Автобусы до Ялты, Судака, Коктебеля и Алушты. Подробнее.


Утверждено Приказом

Генерального директора

АО ТК «Гранд Сервис Экспресс»

г. Москва, 2021 г.

ПОЛИТИКА

АО ТК «ГРАНД СЕРВИС ЭКСПРЕСС»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. «Политика АО ТК «Гранд Сервис Экспресс»» в отношении обработки персональных данных» (далее – «Политика») разработана на основании Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, федеральных законов «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации», Положения об обработке персональных данных, осуществляемой без использования средств автоматизации, Требований к защите персональных данных при их обработке в информационных системах персональных данных и иных нормативных правовых актов Российской Федерации, Устава и нормативных документов АО ТК «Гранд Сервис Экспресс» (далее – «Общество»), устанавливает единые цели, принципы и правила обработки персональных данных и определяет основные меры, реализуемые Обществом для обеспечения защиты персональных данных.

1.2. Действие настоящей Политики распространяется на все операции, совершаемые в Обществе с персональными данными субъектов персональных данных с использованием средств автоматизации или без их использования. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Обществе, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных, в т.ч. и в обособленных подразделениях Общества.

1.3. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. АО ТК «Гранд Сервис Экспресс» является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников и других субъектов персональных данных в целях:

1.5. Действие настоящей Политики не распространяется на отношения, возникающие:

1.6. Общество обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в соответствии с ч. 2 ст. 18.1. «О персональных данных» от 27.07.2006 г. № 152-ФЗ.

Настоящий документ является общедоступным и подлежит размещению на официальном сайте Общества.

I. ОСНОВНЫЕ ПОНЯТИЯ

В Политике используются следующие основные термины и понятия:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники

Автоматизированное рабочее место (АРМ) – рабочее место специалиста, оснащенное персональным компьютером, программным обеспечением и совокупностью информационных ресурсов индивидуального или коллективного пользования, которые позволяют ему вести обработку данных с целью получения информации, обеспечивающей поддержку принимаемых им решений при выполнении профессиональных функций

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных

Вымарывание персональных данных – действия, исключающие дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе

Допуск к обработке персональных данных — процедура оформления права на доступ к персональным данным

Защита персональных данных – деятельность Общества, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные

Информационная система (персональных данных) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Конфиденциальность персональных данных – обязательное для соблюдения Обществом и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания

Материальный носитель – бумажный или машинный носитель, предназначенный для фиксирования, передачи и хранения персональных данных; машинный носитель материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние жесткие диски, флэш-накопители, внешние жесткие диски, CD и иные устройства)

Неавтоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации (автоматизированной) только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее

Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Пользователь услуг Общества – субъект персональных данных (пассажир либо иное физическое лицо, пользующееся услугами, оказываемыми Обществом, а также иные лица, чьи персональные данные стали известны в силу предоставления им со стороны Общества социальных льгот, гарантий и компенсаций, либо в результате их участия в программах поощрения пользователей услуг Общества).

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом

Специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости

Съемный машинный носитель (СНИ) – съемные машинные носители информации, используемые для хранения информации вне АРМ (флэш-накопители, внешние жесткие диски, CD и иные устройства)

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

II. СОСТАВ И КАТЕГОРИИ

ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Категории персональных данных, обрабатываемых в Обществе:

3.2. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (корпоративные справочники, адресные книги и прочее), в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных, могут включаться:

3.3. Состав персональных данных, обрабатываемых в АО ТК «Гранд Сервис Экспресс»:

III. ПРИНЦИПЫ И УСЛОВИЯ

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных в Обществе осуществляется в соответствии со следующими принципами:

4.1.1. Обработка персональных данных осуществляется на законной и справедливой основе;

4.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

4.1.3. Обработке подлежат только те персональные данные, которые отвечают целям их обработки;

4.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4.1.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

4.1.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

4.1.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором (соглашением), стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

4.1.8. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2. Условия обработки персональных данных:

4.2.1. Обработка персональных данных в Обществе допускается в случаях, установленных статьей 6 Федерального закона "О персональных данных" от 27.07.2006 г.
№ 152-ФЗ.

