УТВЕРЖДЕНО
Приказ директора
СООО «Манули Гидравликс
Мануфактуринг Бел»
от 29.12.2022 № 128-од
ПОЛИТИКА
в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных Совместного общества с ограниченной ответственностью «Манули Гидравликс Мануфактуринг Бел» (далее — Оператор) определяет основные цели, правовые основания, порядок и условия обработки персональных данных, категории субъектов, а также перечень обрабатываемых персональных данных, права субъектов персональных данных, а также реализуемые у Оператора требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Гражданского кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее — Закон), Закона Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации», иных нормативных правовых актов Республики Беларусь.
1.3. Политика действует в отношении персональных данных, которые обрабатывает Оператор и которые получены от кандидатов на трудоустройство, работников, бывших работников и их родственников, клиентов и других субъектов персональных данных для достижения конкретных, заранее заявленных законных целей, о которых субъекты персональных данных должны быть надлежащим образом проинформированы.
1.4. Требования настоящей Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.
1.5. При приеме на работу работники должны быть ознакомлены с настоящей Политикой в обязательном порядке.
ГЛАВА 2
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. В настоящем Положении используются понятия согласно Закону о защите персональных данных, Закону Республики Беларусь от 21 июля 2008 г. N 418-З «О регистре населения», Закону Республики Беларусь от 10 ноября 2008 г. N 455-З «Об информации, информатизации и защите информации».
Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.
Физическое лицо, которое может быть идентифицировано — физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Информация — сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Смешанная обработка персональных данных – обработка персональных данных как с использованием средств автоматизации, так и без использования средств автоматизации.
ГЛАВА 3
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных у Оператора осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
— обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами и настоящей Политикой;
— обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
— обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
— Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
— хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 4
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор осуществляет обработку персональных данных работников и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях.
4.2. Персональные данные обрабатываются Оператором в целях:
— установления с субъектом обратной связи, включая направление уведомлений, запросов, касающихся покупки товаров, обработка запросов и заявок от клиентов;
— улучшения качества товаров, предоставления и продвижения товаров;
— обработки статистической информации;
— предоставления пользователю по электронной почте или иными доступными способами, с его согласия, иных сведений/уведомлений от имени Оператора;
— ведение переговоров, заключение и исполнение договоров;
— организация работы с обращениями граждан и юридических лиц;
— обработка информации (резюме) кандидатов на трудоустройство;
— ведение кадрового делопроизводства, кадрового и воинского учета;
— ведение бухгалтерского учета и налогообложение, начисление и выплата заработной платы, пенсий, пособий и т.п.;
— применение мер поощрения и привлечение к дисциплинарной ответственности, материальной ответственности;
— предоставление социальных льгот и гарантий;
— направление на профессиональную подготовку, повышение квалификации, стажировку и переподготовку;
— организация ведения персонифицированного учета застрахованных лиц;
— расследование несчастных случаев на производстве;
— аттестация;
— заполнение и предоставление в уполномоченные органы и организации требуемых форм отчетности;
— предоставление отчетов учредителю Оператора;
— защита имущества от противоправных действий, в том числе с применением видеонаблюдения;
— в иных целях, не противоречащих законодательству Республики Беларусь.
4.3. От цели обработки персональных данных зависят:
— объем данных, которые Оператор вправе запрашивать и обрабатывать;
— необходимость получения согласия субъекта персональных данных на обработку его персональных данных;
— срок обработки персональных данных
4.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением целей, предусмотренных действующим законодательством Республики Беларусь и указанных в настоящей Политике.
4.5. Правовым основанием обработки персональных данных являются: договоры, заключаемые между Оператором и субъектами персональных данных; договоры, заключаемые между Оператором и юридическими лицами, согласие субъекта персональных данных, оформление и реализация трудовых отношений, документы, адресованные непосредственно Оператору субъектом персональных данных.
