Политика обработки персональных данных

ПОЛИТИКА акционерного общества «РЖД-ЗДОРОВЬЕ» по обработке персональных данных

1. Общие положения

1.1. Политика по обработке персональных данных в АО «РЖД-ЗДОРОВЬЕ» (далее – Политика) разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в АО «РЖД-ЗДОРОВЬЕ», определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в АО «РЖД-ЗДОРОВЬЕ» персональных данных, функции АО «РЖД-ЗДОРОВЬЕ» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в АО «РЖД-ЗДОРОВЬЕ» требования к защите персональных данных (далее – ПДн).

1.2. Политика разработана с учетом требований Конституции Российской Федерации, а также в соответствии с федеральными законами и подзаконными актами Российской Федерации, определяющими порядок обработки персональных данных, обеспечения безопасности и конфиденциальности такой информации.

1.3. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в АО «РЖД-ЗДОРОВЬЕ» вопросы обработки персональных данных работников АО «РЖД-ЗДОРОВЬЕ» и других субъектов персональных данных, оператором которых является АО «РЖД-ЗДОРОВЬЕ».

1.5. Положения Политики являются обязательными для исполнения работниками АО «РЖД-ЗДОРОВЬЕ», имеющими доступ к персональным данным.

2. Нормативная документация

2.1. Политика определяется в соответствии со следующими нормативными правовыми актами:

• Трудовой кодекс Российской Федерации;

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

• Федеральный закон от 21 ноября 2011 г. № 323-Ф3 «Об основах охраны здоровья граждан в Российской Федерации»;

• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Приказ Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

• иные нормативные правовые акты Российской Федерации, нормативные документы уполномоченных органов государственной власти, регулирующие отношения, связанные с обработкой персональных данных.

2.2. В целях реализации положений Политики в АО «РЖД-ЗДОРОВЬЕ» разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

• Положение об обработке и защите персональных данных работников АО «РЖД-ЗДОРОВЬЕ»;

• Порядок обработки и обеспечения режима защиты персональных данных работников АО «РЖД-ЗДОРОВЬЕ»;

• Положение о защите конфиденциальных сведений в АО «РЖД-ЗДОРОВЬЕ»;

• иные локальные нормативные акты и документы, регламентирующие в АО «РЖД-ЗДОРОВЬЕ» вопросы обработки персональных данных.

3. Термины и сокращения

В Политике используются понятия, принятые в федеральных законах от 27.07.2006 № 152-ФЗ «О персональных данных» и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также следующие термины и сокращения:

Общество – АО «РЖД-ЗДОРОВЬЕ»;

АП – аппарат управления АО «РЖД-ЗДОРОВЬЕ»;

ЛНА – локальные нормативные акты Общества;

ПДн – персональные данные;

4. Принципы и цели обработки персональных данных

4.1. Общество, являясь оператором персональных данных, осуществляет обработку ПДн работников Общества и других субъектов ПДн, не состоящих с Обществом в трудовых отношениях, с соблюдением принципов и условий, предусмотренных федеральными законами в области ПДн.

4.2. Обработка ПДн в Обществе осуществляется с учетом необходимости обеспечения защиты прав, свобод и законных интересов работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

а) законность и справедливость целей и способов обработки ПДн;

б) соответствие объема и характера обрабатываемых ПДн, способов обработки ПДн целям их обработки;

в) достоверность ПДн, их достаточность для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

г) недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

д) хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

е) уничтожение либо обезличивание ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом

4.3. ПДн обрабатываются в Обществе в целях:

• обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, ЛНА;

• осуществления функций, полномочий и обязанностей, возложенных на Общество законодательством Российской Федерации, в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

• регулирования трудовых отношений с работниками Общества и обеспечения кадровой работы (содействие в трудоустройстве, обучении и должностном росте, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества Общества);

• предоставления работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

• защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;

• подготовки, заключения, исполнения и прекращения договоров с контрагентами, являющимися субъектами ПДн;

• обеспечения пропускного и внутриобъектового режимов на объектах Общества;

• формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;

• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

• осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛНА Общества, либо достижения общественно значимых целей;

• предоставления гражданам санаторно-курортных и иных услуг, предусмотренных Уставом Общества;

• в иных законных целях.