4.2.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

4.2.3. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;

4.2.4. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

4.2.5. Обработка персональных данных пользователей услуг Общества осуществляется в целях исполнения договоров перевозки и предоставления дополнительных услуг во время осуществления перевозки; обеспечения транспортной безопасности; повышения качества обслуживания пассажиров и доступности железнодорожных перевозок пассажиров путем реализации дополнительных программ поощрения пользователей услуг Общества;

4.2.6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

4.2.7. Обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4.2.8. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);                                          

4.2.9. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.3. Субъект персональных данных вправе отозвать согласие на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных их обработка может быть продолжена без согласия субъекта персональных данных при наличии оснований, указанных разделе IV, настоящей Политики иных оснований, предусмотренных законодательством Российской Федерации.

4.4. Конфиденциальность персональных данных.                                             

4.4.1. Общество и иные лица, получившие доступ к персональным данным, никогда не предоставляет полученную в ходе своей деятельности от пользователей услуг конфиденциальную информацию о персональных данных, банковских реквизитах и т.п. третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.4.2. Данные сведения могут передаваться организациям - партнерам Общества в целях оформления ж.д. билетов, дополнительных услуг (страхование проезда, страхование жизни, трансфер в/из вокзала, бронирование отелей, аренду автомобилей и прочих услуг), осуществления платежей с платежных карт банковских систем исключительно в случаях и порядке, предусмотренных законодательством.

4.4.3. Отдельная информация может передаваться в правоохранительные и другие государственные органы исключительно в соответствии с законодательством Российской Федерации.

4.5.Персональные данные в Обществе обрабатываются следующими способами:

4.6. Общедоступные источники персональных данных:

4.6.1. В целях информационного обеспечения в Обществе могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

4.6.2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

4.7. Специальные категории персональных данных

4.7.1. Обработка Обществом специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

4.8. Субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

4.9. Персональные данные сделаны общедоступными субъектом персональных данных;

4.10. Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

4.11. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4.12. Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

4.13. Обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

4.14. Обработка персональных данных осуществляется в соответствии с законодательством об обеспечение транспортной безопасности.

4.15. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 Федерального закона «О персональных данных» от 27.07.2006 г. № 152-ФЗ должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

4.16. Обработка персональных данных о судимости может осуществляться Обществом исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4.17. Биометрические персональные данные могут обрабатываться Обществом только при наличии согласия субъекта персональных данных в письменной форме.

4.18. Поручение обработки персональных данных другому лицу.

4.18.1. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» от 27.07.2006 г. № 152-ФЗ и настоящей Политикой.

4.18.2. Общество вправе поручить с согласия субъекта персональных данных обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области обработки и защиты персональных данных и настоящей Политикой.

4.19. Трансграничная передача персональных данных.

Общество обязано убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

4.20. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

4.20.1. Наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

4.20.2. Исполнения договора, стороной которого является субъект персональных данных.

4.21. Работники должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством Российской Федерации, а также локальными нормативными актами Общества.

4.22. При сборе персональных данных, в том числе посредством сети Интернет, обработка персональных данных граждан Российской Федерации должна осуществляться с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.23. Для обработки персональных данных, цели обработки которых заведомо несовместимы, используются отдельные материальные носители (бумажные или съемные машинные), отдельные базы данных или файлы на несъемных машинных носителях. Материальные носители, содержащие персональные данные, обрабатываемые в различных целях, хранятся раздельно (в разных шкафах, на разных полках, в отдельных ящиках или папках и т.п.).

4.24. При обработке различных категорий персональных данных для каждой категории персональных данных используются отдельные материальные носители (бумажные или съемные машинные), отдельные базы данных или файлы на несъемных машинных носителях.

4.25. В случае, когда Общество выступает в качестве лица, осуществляющего обработку персональных данных по поручению оператора, доступ к информационным системам оператора осуществляется на основании договора между
АО ТК «Гранд Сервис Экспресс» и оператором.