ГЛАВА 5
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ
5.1. Оператором обрабатываются персональные данные следующих категорий субъектов:
— участники СООО «Манули Гидравликс Мануфактуринг Бел» и аффилированные лица;
— работники Оператора, в том числе уволенные;
— родственники работников Оператора;
— кандидаты на рабочие места;
— физические лица, являющиеся клиентами Оператора;
— работники и иные представители контрагентов — юридических лиц;
— физические лица, подающие обращения (заявления);
— физические лица, обратившиеся за осуществлением административной процедуры;
— иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных.
ГЛАВА 6
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
6.1. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в настоящей Политике.
6.2. Персональные данные участников СООО «Манули Гидравликс Мануфактуринг Бел» и аффилированных лиц включают:
— фамилию, имя, отчество (при наличии);
— сведения о месте регистрации, о месте пребывания;
— контактный телефон;
— адрес электронной почты;
— банковские реквизиты.
6.3. Персональные данные работников Оператора, в том числе уволенных включают:
— фамилия, собственное имя, отчество (а также все предыдущие фамилии);
— пол;
— гражданство;
— дата рождения;
— изображение (фотография), в том числе и видеозапись;
— паспортные данные;
— адрес регистрации по месту жительства, адрес фактического проживания;
— контактные данные;
-сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
— занимаемая должность;
— сведения о заработной плате, банковские данные;
— семейное положение, наличие детей;
— сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
— сведения о воинском учете;
— сведения о состоянии здоровья;
— сведения об инвалидности;
— сведения об удержании алиментов;
— иные данные, необходимые для исполнения взаимных прав и обязанностей между Оператором и работником.
6.4. Персональные данные кандидатов на рабочие места включают:
— фамилию, имя, отчество;
— дату рождения;
— гражданство;
— пол;
— сведения о семейном положении и составе семьи;
— места работы и/или учебы, в том числе данные об образовании, повышении квалификации, стаж и опыт работы, включая сведения о работодателе (нанимателе);
— сведения о регистрации по месту жительства, месте фактического проживания;
— контактные данные;
— сведения, предоставленные самим кандидатом в резюме, в ходе заполнения личностных опросников.
6.5. Персональные данные работников и иных представителей контрагентов — юридических лиц включают:
— фамилию, имя, отчество (при наличии);
— должность;
— иные данные, необходимые для исполнения взаимных прав и обязанностей между Оператором и контрагентом, в том числе предусмотренные условиями договора.
6.6. Персональные данные клиентов — физических лиц включают в себя следующую информацию:
— фамилию, имя, отчество (при наличии);
— иные данные, которые могут быть указаны субъектом персональных данных.
6.7. Персональные данные физических лиц, подающих обращения (заявления) либо обратившихся за осуществлением административной процедуры включают:
— фамилию, имя, отчество (при наличии);
— сведения о месте регистрации, о месте пребывания;
— контактный телефон;
— адрес электронной почты;
— иные данные, которые могут быть указаны в обращении или заявлении субъекта персональных данных, необходимые для рассмотрения обращения (заявления).
6.8. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также генетических персональных данных, Оператором не осуществляется за исключением случаев, предусмотренных законодательством Республики Беларусь.
ГЛАВА 7
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор при осуществлении обработки персональных данных:
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных;
осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
7.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
7.3. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
7.4. Доступ к обрабатываемым персональным данным разрешается только работникам Оператора, занимающимися осуществлением обработки персональных данных.
Перечень работников, имеющих доступ к персональным данным и занимающихся их обработкой определяется приказом руководителя Оператора.
ГЛАВА 8
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
И СПОСОБЫ ИХ ОБРАБОТКИ
8.1. Обработка персональных данных осуществляется следующими способами:
— с использованием средств автоматизации;
— без использования средств автоматизации.
8.2. Обработка персональных данных Оператором осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки.
8.3. Письменное согласие субъекта персональных данных на обработку его персональных данных, включает в себя:
— фамилию, собственное имя, отчество (если таковое имеется);
— дату рождения;
— идентификационный номер, а в случае отсутствия такого номера — номер документа, удостоверяющего его личность;
— подпись субъекта персональных данных.
8.4. Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях:
— для исполнения судебных постановлений и иных исполнительных документов;
-для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
— при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
— в целях назначения и выплаты пенсий, пособий;
— для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
— при получении персональных данных Оператором на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
— при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
— для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
— в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
— в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
— в иных случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
8.5. Хранение персональных данных:
8.5.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
8.5.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Оператором.
