ПОЛИТИКА

ОАО «Белкард», г. Гродно

обработки персональных данных

ГЛАВА 1

Общие положения 

1. Политика обработки персональных данных в ОАО «Белкард», г. Гродно (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ОАО «Белкард», г. Гродно (далее - ОАО «Белкард») персональных данных, функции при обработке персональных данных, права субъектов персональных данных, а также требования к защите персональных данных.

2. Политика разработана во исполнение требований абзаца 3 пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных».

3. Политика ОАО «Белкард» размещается на официальном сайте www.belcard-grodno.com.

4. Целью Политики является соблюдение требований законодательства Республики Беларусь о персональных данных и защита интересов субъектов персональных данных.

5. ОАО «Белкард», являясь оператором персональных данных, осуществляет обработку персональных данных в целях:

осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на ОАО «Белкард», в том числе по предоставлению персональных данных в органы государственной власти, в подразделения Фонда социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, страховые организации, а также в иные государственные органы, общественные профсоюзные организации;

рассмотрения резюме кандидатов и подбора персонала на вакантные должности для приема на работу;

оформления трудовых отношений;

ведения кадрового делопроизводства, кадровой документации;

организации практики для учащихся;

оформления договоров (в т.ч. проверки благонадежности контрагентов, проверки полномочий уполномоченных лиц на подписание договора);

ведения базы данных кандидатов на замещение вакантной должности, на формирование резерва кадров;

ведения индивидуального (персонифицированного) учета;

обучения;

обеспечения личной безопасности работников;

назначения и выплаты пенсий, пособий;

оформления документов для награждений, поощрений;

обеспечения пропускного и внутриобъектового режимов на объектах ОАО «Белкард»;

формирования и предоставления справочных материалов для информационного обеспечения деятельности ОАО «Белкард», в том числе рекламного характера;

осуществления прав и законных интересов ОАО «Белкард» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами (в т. ч. коллективным договором);

оказания медицинской помощи работникам ОАО «Белкард», оформления медицинской документации;

установления с пользователями сайта ОАО «Белкард», г. Гродно, обратной связи, включая направления уведомлений, запросов, касающихся использования сайта, обработки запросов и заявок от субъекта персональных данных;

контроля, мониторинга, хранения истории и персонификации действий пользователей на автоматизированном рабочем месте и в интегрированной информационной системе ОАО «Белкард» г. Гродно, в Интернете с использованием внешнего IP-адреса ОАО «Белкард», г. Гродно при использовании официальной электронной почты;

исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;

и др. случаях, установленных нормативными правовыми актами.

 

ГЛАВА 2
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Актуальные угрозы безопасности персональных данных – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).

Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.

Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Конфиденциальность персональных данных – обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, накопление, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

Оператор – ОАО «Белкард», г. Гродно, которое самостоятельно или совместно с иными лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.

Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.

Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

 

ГЛАВА 3

ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ 

6. Перечень персональных данных, обрабатываемых в ОАО «Белкард», определяется в соответствии с законодательством Республики Беларусь в локальном правовом акте, с учетом целей обработки персональных данных, указанных в Политике.

7. В Обществе обрабатываются персональные данные следующих категорий субъектов:

работников Общества;

других субъектов персональных данных для обеспечения реализации целей обработки, указанных в Политике.

 

ГЛАВА 4
ФУНКЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

8. ОАО «Белкард» при осуществлении обработки персональных данных:

принимает меры, необходимые для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов в области персональных данных;

принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;

издает локальные правовые акты, определяющие вопросы обработки и защиты персональных данных;

ознакамливает работников ОАО «Белкард», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требованиями к защите персональных данных, и обучает указанных работников;

размещает на официальном сайте ОАО «Белкард» или иным образом обеспечивает неограниченный доступ к настоящей Политике;

сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;

прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;

совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.

 

ГЛАВА 5
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

9. Персональные данные в ОАО «Белкард» обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных или локальными правовыми актами.