4.26. Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

4.27. Передача персональных данных субъектов персональных данных без их согласия допускается:

4.27.1. Третьим лицам с целью предупреждения угрозы жизни и здоровью субъекта персональных данных (например, передача персональных данных в учреждения здравоохранения);

4.27.2. В автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств (АЦБПДП) Министерства транспорта Российской Федерации с целью обеспечения транспортной безопасности;

4.27.3. По мотивированному запросу органов прокуратуры, правоохранительных органов, по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;

4.27.4. В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом, по перечню оповещаемых органов и с соблюдением сроков направления извещений о несчастном случае, установленных Трудовым кодексом Российской Федерации;

4.27.5. В иных случаях, предусмотренных законодательством Российской Федерации.

               IV. ПРАВА И ОБЯЗАНОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Согласие субъекта персональных данных на обработку его персональных данных:

5.1.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.1.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

5.2. Права субъекта персональных данных:                                                  

5.2.1. На получение у Общества информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.

5.2.2. Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.2.3. По письменно оформленному требованию субъекта персональных данных Общество обязано немедленно прекратить обработку его персональных данных в вышеуказанных целях.

5.2.4. Обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.3. Субъект персональных данных обязан своевременно информировать Общество об изменениях своих персональных данных;

V. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Реализацию требований к защите персональных данных от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными, Общество осуществляет правовыми, организационными и техническими мерами в соответствии с законодательством Российской Федерации, в том числе в соответствии с подзаконными актами и нормативными требованиями уполномоченных государственных органов. Ниже приводится перечень этих мер, который не является исчерпывающим, так как помимо указанных в нем могут применяться иные, необходимые для защиты персональных данных, меры:

6.1.1. Правовые меры:

6.1.2. Организационные меры:

6.2. Технические меры принимаются Обществом в соответствии с требованиями законодательства Российской Федерации (включая соответствующие нормативные требования уполномоченных государственных органов), на основании разработанных и утвержденных моделей угроз безопасности персональных данных. Сведения о конкретных применяемых технических мерах защиты персональных данных являются конфиденциальной информацией и раскрываются Обществом только в случаях и в порядке, предусмотренных законодательством Российской Федерации.

6.3. В соответствии с требованиями нормативных правовых актов в области обработки и защиты персональных данных, обработки персональных данных с использованием средств автоматизации в Обществе используются информационные системы (далее – ИС).

6.4. ИС проходят классификацию и аттестацию в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности персональных данных. Для ИС формируется модель угроз безопасности персональных данных и на ее основе проводятся мероприятия по обеспечению безопасности информации в соответствии с требованиями, предъявляемыми к установленному уровню защищенности ИС.

6.5. Пересмотр моделей угроз для ИС осуществляется:

6.5.1. В плановом порядке для существующих ИС – при изменении условий
использования ИС;

6.5.2. В случае существенных изменений в инфраструктуре или порядке обработки
персональных данных в ИС;

6.5.3. В течение трех месяцев с даты фиксации изменений;

6.5.4. В случае создания новой ИС (выделения части из существующей ИС);

6.5.5. В течение двух месяцев с даты создания (выделения) ИС.

6.6. Обработка персональных данных в Обществе с использованием средств автоматизации ведется только в ИС. В Обществе запрещается обработка персональных данных с целями, не соответствующими целям создания ИС, эксплуатация ИС в составе, отличном от указанного при создании ИС.

6.7. Ввод в эксплуатацию ИС оформляется актом ввода в эксплуатацию и сопровождается аттестацией ИС или декларированием соответствия ИС требованиям по безопасности персональных данных в соответствии с нормативными правовыми актами в области обеспечения безопасности персональных данных.

