УНИТАРНОЕ ПРЕДПРИЯТИЕ «АСБ САНАТОРИЙ СПУТНИК»
к.п. Нарочь
УТВЕРЖДЕНО
Приказ директора
Унитарного предприятия
«АСБ Санаторий Спутник»
30.11.2021 № 224
ПОЛИТИКА УНИТАРНОГО ПРЕДПРИЯТИЯ «АСБ
САНАТОРИЙ СПУТНИК»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика Унитарного предприятия «АСБ
Санаторий Спутник» в отношении обработки персональных данных (далее - Политика)
разработана во исполнение требований абзаца первого пункта 3 статьи 17 Закона от 07.05.2021
г. № 99-З «О защите персональных данных» (далее - Закон о персональных
данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке
его персональных данных, в том числе защиты прав на неприкосновенность частной жизни,
личную и семейную тайну.
1.2. Политика действует в отношении всех персональных
данных, которые обрабатывает Унитарное предприятие «АСБ Санаторий Спутник»
(далее - Оператор).
1.3. Политика распространяется на отношения в области обработки
персональных данных, возникшие у Оператора как до, так и после утверждения Политики.
1.4. Основные понятия, используемые в Политике:
физическое лицо, которое может
быть идентифицировано – физическое лицо, которое может быть прямо или косвенно
определено, в частности, через фамилию, собственное имя, отчество, дату рождения,
идентификационный номер либо через один или несколько признаков, характерных для его
физической, психологической, умственной, экономической, культурной или социальной
идентичности;
персональные данные - любая информация, относящаяся к идентифицированному
физическому лицу или физическому лицу, которое может быть идентифицировано;
субъект
персональных данных - физическое лицо, в отношении которого осуществляется обработка
персональных данных;
оператор персональных данных – государственный орган,
юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе
индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами
организующие и (или) осуществляющие обработку персональных данных;
обработка
персональных данных - любое действие (операция) или совокупность действий (операций)
с персональными данными, совершаемых с использованием средств автоматизации или без
их использования. Обработка персональных данных включает в себя в том числе сбор,
запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение;
автоматизированная обработка персональных
данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных
данных неопределенному кругу лиц;
предоставление персональных данных - действия,
направленные на ознакомление с персональными данными определенных лица или круга лиц;
блокирование персональных данных - прекращение доступа к персональным данным без
их удаления;
удаление персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе персональных
данных и (или) в результате которых уничтожаются материальные носители персональных
данных;
обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных;
информационная
система персональных данных - совокупность содержащихся в базах данных персональных
данных и обеспечивающих их обработку информационных технологий и технических средств.
1.5. Основные права и обязанности Оператора.
1.5.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для
обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных
и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено
законодательством;
2) поручить обработку персональных данных другому лицу, если
иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано
соблюдать принципы и правила обработки персональных данных, предусмотренные Законом
о персональных данных;
3) в случае отзыва субъектом персональных данных согласия
на обработку персональных данных Оператор вправе продолжить обработку персональных
данных без согласия субъекта персональных данных при наличии оснований, указанных
в Законе о персональных данных.
1.5.2. Оператор обязан:
1) организовывать
обработку персональных данных в соответствии с требованиями Закона о персональных
данных;
2) отвечать на обращения и запросы субъектов персональных данных в соответствии
с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган
по защите прав субъектов персональных данных о нарушениях систем защиты персональных
данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору
стало известно о таких нарушениях;
4) исполнять требования уполномоченного органа
по защите прав субъектов персональных данных об устранении нарушений законодательства
о персональных данных.
1.6. Субъект персональных данных имеет право:
1)
получать информацию, касающуюся обработки его персональных данных, за исключением
случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных
данных Оператором в доступной форме, и в них не должны содержаться персональные данные,
относящиеся к другим субъектам персональных данных, за исключением случаев, когда
имеются законные основания для раскрытия таких персональных данных. Перечень информации
и порядок ее получения установлен Законом о персональных данных;
2) требовать
от Оператора уточнения его персональных данных в случае, если персональные данные
являются неполными, устаревшими, неточными;
3) обжаловать действия (бездействие)
и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный
орган по защите прав субъектов персональных данных в порядке, установленном законодательством
об обращениях граждан и юридических лиц.
