Logo
Версия для слабовидящих
О персональных данных

Политика в отношении обработки персональных данных и реализации требований к их защите в ГУП «Мосгортранс»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных и обеспечения их безопасности в государственном унитарном предприятии города Москвы «Мосгортранс» (далее - Политика, Оператор, ГУП «Мосгортранс») определяет цели, содержание и порядок обработки персональных данных, меры по их защите, а также основные процедуры предотвращения и выявления нарушений законодательства Российской Федерации в области персональных данных в ГУП «Мосгортранс».

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» (далее - ФЗ № 152), Федеральным законом от 27.07.2006 № 149 ФЗ «Об информации, информационных технологиях и о защите информации», иными федеральными законами и подзаконными нормативными правовыми актами Российской Федерации, а также законами и иными нормативными правовыми актами города Москвы в области обработки и защиты персональных данных.

1.3. Основные понятия.

В настоящей Политике используются следующие понятия:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Безопасность персональных данных - состояние защищенности персональных данных, обеспечивающее конфиденциальность, целостность
и доступность при их обработке в информационных системах персональных данных.

Биометрические персональные данные - персональные данные, которые характеризуют физиологические и биологические особенности человека, на основе которых устанавливается его личность (например, изображения лица, голосовые данные).

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных
и обеспечивающих их обработку информационных технологий и технических средств.

Контрагент – юридические и физические лица, с которыми взаимодействует ГУП «Мосгортранс» при выполнении работ (оказании услуг) на основании заключенных договоров (соглашений, контрактов).

Конфиденциальность персональных данных - требование к оператору и иным лицам, получившим доступ к персональным данным, не допускать
их распространения без согласия субъекта или иного законного основания.

Неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств автоматизации (в том числе
на бумажных носителях) при непосредственном участии человека.

Обезличивание персональных данных - действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Обработка персональных данных - любое действие (операция)
или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработчик - лицо, осуществляющее обработку персональных данных
по поручению Оператора на основании договора.

Оператор - ГУП «Мосгортранс», самостоятельно или совместно с иными лицами определяющее цели обработки, состав данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПД) - любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия по раскрытию персональных данных определенному лицу или кругу лиц.

Передача персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации
или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных.

Работник – физическое лицо, вступившее в трудовые отношения
с ГУП «Мосгортранс».

Разглашение информации – несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации.

Распространение персональных данных - действия по раскрытию персональных данных неопределенному кругу лиц (например, публикация
в СМИ, размещение в сети Интернет).

Режим защиты персональных данных – нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок передачи и условия их хранения.

Субъект персональных данных - физическое лицо, к которому относятся обрабатываемые персональные данные.

Согласие субъекта персональных данных - добровольное, конкретное, осознанное и однозначное волеизъявление субъекта, которым он даёт согласие на обработку своих персональных данных в указанной форме и в зависимости от целей обработки.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти, иностранному физическому лицу, иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных
в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

Уполномоченные работники – работники ГУП «Мосгортранс», должности которых утверждены генеральным директором ГУП «Мосгортранс» в отдельном перечне, имеющие доступ к персональным данным в соответствии с должностными инструкциями, Положением о порядке обработки персональных данных и только в объеме, необходимом для выполнения должностных обязанностей.

Смешанная обработка персональных данных - обработка персональных данных, включающая как автоматизированные,
так и неавтоматизированные способы.

Прочие термины применяются в значениях, установленных ФЗ № 152.

1.4. Сведения об Операторе:

ИНН

7705002602

КПП

770501001

ОГРН

1037739376223

Дата постановки на учет

10 сентября 1992 года

Адрес местонахождения

125195, г. Москва, Ленинградское шоссе, дом 59

Почтовый адрес

125195, г. Москва, Ленинградское шоссе, дом 59

Регистрационный номер в Реестре операторов, осуществляющих обработку персональных данных

77-14-002200

Ссылка на Реестр операторов, осуществляющих обработку персональных данных

https://pd.rkn.gov.ru/operators-registry/operators-list/?id=77-14-002200

Дата и основание внесения в Реестр операторов, осуществляющих обработку персональных данных

приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации от 08.05.2014 № 100

1.5. Основные права и обязанности Оператора и субъектов персональных данных

1.5.3. Оператор имеет право:

1.5.3.1. Обрабатывать персональные данные в объёме, необходимом для достижения конкретных, заранее определённых и законных целей.