6.8. Технические меры по защите персональных данных, включают в себя:

6.8.1. Управление доступом;

6.8.2. Обнаружение вторжений в корпоративную сеть Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

6.8.3. Анализ защищённости ИС с применением специализированных программных средств (сканеров безопасности);

6.8.4. Централизованное управление системой защиты персональных данных;

6.8.5. Резервное копирование информации;

6.8.6. Иные меры по обеспечению защищенности персональных данных при их обработке в информационных системах, предусмотренных Постановлением Правительства РФ от 01.11.2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

6.9. Исполнение организационных и технических мер по обеспечению безопасности персональных данных и требуемого уровня защищенности информационных систем персональных данных возлагается на Начальника службы информационного обеспечения и ИТ-проектов, контроль за исполнением – на Помощника генерального директора по информационной безопасности.

6.10. Сроки хранения, уничтожение носителей персональных данных осуществляется в порядок и сроки, предусмотренные законодательством Российской Федерации.

6.11. Работник Общества немедленно информирует непосредственного руководителя:

6.12. О факте утраты (утери, хищения) материальных носителей персональных данных;

6.13. О факте разглашения или неправомерной обработки персональных данных;

6.14. О ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.

VII. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ

И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Лица, виновные в нарушении законодательства Российской Федерации и требований локальных нормативных актов Общества в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.

VIII. ДОПУСК К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Основанием для допуска работника к обработке персональных данных являются должностная инструкция, предусматривающая обработку персональных данных, обязательство о неразглашении персональных данных, подписанное работником.

8.2. Доступ к информационным системам, обрабатывающим персональные данные, предоставляется работникам в рамках функций, предусмотренных их должностными инструкциями, и осуществляется в соответствии с локальными нормативными актами Общества и по согласованию со Службой безопасности (работниками, ответственными за информационную безопасность).

IX. ТРЕБОВАНИЯ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1.Требования к обработке персональных данных распространяются на персональные данные, состав и категории которых определены в разделе 3 настоящей Политики.

9.2.При приеме на работу у субъекта персональных данных берется согласие на обработку его персональных данных, в том числе на включение персональных данных в общедоступные источники персональных данных (корпоративные справочники, адресные книги).

9.3. В случаях, предусмотренных законодательством Российской Федерации, когда обработка персональных данных субъекта персональных данных осуществляется только с его согласия, Оператор получает у субъекта персональных данных согласие на обработку его персональных данных.

9.4. Согласие на обработку персональных данных должно быть получено у субъекта персональных данных до начала их обработки.

9.5. Документы, подтверждающие согласие на обработку персональных данных работников, хранятся в их личных делах.

9.6. Получение согласия близких родственников работника на обработку их персональных данных не требуется при заполнении анкет в объеме, предусмотренном унифицированной формой № Т-2, либо в случаях, установленных законодательством Российской Федерации (исполнение законодательства в сфере транспортной безопасности, получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат и другие случаи).

9.7. В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных.

9.8. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть проинформирован об этом заранее путем направления ему уведомления о получении персональных данных от третьих лиц и дать письменное согласие на получение персональных данных у третьих лиц.

9.9. Общество сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о составе подлежащих получению персональных данных и последствиях отказа работника от дачи письменного согласия на их получение.

9.10. Необходимость согласия на получение персональных данных у третьих лиц и направления уведомления об этом может возникнуть, например, при подтверждении факта получения диплома, свидетельства, аттестата об образовании, при восстановлении трудовой книжки, свидетельства о получении квалификации, при подтверждении факта работы на предыдущем месте, факта смены фамилии и др., в том числе если утрата сведений произошла в связи со стихийными бедствиями, иными обстоятельствами.

9.11. Общество не вправе запрашивать у третьих лиц даже с согласия субъекта персональных данных информацию, не имеющую отношения к целям обработки персональных данных.

9.12. Если при обращении субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных выявлены неточные персональные данные или неправомерная обработка персональных данных, Общество обязано осуществить блокирование таких персональных данных до их актуализации.

9.13. При подтверждении факта неточности персональных данных Общество обязано уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

9.14. При выявлении неправомерной обработки персональных данных Общество обязано прекратить их обработку в срок, не превышающий трех рабочих дней с даты выявления. В случае если обеспечить правомерность обработки персональных данных невозможно, такие персональные данные должны быть уничтожены в срок, не превышающий десять рабочих дней с даты выявления неправомерной обработки персональных данных.

