Тирасполь Тирасполь Бендеры Бендеры 2 Рыбница c 7:00 до 08:15 и с 20:00 до 21:00, ежедневно 0-533- 9-61-84 0-552- 2-68-73 0-552- 5-34-01 0-555-3-62-06
Email pjdpmr@mail.ru

Положение о защите, хранении, обработке и передаче персональных данных

Положение
о защите, хранении, обработке и передаче персональных данных 

в ГУКП «Приднестровская железная дорога»


1. Общие положения

1.1. Настоящее Положение определяется в соответствии со следующими нормативными правовыми актами:

– Трудовым Кодексом ПМР;

– Законом ПМР от 16.04.2010г. № 53-З-IV «О персональных данных»;

– Постановлением Правительства ПМР от 28.03.2014г. № 85 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

– Постановлением Правительства ПМР от 05.08.2014г. № 206 «Об утверждении требований к защите персональных данных при их обработке в информационных системах обработки персональных данных».

1.2. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.3. Субъекты персональных данных – физические лица: работники, лица, с которыми заключены договоры гражданско-правового характера, соискатели, претендующие на замещение должностей в ГУКП «Приднестровская железная дорога», лица, приобретающие проездные железнодорожные документы, а также посетители, пропускаемые на территорию ГУКП «Приднестровская железная дорога».

1.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.6. Распространение персональных данных – действия, направленные на передачу персональных данных неопределенному кругу лиц.

1.7. Предоставление персональных данных – действия, направленные на передачу персональных данных определенному лицу или определенному кругу лиц.

1.8. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

1.9. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.10. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.11. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.12. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

1.13. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения оператором признается ГУКП «Приднестровская железная дорога» (далее – Предприятие).


2.  Состав персональных данных.

2.1. К персональным данным относятся:

– фамилия, имя, отчество;

– дата рождения;

– гражданство;

- паспортные данные;

– номер страхового свидетельства;

– данные об образовании (реквизиты дипломов/иных документов);

– данные о приобретенных специальностях;

– семейное положение;

– данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);

– фактическое место проживания;

– контактная информация;

– данные о воинской обязанности;

– данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.).

2.2. На Предприятии могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе, в электронном виде, содержащие данные о физических лицах:

2.2.1. Анкетные данные (фамилия, имя, отчество, дата, месяц, год рождения, место проживания (прописки) и др.

2.2.2. Договоры (трудовые, гражданско-правовые).

2.2.3. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых физическим лицом, и содержащих персональные данные.

2.2.4. Информация о приобретении проездных документов, находящаяся на контрольной ленте системы «Экспресс-3».


3. Сбор, обработка и защита персональных данных.

 

3.1. Порядок получения (сбора) персональных данных:

 

3.1.1. Все персональные данные физического лица следует получать у него лично, кроме случаев, предусмотренных п. 3.1.5 настоящего Положения и действующим законодательством ПМР.

3.1.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его законным представителем в любой позволяющей подтвердить факт его получения форме, за исключением необходимости получения от физического лица письменного согласия на обработку персональных данных.

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

а) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

б) фамилию, имя, отчество, адрес законного представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от законного представителя субъекта персональных данных);

в) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

г) цель обработки персональных данных;

д) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

е) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

ж) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

з) срок, в течение которого действует согласие, а также порядок его отзыва;

и) подпись субъекта персональных данных.

3.1.3. Если персональные данные физического лица возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные субъекта, должно обладать согласием субъекта на передачу персональных данных Предприятию. Предприятие обязано получить подтверждение от третьего лица, передающего персональные данные субъекта о том, что персональные данные передаются с его согласия. Предприятие обязано при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных физических лиц.

3.1.4. Предприятие обязано сообщить физическому лицу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

3.1.5. Обработка персональных данных физических лиц без их письменного согласия осуществляется в следующих случаях:

3.1.5.1. Персональные данные являются общедоступными.

3.1.5.2. По требованию полномочных государственных органов в случаях, предусмотренных законом.

3.1.5.3. Обработка персональных данных осуществляется на основании закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

3.1.5.4. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных.

3.1.5.5. Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.

3.1.5.6. В иных случаях, предусмотренных законом.

3.1.6. Предприятие не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.

3.2. Порядок обработки персональных данных:

3.2.1. Субъект персональных данных предоставляет Предприятию достоверные сведения о себе.

3.2.2. К обработке персональных данных субъекта могут иметь доступ только сотрудники Предприятия, допущенные к работе с персональными данными физического лица, ознакомившиеся с настоящим Положением и подписавшие его.