1.5.3.2. Передавать персональные данные третьим лицам (получателям) при наличии законных оснований (согласие субъекта персональных данных, поручение на обработку персональных данных, требование суда или уполномоченных органов, нормы законодательства Российской Федерации).

1.5.3.3. Разрабатывать и утверждать локальные нормативные акты, регулирующие обработку и защиту персональных данных работников и иных субъектов персональных данных.

1.5.3.4. Поручить обработку персональных данных другому лицу
с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия Оператором соответствующего акта. При этом обязательным условием предоставления и/или поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

1.5.4. Оператор обязан:

1.5.4.1. Защищать персональные данные правовыми, организационными и техническими мерами, соответствующими установленному уровню защищённости, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения,
а также от иных неправомерных действий.

1.5.4.2. Обрабатывать персональные данные с соблюдением принципов, установленных статьёй 5 ФЗ № 152, и условий их обработки, предусмотренных законодательством Российской Федерации и настоящей Политикой.

1.5.4.3. Предоставлять субъектам персональных данных информацию
об их персональных данных и об их обработке в объёме и порядке, установленном статьёй 14 ФЗ № 152.

1.5.4.4. Получать согласие субъектов персональных данных в случаях, предусмотренных ФЗ № 152 и иными нормативными правовыми актами.

1.5.4.5. Издавать документы, определяющие политику
Оператора в отношении обработки персональных данных, а также иные локальные нормативные акты по вопросам обработки и защиты персональных данных, включая процедуры предотвращения и выявления нарушений законодательства Российской Федерации и устранения последствий таких нарушений.

1.5.4.6. Разъяснять субъектам персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии
с законодательством Российской Федерации.

1.5.4.7. Блокировать неправомерно обрабатываемые персональные данные и прекращать их обработку в случаях и порядке, предусмотренных законодательством Российской Федерации.

1.5.4.8. Уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных, если такие нарушения были выявлены.

1.5.4.9. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации о персональных данных, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам
Оператора.

1.5.4.10. Проводить оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, и соотносить указанный вред с принимаемыми мерами по обеспечению выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных.

1.5.4.11. Обеспечить неограниченный доступ к настоящей Политике, опубликовать её как общедоступный локальный нормативный акт постоянного действия, обязательный для работников и лиц, обрабатывающих персональные данные по поручению Оператора, и предусматривающий возможность ознакомления с настоящей Политикой любых заинтересованных лиц.

1.5.4.12. Обеспечивать безопасность персональных данных
при их обработке в информационных системах персональных данных, владельцем которых является Оператор, и при обработке без использования средств автоматизации.

1.5.4.13. Уничтожать персональные данные по истечении сроков хранения или при достижении целей обработки, если иное не предусмотрено законодательством Российской Федерации или договором, с подтверждением факта уничтожения в установленном порядке.

1.5.4.14. Обрабатывать персональные данные на основании Трудового кодекса Российской Федерации, иных нормативных правовых актов, локальных нормативных актов Оператора, а также согласий субъектов персональных данных (в необходимых случаях) без избыточного по отношению к заявленным целям обработки сбора персональных данных.

1.5.5. Субъекты персональных данных имеют право на:

1.5.5.1. Предоставление Оператору персональных данных в соответствии с законодательством Российской Федерации и настоящей Политикой.

1.5.5.2. Получение полной информации о своих персональных данных, обрабатываемых Оператором в объёме и порядке, установленном законодательством Российской Федерации.

1.5.5.3. Доступ к своим персональным данным, включая право
на получение сведений, содержащих персональные данные, за исключением случаев, предусмотренных федеральными законами.

1.5.5.4. Уточнение своих персональных данных, их блокирование
или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

1.5.5.5. Извещение Оператора о необходимости уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведённых в них исправлениях или дополнениях, если это предусмотрено законодательством Российской Федерации.

1.5.5.6. Отзыв ранее данного согласия на обработку своих персональных данных в порядке, установленном законодательством Российской Федерации
и настоящей Политикой.

1.5.5.7. Обжалование действий (бездействия) Оператора при обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных и (или) в суд.