5. Перечень субъектов, ПДн которых обрабатываются в Обществе

5.1. В Обществе обрабатываются ПДн следующих субъектов ПДн:

а) кандидатов на работу в Обществе;

б) работников Общества, в том числе представляющих сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих близких родственников;

в) физических лиц, заключивших с Обществом гражданско-правовые договоры;

г) физических лиц, указанных в информации о цепочке собственников, включая бенефициаров (в том числе конечных);

д) участников закупочных процедур и контрагентов Общества;

е) иных физических лиц, ПДн которых обрабатываются Обществом.

6. Перечень ПДн, обрабатываемых в Обществе

6.1. Перечень ПДн, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и ЛНА с учетом целей обработки ПДн, указанных в пункте 4.3 Политики.

7. Функции Общества при осуществлении обработки ПДн

7.1. Общество при осуществлении обработки ПДн:

• принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и ЛНА в области ПДн;

• принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

• назначает лицо, ответственное за организацию обработки ПДн в Обществе;

• издает ЛНА, определяющие политику, порядок и вопросы обработки и защиты ПДн в Обществе;

• осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ЛНА в области ПДн, в том числе требованиями к защите ПДн, и обучение указанных работников;

• публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

• сообщает в установленном порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;

• прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;

• совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.

8. Условия обработки ПДн в Обществе

8.1. Обработка ПДн в Обществе осуществляется с согласия субъекта ПДн, если иное не установлено федеральным законом. Без согласия субъекта ПДн Общество не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено федеральным законом.

8.2. В целях внутреннего информационного обеспечения Общество может создавать внутренние справочные материалы, в которые с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, дата и место рождения, фотография и иные ПДн.

8.3. Доступ к обрабатываемым в Обществе ПДн предоставляется работникам Общества, согласно перечню должностей и подразделений, имеющих право доступа к ПДн, установленному в ЛНА, а также на основании списков работников Общества, обрабатывающих ПДн. Указанные списки утверждаются в Обществе генеральным директором или уполномоченным им лицом, в филиалах Общества – руководителем данного филиала.

8.4. Доступ работников Общества к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями ЛНА.

8.5. Допущенные к обработке ПДн работники Общества должны быть ознакомлены под подпись с ЛНА в области ПДн.

8.6. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Обществом, определяется в соответствии с законодательством Российской Федерации и ЛНА.

8.7. Обработка ПДн прекращается по достижении целей обработки, истечении срока обработки, предусмотренного федеральными законами, договором или согласием субъекта ПДн на обработку его ПДн. При отзыве субъектом ПДн согласия на обработку его ПДн, обработка ПДн осуществляется только для исполнения ранее заключенных с ним договоров, а также в случаях, предусмотренных законодательством Российской Федерации.

8.8. Общество и его работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПДн, а также за разглашение или незаконное использование ПДн в соответствии с законодательством Российской Федерации.

8.9. АО «РЖД-ЗДОРОВЬЕ» вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица обеспечивать конфиденциальность ПДн и безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

9. Перечень действий с ПДн и способы их обработки

9.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

9.2. Обработка ПДн в Обществе осуществляется следующими способами:

• неавтоматизированная обработка ПДн;

• автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

• смешанная обработка ПДн.

10. Права субъектов ПДн

10.1. Субъекты ПДн имеют право на:

а) получение полной информации об их ПДн, обрабатываемых в Обществе;

б) доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

в) уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

г) отзыв согласия на обработку ПДн;

д) принятие предусмотренных законодательством Российской Федерации мер по защите своих прав;

е) обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства Российской Федерации в области ПДн, в уполномоченный орган или в суд;

ё) иные права, предусмотренных законодательством Российской Федерации.

10.2. АО «РЖД-ЗДОРОВЬЕ» обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

10.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

11. Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке ПДн

При обработке ПДн Общество с учетом требований законодательства Российской Федерации в области ПДн проводит необходимые организационно-технические и правовые мероприятия для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, предусмотренных ЛНА.

12. Контроль за соблюдением законодательства Российской Федерации и ЛНА в области ПДн, в том числе требований к защите ПДн

12.1. В Обществе осуществляется контроль выполнения работниками Общества требований законодательства Российской Федерации и ЛНА в области защиты ПДн, принимаются меры направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области ПДн.

12.2. Контроль соответствия обработки ПДн Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, ЛНА осуществляет Служба безопасности АО «РЖД-ЗДОРОВЬЕ».

12.3. Персональная ответственность за соблюдение требований законодательства Российской Федерации и ЛНА в области ПДн в структурном подразделении аппарата управления Общества, его филиале и ином обособленном подразделении, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Общества возлагается на их руководителей.