3.2.3. Право доступа к персональным данным субъекта на Предприятии имеют:

  • Генеральный директор,
  • Заместитель генерального директора,
  • Главный бухгалтер, работники бухгалтерии,
  • Главный экономист, экономисты,
  • Работники юридического отдела,
  • Работники отдела кадров,
  • Работники отдела компьютерного обеспечения,
  • Работники отдела грузовой и коммерческой работы,
  • Сотрудники отдела охраны,
  • Сотрудники билетных касс.

3.2.3.1. Поименный перечень сотрудников Предприятия, имеющих доступ к персональным данным, утверждается приказом Генерального директора Предприятия.

3.2.4. Обработка персональных данных субъекта может осуществляться исключительно в целях, установленных Положением, при соблюдении законов и иных нормативных правовых актов ПМР.

3.2.5. При определении объема и содержания обрабатываемых персональных данных Предприятие руководствуется Конституцией ПМР, законом о персональных данных, и иными законодательными и подзаконными актами.

3.3. Защита персональных данных:

3.3.1. Под защитой персональных данных физического лица понимается комплекс мер (организационно‐распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

3.3.2. Защита персональных данных субъекта осуществляется за счёт Предприятия в порядке, установленном законом.

3.3.3. Предприятие при защите персональных данных субъектов принимает все необходимые организационно‐распорядительные, юридические и технические меры, в том числе:      

  • Антивирусная защита.
  • Защита доступа к информации индивидуальным паролем.
  • Анализ защищённости.
  • Обнаружение и предотвращение вторжений.
  • Управление доступом.
  • Регистрация и учет.
  • Обеспечение целостности.
  • Организация нормативно‐методических локальных актов, регулирующих защиту персональных данных.

3.3.4. Общую организацию защиты персональных данных субъектов осуществляет Генеральный директор Предприятия или иное уполномоченное им лицо, назначенное ответственным за организацию обработки персональных данных.

3.3.5. Доступ к персональным данным субъектов имеют сотрудники Предприятия, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

3.3.6. Процедура оформления доступа к работе с персональными данными субъекта включает в себя:

- ознакомление сотрудника под роспись с настоящим Положением и иными локальными нормативными актами, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области. При наличии иных нормативных и локальных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта, с данными актами также производится ознакомление под роспись.

- истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных физических лиц в соответствии с внутренними локальными актами Предприятия, регулирующими вопросы обеспечения безопасности конфиденциальной информации.

            3.3.7. Сотрудник Предприятия, имеющий доступ к персональным данным субъектов в связи с исполнением трудовых обязанностей, обеспечивает хранение информации, содержащей персональные данные физических лиц, исключающее доступ к ним третьих лиц. В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные физических лиц. При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов лицу, на которое локальным актом Предприятия (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные физических лиц, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию Генерального директора Предприятия. При увольнении сотрудника, имеющего доступ к персональным данным субъектов, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным физических лиц по указанию Генерального директора. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным субъектов может быть предоставлен иному сотруднику. Допуск к персональным данным физических лиц других сотрудников Предприятия, не имеющих надлежащим образом оформленного доступа, запрещается.

3.3.8. Сотрудники отдела кадров обеспечивают:

- ознакомление сотрудников под роспись с настоящим Положением.

- истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных физических лиц.

- принятие мер по защите персональных данных работников Предприятия.

3.3.9. Защита персональных данных субъектов, хранящихся в электронных базах данных Предприятия, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается отделом компьютерного обеспечения.

3.3.10. Защита персональных данных лиц, приобретающих проездные железнодорожные билеты, обеспечивается билетными кассирами, дежурными по вокзалу.

3.3.11. Защита персональных данных лиц, посещающих Предприятие и предоставляющих в связи с этим документы, удостоверяющие личность и иные документы, содержащие персональные данные, обеспечивается сотрудниками отдела охраны.

3.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание

используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

3.5. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию Предприятия, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена распоряжением Генерального директора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; способы фиксации и состав информации, запрашиваемой у субъектов персональных данных; перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги); сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию Предприятия, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается, за исключением предусмотренных законодательством ПМР случаев;

в) персональные данные каждого субъекта могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию Предприятия.


4.  Блокировка, обезличивание, уничтожение персональных данных


4.1. Порядок блокировки и разблокировки персональных данных:

4.1.1. Блокировка персональных данных субъекта осуществляется с его письменного заявления.

4.1.2. Блокировка персональных данных подразумевает:

4.1.2.1. Запрет редактирования персональных данных.

4.1.2.2. Запрет распространения персональных данных любыми средствами (e‐mail, сотовая связь, материальные носители).

4.1.2.4. Изъятие бумажных документов, относящихся к физическому лицу и содержащих его персональные данные из внутреннего документооборота Предприятия и запрет их использования.