9.15. Об устранении допущенных нарушений или об уничтожении персональных данных (невозможности уничтожить их в срок, установленный Федеральный закон "О персональных данных" от 27.07.2006 г. № 152-ФЗ) Общество обязано письменно информировать субъекта персональных данных путем уведомления об устранении нарушений обработки или уничтожении (невозможности уничтожения) персональных данных и приобщить копию уведомления или справку об уведомлении к материалам расследования (проверки).

9.16. При обработке персональных данных кандидатов, поступающих на работу, оформляется согласие на обработку персональных данных.

9.17. При этом предусмотрены следующие исключения:

9.17.1. Письменное согласие не требуется, если от имени кандидата действует кадровое агентство, с которым он заключил соответствующий договор, а также при самостоятельном размещении кандидатом своего резюме в сети Интернет, доступного неограниченному кругу лиц;

9.17.2. Письменное согласие кандидата не требуется при поступлении резюме кандидата из банка вакансий, размещенных на сайтах Компании, так как согласие заполняется при размещении резюме на сайте;

9.17.3. Если резюме кандидата поступило по электронной почте или факсу, уполномоченному работнику необходимо подтвердить факт направления, указанного резюме самим кандидатом. Если из резюме невозможно однозначно определить физическое лицо, его направившее, данное резюме подлежит уничтожению в день поступления.

9.18. Обезличивание персональных данных, обрабатываемых в информационных системах Общества, в случае необходимости осуществляется с учетом Требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденных приказом Роскомнадзора от 5.09.2013 г.
№ 996.

9.19. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются Федеральным законом от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», Инструкцией по делопроизводству в
АО ТК «Гранд Сервис Экспресс».

9.20. Для каждой информационной системы Общества организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе.

9.21. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

9.22. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

9.22.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию;

9.22.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию.

9.23. При использовании типовых форм документов, в которые предполагается или допускается включение персональных данных, должны соблюдаться условия, предусмотренные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 г. № 687.

9.24. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных в контролируемую зону или в иных аналогичных целях, должны соблюдаться условия, предусмотренные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 г. № 687.

9.25. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя – путем изготовления нового материального носителя с уточненными персональными данными.

9.26. При работе с документами, содержащими персональные данные, должны быть приняты меры, исключающие возможность нарушения их конфиденциальности.

9.27. Средства защиты информации, обеспечивающие защиту персональных данных, должны удовлетворять Требованиям к защите персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 1.11.2012 г. № 1119, а также нормативным правовым актам в области обработки и защиты персональных данных ФСТЭК России и Федеральной службы безопасности (ФСБ России).

9.28. Автоматизированная обработка персональных данных разрешается только при условии применения средств защиты информации, обеспечивающих нейтрализацию актуальных угроз, определенных Федеральным законом № 152-ФЗ.

9.29. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.

9.30. Во время перерывов в работе, а также после окончания работы с документами, содержащими персональные данные, необходимо:

9.30.1. Убирать документы с поверхности рабочих столов в запирающееся хранилище (сейф, шкаф);

9.30.2. Блокировать средство вычислительной техники с помощью защищенной паролем экранной заставки;

9.30.3. Принимать необходимые меры по недопущению использования средства вычислительной техники другими работниками и посторонними лицами.

X. ТРЕБОВАНИЯ К ОБРАЩЕНИЮ

С МАТЕРИАЛЬНЫМИ НОСИТЕЛЯМИ

ПЕРСОНАЛЬНЫХ ДАННЫХ, ИХ УЧЕТУ И ХРАНЕНИЮ

10.1. Персональные данные субъектов персональных данных хранятся на бумажных носителях в соответствии с номенклатурой дел и в электронном виде (в информационных системах Общества, на АРМ’ах, а также на машинных носителях) с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.

10.2. Хранение материальных носителей должно осуществляться в помещениях, находящихся в контролируемой зоне с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.

10.3. В подразделениях, осуществляющих обработку персональных данных с использованием машинных носителей, ведется их учет в журнале учета машинных носителей персональных данных.

