II. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД"

6. В настоящем Положении используются следующие термины и определения:

1) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2) автоматизированное рабочее место - рабочее место работника ОАО "РЖД", оснащенное персональным компьютером, программным обеспечением и совокупностью информационных ресурсов индивидуального или коллективного пользования, которые позволяют ему вести обработку данных с целью получения информации, обеспечивающей поддержку принимаемых им решений при выполнении профессиональных функций;

3) безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;

4) биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

5) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

6) вымарывание персональных данных - действия, исключающие дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе;

7) допуск к обработке персональных данных - процедура оформления права на доступ к персональным данным;

8) доступ к персональным данным - возможность обработки персональных данных;

9) информационная система ОАО "РЖД" - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

10) компьютерный инцидент - факт нарушения, и (или) прекращения функционирования объекта информационной инфраструктуры ОАО "РЖД", и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;

11) контролируемая зона - пространство, в пределах которого осуществляется контроль над пребыванием и действиями физических лиц и/или транспортных средств;

12) конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;

13) материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных;

14) машинный носитель - материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние и внешние жесткие диски, флеш-накопители, CD/DVD и иные устройства);

15) неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии работника ОАО "РЖД" без использования средств вычислительной техники;

16) несъемный машинный носитель - машинный носитель, установленный в корпус средства вычислительной техники, используемый для хранения и обработки информации (внутренние жесткие диски и иные устройства);

17) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

18) обеспечение безопасности персональных данных - деятельность, включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

19) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление (в том числе вымарывание), уничтожение персональных данных;

20) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

21) ответственный за обеспечение безопасности персональных данных в информационных системах ОАО "РЖД" - должностное лицо подразделения ОАО "РЖД", назначенное приказом, отвечающее за обеспечение безопасности персональных данных, обрабатываемых в информационной системе ОАО "РЖД", функциональным заказчиком которой является это подразделение ОАО "РЖД";

22) ответственный за организацию обработки персональных данных - должностное лицо, назначенное в ОАО "РЖД" из числа заместителей генерального директора ОАО "РЖД", а в подразделениях ОАО "РЖД" - из числа заместителей руководителя подразделения ОАО "РЖД", в ведении которого находятся вопросы организации обработки персональных данных, уполномоченное (в пределах своей компетенции) осуществлять контроль за соблюдением режима защиты персональных данных, инициировать проведение проверок соблюдения законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных, режима защиты персональных данных;

23) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

24) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных";

25) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

26) разглашение персональных данных - действия (бездействие), в результате которых персональные данные в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становятся известными третьим лицам без письменного согласия субъекта персональных данных;

27) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

28) режим защиты персональных данных - нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок их обработки, передачи и условия хранения;

29) специальные категории персональных данных - категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

30) средство вычислительной техники - совокупность технических устройств и программ, обеспечивающих их функционирование, способных функционировать самостоятельно или в составе других систем;

31) субъекты персональных данных - пользователи услуг, контрагенты, работники ОАО "РЖД", их близкие родственники, кандидаты для приема на работу (соискатели), пенсионеры, состоящие на учете в ОАО "РЖД", и их официальные представители, а также иные лица, чьи персональные данные стали известны ОАО "РЖД" при осуществлении своей деятельности, в том числе в силу предоставления им со стороны ОАО "РЖД" социальных льгот, гарантий и компенсаций;

32) съемный машинный носитель - машинный носитель, используемый для хранения информации вне автоматизированного рабочего места (флеш-накопители, внешние жесткие диски, CD/DVD-диски и иные устройства);

33) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

34) удаление персональных данных - действия, в результате которых становится невозможным ознакомиться с содержанием персональных данных в информационной системе или на материальном носителе;

35) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе или на машинном носителе и (или) в результате которых уничтожаются материальные носители;

36) уполномоченные работники - работники подразделений ОАО "РЖД", имеющие допуск к персональным данным субъектов персональных данных.