1.5.5.8. Осуществление иных прав, предусмотренных ФЗ № 152 и иными нормативными правовыми актами Российской Федерации.

1.5.6. Субъекты персональных данных (работники ГУП «Мосгортранс») обязаны:

1.5.6.1. Своевременно информировать Оператора об изменениях своих персональных данных.

1.5.6.2. Соблюдать конфиденциальность персональных данных других субъектов персональных данных и иных конфиденциальных сведений, доступ к которым они получили при взаимодействии с Оператором,
в соответствии с законодательством Российской Федерации, Кодексом этики и делового поведения Оператора, а также иными локальными нормативными актами Оператора.

1.5.6.3. Проходить обучение (инструктаж) по вопросам защиты и обеспечения безопасности персональных данных в случае, если они назначены ответственными за организацию обработки персональных данных, либо имеют доступ к персональным данным в силу выполняемых трудовых функций.

1.6. Общедоступность Политики, область применения и порядок утверждения и внесения изменений в Политику

1.6.1. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.

1.6.2. Настоящая Политика является общедоступным локальным нормативным актом ГУП «Мосгортранс» постоянного действия и предусматривает возможность ознакомления с ней любых заинтересованных лиц.

1.6.3. Политика размещается:

- в информационно телекоммуникационной сети «Интернет» на официальном сайте ГУП «Мосгортранс» по адресу: https://www.mosgortrans.ru/about/privacy/;

- в письменном виде на бумажном носителе по адресу: 125195, г. Москва, Ленинградское шоссе, д. 59.

1.6.4. Настоящая Политика служит основой для разработки локальных нормативных актов Оператора, касающихся деятельности, связанной с обработкой персональных данных, и устанавливает общие условия обработки персональных данных субъектов персональных данных.

Распорядительные, локальные нормативные и иные внутренние документы Оператора не должны противоречить настоящей Политике.

Действие настоящей Политики не распространяется на:

- хранение, комплектование, учёт и использование архивных документов, содержащих персональные данные, в соответствии с законодательством Российской Федерации об архивном деле;

- обработку Оператором сведений, составляющих государственную тайну.

1.6.5. Политика утверждается приказом генерального директора
ГУП «Мосгортранс» или лицом, исполняющим обязанности.

1.6.6. Инициатором внесения изменений в Политику является лицо, ответственное за организацию обработки персональных данных
в ГУП «Мосгортранс», назначенное приказом генерального директора
ГУП «Мосгортранс» (далее - ответственное лицо).

Первые заместители генерального директора, заместители генерального директора, директор по информационным технологиям, главный бухгалтер, начальник управления делами, руководители структурных подразделений, непосредственно подчиняющиеся генеральному директору, а также директора филиалов ГУП «Мосгортранс» вправе инициировать внесение изменений
в Политику по согласованию с ответственным лицом.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор организует и осуществляет обработку персональных данных субъектов персональных данных в следующих целях:

2.1.1. Обеспечение соблюдения Конституции Российской Федерации, федеральных законов, иных нормативных правовых актов Российской Федерации и города Москвы.

2.1.2. Осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации и города Москвы
на Оператора как юридическое лицо и транспортную организацию, в том числе по предоставлению персональных данных в государственные внебюджетные фонды, налоговые органы, иные государственные органы и организации
в случаях, предусмотренных федеральным законодательством.

2.1.3. Регулирования трудовых и связанных с ними отношений
с работниками Оператора, включая: заключение, изменение и прекращение трудовых договоров; ведение кадрового и воинского учёта; ведение личных дел работников; поощрения; оформление командировок; учёт рабочего времени
и времени отдыха; обеспечение соблюдения требований охраны труда
и промышленной безопасности.

2.1.4. Прохождения предварительных, периодических и внеочередных медицинских осмотров работников Оператора на предмет соответствия состояния здоровья требованиям к занимаемой должности, предъявляемым законодательством Российской Федерации.

2.1.5. Проведения психофизиологического исследования соискателей
на вакантные должности Оператора с применением полиграфа на предмет оценки деловых и профессиональных качеств.

2.1.6. Предоставления работникам Оператора и членам их семей гарантий, компенсаций, социальных и иных льгот в соответствии с законодательством Российской Федерации и города Москвы, коллективным договором, локальными нормативными актами Оператора.