8.5.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Оператором информационных систем и специально обозначенных Оператором баз данных (внесистемное хранение персональных данных) не допускается.
8.5.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь.
8.5.5. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
8.5.6. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе.
8.5.7. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.6. Оператор принимает необходимые правовые, организационные и технические меры, направленные на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
— ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
— обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
— организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
— контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой;
— проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных лиц к ответственности, принятием иных мер;
— внедряет программные и технические средства защиты информации в электронном виде;
— обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.7. Персональные данные обрабатываются и используются для целей, указанных в настоящей Политике.
8.8. Доступ к персональным данным предоставляется только тем работникам Оператора, должностные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
8.9. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению руководителя Оператора или иного лица, уполномоченного на это руководителем Оператора. Соответствующие работники должны быть ознакомлены под подпись со всеми локальными правовыми актами Оператора в области персональных данных.
8.10. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящей Политикой.
8.11. Оператор прекращает обрабатывать персональные данные в случае:
— если достигнута цель обработки, либо миновала необходимость в достижении цели;
— истек срок действия согласия субъекта персональных данных или субъект персональных данных отозвал согласие на обработку и у Оператора нет иных, предусмотренных законодательством Республики Беларусь, оснований для обработки персональных данных;
— в случае обнаружения неправомерной обработки персональных данных;
— в случае прекращения деятельности Оператора.
Персональные данные могут быть обработаны Оператором в течение более длительных сроков, чем указано выше, в случае если этого требует действующее законодательство Республики Беларусь.
8.12. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных при наличии согласия субъекта либо иного законного основания.
ГЛАВА 9
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъекты персональных данных имеют право на:
— отзыв согласия субъекта персональных данных;
— получение информации, касающейся обработки персональных данных, и изменение персональных данных;
— получение от Оператора информации о предоставлении своих персональных данных третьим лицам не чаще одного раза в календарный год;
— требование прекращения обработки персональных данных и (или) их удаления;
— обжалование действий (бездействия) и решений Оператора, связанных с обработкой персональных данных.
9.2. Для реализации указанных прав, субъект персональных данных обращается к Оператору путем подачи заявления в письменной форме, позволяющее достоверно определить заявителя.
9.3. Заявление должно содержать:
— фамилию, имя, отчество субъекта персональных данных;
— адрес места жительства (места пребывания);
— идентификационный номер (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);
— изложение сути требования;
— личную подпись.
9.4. Оператор в течение 15 (пятнадцати) дней после получения соответствующего заявления прекращает обработку персональных данных (если нет оснований для обработки согласно законодательству Республики Беларусь), осуществляет их удаление, при отсутствии технической возможности удаления — принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, вносит изменения в персональные данные, предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет его о причинах отказа в предоставлении такой информации
9.5. Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи Оператору соответствующего заявления в порядке, установленном настоящей главой. Оператор в течение 5 (пяти) рабочих дней после получения заявления предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.
9.6. Для ответа на запросы субъекта персональных данных Оператор может запросить дополнительную информацию, подтверждающую участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения, иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных субъекта Оператором.
9.7. Субъект персональных данных вправе обратиться за содействием в реализации своих прав к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных.
Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных назначается приказом руководителя Оператора. Информация о нем, а также контактные данные такого лица размещаются в свободном доступе в офисе Оператора. Также данную информацию можно получить путем устного либо письменного обращения к Оператору по контактным телефонам Оператора, путем направления запроса на электронную почту Оператора либо на почтовый адрес Оператора: 211390, Витебская область, город Орша, улица Локомотивная, дом 2.
ГЛАВА 10
ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
10.1. Оператор имеет право:
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством и принятыми нормативными правовыми актами, если иное не предусмотрено законодательством;
— поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством;
— отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
— получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
— осуществлять иные права в соответствии с законодательством Республики Беларусь в области обработки и защиты персональных данных.
