V. ПОРЯДОК ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО "РЖД"

49. Подразделения ОАО "РЖД" осуществляют систематический мониторинг персональных данных, цели обработки которых достигнуты или сроки хранения которых истекли, с последующим уничтожением документов, иных материальных носителей, содержащих персональные данные, а также удалением персональных данных, содержащихся в информационных системах ОАО "РЖД", файлах, хранящихся на ПЭВМ или на внешних перезаписываемых СНИ, в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований.

50. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:

1) по достижении целей обработки персональных данных - в 30-дневный срок;

2) в случае утраты необходимости в достижении целей обработки персональных данных - в 30-дневный срок;

3) в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных - в 30-дневный срок, если иной срок не предусмотрен договором или соглашением между ОАО "РЖД" и субъектом персональных данных либо если ОАО "РЖД" не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами;

4) при выявлении неправомерной обработки персональных данных - в срок, не превышающий 10 рабочих дней с даты выявления, в следующих случаях:

а) персональные данные являются неполными, устаревшими, неточными (при условии, что уточнение персональных данных невозможно);

б) персональные данные получены незаконно;

в) персональные данные не являются необходимыми для заявленной цели обработки.

51. Отбор к уничтожению дел (документов), содержащих персональные данные, и их уничтожение проводятся на основании документов, указанных в пункте 25 настоящего Порядка.

В процессе уничтожения дел и документов необходимо исключить возможность ознакомления посторонних лиц с содержащимися в них персональными данными.

52. Уничтожение не вошедших в дела документов (копий документов), содержащих персональные данные, должно производиться в подразделении ОАО "РЖД" путем сжигания или с помощью бумагорезательной машины. При этом должна быть исключена возможность прочтения текста уничтоженного документа. В учетных формах регистрации документа при необходимости производится соответствующая запись об уничтожении, заверенная подписями исполнителя и работника подразделения, который осуществляет регистрацию документов.

53. Уничтожение персональных данных, хранящихся в информационных системах, производится в соответствии с порядком, установленным в ОАО "РЖД".

54. Уничтожение персональных данных, хранящихся на ПЭВМ и (или) на перезаписываемых СНИ, производится с использованием штатных средств информационных и операционных систем.

55. Уничтожение СНИ производится путем механического нарушения целостности СНИ, не позволяющего произвести считывание или восстановление содержания персональных данных (надлом, физическое деформирование). В журнале учета машинных носителей персональных данных производится соответствующая запись об уничтожении, заверенная подписями исполнителя и уполномоченного работника подразделения ОАО "РЖД", который осуществляет регистрацию СНИ.

56. Уничтожение или обезличивание части персональных данных, если это допускает материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

57. При утрате или несанкционированном уничтожении СНИ проводится служебное расследование и составляется акт. Соответствующие отметки производятся в журнале учета машинных носителей персональных данных.