10.4. На все находящиеся в обращении СНИ, содержащие персональные данные, наносятся учетные реквизиты (непосредственно на СНИ или на прикрепленную (наклеенную) этикетку (бирку, ярлык и т.п.). Учетные реквизиты должны содержать условное или сокращенное наименование подразделения, учетный номер и признак персональных данных.

10.5. В качестве серийных номеров машинных носителей могут использоваться идентификационные номера, присвоенные их производителями, номера инвентарного учета, в том числе инвентарные номера технических средств (системного блока, моноблока и т.п.), имеющих встроенные носители информации (внутренние жесткие диски).

10.6. Выносить машинные носители, содержащие персональные данные, из рабочих помещений без служебной необходимости запрещается.

XI. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

И ИХ МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ

11.1. Структурные подразделения Общества осуществляют систематический мониторинг персональных данных, цели обработки которых достигнуты или сроки хранения которых истекли, с последующим уничтожением документов, иных материальных носителей, содержащих персональные данные, а также удалением персональных данных, содержащихся в информационных системах Общества, файлах, хранящихся на АРМ’ах или на внешних перезаписываемых СНИ, в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований.

11.2. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:

11.2.1. по достижении целей обработки или в случае утраты необходимости в достижении целей персональных данных – в 30-ти дневный срок;

11.2.2. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных – в 30-ти дневный срок, если иной срок не предусмотрен договором или соглашением между АО ТК «Гранд Сервис Экспресс» и субъектом персональных данных либо если АО ТК «Гранд Сервис Экспресс» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами;

11.2.3. при выявлении неправомерной обработки персональных данных – в срок, не превышающий 7 рабочих дней с даты выявления, в следующих случаях:

11.2.4. персональные данные являются неполными, устаревшими, неточными (при условии, что уточнение персональных данных невозможно);

11.2.5. персональные данные получены незаконно;

11.2.6. персональные данные не являются необходимыми для заявленной цели обработки.

11.3. В процессе уничтожения дел и документов необходимо исключить возможность ознакомления третьих лиц с содержащимися в них персональными данными.

11.4. Уничтожение не вошедших в дела документов (копий документов, черновиков), содержащих персональные данные, должно производиться в структурных подразделениях Общества» таким образом, чтобы была исключена возможность прочтения текста уничтоженного документа.

11.5. Уничтожение персональных данных, хранящихся на АРМ и (или) на перезаписываемых СНИ, производится с использованием штатных средств информационных и операционных систем.

11.6. В случае использования неперезаписываемых СНИ их уничтожение производится путем механического нарушения целостности, не позволяющего произвести считывание или восстановление содержания персональных данных (надлом, физическое деформирование). В журнале учета СНИ персональных данных производится соответствующая запись об уничтожении, заверенная подписями исполнителя и ответственного работника структурного подразделения Общества, который осуществляет регистрацию СНИ.

11.7. Уничтожение или обезличивание части персональных данных, если это допускает материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11.8. При утрате или несанкционированном уничтожении СНИ проводится служебное расследование и составляется акт. Соответствующие отметки делаются в журнале учета машинных носителей персональных данных.

XII. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Передача персональных данных субъектов персональных данных без их согласия допускается, если это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий, а также в иных случаях, предусмотренных законодательством Российской Федерации.

12.2. Передача персональных данных субъектов персональных данных третьим лицам осуществляется с их письменного согласия на передачу персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.

12.3. Пересылка материальных носителей, содержащих персональные данные, между различными почтовыми адресами, производится в запечатанных конвертах (пакетах) с сопроводительным документом, в котором сообщается о наличии персональных данных и требовании о соблюдении конфиденциальности персональных данных.

12.4. Пересылка конвертов (пакетов) с документами, содержащими персональные данные, может производиться фельдъегерской связью, заказными или ценными почтовыми отправлениями. Допускается передача документов, содержащих персональные данные, нарочным (работником подразделения Общества или работником организации-адресата) с распиской о получении документов в реестре.

12.5. Передача персональных данных между подразделениями Общества осуществляется исключительно в служебных целях.