2.1.7. Подготовки, заключения, исполнения, изменения и прекращения гражданско правовых договоров, стороной, выгодоприобретателем или поручителем по которым является субъект персональных данных (в том числе договоров перевозки, оказания услуг, подряда, поставки, аренды, возмездного оказания услуг и иных договоров), а также реализации прав
Оператора по таким договорам (включая возможную уступку прав (требований), если это предусмотрено законодательством и договором).

2.1.8. Обеспечения транспортной безопасности при осуществлении деятельности Оператора, включая организацию и ведение видеонаблюдения, учёт и анализ инцидентов, мониторинг соблюдения установленных правил
и требований.

2.1.9. Обеспечения пропускного и внутриобъектового режимов
на объектах Оператора, в том числе:

- оформления, учёта и учёта использования пропусков;

- контроля доступа на территорию и в помещения;

- ведения журналов учёта посетителей;

- идентификации работников, посетителей и представителей контрагентов.

2.1.10. Организации учёта доступа работников Оператора к услугам
по перевозке с использованием персональных данных, где это предусмотрено законодательством Российской Федерации, нормативными актами города Москвы и локальными актами Оператора.

2.1.11. Обработки биометрических персональных данных субъектов
в целях идентификации личности при:

- обеспечении транспортной безопасности (включая использование систем видеонаблюдения и видеорегистрации, систем контроля и управления доступом);

- организации и контроле пропускного и внутриобъектового режимов на объектах ГУП «Мосгортранс»;

- учёте доступа работников, посетителей и представителей контрагентов к объектам и ресурсам ГУП «Мосгортранс», в случаях и порядке, предусмотренных законодательством и локальными актами ГУП «Мосгортранс».

2.1.12. Формирования и ведения справочных и аналитических материалов для внутреннего информационного обеспечения деятельности Оператора (в том числе внутренних телефонных справочников, списков
и контактных лиц, графиков дежурств, распределения смен и иных организационных документов).

2.1.13. Защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, если получение согласия субъекта персональных данных невозможно, предусмотренных законодательством Российской Федерации.

2.1.14. Осуществления профессиональной деятельности журналиста
и (или) законной деятельности средства массовой информации, а также научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных.

2.1.15. Осуществления обработки персональных данных в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ № 152, при условии обязательного обезличивания персональных данных.

2.1.16. Исполнения судебных актов, актов иных органов или должностных лиц, подлежащих исполнению в соответствии с Федеральным законом от 02.10.2007 № 229 ФЗ «Об исполнительном производстве».

2.1.17. Исполнения требований законодательства Российской Федерации и города Москвы в части проведения экспериментов и (или) использования технологий обработки персональных данных и обезличенных данных, в том числе в целях повышения эффективности государственного и муниципального управления, развития цифровых сервисов и внедрения технологий искусственного интеллекта, в порядке и на условиях, предусмотренных соответствующими федеральными законами и нормативными правовыми актами.

2.1.18. Обеспечение соблюдения требований федеральных законов и иных нормативных правовых актов Российской Федерации, регламентирующих правоотношения в сфере рассмотрения обращений физических и юридических лиц.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ

3.1. Обработка персональных данных Оператором осуществляется
во исполнение и в соответствии с законодательством Российской Федерации
и города Москвы, учредительными и иными документами ГУП «Мосгортранс», а также договорами и (или) согласиями субъектов персональных данных.

3.2. Нормативные правовые акты, регулирующие в том числе отношения, связанные с обработкой персональных данных, во исполнение которых Оператор осуществляет деятельность по обработке персональных данных:

3.2.1. Конституция Российской Федерации.

3.2.2. ФЗ № 152.

3.2.3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

3.2.4. Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

3.2.5. Федеральный закон от 24.06.2025 № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации».

3.2.6. Трудовой кодекс Российской Федерации.

3.2.7. Гражданский кодекс Российской Федерации.

3.2.8. Кодекс Российской Федерации об административных правонарушениях.

3.2.9. Постановление Правительства Российской Федерации
от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3.2.10. Постановление Правительства Российской Федерации
от 26.08.2024 № 1151 «Об образовании регионального сегмента единой биометрической системы в г. Москве».