1.7. Контроль за исполнением требований
Политики осуществляется лицом, ответственным за организацию обработки персональных
данных у Оператора.
1.8. Ответственность за нарушение требований законодательства
Республики Беларусь и нормативных актов Оператора в сфере обработки и защиты персональных
данных определяется в соответствии с законодательством Республики Беларусь.
ГЛАВА 2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Работа с персональными данными у Оператора
основывается на следующих принципах:
обработка персональных данных осуществляется
в соответствии с законодательством в области защиты персональных данных;
обработка
персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать
на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных
лиц;
обработка персональных данных осуществляется с согласия субъекта персональных
данных, за исключением случаев, предусмотренных законодательством;
обработка
персональных данных ограничивается достижением конкретных, заранее заявленных законных
целей их обработки. Не допускается обработка персональных данных, не совместимая с
первоначально заявленными целями их обработки;
содержание и объем обрабатываемых
персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые
персональные данные не должны быть избыточными по отношению к заявленным целям их
обработки;
обработка персональных данных должна носить прозрачный характер. В
этих целях субъекту персональных данных в случаях, предусмотренных Законом о персональных
данных, предоставляется соответствующая информация, касающаяся обработки его персональных
данных;
Оператор обязан принимать меры по обеспечению достоверности обрабатываемых
ими персональных данных, при необходимости обновлять их;
хранение персональных
данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных
данных.
ГЛАВА 3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных ограничивается
достижением конкретных, заранее определенных и законных целей. Не допускается обработка
персональных данных, несовместимая с целями сбора персональных данных.
3.2. Обработке
подлежат только персональные данные, которые отвечают целям их обработки.
3.3.
Обработка Оператором персональных данных осуществляется в следующих целях:
-
обеспечение соблюдения законодательства Республики Беларусь;
- осуществление
своей деятельности в соответствии с уставом Оператора;
- ведение кадрового делопроизводства;
- содействие работникам в трудоустройстве, получении образования и продвижении по
службе, обеспечение личной безопасности работников, контроль количества и качества
выполняемой работы, обеспечение сохранности имущества;
- привлечение и отбор
кандидатов на работу у Оператора;
- организация постановки на индивидуальный
(персонифицированный) учет работников в системе обязательного пенсионного страхования;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации
требуемых форм отчетности;
- осуществление гражданско-правовых отношений;
- ведение бухгалтерского учета;
- осуществление пропускного режима.
3.4.
Обработка персональных данных работников может осуществляться исключительно в целях
обеспечения соблюдения законов и иных нормативных правовых актов.
ГЛАВА 4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
4.1. Правовым основанием обработки персональных данных
является совокупность нормативных правовых актов, во исполнение которых и в соответствии
с которыми Оператор осуществляет обработку персональных данных, в том числе:
-
Конституция Республики Беларусь;
- Гражданский кодекс Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Налоговый кодекс Республики Беларусь;
- Закон о персональных данных;
- иные нормативные правовые акты, регулирующие
отношения, связанные с деятельностью Оператора.
4.2. Правовым основанием обработки
персональных данных также являются:
- устав Оператора;
- договоры, заключаемые
между Оператором и субъектами персональных данных;
- согласие субъектов персональных
данных на обработку их персональных данных.
ГЛАВА 5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Содержание и объем обрабатываемых персональных
данных должны соответствовать заявленным целям обработки, предусмотренным в главе
третьей Политики. Обрабатываемые персональные данные не должны быть избыточными по
отношению к заявленным целям их обработки.
5.2. Оператор может обрабатывать перечисленные
персональные данные следующих категорий субъектов персональных данных.
5.2.1.
