X. Проведение служебного расследования по факту нарушения режима защиты персональных данных
97. При выявлении в подразделении ОАО "РЖД" нарушения режима защиты персональных данных (далее - нарушение) разбор (рассмотрение) его у руководителя подразделения ОАО "РЖД" проводится в срок не более 10 рабочих дней. При этом должны быть осуществлены действия, направленные на обеспечение законных прав и свобод субъектов персональных данных, а также приняты исчерпывающие меры по устранению условий, повлекших нарушение, и по минимизации ущерба. Подготовка материалов для разбора (рассмотрения) и принятие указанных мер осуществляются под контролем ответственного за организацию обработки персональных данных подразделения ОАО "РЖД".
По результатам разбора по факту выявления нарушения руководитель подразделения ОАО "РЖД" принимает решение о проведении служебного расследования.
98. Подразделение ОАО "РЖД" в случае обнаружения факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, либо в случае поступления такой информации от Роскомнадзора или от иного заинтересованного лица обязано незамедлительно уведомить Департамент управления информационной безопасностью о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом.
В течение 48 часов с момента выявления нарушения по данному факту подразделением ОАО "РЖД" проводится служебное расследование и предоставляется в Департамент управления информационной безопасностью информация о результатах служебного расследования, в том числе сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
99. В случае выявления компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, подразделение ОАО "РЖД" обязано незамедлительно направить в Департамент управления информационной безопасностью и Центр компетенций по информационной безопасности следующую информацию:
1) описание компьютерного инцидента: дата, время и место инцидента, Ф.И.О. работника ОАО "РЖД" и способ выявления им инцидента;
2) сведения о лицах, действия которых стали причиной компьютерного инцидента (в случае наличия такой информации);
3) полное название автоматизированной информационной системы ОАО "РЖД", в которой выявлен компьютерный инцидент, и подразделение, выполняющее роль функционального заказчика (в случае наличия такой информации);
4) описание используемых уязвимостей (в случае наличия такой информации);
5) краткое описание последствий компьютерного инцидента;
6) принятые меры по устранению компьютерного инцидента;
7) иная информацию, связанная с компьютерным инцидентом.
Служебное расследование по факту выявления компьютерного инцидента организует и проводит функциональный заказчик системы, в которой он выявлен. Результаты расследования должны быть переданы в установленном порядке в Департамент управления информационной безопасностью и Центр компетенций по информационной безопасности не позднее 48 часов с момента выявления компьютерного инцидента.
100. Информация о выявленных нарушениях, в том числе о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, о выявленных компьютерных инцидентах фиксируется в журнале учета нарушений порядка обработки персональных данных, составленном по форме согласно приложению N 18.
101. Для служебного расследования обстоятельств неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, а также других нарушений приказом руководителя подразделения ОАО "РЖД" образуется комиссия по расследованию нарушения режима защиты персональных данных (далее - комиссия), в состав которой включается ответственный за организацию обработки персональных данных в подразделении ОАО "РЖД". При необходимости в состав комиссии могут быть включены представители Департамента управления информационной безопасностью и иных подразделений ОАО "РЖД".
102. При проведении служебного расследования:
1) определяется обоснованность отнесения переданной, разглашенной либо утраченной информации к персональным данным;
2) устанавливаются обстоятельства расследуемого нарушения и причастные к нему лица;
3) принимаются меры по определению местонахождения материальных носителей;
4) устанавливаются причины и условия, которые привели к нарушению;
5) оценивается причиненный или возможный вред субъекту персональных данных (ОАО "РЖД") вследствие нарушения.
103. Члены комиссии имеют право:
1) опрашивать работников подразделений ОАО "РЖД", которые допустили нарушение, а также работников подразделений ОАО "РЖД", которые могут оказать содействие в установлении обстоятельств допущенного нарушения или в определении местонахождения утраченных материальных носителей, и требовать от них письменные объяснения;
2) запрашивать информацию и документы, имеющие отношение к проведению служебного расследования обстоятельств возникновения нарушения;
3) проводить осмотр помещений, в которых хранятся и обрабатываются персональные данные, рабочих мест уполномоченных работников, обследование средств вычислительной техники, используемых для обработки персональных данных, мест, где могут находиться утраченные материальные носители;
4) проверять наличие материальных носителей персональных данных, учетную документацию, отражающую их поступление и движение;
5) привлекать к работе комиссии с разрешения руководителя подразделения ОАО "РЖД", назначившего служебное расследование, работников (экспертов), обладающих специальными знаниями.
104. По завершении работы комиссии составляется заключение о результатах проведенного служебного расследования, в котором содержатся выводы о причинах и условиях совершения нарушений, рекомендации по их устранению, результаты определения материального или иного вреда, причиненного субъекту персональных данных (ОАО "РЖД") вследствие нарушения режима защиты персональных данных, а также указаны лица, виновные в совершении нарушения.
Заключение о результатах проведенного служебного расследования должно быть подписано всеми членами комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии подписывает заключение и приобщает к нему свое особое мнение (в письменной форме).
105. По окончании служебного расследования руководителем подразделения ОАО "РЖД" принимается решение:
1) о возможности привлечения виновных работников к дисциплинарной и (или) материальной ответственности;
2) об обращении в правоохранительные органы с заявлением о привлечении работников, допустивших нарушение, к административной или уголовной ответственности;
3) о принятии мер по устранению причин и условий, повлекших нарушение.
106. Копия заключения о результатах проведенного служебного расследования, а также информация о мерах, принятых в отношении лиц, допустивших нарушение, направляются в течение 10 рабочих дней в Департамент управления информационной безопасностью.
107. Служебное расследование по факту нарушения, в том числе по факту неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в подразделениях ОАО "РЖД" может проводиться Департаментом управления информационной безопасностью по указанию генерального директора - председателя правления ОАО "РЖД" либо ответственного за обработку персональных данных в ОАО "РЖД".
Для проведения служебного расследования приказом директора ОАО "РЖД" - начальника Департамента управления информационной безопасностью образуется комиссия. При необходимости в состав комиссии могут быть включены представители иных подразделений ОАО "РЖД".
Основанием для проведения служебного расследования является предписание, составленное в 2 экземплярах по форме согласно приложению N 19, которое подписывается ответственным за организацию обработки персональных данных в ОАО "РЖД".
Срок проведения служебного расследования устанавливается лицом, инициировавшим служебное расследование.
108. Заключение о результатах проведенного служебного расследования в установленном порядке докладывается инициировавшему его проведение лицу.