3.2.11. Постановление Правительства Москвы от 03.09.2024 № 1998-ПП «О региональном сегменте единой биометрической системы».

4. ОБЪЕМ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных Оператором осуществляется
в минимальном объеме, необходимом и достаточном для реализации целей обработки, указанных в разделе 2 настоящей Политики, в соответствии
с принципами, установленными статьей 5 ФЗ № 152.

4.2. К субъектам персональных данных, персональные данные которых обрабатываются Оператором, относятся:

4.2.1. Работники Оператора (включая бывших работников).

4.2.2. Кандидаты на замещение вакантных должностей Оператора.

4.2.3. Члены семей работников Оператора (в объеме, необходимом для предоставления гарантий и льгот).

4.2.4. Клиенты (пассажиры), получатели услуг Оператора.

4.2.5. Контрагенты (физические лица) и их представители.

4.2.6. Посетители объектов Оператора.

4.2.7. Лица, обратившиеся к Оператору в порядке, предусмотренном Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

4.2.8. Посетители официального сайта Оператора в информационно-телекоммуникационной сети «Интернет» и пользователи мобильных сервисов Оператора.

4.3. Состав персональных данных, которые могут обрабатываться
Оператором определяется в зависимости от цели, указанной в разделе 2 настоящей Политики:

4.3.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена
и (или) отчества в случае их изменения).

4.3.2. Число, месяц, год рождения.

4.3.3. Место рождения.

4.3.4. Сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства.

4.3.5. Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его.

4.3.6. Адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания.

4.3.7. Номера рабочих, домашних и мобильных телефонов или сведения о других способах связи.

4.3.8. Реквизиты свидетельства обязательного пенсионного страхования.

4.3.9. Реквизиты водительского удостоверения.

4.3.10. Идентификационный номер налогоплательщика.

4.3.11. Реквизиты полиса обязательного медицинского страхования.

4.3.12. Реквизиты свидетельства о браке.

4.3.13. Сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Российской Федерации.

4.3.14. Сведения о трудовой деятельности.

4.3.15. Сведения о воинском учете и реквизиты документов воинского учета.

4.3.16. Сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация).

4.3.17. Сведения об ученой степени.

4.3.18. Сведения о владении иностранными языками, включая уровень владения.

4.3.19. Фотография лица работника Оператора.

4.3.20. Сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору.

4.3.21. Сведения о наличии или отсутствии судимости.

4.3.22. Сведения о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ - в случаях, определенных законодательством Российской Федерации.

4.3.23. Сведения об оформленных допусках к государственной тайне.

4.3.24. Сведения о государственных наградах, иных наградах и знаках отличия.

4.3.25. Результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей.

4.3.26. Сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках) и отпусках без сохранения заработной платы.

4.3.27. Сведения о заработной плате, имеющимся обязательствам, льготам, налоговым (стандартным, имущественным, социальным) вычетам, реквизитам банковского счета для перечисления заработной платы и иных выплат.

4.4. Персональные данные родственников работников Оператора обрабатываются в объеме, переданном работником Оператору
и минимально необходимом для предоставления гарантий и компенсаций работнику Оператора, предусмотренных законодательством.

4.5. Категории персональных данных, обрабатываемых Оператором:

4.5.1. Персональные данные, включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (служебные справочники, адресные книги):

а) фамилия, имя, отчество;

б) число, месяц, год рождения;

в) место работы;

г) занимаемая должность;

д) номера стационарных и мобильных рабочих телефонов;

е) адреса служебной электронной почты;

ж) фотография работника.

4.5.2. Персональные данные, перечисленные в пункте 4.3 настоящей Политики, за исключением персональных данных, перечисленных в подпункте 4.3.1 настоящего пункта относятся к информации ограниченного доступа.

4.5.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Оператором не осуществляется.

4.5.4. Обработка специальных категорий персональных данных, касающихся состояния здоровья работников, осуществляется в соответствии с требованиями ФЗ № 152 и Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

4.5.5. Обработка биометрических персональных данных Оператором допускается только при наличии отдельного согласия субъекта персональных данных в письменной форме, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.5.6. Иные категории персональных данных обрабатываются в соответствии с требованиями законодательства Российской Федерации.