Кандидаты для приема на работу к Оператору:
фамилию, имя, отчество (а также все
предыдущие фамилии);
дату и место рождения;
гражданство;
паспортные
данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи,
наименование органа, выдавшего документ, и др.);
пол;
сведения о семейном
положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения,
места работы и/или учебы;
сведения о регистрации по месту жительства (включая
адрес, дату регистрации);
сведения о месте фактического проживания;
номер
и серию страхового свидетельства государственного социального страхования (при наличии);
данные об образовании, повышении квалификации и профессиональной переподготовке,
ученой степени, ученом звании;
идентификационный номер налогоплательщика (при
наличии);
сведения о трудовой деятельности (включая стаж и опыт работы, данные
о занятости с указанием должности, подразделения, сведений о работодателе и др.);
специальность, профессию, квалификацию;
сведения о воинском учете;
сведения
медицинского характера (в случаях, предусмотренных законодательством);
биометрические
персональные данные (фотография);
сведения о социальных льготах и гарантиях;
сведения о награждениях и поощрениях;
контактные данные (включая номера домашнего
и/или мобильного телефона, электронной почты и др.);
иные данные, которые могут
быть указаны в резюме или анкете кандидата.
5.2.2. Работники и бывшие работники
Оператора:
фамилию, имя, отчество (а также все предыдущие фамилии);
дату
рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего
личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
пол;
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте фактического проживания;
биометрические персональные данные
(фотография);
сведения о семейном положении и составе семьи с указанием фамилий,
имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
номер и
серию страхового свидетельства государственного социального страхования;
данные
об образовании, повышении квалификации и профессиональной переподготовке, ученой степени,
ученом звании;
идентификационный номер налогоплательщика (при наличии);
сведения
о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием
должности, подразделения, сведений о работодателе и др.);
специальность, профессию,
квалификацию;
сведения о воинском учете;
сведения медицинского характера
(в случаях, предусмотренных законодательством);
сведения о социальных льготах
и гарантиях;
контактные данные (включая номера рабочего и/или мобильного телефона,
электронной почты и др.);
иные данные, необходимые для исполнения взаимных прав
и обязанностей в рамках трудовых отношений.
5.2.3. Члены семьи работников Оператора:
фамилию, имя, отчество;
дату рождения;
гражданство;
паспортные данные
или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование
органа, выдавшего документ, и др.);
сведения о регистрации по месту жительства
(включая адрес, дату регистрации);
сведения медицинского характера (в случаях,
предусмотренных законодательством);
сведения о социальных льготах и гарантиях;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона,
электронной почты и др.).
5.2.4. Клиенты и контрагенты Оператора (физические
лица):
фамилию, имя, отчество;
паспортные данные или данные иного документа,
удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего
документ, и др.);
сведения о регистрации по месту жительства (включая адрес,
дату регистрации);
номер и серию страхового свидетельства государственного социального
страхования;
реквизиты банковского счета;
идентификационный номер налогоплательщика;
контактные данные (включая номера домашнего и/или мобильного телефона, электронной
почты и др.);
иные данные, необходимые для исполнения взаимных прав и обязанностей
между Оператором и контрагентом.
5.2.5. Представители (работники) клиентов и
контрагентов Оператора (юридических лиц):
фамилию, имя, отчество;
должность;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона,
электронной почты и др.);
иные данные, необходимые для исполнения взаимных прав
и обязанностей между Оператором и контрагентом.
5.3. Обработка Оператором биометрических
персональных данных (например, фотографии) осуществляется в соответствии с законодательством
Республики Беларусь.
5.4. Оператором не осуществляется обработка специальных
категорий персональных данных, касающихся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни,
за исключением случаев, предусмотренных законодательством Республики Беларусь.
ГЛАВА 6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
6.1. Обработка персональных данных осуществляется
Оператором в соответствии с требованиями законодательства Республики Беларусь.
6.2. Обработка персональных данных осуществляется с согласия субъектов персональных
данных на обработку их персональных данных, а также без такового согласия в случаях,
предусмотренных законодательством Республики Беларусь.
