VIII. ПОРЯДОК ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО "РЖД"

83. В случае выявления утраты материальных носителей, разглашения или неправомерной обработки персональных данных в подразделении ОАО "РЖД" должны быть осуществлены действия, направленные на обеспечение законных прав и свобод субъектов персональных данных, а также приняты исчерпывающие меры по локализации условий, способствовавших нарушению режима защиты персональных данных, и минимизации ущерба.

84. О фактах утраты материальных носителей, разглашения персональных данных либо неправомерной обработки персональных данных информируется письменно руководитель и ответственный за организацию обработки персональных данных подразделения ОАО "РЖД", в котором допущено нарушение, а также Управление по защите персональных данных. Факт нарушения порядка обработки персональных данных фиксируется в журнале учета нарушений порядка обработки персональных данных, составленном по форме согласно приложению N 15.

85. Для расследования обстоятельств утраты материальных носителей, разглашения либо неправомерной обработки персональных данных приказом руководителя подразделения ОАО "РЖД" назначается комиссия по расследованию нарушений обработки персональных данных (далее - комиссия), в состав которой включается ответственный за организацию обработки персональных данных в подразделении. При необходимости в состав комиссии могут быть включены представители Управления по защите персональных данных и иных подразделений ОАО "РЖД".

86. При проведении служебного расследования обстоятельств утраты материальных носителей, разглашения либо неправомерной обработки персональных данных комиссия выполняет следующие функции:

1) определяет обоснованность отнесения разглашенной либо утраченной информации к персональным данным;

2) устанавливает обстоятельства утраты материальных носителей, разглашения либо неправомерной обработки персональных данных (время, место, способ);

3) устанавливает лиц, которые допустили утрату материальных носителей, разглашение либо неправомерную обработку персональных данных;

4) принимает меры к определению местонахождения материальных носителей;

5) устанавливает причины и условия, которые привели к утрате материальных носителей, разглашению либо неправомерной обработке персональных данных;

6) оценивает причиненный или возможный вред субъекту персональных данных вследствие утраты материальных носителей, разглашения либо неправомерной обработки персональных данных;

7) составляет заключение о результатах проведенного служебного расследования.

87. Служебное расследование проводится в возможно короткие сроки (не более 20 календарных дней) со дня установления факта утраты материальных носителей, разглашения либо неправомерной обработки персональных данных.

88. Члены комиссии, проводящей служебное расследование, имеют право:

1) опрашивать работников подразделений ОАО "РЖД", которые допустили утрату материальных носителей, разглашение либо неправомерную обработку персональных данных, а также работников подразделений ОАО "РЖД", которые могут оказать содействие в установлении обстоятельств допущенного нарушения или в определении местонахождения утраченных материальных носителей, и получать от них письменные объяснения;

2) запрашивать и получать информацию и документы, имеющие отношение к проведению служебного расследования обстоятельств утраты материальных носителей, разглашения либо неправомерной обработки персональных данных;

3) проводить осмотр помещений, в которых хранятся и обрабатываются персональные данные, рабочих мест уполномоченных работников, обследование средств вычислительной техники, используемых для обработки персональных данных, мест, где могут находиться утраченные материальные носители;

4) проверять количество материальных носителей, учетную документацию, отражающую их поступление и движение;

5) привлекать с разрешения руководителя подразделения ОАО "РЖД", назначившего служебное расследование, к работе комиссии работников (экспертов), обладающих специальными знаниями.

89. Заключение о результатах проведенного служебного расследования должно содержать следующие сведения:

1) дата и место проведения служебного расследования;

2) состав комиссии, проводившей служебное расследование;

3) основания для проведения служебного расследования;

4) установленные факты о времени, месте и обстоятельствах нарушения;

5) правильность отнесения разглашенной либо утраченной информации к персональным данным;

6) о виновных лицах и степени их вины;

7) наличие умысла в действиях виновных лиц;

8) выводы по результатам определения материального или иного вреда, причиненного субъекту персональных данных вследствие утраты материальных носителей, разглашения либо неправомерной обработки персональных данных;

9) предложения о прекращении поиска материального носителя и списании его в учетных формах;

10) другие сведения, имеющие отношение к служебному расследованию;

11) выводы о причинах и условиях совершения нарушений, рекомендации по их устранению.

90. Заключение о проведении служебного расследования должно быть подписано всеми членами комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии подписывает заключение и приобщает к нему свое особое мнение (в письменном виде).

91. По окончании служебного расследования комиссия обязана представить на рассмотрение руководителя подразделения ОАО "РЖД", назначившего служебное расследование, следующие документы:

1) заключение о результатах проведенного служебного расследования;

2) письменные объяснения работников, которых опрашивали члены комиссии (при необходимости);

3) другие документы, имеющие отношение к служебному расследованию.

92. По окончании служебного расследования руководитель подразделения ОАО "РЖД", назначивший служебное расследование, в установленном законодательством Российской Федерации и нормативными документами ОАО "РЖД" порядке должен принять решение:

1) о привлечении виновных работников к дисциплинарной и (или) материальной ответственности;

2) об обращении в правоохранительные органы с заявлением о привлечении работников, допустивших утрату материальных носителей, разглашение либо неправомерную обработку персональных данных, к административной или уголовной ответственности;

3) о принятии мер по устранению причин и условий, способствовавших нарушению режима защиты персональных данных.

93. Копии заключений по результатам служебного расследования, а также информация о мерах, принятых к работникам, допустившим утрату материальных носителей, разглашение либо неправомерную обработку персональных данных, направляются в Управление по защите персональных данных, которое по результатам рассмотрения представленных материалов информирует руководство ОАО "РЖД".