4.6. Документы, содержащие персональные данные:

4.6.1. Анкета, автобиография, которые заполняются собственноручно при приеме на работу.

4.6.2. Копия документа, удостоверяющего личность.

4.6.3. Личная карточка работника (унифицированная форма № Т-2).

4.6.4. Трудовая книжка или ее копия, форма СТД-Р (полученная у прежнего работодателя) или форма СТД-ПФР (полученная в Социальном фонде России).

4.6.5. Копии свидетельств о заключении брака, рождении детей.

4.6.6. Документы воинского учета.

4.6.7. Справки о доходах с предыдущего места работы.

4.6.8. Копии документов об образовании.

4.6.9. Копия идентификационного номера налогоплательщика.

4.6.10. Номер лицевого счета.

4.6.11. Реквизиты банковского счета.

4.6.12. Реквизиты свидетельства обязательного пенсионного страхования (страховой номер индивидуального лицевого счета (СНИЛС) или документ, подтверждающий регистрацию в системе индивидуального «персонифицированного» учёта «Уведомление о регистрации в системе индивидуального (персонифицированного) учета (АДИ-РЕГ)»).

4.6.13. Трудовой договор.

4.6.14. Подлинники и копии приказов по личному составу.

4.6.15. Материалы по повышению квалификации и переподготовке, аттестации, проверкам, служебным проверкам.

4.6.16. Копии отчетов, направляемые в органы статистики.

4.6.17. Другие документы, содержащие персональные данные.

4.7. Оператор обрабатывает обезличенные технические данные (дата, время нажатия элемента или перехода на официальном сайте
Оператора в информационно-телекоммуникационной сети «Интернет»), содержащиеся в куки-файлах, с помощью сервисов для оценки посещаемости веб-сайтов, для анализа пользовательской активности.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.1. Обработка персональных данных осуществляется на законной
и справедливой основе.

5.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, указанных в разделе 2 настоящей Политики. Не допускается обработка персональных данных, несовместимая с целями их сбора.

5.1.3. Не допускается объединение баз данных, содержащих персональные данные различных субъектов, обработка которых осуществляется в несовместимых целях.

5.1.4. Обработке подлежат только персональные данные, соответствующие заявленным целям обработки.

5.1.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

5.1.6. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

5.1.7. При обработке персональных данных обеспечиваются их точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки. Оператор принимает необходимые меры или обеспечивает
их принятие по удалению или уточнению неполных, или неточных данных.

5.1.8. Хранение персональных данных осуществляется в форме, позволяющей в отношении каждого субъекта определить его персональные данные, в течение сроков, не превышающих необходимых для целей
их обработки, если срок хранения не установлен законодательством Российской Федерации, договором или соглашением с субъектом персональных данных.

5.1.9. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении указанных целей, если иное не предусмотрено законодательством Российской Федерации.

5.2. Условия обработки персональных данных:

5.2.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено федеральными законами. Получение согласия осуществляется в соответствии с Порядком обработки и обеспечения режима защиты персональных данных
ГУП «Мосгортранс» (далее - Порядок обработки персональных данных), утвержденным приказом ГУП «Мосгортранс» от 23.08.2022 № 1058.

5.2.2. Обработка персональных данных без согласия субъекта допускается в случаях, предусмотренных статьей 6 ФЗ № 152, в том числе, когда она необходима для:

а) выполнения функций, полномочий и обязанностей, возложенных
на Оператора законодательством Российской Федерации и Уставом ГУП «Мосгортранс» (в том числе обеспечение транспортной безопасности);

б) исполнения трудовых и (или) гражданско-правовых договоров, стороной, выгодоприобретателем или поручителем, по которым является субъект персональных данных, а также для заключения договоров
по инициативе субъекта персональных данных;

в) осуществления правосудия, исполнительного производства;

г) защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно;

д) осуществления прав и законных интересов Оператора или третьих лиц,
а также достижения общественно значимых целей, когда получение согласия невозможно (без нарушения прав субъекта персональных данных).

5.3. Способы обработки персональных данных Оператором:

5.3.1. Неавтоматизированная обработка персональных данных
(на бумажных носителях).

5.3.2. Автоматизированная обработка с передачей по информационно-телекоммуникационным сетям или без таковой.