6.2.1. Согласие субъекта
персональных данных на обработку его персональных данных, за исключением специальных
персональных данных, не требуется в следующих случаях:
для исполнения судебных
постановлений и иных исполнительных документов;
для ведения персонифицированного
учета, в том числе профессионального пенсионного страхования;
при оформлении
трудовых отношений, а также в процессе трудовой деятельности субъекта персональных
данных в случаях, предусмотренных законодательством;
в целях назначения и выплаты
пенсий, пособий;
для организации и проведения государственных статистических
наблюдений, формирования официальной статистической информации;
при получении
персональных данных Оператором на основании договора, заключаемого с субъектом персональных
данных, в целях совершения действий, установленных этим договором;
при обработке
персональных данных, когда они указаны в документе, адресованном Оператору и подписанном
субъектом персональных данных, в соответствии с содержанием такого документа;
для
защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных
или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка персональных данных является необходимой для выполнения
Оператором обязанностей (полномочий), предусмотренных законодательством, уставом Оператора;
в случаях, когда законодательством прямо предусматривается обработка персональных
данных без согласия субъекта персональных данных.
6.3. Оператор осуществляет
как автоматизированную, так и неавтоматизированную обработку персональных данных.
6.4. К обработке персональных данных допускаются работники Оператора, в должностные
обязанности которых входит обработка персональных данных.
6.5. Обработка персональных
данных осуществляется путем:
- получения персональных данных в устной и письменной
форме непосредственно от субъектов персональных данных;
- получения персональных
данных из общедоступных источников;
- внесения персональных данных в журналы,
реестры и информационные системы Оператора;
- использования иных способов обработки
персональных данных.
6.6. Не допускается раскрытие третьим лицам и распространение
персональных данных без согласия субъекта персональных данных, если иное не предусмотрено
законодательство. Согласие на обработку персональных данных, разрешенных субъектом
персональных данных для распространения, оформляется отдельно от иных согласий субъекта
персональных данных на обработку его персональных данных.
6.7. Передача персональных
данных органам дознания и следствия, в налоговые органы, фонд социальной защиты населения
и другие органы исполнительной власти и организации осуществляется в соответствии
с требованиями законодательства Республики Беларусь.
6.8. Оператор принимает
необходимые правовые, организационные и технические меры для защиты персональных данных
от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
распространения и других несанкционированных действий, в том числе:
- определяет
угрозы безопасности персональных данных при их обработке;
- принимает локальные
нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты
персональных данных;
- назначает лиц, ответственных за обеспечение безопасности
персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует
учет документов, содержащих персональные данные;
- организует работу с информационными
системами, в которых обрабатываются персональные данные;
- хранит персональные
данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный
доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку
персональных данных.
6.9. Оператор осуществляет хранение персональных данных
не дольше, чем этого требуют цели обработки персональных данных, если срок хранения
персональных данных не установлен законодательством Республики Беларусь, договором.
6.10. Сбор персональных данных.
6.10.1. Источником информации обо всех персональных
данных является непосредственно субъект персональных данных.
6.10.2. Если иное
не установлено Законом о защите персональных данных, Оператор вправе получать персональные
данные субъекта персональных данных от третьих лиц только при уведомлении об этом
субъекта либо при наличии письменного согласия субъекта на получение его персональных
данных от третьих лиц.
6.10.3. Уведомление субъекта персональных данных о получении
его персональных данных от третьих лиц должно содержать:
наименование Оператора
и адрес его местонахождения;
цель обработки персональных данных и ее правовое
основание;
предполагаемые пользователи персональных данных;
установленные
законом права субъекта персональных данных;
источник получения персональных данных.
6.11. Хранение персональных данных.
6.11.1. При хранении персональных данных
должны соблюдаться условия, обеспечивающие сохранность персональных данных.
6.11.2.
Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях,
находятся в специально отведенных для этого местах с ограниченным доступом в условиях,
которые обеспечивают их защиту от несанкционированного доступа (сейфы, закрывающиеся
на замок шкафы, ящики стола и т.п.).
6.11.3. Персональные данные, хранящиеся
в электронном виде, защищаются от несанкционированного доступа с помощью специальных
технических и программных средств защиты.
6.11.4. Хранение персональных данных
должно осуществляться в форме, позволяющей идентифицировать субъекта персональных
данных, в течение сроков, установленных законодательством Республики Беларусь для
хранения тех или иных документов, содержащих персональные данные, локальными правовыми
актами Оператора или договором, стороной которого является субъект персональных
данных, а если такие сроки не установлены – до достижения целей обработки персональных
данных.
