ПОЛИТИКА
ОАО «Белкард», г. Гродно
обработки персональных данных
ГЛАВА 1
Общие положения
1. Политика обработки персональных данных в ОАО «Белкард», г. Гродно (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ОАО «Белкард», г. Гродно (далее - ОАО «Белкард») персональных данных, функции при обработке персональных данных, права субъектов персональных данных, а также требования к защите персональных данных.
2. Политика разработана во исполнение требований абзаца 3 пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных».
3. Политика ОАО «Белкард» размещается на официальном сайте www.belcard-grodno.com.
4. Целью Политики является соблюдение требований законодательства Республики Беларусь о персональных данных и защита интересов субъектов персональных данных.
5. ОАО «Белкард», являясь оператором персональных данных, осуществляет обработку персональных данных в целях:
осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на ОАО «Белкард», в том числе по предоставлению персональных данных в органы государственной власти, в подразделения Фонда социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, страховые организации, а также в иные государственные органы, общественные профсоюзные организации;
рассмотрения резюме кандидатов и подбора персонала на вакантные должности для приема на работу;
оформления трудовых отношений;
ведения кадрового делопроизводства, кадровой документации;
организации практики для учащихся;
оформления договоров (в т.ч. проверки благонадежности контрагентов, проверки полномочий уполномоченных лиц на подписание договора);
ведения базы данных кандидатов на замещение вакантной должности, на формирование резерва кадров;
ведения индивидуального (персонифицированного) учета;
обучения;
обеспечения личной безопасности работников;
назначения и выплаты пенсий, пособий;
оформления документов для награждений, поощрений;
обеспечения пропускного и внутриобъектового режимов на объектах ОАО «Белкард»;
формирования и предоставления справочных материалов для информационного обеспечения деятельности ОАО «Белкард», в том числе рекламного характера;
осуществления прав и законных интересов ОАО «Белкард» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами (в т. ч. коллективным договором);
оказания медицинской помощи работникам ОАО «Белкард», оформления медицинской документации;
установления с пользователями сайта ОАО «Белкард», г. Гродно, обратной связи, включая направления уведомлений, запросов, касающихся использования сайта, обработки запросов и заявок от субъекта персональных данных;
контроля, мониторинга, хранения истории и персонификации действий пользователей на автоматизированном рабочем месте и в интегрированной информационной системе ОАО «Белкард» г. Гродно, в Интернете с использованием внешнего IP-адреса ОАО «Белкард», г. Гродно при использовании официальной электронной почты;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
и др. случаях, установленных нормативными правовыми актами.
ГЛАВА 2
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Актуальные угрозы безопасности персональных данных – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Конфиденциальность персональных данных – обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, накопление, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Оператор – ОАО «Белкард», г. Гродно, которое самостоятельно или совместно с иными лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.
Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА 3
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. Перечень персональных данных, обрабатываемых в ОАО «Белкард», определяется в соответствии с законодательством Республики Беларусь в локальном правовом акте, с учетом целей обработки персональных данных, указанных в Политике.
7. В Обществе обрабатываются персональные данные следующих категорий субъектов:
работников Общества;
других субъектов персональных данных для обеспечения реализации целей обработки, указанных в Политике.
ГЛАВА 4
ФУНКЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. ОАО «Белкард» при осуществлении обработки персональных данных:
принимает меры, необходимые для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие вопросы обработки и защиты персональных данных;
ознакамливает работников ОАО «Белкард», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требованиями к защите персональных данных, и обучает указанных работников;
размещает на официальном сайте ОАО «Белкард» или иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
ГЛАВА 5
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9. Персональные данные в ОАО «Белкард» обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных или локальными правовыми актами.
До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
10. Согласие субъекта персональных данных может быть получено:
в письменной форме;
в форме электронного документа, подписанного субъектом персональных данных электронной цифровой подписью;
в электронной форме путем прилаживания субъектом персональных данных к ID – считывателю ID – карты и введения пин-кода;
путем дачи согласия на интернет - ресурсе.