5.3.3. Смешанная обработка персональных данных.

5.4. Методы сбора, записи, систематизации, накопления и уточнения персональных данных работников Оператора.

5.4.1. Получение оригиналов необходимых документов от субъектов персональных данных уполномоченными на обработку персональных данных работниками Оператора.

5.4.2. Получение документов по заработной плате, обязательствам, льготам, налоговым вычетам в бухгалтерию Оператора.

5.4.3. Получение заверенных копий документов, содержащих персональные данные.

5.4.4. Внесение сведений в кадровые документы на бумажных
и электронных носителях в соответствии с локальными нормативными актами Оператора.

5.4.5. Формирование данных в ходе кадровой работы и учета оплаты труда.

5.4.6. Получение информации непосредственно от субъектов персональных данных (устно, письменно).

5.4.7. Получение данных по запросам в государственные органы, внебюджетные фонды, организации и физических лиц в случаях, предусмотренных законодательством Российской Федерации.

5.4.8. Внесение персональных данных в информационные системы Оператора.

5.4.9. Использование иных средств и способов фиксации персональных данных в рамках деятельности оператора.

5.5. Сбор персональных данных других субъектов персональных данных.

Сбор, запись, систематизация, накопление и уточнение персональных данных иных субъектов (пассажиров, контрагентов Оператора) осуществляется путем получения данных непосредственно от субъекта или в порядке, предусмотренном законодательством Российской Федерации.

5.6. Поручение обработки третьим лицам.

Оператор вправе поручить обработку персональных данных другому лицу по договору, обязывающему процессора соблюдать принципы и правила ФЗ № 152 и настоящей Политики.

5.7. Передача персональных данных третьим лицам.

Передача допускается только с письменного согласия субъекта, кроме случаев:

- предупреждения угрозы жизни/здоровью субъекта;

- иных случаев, предусмотренных федеральными законами.

Передача осуществляется в соответствии с Порядком обработки персональных данных.

Трансграничная передача персональных данных Оператором
на территорию иностранных государств органам власти иностранных государств, иностранным физическим лицам и (или) иностранным юридическим лицам не осуществляется.

5.8. Уничтожение и обезличивание персональных данных.

Персональные данные уничтожаются либо обезличиваются
по достижении целей обработки или при утрате необходимости в их достижении, если иное не предусмотрено федеральным законом.

5.9. Сроки обработки и хранения персональных данных определяются Порядком обработки персональных данных, утверждённым локальным нормативным актом Оператора, с учетом:

- целей обработки;

- требований законодательства Российской Федерации;

- согласий субъектов.

5.10. Обработка персональных данных для распространения осуществляется на основании отдельного согласия субъекта на распространение с соблюдением установленных им запретов и условий обработки персональных данных.

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Персональные данные подлежат:

- уточнению (актуализации) при выявлении неточностей или неполноты;

- блокированию при оспаривании субъектом персональных данных достоверности данных (до завершения проверки);

- удалению при достижении целей обработки, отзыве согласия, признании обработки незаконной;

- уничтожению по истечении сроков хранения или по требованию субъекта.

6.2. Порядок рассмотрения запросов субъектов персональных данных:

6.2.1 Запросы субъектов персональных данных принимаются Оператором в письменной форме (лично, почтой) а также по электронной почте.

6.2.2 Срок рассмотрения запроса субъекта персональных данных
и подготовка ответа не более 10 рабочих дней с даты получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней
в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.2.3 Оператор безвозмездно предоставляет субъекту персональных данных или его законному представителю возможность ознакомиться
с относящимися к нему персональными данными.

6.2.4 Решения по запросам фиксируются в журнале учета запросов субъектов персональных данных в соответствии с формой журнала, утвержденной локальным нормативным актом Оператора.

6.3. Уничтожение персональных данных:

6.3.1. Уничтожение персональных данных осуществляется в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (далее - приказ № 179).

6.3.2. Способы уничтожения в зависимости от типа обработки:

6.3.2.1. Неавтоматизированная обработка (бумажные носители):

- измельчение с помощью шредера;

- сжигание;

- механическое разрушение.

6.3.2.2. Автоматизированная обработка (информационные системы):

- окончательное удаление файлов с материальных носителей;

- многократная перезапись;

- криптографическое уничтожение ключей шифрования.

