Защита персональных данных
УТВЕРЖДЕНО
Приказ генерального
директора СП ОАО
«Брестгазоаппарат»
20.09.2022 г. № 537
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В СП ОАО «БРЕСТГАЗОАППАРАТ»
- Общие положения
- Политика обработки персональных данных (далее - Политика) в СП ОАО «Брестгазоаппарат» (далее - Общество, Оператор) определяет основные принципы, цели, перечни субъектов и обрабатываемых в Обществе персональных данных, функции Общества при обработке персональных данных, условия и способы обработки персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
- Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных, а также требований Регламента № 2016/679 Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее - Регламент ЕС).
- Положения Политики служат основой для разработки локальных актов, регламентирующих в Обществе вопросы обработки персональных данных работников Общества и других субъектов персональных данных.
- Настоящая политика является общедоступной и подлежит размещению на официальном сайте Общества в глобальной компьютерной сети Интернет.
- Законодательные и иные нормативные правовые акты Республики Беларусь, в соответствии с которыми определяется Политика в Обществе. 2.1 Политика определяется в соответствии со следующими нормативными правовыми актами:
- Конституция Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Закон Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» (далее - Закон);
- Закон Республики Беларусь от 21.07.2008 № 418-3 «О регистре населения»;
- Закон Республики Беларусь от 10.11.2008 № 455-3 «Об информации, информатизации и защите информации»;
- Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
- иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных государственных органов.
2.2. В целях реализации положений Политики в Обществе разрабатывается Положение об обработке персональных данных, а также иные локальные акты и документы, регламентирующие в Обществе вопросы обработки и защиты персональных данных.
- Основные термины и определения, используемые в локальных актах Общества, регламентирующих вопросы обработки персональных данных.
Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
- Принципы и цели обработки персональных данных: 4.1. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с Обществом в трудовых отношениях. 4.2. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов: обработка персональных данных осуществляется в Обществе на законной и справедливой основе; обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц; обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами; обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки; содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; обработка персональных данных носит прозрачный характер. Субъекту персональных данных в случаях, предусмотренных законодательными актами, предоставляется соответствующая информация, касающаяся обработки его персональных данных; оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их; хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных; обрабатываемые персональные данные удаляются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.3. Персональные данные обрабатываются в Обществе в целях:
- обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных актов Общества;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Общество, в том числе по предоставлению персональных данных в государственные органы;
- регулирования трудовых отношений с работниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- предоставления работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- обеспечения пропускного и внутриобъектового режимов на объектах Общества;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества, его унитарных предприятий «Гефест-техника» и «Гефест-Кварц» (далее - унитарные предприятия);
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными актами Общества, или третьих лиц либо достижения общественно значимых целей;
- в иных законных целях.
- Категории субъектов, персональные данные которых обрабатываются в Обществе.
В Обществе обрабатываются персональные данные следующих категорий субъектов: работники структурных подразделений Общества, и унитарных предприятий; другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).
- Перечень персональных данных, обрабатываемых в Обществе.
- Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Республики Беларусь, Регламентом ЕС и локальными актами Общества с учетом целей обработки персональных данных, указанных в разделе 4 Политики.
- Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или других убеждений, половой жизни, в Обществе не осуществляется.
- Обработка биометрических и генетических персональных данных в Обществе допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь.
- Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Обществе на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.
- Функции Общества при осуществлении обработки персональных данных.
Общество при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь, Регламента ЕС и локальных актов Общества в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
- прекращает обработку и удаляет персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных и Регламентом ЕС;
- совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных и Регламентом ЕС.
- Условия обработки персональных данных в Обществе.
- Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательными актами.
- Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательными актами.
- Общество вправе поручить обработку персональных данных от имени Общества или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает Общество.
- В целях внутреннего информационного обеспечения Общество может создавать справочники, адресные книги и другие источники, в которые могут включаться персональные данные работников Общества.
- Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, занимающим должности, включенные в Номенклатуры должностей, замещение которых предоставляет право доступа к информации, составляющей коммерческую тайну и иной конфиденциальной информации.
- Перечень действий с персональными данными и способы их обработки
- Общество осуществляет обработку персональных данных, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
- Обработка персональных данных в Обществе осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
- Права субъектов персональных данных.
Субъекты персональных данных имеют право на:
- отзыв согласия на обработку персональных данных;
- получение информации, касающейся обработки персональных данных, и изменение персональных данных;
- получение информации о предоставлении персональных данных третьим лицам;
- требование прекращения обработки персональных данных и (или) их удаления;
- обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
- осуществление иных предусмотренных законодательством прав.
- Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных.
11.1. Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
- предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
- разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия;
- получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательными актами;
- назначение структурного подразделения, ответственного за осуществление внутреннего контроля за обработкой персональных данных в Обществе;
- установление и поддержку в актуальном состоянии: перечня информационных ресурсов (систем) Общества, содержащих персональные данные; категорий персональных данных, подлежащих включению в такие ресурсы (системы); общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); биометрические и генетические персональные данные; персональные данные, не являющиеся общедоступными или специальными; перечня лиц, непосредственно осуществляющих обработку персональных данных; сроков хранения обрабатываемых персональных данных; принятие локальных актов в области обработки и защиты персональных данных и ознакомление с ними работников, непосредственно осуществляющих обработку персональных данных в Обществе; установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе); осуществление технической и криптографической защиты персональных данных в Обществе в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные; обеспечение безопасности персональных данных при их передаче по открытым каналам связи; обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Общества в отношении обработки персональных данных, до начала такой обработки; прекращение обработки персональных данных при отсутствии оснований для их обработки; незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных; осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных; ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей; осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных; хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним; организацию обучения по вопросам защиты персональных данных лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных; осуществление внутреннего контроля соответствия обработки персональных данных законодательству Республики Беларусь в области защиты персональных данных и принятым в соответствии с ним локальным актам Общества; иные меры, предусмотренные законодательством Республики Беларусь в области персональных данных и Регламентом ЕС.
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными актами Общества, регламентирующими вопросы защиты информации.
- Контроль за соблюдением законодательства Республики Беларусь и локальных актов Общества в области персональных данных, в том числе требований к защите персональных данных.
- Контроль за соблюдением структурными подразделениями Общества, его унитарными предприятиями законодательства Республики Беларусь и локальных актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
- Внутренний контроль за соблюдением структурными подразделениями Общества, его унитарными предприятиями законодательства Республики Беларусь и локальных актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляет служба корпоративной защиты.
- Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных актов Общества в области персональных данных в структурном подразделении Общества, его унитарных предприятий, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Общества возлагается на их руководителей.