6.11.5. По истечении сроков хранения, а если такие сроки не установлены
– по достижения целей обработки, а также в случае утраты необходимости в достижении
этих целей обрабатываемые персональные данные подлежат уничтожению, за исключением
случаев, если персональные данные должны храниться длительное время в силу требований
нормативных правовых актов.
6.12. Использование.
6.12.1. Персональные данные
обрабатываются и используются Оператором для целей, указанных в настоящей Политике.
6.12.2. Доступ к персональным данным предоставляется только тем работникам Оператора,
служебные обязанности которых предполагают работу с персональными данными, либо лицам,
в установленном порядке их замещающим (выполняющим обязанности согласно распределению
функциональных обязанностей), и только на период, необходимый для работы с соответствующими
данными.
Допуск к персональным данным включает:
ознакомление работника
с законодательством о защите персональных данных, об ответственности за его нарушение,
локальными правовыми актами Оператора в области обработки и защиты персональных данных;
принятие работником обязанности соблюдать режим конфиденциальности персональных
данных, к которым он получает доступ, в том числе после прекращения трудовых отношений;
обязательство не использовать сведения конфиденциального характера в деятельности,
не связанной с деятельностью Оператора.
6.12.3. В случае возникновения необходимости
предоставить доступ к персональным данным работникам, не входящих в перечень лиц с
доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному
кругу персональных данных по распоряжению директора Оператора или лица, в установленном
порядке его замещающего. Соответствующие работники должны быть ознакомлены с настоящей
Политикой под роспись.
6.12.4. Работники, осуществляющие обработку персональных
данных без использования средств автоматизации, информируются (в том числе путем ознакомления
с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых
персональных данных, а также об особенностях и правилах осуществления такой обработки,
установленных законодательством и настоящей Политикой.
6.12.5. При необходимости
использования или распространения определенных персональных данных отдельно от находящихся
на том же материальном носителе других персональных данных осуществляется копирование
персональных данных, подлежащих распространению или использованию, способом, исключающим
одновременное копирование персональных данных, не подлежащих распространению и использованию,
и используется (распространяется) копия персональных данных.
6.12.6. Уточнение
персональных данных при их обработке без использования средств автоматизации производится
путем обновления или изменения данных на материальном носителе, а если это не допускается
техническими особенностями материального носителя – путем фиксации на том же
материальном носителе сведений о вносимых в них изменениях либо путем изготовления
нового материального носителя с уточненными персональными данными.
6.13. Передача.
6.13.1. Передача персональных данных субъектов третьим лицам допускается в минимально
необходимых объемах и только в целях выполнения задач, соответствующих объективной
причине сбора этих данных.
6.13.2. Передача персональных данных третьим лицам
допускается только при наличии согласия субъекта либо иного законного основания.
6.13.3. При передаче персональных данных третьим лицам субъект должен быть уведомлен
о такой передаче, за исключением случаев, определенных законодательством, в частности,
если:
субъект персональных данных уведомлен об осуществлении обработки его персональных
данных оператором, который получил от Оператора соответствующие данные;
персональные
данные сделаны общедоступными субъектом персональных данных или получены из общедоступного
источника;
персональные данные обрабатываются для статистических или иных исследовательских
целей, если при этом не нарушаются права и законные интересы субъекта персональных
данных.
6.13.4. Передача информации, содержащей персональные данные, должна осуществляться
способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения,
блокирования, копирования, распространения, а также иных неправомерных действий в
отношении такой информации.
6.13.5. Лица, получающие персональные данные, должны
предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых
они сообщены, и с соблюдением режима конфиденциальности.
6.13.6. В случаях, когда
государственные органы имеют право запросить персональные данные или персональные
данные должны быть предоставлены в силу законодательства, а также в соответствии с
запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном
действующим законодательством Республики Беларусь.
6.14. Защита.
6.14.1.
Для защиты персональных данных Оператор принимает необходимые предусмотренные законодательством
меры (включая, но не ограничиваясь):
ограничивают и регламентируют перечень работников,
функциональные обязанности которых требуют доступа к информации, содержащей персональные
данные;
обеспечивают условия для хранения документов, содержащих персональные
данные, в ограниченном доступе;
организуют уничтожение информации, содержащей
персональные данные, если законодательством или локальными правовыми актами Оператора
не установлены требования по хранению соответствующих данных либо документов, содержащих
такие данные;
контролируют соблюдение требований по обеспечению безопасности
персональных данных, в том числе установленных настоящей Политикой;
проводят
расследование случаев несанкционированного доступа или разглашения персональных данных
с привлечением виновных работников к ответственности, принятием иных мер;
принимают
иные меры, направленные на обеспечение выполнения обязанностей в сфере персональных
данных, предусмотренных законодательством Республики Беларусь.