10.2. Оператор обязан:
— организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
— разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
— получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
— обеспечивать защиту персональных данных в процессе их обработки;
— принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;
— рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных в установленном законодательством порядке;
— предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;
— прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;
— выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.
ГЛАВА 11
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
11.2. Оператор осуществляет трансграничную передачу персональных данных работников, в том числе уволенных в целях предоставления отчетности учредителю Оператора.
11.3. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных. К таким странам относятся страны-участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года.
11.4. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных.
ГЛАВА 12
ВИДЕОНАБЛЮДЕНИЕ
12.1. Если необходимость использования видеонаблюдения напрямую не предусмотрена законодательными актами, оно может использоваться только с согласия субъектов персональных данных либо для выполнения обязанностей (полномочий), вытекающих из законодательных актов.
К числу таких обязанностей (полномочий) отнесены:
— обеспечение реализации Оператором возложенных на него Трудовым кодексом Республики Беларусь обязанностей, в том числе в части обеспечения производственно-технологической, исполнительской и трудовой дисциплины;
— обеспечение охраны имущества Оператора от противоправных посягательств.
12.2. Не допускается использование видеонаблюдения для наблюдения за местами, которые являются частью наиболее личной сферы жизни работников, в том числе предназначенных для их личных нужд, включая отдых и общение работников.
ГЛАВА 13
ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Под обеспечением безопасности при обработке персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
— обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
— реализацию права на доступ к информации.
13.2. Обеспечение безопасности при обработке персональных данных обеспечивается путем соблюдения требований настоящей Политики и других локальных правовых актов Оператора в части информационной безопасности.
13.3. В целях обеспечения соблюдения требований конфиденциальности и безопасности при обработке персональных данных Оператор предоставляет работникам, осуществляющим обработку персональных данных, необходимые условия для выполнения указанных требований.
13.4. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.
13.5. Руководитель структурного подразделения, осуществляющего обработку персональных данных либо лицо, осуществляющее обработку персональных данных (при отсутствии структурного подразделения) без использования средств автоматизации:
— определяет места хранения персональных данных (материальных носителей);
-осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
— информирует работников, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
13.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
13.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.
13.8. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети оператора.
13.9. Безопасность персональных данных при их обработке в компьютерной сети Оператора обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в компьютерной сети Оператора информационные технологии: антивирусные программы, установление паролей, брэндмауэры и фаерволлы.
13.10. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется при наличии паролей доступа. Работа с персональными данными, содержащимися в компьютерной сети Оператора, осуществляется в соответствии с локальными правовыми актами Оператора, с которыми работник, осуществляющий обработку персональных данных, знакомится под подпись.
13.11. Работа с персональными данными в компьютерной сети Оператора должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этой компьютерной сети Оператора и помещениях посторонних лиц.
13.12. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, соответствующими требованиям локальных правовых актов Оператора.
13.13. При обработке персональных данных в компьютерной сети Оператора пользователями должно быть обеспечено:
— использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
— недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
— недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения, соблюдение Положения «По антивирусной защите информационных систем»;
— соблюдение иных локальных правовых актов, обеспечивающих информационную безопасность в компьютерной сети Оператора.
13.14. При обработке персональных данных в компьютерной сети оператора разработчиками и системными администраторами должны обеспечиваться: обучение лиц, использующих средства защиты информации, применяемые в компьютерной сети оператора, правилам работы с ними;
учет лиц, допущенных к работе с персональными данными в компьютерной сети оператора, прав и паролей доступа.
13.15. Специфические требования по защите персональных данных в отдельных автоматизированных системах Оператора определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.
ГЛАВА 14
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
14.2. В случае, если какое-либо положение Политики признается противоречащим законодательству Республики Беларусь, остальные положения, соответствующие законодательству Республики Беларусь, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству Республики Беларусь.
14.3. Оператор оставляет за собой право периодически изменять и/или дополнять условия настоящей Политики без предварительного и/или последующего уведомления субъектов персональных данных.
14.4. Лица, чьи персональные данные обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих персональных данных, направив соответствующий письменный запрос по адресу: 211390, Витебская область, город Орша, улица Локомотивная, дом 2.