III. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД"

7. Обработка персональных данных в ОАО "РЖД" должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации и нормативными документами ОАО "РЖД" в области персональных данных. Обработка персональных данных в ОАО "РЖД" допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для:

а) достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных на ОАО "РЖД" законодательством Российской Федерации и уставом ОАО "РЖД" функций, полномочий и обязанностей;

б) исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

в) исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

г) защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия на обработку персональных данных невозможно;

д) осуществления прав и законных интересов ОАО "РЖД" или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

е) осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

ж) статистических или иных исследовательских целей при условии обязательного обезличивания персональных данных и в порядке, предусмотренном Федеральным законом "О персональных данных";

з) опубликования или обязательного раскрытия информации в соответствии с законодательством Российской Федерации.

8. Обработка персональных данных граждан Российской Федерации, в том числе сбор персональных данных посредством сети "Интернет", должна осуществляться с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

9. Обработка персональных данных в ОАО "РЖД" осуществляется с использованием средств автоматизации и/или без использования таких средств.

10. Обработка специальных категорий персональных данных, а также биометрических персональных данных в ОАО "РЖД" осуществляется в соответствии с требованиями законодательства Российской Федерации.

11. ОАО "РЖД" вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора.

При поручении ОАО "РЖД" обработки персональных данных другому лицу:

1) должны быть определены:

а) перечень персональных данных;

б) перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

в) цели обработки персональных данных;

2) должны быть установлены:

а) обязанность такого лица соблюдать конфиденциальность персональных данных, а также требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона "О персональных данных";

б) обязанность по запросу ОАО "РЖД" в течение срока действия договора ОАО "РЖД", в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения договора ОАО "РЖД" установленных требований;

в) обязанность обеспечивать безопасность персональных данных при их обработке;

3) должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных", в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона "О персональных данных".

12. Лицо, осуществляющее обработку персональных данных по поручению ОАО "РЖД", не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

13. Если ОАО "РЖД" поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет ОАО "РЖД". Лицо, осуществляющее обработку персональных данных по поручению ОАО "РЖД", несет ответственность перед ОАО "РЖД".

В случае если ОАО "РЖД" поручает обработку персональных данных иностранному физическому или юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет ОАО "РЖД" и лицо, осуществляющее обработку персональных данных по поручению ОАО "РЖД".