4.1.3. Блокировка персональных данных субъекта может быть временно снята, если это требуется для соблюдения законодательства ПМР.

4.1.4. Разблокировка персональных данных физического лица осуществляется с его письменного согласия (при наличии необходимости получения согласия) или его непосредственного заявления.

4.1.5. Повторное согласие физического лица на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

4.2. Порядок обезличивания и уничтожения персональных данных:

4.2.1. Обезличивание персональных данных физического лица происходит по его письменному заявлению, при условии, что достигнуты цели обработки персональных данных.

4.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту.

4.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.

4.3. Уничтожение персональных данных субъектов подразумевает прекращение какого‐либо доступа к таким персональным данным.

4.4. При уничтожении персональных данных субъектов работники Предприятия не могут получить доступ к персональным данным физических лиц в информационных системах.

4.5. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

4.6. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.


5. Передача и предоставление персональных данных


5.1. Передача персональных данных.

5.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.

5.1.2. При передаче персональных данных работники Предприятия должны соблюдать следующие требования:

5.1.2.1. Не сообщать персональные данные субъектов в коммерческих целях.

5.1.2.2. Не сообщать персональные данные субъектов третьей стороне без их письменного согласия, за исключением случаев, установленных законом.

5.1.2.3. Предупредить лиц, получающих персональные данные субъекта о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.1.2.4. Разрешать доступ к персональным данным субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы им для выполнения конкретных функций.

5.1.2.5. Осуществлять передачу персональных данных субъектов в пределах Предприятия в соответствии с настоящим Положением, локальными нормативными актами и должностными инструкциями.

5.1.2.6. Предоставлять доступ субъекта к своим персональным данным при обращении либо при получении запроса самого субъекта. Предприятие обязано сообщить субъекту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

5.1.2.7. Передавать персональные данные субъекта представителям субъекта в порядке, установленном законодательством и локальными нормативными актами и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.

5.1.2.8. Обеспечивать ведение журнала учета выданных персональных данных субъектов, в котором фиксируются сведения о лице, которому передавались персональные данные, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

5.2. Прием и обработка обращений и запросов субъектов персональных данных.

5.2.1. Сведения о персональных данных должны быть предоставлены субъекту таких данных  в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключение случаев, когда имеются законные основания для раскрытия таких персональных данных.

5.2.2. Сведения о персональных данных представляются субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.

5.2.3. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

а) подтверждение факта обработки персональных данных Предприятием, а также цель такой обработки;

б) способы обработки персональных данных;

в) наименование и место нахождения оператора, сведения о лицах
(за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании  закона;

г) перечень обрабатываемых персональных данных и источник их получения;

д) сроки обработки персональных данных, в том числе сроки их хранения;

е) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

ж) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.4. Предприятие обязано в предусмотренных настоящим Положением и действующим законодательством случаях сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

5.2.5. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных Предприятие обязано дать в письменной форме мотивированный ответ в срок, не превышающий
7 (семи) рабочих дней со дня обращения субъекта персональных данных или его законного представителя, либо с даты получения запроса субъекта персональных данных или его законного представителя.

5.2.6. Предприятие обязано безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.


6. Хранение персональных данных.


6.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.

6.2. Персональные данные субъектов обрабатываются и хранятся в информационных системах, а также на бумажных носителях на Предприятии. Персональные данные субъектов также хранятся в электронном виде: в локальной компьютерной сети Предприятия, в электронных папках и файлах  работников, допущенных к обработке персональных данных физических лиц.

6.3. Документы, содержащие персональные данные субъектов, хранятся в шкафах или сейфах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.

6.4. Защита доступа к электронным базам данных, содержащим персональные данные субъектов, обеспечивается:

а) использованием антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Предприятия.

б) разграничением прав доступа с использованием учетной записи.

в) системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли на уровне баз данных устанавливаются отделом компьютерного обеспечения Предприятия и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным субъектов.

6.5. Копировать и делать выписки персональных данных физических лиц разрешается исключительно в служебных целях с письменного разрешения Генерального директора Предприятия.

6.6. Хранение персональных данных субъекта может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено законами.

6.7. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном в Положении и действующем законодательстве.


7. Конфиденциальность. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных


7.1. Работники Предприятия не вправе разглашать ставшими им известные персональные данные субъектов.

7.2. Обеспечение конфиденциальности персональных данных не требуется:

а) в случае обезличивания персональных данных;

б) в отношении общедоступных персональных данных.

7.3. Работники Предприятия, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско‐правовую или уголовную ответственность в соответствии с действующем законодательством ПМР и внутренними локальными актами Предприятия.