6.14.2. Должностным
лицам Оператора, работающим с персональными данными, запрещается сообщать их устно
или письменно кому бы то ни было, если это не вызвано служебной необходимостью. Без
согласования с руководителем структурного подразделения формирование и хранение баз
данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.
6.14.3. Должностные лица Оператора, работающие с персональными данными, обязаны
использовать информацию о персональных данных исключительно для целей, связанных с
выполнением своих трудовых обязанностей.
6.14.4. При прекращении выполнения трудовой
функции, связанной с обработкой персональных данных, все носители информации, содержащие
персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.),
которые находились в распоряжении должностного лица в связи с выполнением должностных
обязанностей, данный работник должен передать своему непосредственному руководителю.
6.14.5. Передача персональных данных третьим лицам допускается только в случаях,
установленных законодательством Республики Беларусь, Политикой оператора
в отношении обработки персональных данных, должностной инструкцией и иными локальными
правовыми актами Оператора в сфере обеспечения конфиденциальности и безопасности персональных
данных.
6.14.6. Запрещается передача персональных данных по телефону, факсу,
электронной почте за исключением случаев, установленных законодательством и действующими
у Оператора локальными правовыми актами. Ответы на запросы граждан и организаций даются
в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением
данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.
6.14.7. Должностные лица Оператора, работающие с персональными данными, обязаны
немедленно сообщать своему непосредственному руководителю и (или) ведущему инженеру-программисту
обо всех ставших им известными фактах получения третьими лицами несанкционированного
доступа либо попытки получения доступа к персональным данным, об утрате или недостаче
носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей
от сейфов (хранилищ), печатей, электронных ключей и других фактах, которые могут привести
к несанкционированному доступу к персональным данным, а также о причинах и условиях
возможной утечки этих сведений.
6.14.8. Должностные лица, осуществляющие обработку
персональных данных, за невыполнение требований конфиденциальности, защиты персональных
данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность
в соответствии с законодательством Республики Беларусь.
6.14.9. Отсутствие контроля
со стороны руководителя Оператора за надлежащим исполнением работником своих обязанностей
в области обеспечения конфиденциальности и безопасности персональных данных не освобождает
работника от таких обязанностей и предусмотренной законодательством Республики Беларусь
ответственности.
ГЛАВА 7. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
7.1. Обработка персональных данных, в том числе содержащихся
в информационной системе персональных данных либо извлеченных из такой системы, считается
осуществленной без использования средств автоматизации (неавтоматизированной), если
такая обработка осуществляется при непосредственном участии человека.
7.2. Руководитель
структурного подразделения, осуществляющего обработку персональных данных без использования
средств автоматизации:
определяет места хранения персональных данных (материальных
носителей);
осуществляет контроль наличия в структурном подразделении условий,
обеспечивающих сохранность персональных данных и исключающих несанкционированный к
ним доступ;
информирует лиц, осуществляющих обработку персональных данных без
использования средств автоматизации, о перечне обрабатываемых персональных данных,
а также об особенностях и правилах осуществления такой обработки;
организует
раздельное, т.е. не допускающее смешения, хранение материальных носителей персональных
данных (документов, дисков, дискет, USB-флеш-накопителей, пр.), обработка которых
осуществляется в различных целях.
7.3. При несовместимости целей обработки персональных
данных руководитель структурного подразделения должен обеспечить раздельную обработку
персональных данных.
7.4. Уничтожение или обезличивание части персональных данных,
если это допускается материальным носителем, должно производиться способом, исключающим
дальнейшую обработку этих персональных данных с сохранением возможности обработки
иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7.5. Уточнение персональных данных при осуществлении их обработки без использования
средств автоматизации производится путем обновления или изменения данных на материальном
носителе.