12.6. Передача персональных данных в электронном виде может осуществляться с использованием только корпоративной почты Общества (домен @tkgse.ru). При этом передача персональных данных по электронной почте иным операторам (юридическим лицам, органам государственной власти и т.д.) может осуществляться только на адреса, находящиеся в домене последних, и на основании имеющихся договорных отношений, мотивированного запроса или в иных случаях, установленных законодательством Российской Федерации.

12.7. Размещение персональных данных на сетевых ресурсах Общества возможно при соблюдении мер по недопущению ознакомления с ними лиц, не имеющих допуска к обработке таких персональных данных.

12.8. Запрещено передавать персональные данные с использованием сторонних интернет-сервисов (мессенджеры, социальные сети, облачные хранилища и т.д.).

12.9. Пересылка материальных носителей, непосредственная их передача сторонним адресатам осуществляется только с письменного указания руководителя подразделения Общества, осуществляющего отправку документа.

XIII. РАССМОТРЕНИЕ ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Субъекты персональных данных имеют право получать информацию, касающуюся обработки их персональных данных в Обществе, в соответствии с законодательством Российской Федерации.

13.2. Сведения предоставляются субъекту персональных данных в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

13.3. Сведения в отношении субъекта персональных данных предоставляются по его запросу или запросу его законного представителя.

13.4. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.

13.5. Запрос может быть также направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

13.6. В случае если в запросе субъекта персональных данных не отражены указанные сведения, то ему направляется мотивированный отказ.

13.7. В случае если запрашиваемые сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно в Общество или направить повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

13.8. До истечения этого срока субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

13.9. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным разделом XIII настоящей Политики. Такой отказ должен быть мотивированным.

13.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных законодательством Российской Федерации.

XIV. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ «cookie»

14.1. На официальных ресурсах Общества в информационно-телекоммуникационной сети Интернет (далее – официальные сайты Общества) используются службы веб-аналитики, которые используют файлы «cookie», чтобы отслеживать состояния сеанса доступа пользователя, ведение статистики о пользователе. Файлы «cookie» — это фрагменты данных, которые веб-сайты сохраняет на жестком диске пользователя. Файлы «cookie», устанавливаемые официальными сайтами Общества, используются для обеспечения технической возможности предоставления сервиса пользователям, а также для улучшения пользовательского опыта путем сбора и анализа статистики использования официальных сайтов Общества.

Сбор статистики использования официальных сайтов Общества может производиться с использованием предназначенных для этого сторонних веб-сервисов (например, Яндекс-метрика).

Файлы «cookie», устанавливаемые официальными сайтами Общества, не содержат информацию, позволяющую однозначно идентифицировать личность пользователя, тем не менее данные, хранимые на официальных сайтах Общества, могут быть привязаны к информации, сохраненной в файлах «cookie» и полученной из них.

14.2. Посетитель официальных сайтов Общества может отказаться от использования файлов «cookie», выбрав соответствующий пункт на странице запроса согласия, либо совершив соответствующие настройки в своем браузере. В таком случае доступ к функциональным возможностям официальных сайтов Общества может быть ограничен. Используя официальные сайты Общества, его посетители соглашаются на обработку файлов cookie вышеописанным способом и для вышеуказанной цели.

14.3. Официальные сайты Общества могут содержать ссылки на сторонние веб-сайты, а также сведения о них. Общество не контролирует политику и процедуры соблюдения конфиденциальности третьими лицами и не несет ответственности за их действия.

XV. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

15.1. Иные права и обязанности Общества в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

15.2. Настоящая Политика подлежит поддержанию ее в актуальном состоянии по отношению к действующему законодательству Российской Федерации. В случае вступления в силу изменений в законодательство Российской Федерации, затрагивающих текст настоящей Политики, она подлежит пересмотру;

15.3. Общество при необходимости вносит в настоящую Политику соответствующие изменения в установленном порядке и в сроки, установленные действующим законодательством и внутренними документами Общества;

15.4. Общество оставляет за собой право в одностороннем порядке вносить необходимые изменения в настоящую Политику.