До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

10. Согласие субъекта персональных данных может быть получено:

в письменной форме;

в форме электронного документа, подписанного субъектом персональных данных электронной цифровой подписью;

в электронной форме путем прилаживания субъектом персональных данных к ID – считывателю ID – карты и введения пин-кода;

путем дачи согласия на интернет - ресурсе.

11. Письменное согласие субъекта персональных данных должно включать:

фамилию, собственное имя, отчество (если таковое имеется);

дату рождения;

идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего личность наименование и место нахождения Оператора;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

срок, в течение которого действует согласие;

способ его отзыва;

личную подпись либо электронную цифровую подпись субъекта персональных данных (в случае предоставления согласия в письменной форме, либо в форме электронного документа). Если цели обработки персональных данных не требуют обработки информации, указанной в части первой настоящего пункта, эта информация не подлежит обработке оператором при получении согласия субъекта персональных данных.

12. ОАО «Белкард» без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь или локальными правовыми актами.

13. ОАО «Белкард» вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.

14. В целях внутреннего информационного обеспечения ОАО «Белкард» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

15. Перечень лиц, имеющих доступ к персональным данным работников, обрабатываемым в ОАО «Белкард», определяется локальным правовым актом и/или приказом.

16. Персональные данные обрабатываются с использованием средств автоматизации (Профит, 1С, персонифицированный учет и др.) и без использования средств автоматизации (картотеки, списки, базы данных, журналы и др.). 

 

ГЛАВА 6

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 

17. Субъекты персональных данных имеют право на:

отзыв согласия субъекта персональных данных;

получение информации, касающейся обработки персональных данных, и изменение персональных данных;

требование прекращения обработки персональных данных и (или) их удаления;

обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.

 

ГЛАВА 7

МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ИСПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

18. Меры, необходимые и достаточные для обеспечения исполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:

предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;

разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;

получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;

назначение структурного подразделения или лица, ответственного за внутренний контроль за обработкой персональных данных в ОАО «Белкард»;

издание документов, определяющих политику в отношении обработки персональных данных;

ознакомление работников, непосредственно обрабатывающих персональные данные с положениями законодательства о персональных данных;

установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

осуществление технической и криптографической защиты персональных данных в установленном порядке,

прекращение обработки персональных данных при отсутствии оснований для их обработки;

изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;

ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;

хранение персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

19. Оператор при обработке персональных данных в информационных системах принимает следующие меры:

19.1 Определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

19.2 Применяет организационные и технические меры по обеспечению защиты персональных данных при их обработке в информационных системах.

19.3 Устанавливает доступ к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

19.4 Осуществляет идентификацию и аутентификацию пользователей информационных систем (далее – субъекты доступа) и массивов данных, содержащих персональные данные (далее – объекты доступа) для обеспечения присвоения субъектам и объектам доступа уникального признака (идентификатора), сравнения предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверки принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

19.5 Ограничивает программную среду в целях разрешения установки или запуска, только разрешенного к использованию в интегрированной информационной системе Оператора программного обеспечения или исключает возможность установки или запуска запрещенного к использованию в этой системе программного обеспечения.

19.6 Осуществляет защиту машинных носителей информации, на которых хранятся или обрабатываются персональные данные для исключения возможности несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированного использования съемных машинных носителей персональных данных.

19.7 Осуществляет антивирусную защиту в целях обнаружения в информационных системах компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации.

19.8 Обеспечивает доступность и конфиденциальность персональных данных в целях обеспечения авторизованного доступа пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационных системах, в штатном режиме функционирования информационных систем.

19.9. Работнику, непосредственно осуществляющему обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями такого работника.

20. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных могут устанавливаться локальными правовыми актами Оператора.

 

ГЛАВА 8
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

21. Контроль за соблюдением структурными подразделениями законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях законодательству Республики Беларусь и локальным правовым актам в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

22. Внутренний контроль за соблюдением структурными подразделениями ОАО «Белкард» законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется подразделением или лицом, ответственным за организацию обработки персональных данных.

23. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов в области персональных данных в структурных подразделениях, а также за обеспечение конфиденциальности и безопасности персональных данных в подразделениях ОАО «Белкард» возлагается на их руководителей.

Скачать