Утверждено приказом Росжелдора
от 20 декабря 2016 года № 582
1. Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и устанавливает единый порядок обработки персональных данных субъектов, не являющихся государственными гражданскими служащими Федерального агентства железнодорожного транспорта (Росжелдор) в Росжелдоре.
2. В настоящей Политике используются следующие термины и понятия:
2.1. персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2.2. обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
2.3. информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
2.4. обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
3. Руководитель Росжелдора назначает ответственных за организацию обработки персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ и других нормативных правовых актов Российской Федерации.
4. Обработка персональных данных осуществляется при выполнении следующих требований:
- после направления уведомления об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ;
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона № 152-ФЗ; после принятия необходимых мер по защите персональных данных.
5. Государственные гражданские служащие Росжелдора, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с данной Политикой и другими локальными актами по вопросам обработки персональных данных и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, утвержденной приказом Росжелдора.
6. Порядок определения защищаемой информации
6.1. Росжелдор создает в пределах своих полномочий, установленных в соответствии с федеральными законами государственные информационные системы, обрабатывающие персональные данные.
6.2. В Росжелдоре определяется и утверждается перечень сведений, содержащих персональные данные, и перечень государственных информационных систем, обрабатывающих персональные данные.
6.3. На стадии проектирования каждой государственной информационной системы, обрабатывающей персональные данные, определяются цели обработки и содержание персональных данных, утверждается перечень обрабатываемых персональных данных.
7. Порядок обработки персональных данных в государственных информационных системах персональных данных с использованием средств автоматизации
7.1. Обработка персональных данных в государственных информационных системах, обрабатывающих персональные данные Росжелдора с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7.2. Комиссией из работников Федерального казенного учреждения «Управление служебных зданий федеральных органов исполнительной власти» или Росжелдора, на которых возложены обязанности по обеспечению информационной безопасности в Росжелдоре, осуществляется определение уровня защищенности персональных данных, обрабатываемых в государственных информационных системах персональных данных, в соответствии с постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 в зависимости от категории обрабатываемых данных, их объема, наличия трудовых взаимоотношений субъектов персональных данных с Росжелдором и типа актуальных угроз.
7.3. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСТЭК России от 18 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
7.4. Не допускается обработка персональных данных в государственных информационных системах с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации государственных информационных систем, обрабатывающих персональные данные, включающих акт по определению класса защищенности государственной информационной системы, акт по определению уровня защищенности персональных данных, инструкций пользователя и администратора, инструкций по организации парольной и антивирусной защиты, и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств межсетевой защиты, резервного копирования информации и других программных и технических средств в соответствии с техническим или частным техническим заданием на систему защиты информации;
- охраны и организации порядка допуска в помещения, в которых размещены технические средства для обработки и защиты персональных данных.
7.5. Росжелдор прекращает обработку персональных данных или обеспечивает прекращение их обработки лицом, действующим по поручению Росжелдора, в случаях:
- изменения, признания утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
- изменения или расторжения соглашений, заключенных Росжелдором во исполнение нормативных правовых актов, на основании которых осуществляется обработка персональных данных;
- выявления неправомерной обработки персональных данных, осуществляемой Росжелдором или лицом, действующим по поручению Росжелдора;
- достижения цели обработки персональных данных;
- отзыва субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с законодательством Российской Федерации обработка персональных данных допускается только с согласия субъекта персональных данных.
8. Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется в соответствии с требованиями, установленными постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
9. Лицам, допущенным к обработке персональных данных, запрещается:
- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
- осуществлять ввод персональных данных под диктовку.
10. Ответственность должностных лиц
10.1. Государственные гражданские служащие Росжелдора и работники подведомственных Росжелдору и подрядных организаций, допущенные к обработке персональных данных, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.