ГЛАВА 8. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ
8.1. Обработка персональных данных с использованием
средств автоматизации означает совершение действий (операций) с такими данными с помощью
объектов вычислительной техники в компьютерной сети Оператора (далее - КСО). Безопасность
персональных данных при их обработке в КСО обеспечивается с помощью системы защиты
персональных данных, включающей организационные меры и средства защиты информации,
а также используемые в КСО информационные технологии. Технические и программные средства
защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством
Республики Беларусь требованиям, обеспечивающим защиту информации. Средства защиты
информации, применяемые в КСО, в установленном порядке проходят процедуру оценки соответствия.
8.2. Работа с персональными данными в КСО должна быть организована таким образом,
чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации,
а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних
лиц.
8.3. Компьютеры и (или) электронные папки, в которых содержатся файлы с
персональными данными, для каждого пользователя должны быть защищены индивидуальными
паролями доступа.
8.4. Пересылка персональных данных без использования специальных
средств защиты по общедоступным сетям связи, в том числе сети Интернет, запрещается.
8.5. При обработке персональных данных в КСО пользователями должно быть обеспечено:
а) использование предназначенных для этого разделов (каталогов) носителей информации,
встроенных в технические средства, или съемных маркированных носителей;
б) недопущение
физического воздействия на технические средства автоматизированной обработки персональных
данных, в результате которого может быть нарушено их функционирование;
в) постоянное
использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного
доступа к ним;
г) недопущение несанкционированных выноса из помещений, установки,
подключения оборудования, а также удаления, инсталляции или настройки программного
обеспечения.
8.6. При обработке персональных данных в КСО разработчиками и администраторами
информационных систем должны обеспечиваться:
а) обучение лиц, использующих средства
защиты информации, применяемые в КСО, правилам работы с ними;
б) учет лиц, допущенных
к работе с персональными данными в КСО, прав и паролей доступа;
в) учет применяемых
средств защиты информации, эксплуатационной и технической документации к ним;
г)
контроль за соблюдением условий использования средств защиты информации, предусмотренных
эксплуатационной и технической документацией;
д) описание системы защиты персональных
данных.
ГЛАВА 9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ
И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ
ДАННЫМ
9.1. Подтверждение факта обработки персональных данных
Оператором, правовые основания и цели обработки персональных данных, а также иные
сведения, указанные в пункте 1 и 4 статьи 11 Закона о персональных данных, предоставляются
Оператором субъекту персональных данных при получении заявления субъекта персональных
данных.
В предоставляемые сведения не включаются персональные данные, относящиеся
к другим субъектам персональных данных, за исключением случаев, когда имеются законные
основания для раскрытия таких персональных данных.
Заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных
данных, адрес его места жительства (места пребывания);
- дату рождения субъекта
персональных данных;
- идентификационный номер субъекта персональных данных,
при отсутствии такого номера - номер документа, удостоверяющего личность субъекта
персональных данных, в случаях, если эта информация указывалась субъектом персональных
данных при даче своего согласия оператору или обработка персональных данных осуществляется
без согласия субъекта персональных данных;
- изложение сути требований субъекта
персональных данных;
- личную подпись либо электронную цифровую подпись субъекта
персональных данных.
Заявление может быть направлено в письменной форме, в форме
электронного документа, подписанного электронной цифровой подписью в соответствии
с законодательством Республики Беларусь.
Если в заявлении субъекта персональных
данных не отражены в соответствии с требованиями Закона о персональных данных все
необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации,
то ему направляется мотивированный отказ.
Субъекту персональных данных может
быть отказано в предоставлении информации в соответствии с частью 3 статьи 11 Закона
о персональных данных.
9.2. В случае выявления неточных персональных данных при
обращении субъекта персональных данных либо по его заявлению или по запросу уполномоченного
органа по защите прав субъектов персональных данных Оператор осуществляет блокирование
персональных данных, относящихся к этому субъекту персональных данных, с момента получения
указанного заявления или запроса на период проверки.
В случае подтверждения факта
неточности персональных данных Оператор на основании сведений, представленных субъектом
персональных данных либо уполномоченным органом по защите прав субъектов персональных
данных, или иных необходимых документов уточняет персональные данные в течение 15
дней со дня представления таких сведений и снимает блокирование персональных данных.