11. Письменное согласие субъекта персональных данных должно включать:
фамилию, собственное имя, отчество (если таковое имеется);
дату рождения;
идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего личность наименование и место нахождения Оператора;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
срок, в течение которого действует согласие;
способ его отзыва;
личную подпись либо электронную цифровую подпись субъекта персональных данных (в случае предоставления согласия в письменной форме, либо в форме электронного документа). Если цели обработки персональных данных не требуют обработки информации, указанной в части первой настоящего пункта, эта информация не подлежит обработке оператором при получении согласия субъекта персональных данных.
12. ОАО «Белкард» без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь или локальными правовыми актами.
13. ОАО «Белкард» вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
14. В целях внутреннего информационного обеспечения ОАО «Белкард» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
15. Перечень лиц, имеющих доступ к персональным данным работников, обрабатываемым в ОАО «Белкард», определяется локальным правовым актом и/или приказом.
16. Персональные данные обрабатываются с использованием средств автоматизации (Профит, 1С, персонифицированный учет и др.) и без использования средств автоматизации (картотеки, списки, базы данных, журналы и др.).
ГЛАВА 6
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
17. Субъекты персональных данных имеют право на:
отзыв согласия субъекта персональных данных;
получение информации, касающейся обработки персональных данных, и изменение персональных данных;
требование прекращения обработки персональных данных и (или) их удаления;
обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
ГЛАВА 7
МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ИСПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
18. Меры, необходимые и достаточные для обеспечения исполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
назначение структурного подразделения или лица, ответственного за внутренний контроль за обработкой персональных данных в ОАО «Белкард»;
издание документов, определяющих политику в отношении обработки персональных данных;
ознакомление работников, непосредственно обрабатывающих персональные данные с положениями законодательства о персональных данных;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в установленном порядке,
прекращение обработки персональных данных при отсутствии оснований для их обработки;
изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;
ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
хранение персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
19. Оператор при обработке персональных данных в информационных системах принимает следующие меры:
19.1 Определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
19.2 Применяет организационные и технические меры по обеспечению защиты персональных данных при их обработке в информационных системах.
19.3 Устанавливает доступ к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
19.4 Осуществляет идентификацию и аутентификацию пользователей информационных систем (далее – субъекты доступа) и массивов данных, содержащих персональные данные (далее – объекты доступа) для обеспечения присвоения субъектам и объектам доступа уникального признака (идентификатора), сравнения предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверки принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
19.5 Ограничивает программную среду в целях разрешения установки или запуска, только разрешенного к использованию в интегрированной информационной системе Оператора программного обеспечения или исключает возможность установки или запуска запрещенного к использованию в этой системе программного обеспечения.
19.6 Осуществляет защиту машинных носителей информации, на которых хранятся или обрабатываются персональные данные для исключения возможности несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированного использования съемных машинных носителей персональных данных.
19.7 Осуществляет антивирусную защиту в целях обнаружения в информационных системах компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации.
19.8 Обеспечивает доступность и конфиденциальность персональных данных в целях обеспечения авторизованного доступа пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационных системах, в штатном режиме функционирования информационных систем.
19.9. Работнику, непосредственно осуществляющему обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями такого работника.
20. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных могут устанавливаться локальными правовыми актами Оператора.
ГЛАВА 8
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
21. Контроль за соблюдением структурными подразделениями законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях законодательству Республики Беларусь и локальным правовым актам в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
22. Внутренний контроль за соблюдением структурными подразделениями ОАО «Белкард» законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется подразделением или лицом, ответственным за организацию обработки персональных данных.
23. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов в области персональных данных в структурных подразделениях, а также за обеспечение конфиденциальности и безопасности персональных данных в подразделениях ОАО «Белкард» возлагается на их руководителей.