VIII. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД"

74. Передача персональных данных субъектов персональных данных общественным организациям, негосударственным пенсионным фондам, кредитным организациям, банкам, лечебным учреждениям, страховым компаниям и иным организациям осуществляется в соответствии с заключенными с этими организациями договорами на оказание услуг и с письменного согласия субъектов персональных данных на передачу персональных данных, составленного по форме согласно приложению N 15.

При этом в договоры включаются условия о соблюдении конфиденциальности и обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения обязательств по договору в соответствии с Федеральным законом "О персональных данных".

До начала передачи персональных данных подразделение ОАО "РЖД", заключающее от имени ОАО "РЖД" договор, должно получить от организации заверенные в установленном порядке документы, подтверждающие выполнение требований по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

75. Передача персональных данных субъектов персональных данных без их согласия допускается:

1) третьим лицам с целью предупреждения угрозы жизни и здоровью субъекта персональных данных (например, передача персональных данных в учреждения здравоохранения);

2) в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств Минтранса России с целью обеспечения транспортной безопасности;

3) по мотивированному запросу органов прокуратуры, правоохранительных органов и органов безопасности, по запросу государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;

4) в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом, по перечню оповещаемых органов и с соблюдением сроков направления извещений о несчастном случае, установленных Трудовым кодексом Российской Федерации;

5) в случаях, связанных с исполнением работником должностных обязанностей (например, при направлении в командировку);

6) в случаях опубликования или обязательного раскрытия информации, содержащей персональные данные, в порядке, предусмотренном законодательством Российской Федерации;

7) в иных случаях, предусмотренных законодательством Российской Федерации.

76. Пересылка материальных носителей между различными почтовыми адресами должна производиться в запечатанных конвертах (пакетах) с сопроводительным документом, в котором должно сообщаться о наличии персональных данных и требовании о соблюдении конфиденциальности персональных данных.

Пересылка конвертов (пакетов) с документами, содержащими персональные данные, может производиться фельдъегерской связью, заказными или ценными почтовыми отправлениями. Допускается передача документов, содержащих персональные данные, нарочным (работником подразделения ОАО "РЖД" или работником организации-адресата) с распиской о получении в реестре.

77. Материальные носители пересылаются или передаются сторонним адресатам только по указанию руководителя подразделения ОАО "РЖД", осуществляющего их отправку.

78. Передача персональных данных между подразделениями ОАО "РЖД" должна осуществляться исключительно в служебных целях.

79. Запрещается передача персональных данных субъектов персональных данных:

1) по открытым каналам связи, выходящим за пределы контролируемой зоны, и по сетям связи общего пользования, в том числе сети "Интернет", без применения соответствующих организационных и технических мер защиты;

2) с использованием любых, кроме корпоративных, сервисов информационно-телекоммуникационных сетей (в том числе файловых и облачных хранилищ, сервисов обмена сообщениями, сервисов делового планирования), если иное не предусмотрено нормативными документами ОАО "РЖД";

3) на адреса электронной почты, находящиеся в иностранных общедоступных почтовых доменах (gmail.com, yahoo.com и др.), если иное не предусмотрено законодательством Российской Федерации и нормативными документами ОАО "РЖД";

4) с использованием информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями (Viber, WhatsApp, Telegram и др.), в соответствии с частями 8, 10 статьи 10 Федерального закона "Об информации, информационных технологиях и о защите информации".

80. Передача персональных данных, включенных в общедоступные источники персональных данных, между подразделениями ОАО "РЖД" может осуществляться по корпоративным каналам связи без применения соответствующих организационных и технических мер защиты.

Передача персональных данных в объеме, превышающем персональные данные, включаемые в общедоступные источники персональных данных, осуществляется в установленном ОАО "РЖД" порядке.

81. Размещение персональных данных на сетевых ресурсах ОАО "РЖД" возможно при соблюдении мер по недопущению ознакомления с ними лиц, не имеющих доступа к обработке таких персональных данных.

82. При регистрации документа в ЕАСД в регистрационной карточке в обязательном порядке проставляется отметка "Ограниченный доступ", в случаях наличия в нем:

персональных данных работника ОАО "РЖД" в объеме, превышающем персональные данные, включаемые с его письменного согласия в общедоступные источники персональных данных (фамилия, имя, отчество, место работы, занимаемая должность, номера стационарных и мобильных рабочих телефонов и адреса корпоративной электронной почты);

требования обеспечить конфиденциальность направляемых персональных данных.

83. Трансграничная передача персональных данных осуществляется в соответствии с требованиями статьи 12 Федерального закона "О персональных данных" и международными договорами Российской Федерации, а также с письменного согласия субъекта персональных данных, составленного по форме согласно приложению N 16.

Требования статьи 12 Федерального закона "О персональных данных" распространяются на все случаи передачи персональных данных работников ОАО "РЖД" и иных лиц от имени ОАО "РЖД" и в его интересах, а также от имени должностных лиц ОАО "РЖД" в целях исполнения ими своих должностных обязанностей на территорию иностранного государства: органу власти иностранного государства, иностранному юридическому или физическому лицу, в том числе по официально поступившим запросам.

84. ОАО "РЖД" до начала трансграничной передачи персональных данных обязано уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных.

Для подготовки соответствующего уведомления подразделение ОАО "РЖД", планирующее трансграничную передачу персональных данных, должно заблаговременно, не менее чем за 20 дней до начала передачи данных, проинформировать Департамент управления информационной безопасностью о своем намерении осуществлять трансграничную передачу персональных данных, а также сообщить:

1) правовые основания и цели передачи персональных данных;

2) категории и перечень передаваемых персональных данных;

3) категории субъектов персональных данных, персональные данные которых передаются;

4) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

5) сведения об органах власти иностранных государств, иностранных юридических или физических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты);

6) заранее полученные от соответствующих органов власти иностранных государств, иностранных юридических или физических лиц сведения о принимаемых ими мерах по обеспечению безопасности передаваемых им персональных данных и об условиях прекращения обработки персональных данных.

85. В случае трансграничной передачи персональных данных на территории иностранных государств, не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Роскомнадзора от 5 августа 2022 г. N 128 (далее - перечень), подразделение ОАО "РЖД" дополнительно направляет в Департамент управления информационной безопасностью информацию о правовом регулировании в области персональных данных этого иностранного государства.

Трансграничная передача персональных данных на территории иностранных государств, не включенных в перечень, осуществляется только после получения положительного решения Роскомнадзора по результатам рассмотрения поданного уведомления, за исключением случаев, если такая передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов работников ОАО "РЖД" или других лиц.

86. Передача персональных данных филиалам и представительствам ОАО "РЖД", находящимся за рубежом, не является трансграничной передачей персональных данных.