9.3. В случае выявления неправомерной обработки персональных данных при получении
заявления субъекта персональных данных либо запроса уполномоченного органа по защите
прав субъектов персональных данных Оператор осуществляет блокирование неправомерно
обрабатываемых персональных данных, относящихся к этому субъекту персональных данных,
с момента такого обращения или получения заявления (запроса).
9.4. При достижении
целей обработки персональных данных, а также в случае отзыва субъектом персональных
данных согласия на их обработку персональные данные подлежат удалению, если иное не
предусмотрено другим соглашением между Оператором и субъектом персональных данных
или законодательством.
ГЛАВА 10. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ
СТОРОН ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Оператор имеет право:
устанавливать правила
обработки персональных данных, вносить изменения и дополнения в настоящую Политику,
самостоятельно в рамках требований законодательства разрабатывать и применять формы
документов, необходимых для исполнения обязанностей оператора;
осуществлять иные
права, предусмотренные законодательством Республики Беларусь и локальными правовыми
актами Оператора в области обработки и защиты персональных данных.
10.2. Оператор
обязан:
организовывать обработку персональных данных в соответствии с требованиями
Закона о персональных данных;
отвечать на обращения и запросы субъектов персональных
данных в соответствии с требованиями Закона о персональных данных;
исполнять
требования уполномоченного органа по защите прав субъектов персональных данных об
устранении нарушений законодательства о персональных данных;
выполнять иные обязанности,
предусмотренные законодательством Республики Беларусь в области обработки и защиты
персональных данных.
10.3. Субъект персональных данных имеет право:
в любое
время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления
в порядке, установленном Законом о персональных данных;
получить информацию,
касающуюся обработки своих персональных данных, содержащую:
наименование и место
нахождения Оператора;
подтверждение факта обработки персональных данных Оператором;
его персональные данные и источник их получения;
правовые основания и цели
обработки персональных данных;
срок, на который дано его согласие;
иную
информацию, предусмотренную законодательством;
требовать внесения Оператором
изменений в свои персональные данные в случае, если персональные данные являются неполными,
устаревшими или неточными. В этих целях субъект персональных данных подает Оператору
заявление в порядке, установленном Законом о персональных данных, с приложением соответствующих
документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость
внесения изменений в персональные данные;
получать от Оператора информацию о
предоставлении своих персональных данных третьим лицам один раз в календарный год
бесплатно, если иное не предусмотрено законодательством. Для получения указанной информации
субъект персональных данных подает Оператору заявление, которое должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных
данных, адрес его места жительства (места пребывания);
дату рождения субъекта
персональных данных;
идентификационный номер субъекта персональных данных (при
отсутствии такого номера – номер документа, удостоверяющего личность субъекта
персональных данных);
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных;
требовать от Оператора бесплатного прекращения обработки своих персональных данных,
включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных
законодательством. Для реализации указанного права субъект персональных данных подает
Оператору заявление в порядке, установленном Законом о персональных данных;
обжаловать
действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных
данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке,
установленном законодательством об обращениях граждан и юридических лиц.
10.4.
Субъект персональных данных обязан:
предоставлять Оператору достоверные персональные
данные;
своевременно сообщать Оператору об изменениях и дополнениях своих персональных
данных;
осуществлять свои права в соответствии с законодательством Республики
Беларусь и локальными правовыми актами Оператора в области обработки и защиты персональных
данных;
исполнять иные обязанности, предусмотренные законодательством Республики
Беларусь и локальными правовыми актами Оператора в области обработки и защиты персональных
данных.
10.5. Ознакомившиеся с настоящей Политикой работники Оператора, имеющие
доступ к персональным данным с целью их обработки, в том числе временные, принимают
на себя обязательства:
соблюдать требования настоящей Политики и законодательства
Республики Беларусь в области обработки персональных данных;
о неразглашении
полученных персональных данных.
10.6. Ответственность за нарушение требований
законодательства Республики Беларусь в сфере обработки и защиты персональных данных,
а также настоящей Политики определяется в соответствии с законодательством Республики
Беларусь.