмотренные пунктом 8 указанного положения.
30. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя - путем изготовления нового материального носителя с уточненными персональными данными.
31. При работе с документами, содержащими персональные данные, должны быть приняты меры, исключающие возможность ознакомления с этими документами посторонних лиц, в том числе работников, не уполномоченных на обработку персональных данных.
32. Документы, содержащие персональные данные, должны храниться в специальном шкафу или помещении, обеспечивающем защиту от несанкционированного доступа.
33. Дела, содержащие персональные данные, должны находиться в рабочих кабинетах или в специально отведенных для их хранения помещениях, располагаться в запираемых шкафах, обеспечивающих их полную сохранность.
34. Средства защиты информации, обеспечивающие защиту персональных данных, должны удовлетворять требованиям, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также нормативным правовым актам в области обработки и защиты персональных данных Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.
35. Автоматизированная обработка персональных данных разрешается только при условии применения средств защиты информации, обеспечивающих нейтрализацию актуальных угроз, определенных частью 5 статьи 19 Федерального закона "О персональных данных".
36. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.
37. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
38. Во время перерывов в работе, а также после окончания работы с документами, содержащими персональные данные, необходимо:
убирать документы с поверхности рабочих столов в запирающееся хранилище (сейф, шкаф);
блокировать средство вычислительной техники с помощью защищенной паролем экранной заставки;
принимать необходимые меры по недопущению использования средства вычислительной техники другими работниками и посторонними лицами.