6.3.2.3. Уничтожение персональных данных при смешанной обработке персональных данных сочетает способы уничтожения данных
при неавтоматизированном и автоматизированном способе обработки персональных данных.

6.3.3. Подтверждение уничтожения:

6.3.3.1. Во всех случаях уничтожения составляется акт об уничтожении персональных данных в порядке, утвержденном локальным нормативным актом Оператора.

6.3.3.2. При автоматизированной обработке дополнительно формируется выгрузка из журнала событий информационной системы персональных данных (далее - ИСПДн), содержащая:

- ФИО субъекта персональных данных или идентификатор;

- категории уничтоженных данных;

- наименование ИСПДн;

- причину уничтожения;

- дату и время уничтожения.

6.3.3.3. Содержание акта об уничтожении персональных данных:

- наименование и адрес Оператора;

- наименование/ФИО и адрес лица, осуществляющего обработку персональных данных субъекта по поручению Оператора, если обработка была поручена такому лицу;

- ФИО субъекта(ов) или идентификатор;

- ФИО, должность лиц, осуществивших уничтожение;

- перечень категорий, уничтоженных данных;

- перечень материальных носителей или ИСПДн;

- способ уничтожения;

- причина уничтожения;

- дата уничтожения;

- подпись ответственных лиц.

6.3.3.4. Акт в электронной форме, подписанный усиленной квалифицированной электронной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

6.4. Случаи обязательного уничтожения персональных данных:

6.4.1. Достижение целей обработки или утрата необходимости
в их достижении.

6.4.2. Истечение установленных сроков хранения для:

- кадровых документов;

- бухгалтерских документов;

- данных пассажиров (истечение срока действия договоров).

6.4.3. Отзыв согласия субъекта персональных данных на обработку персональных данных.

6.4.4. Выявление факта незаконной обработки персональных данных.

6.4.5. Ликвидация Оператора.

7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор обеспечивает режим защиты персональных данных при их обработке в соответствии с законодательством Российской Федерации и локальными нормативными актами ГУП «Мосгортранс» на основании принимаемых правовых, организационных и технических мер
для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

7.2. Режим защиты персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.

7.3. Защита персональных данных Оператором предусматривает ограничение доступа к ним.

Доступ к персональным данным субъектов персональных данных разрешается в соответствии с Порядком обработки персональных данных только уполномоченным работникам Оператора, которым эти персональные данные необходимы для выполнения должностных обязанностей.

7.4. Структурные подразделения Оператора обеспечивают безопасность персональных данных при их обработке в соответствии с федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (далее - Роскомнадзор), Порядком обработки персональных данных и другими нормативными документами Оператора.

7.5. Обеспечение безопасности персональных данных достигается путем:

7.5.1. Определения угроз безопасности персональных данных при их обработке.

7.5.2. Применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

7.5.3. Проведения проверки соответствия законодательству Российской Федерации в области обработки и защиты персональных данных применяемых мер защиты информации и оценки их эффективности.

7.5.4. Учета машинных носителей персональных данных в порядке, установленном локальным нормативным актом Оператора.

7.5.5. Обнаружения фактов несанкционированного доступа
к персональным данным и принятия соответствующих мер.

7.5.6. Восстановления персональных данных, измененных
или уничтоженных вследствие несанкционированного доступа к ним.

7.5.7. Установления правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными
в информационной системе Оператора в порядке, установленным локальным нормативным актом Оператора.

7.5.8. Осуществления внутреннего контроля за соблюдением структурными подразделениями Оператора при обработке персональных данных требований законодательства Российской Федерации и нормативных документов Оператора.

7.6. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями
к технической защите информации, определенными ФСТЭК России, а также
в соответствии с нормативными документами Оператора в области обеспечения информационной безопасности.

7.7. При автоматизированной обработке персональных данных
для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе Оператора.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Лица, виновные в нарушении требований ФЗ № 152, настоящей Политики, Порядка обработки персональных данных и иных нормативных документов Оператора, несут дисциплинарную ответственность в соответствии с Трудовым кодексом Российской Федерации, административную, уголовную
и гражданско-правовую ответственность в случаях, предусмотренных законодательством Российской Федерации.


Версия для печати