ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение об обработке и защите персональных данных (далее – Положение) определяет политику ООО «БИТ Электро» (далее – Организация) в отношении обработки персональных данных, в том числе порядок обработки Организацией персональных данных лиц, не являющихся ее работниками, включая порядок сбора, хранения, использования, передачи и защиты персональных данных.
1.2. Положение является локальным правовым актом Организации, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.
1.3. Положение разработано с целью обеспечения защиты персональных данных, которые могут быть получены от субъектов персональных данных, а также защиты их прав, свобод и законных интересов при обработке персональных данных на основе и во исполнение:
a) Конституции Республики Беларусь;
б) Трудового кодекса Республики Беларусь;
в) Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981;
г) Хартии Европейского союза об основных правах от 12.12.2007;
д) Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных);
е) Закона Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
ж) Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
з) иных нормативных правовых актов Республики Беларусь.
1.4. Нормы настоящего Положения распространяются на персональные данные, полученные как до, так и после утверждения настоящего положения.
1.5. Положение и изменения к нему утверждаются директором Организации.
ГЛАВА 2
ОСНОВНЫЕ ПОНЯТИЯ
2.1. В настоящем Положении используются следующие основные понятия и термины:
a) Организация или Оператор – общество с ограниченной ответственностью «БИТ Электро», расположенное по адресу: Республика Беларусь, 223051, Минская обл., Минский р-н, Колодищанский с/с, аг. Колодищи, ул. Минская-56, помещение 7.
б) персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
в) субъект персональных данных – физическое лицо, к которому относятся обрабатываемые Организацией персональные данные, в том числе физическое лицо, не являющееся работником Организации, к которому относятся обрабатываемые Организацией персональные данные;
г) обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
д) обработка персональных данных с использованием средств автоматизации – обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;
е) обработка персональных данных без использования средств автоматизации – действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);
ж) распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
з) предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
и) блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
к) удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
л) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
м) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
н) физическое лицо, которое может быть идентифицировано – физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
о) уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
п) кандидат – физическое лицо, претендующее на вакантную должность в Организации;
р) контрагент – физическое или юридическое лицо, в том числе индивидуальный предприниматель, выступающие одной из сторон сделки.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Организация обрабатывает персональные данные следующих категорий субъектов:
- кандидатов на занятие вакантных должностей;
- работников (в том числе ранее работавших) и иных представителей Организации;
- родственников работников;
- работников и иных представителей контрагентов - юридических лиц;
- контрагентов - физических лиц;
- потребителей;
- аффилированных лиц;
- иных субъектов, взаимодействие которых с Организацией создает необходимость обработки персональных данных.
ГЛАВА 4
СОДЕРЖАНИЕ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Организации реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
4.2. Персональные данные кандидатов на рабочие места включают:
- фамилию, имя, отчество (а также все предыдущие фамилии);
- дату и место рождения;
- пол;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- биометрические персональные данные (фотографии);
- сведения о семейном положении и составе семьи;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- номер и серию страхового свидетельства государственного социального страхования;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
- специальность, профессию, квалификацию;
- сведения о воинском учете;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
- сведения, предоставленные самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
- иные данные, которые могут быть указаны в резюме или анкете кандидата.
4.3. Персональные данные работников Организации включают:
- фамилию, имя, отчество (а также все предыдущие фамилии);
- дату рождения;
- пол;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- данные свидетельства о рождении (номер, дата выдачи, наименование органа, выдавшего документ, и др.) (при необходимости);
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- данные виз и иных документов миграционного учета;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
- сведения о воинском учете;
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера рабочего и/или мобильного телефона, электронной почты и др.);
- идентификационный номер налогоплательщика;
- сведения о награждениях и поощрениях;
- сведения о социальных льготах и выплатах;
- сведения о трудовой деятельности;
- о наличии исполнительного производства на исполнении в органах принудительного исполнения;
- иные данные, необходимые для исполнения взаимных прав и обязанностей.
Указанный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки
4.4. Персональные данные родственников работников включают:
- фамилию, имя, отчество;
- дату рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.).
4.5. Персональные данные работников и иных представителей контрагентов - юридических лиц включают:
- фамилию, имя, отчество;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.);
- должность;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между Организацией и контрагентом.
4.6. Персональные данные контрагентов - физических лиц включают:
- фамилию, имя, отчество;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- номер и серию страхового свидетельства государственного социального страхования;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- идентификационный номер налогоплательщика;
- специальность, профессию, квалификацию;
- контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
- реквизиты банковского счета;
- данные свидетельства о регистрации права собственности;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между Организацией и контрагентом.
4.7. Персональные данные иных субъектов включают:
- фамилию, имя, отчество;
- контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- номер и серию страхового свидетельства государственного социального страхования;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- реквизиты банковского счета;
- идентификационный номер налогоплательщика;
- специальность, профессию, квалификацию;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между Организацией и субъектом персональных данных.
4.8. На складах и придомовой территории Организации может осуществляться видеофиксация и/или видеонаблюдение с целью предотвращения неконтролируемого перемещения материальных ценностей и предотвращения причинения вреда здоровью работников и посетителей Организации. В помещениях и на территории, где ведется видеосъемка и/или видеонаблюдение, устанавливаются предупреждающие знаки. Видеозаписывающие материалы и/или видеонаблюдение (при их наличии) обрабатываются в соответствии с законодательством лицом, ответственным за их обработку, которое определяется приказом директора Организации. Видеорегистрационные материалы и/или видеонаблюдение (при их наличии) хранятся на серверном оборудовании Организации не более 30 календарных дней. При необходимости срок хранения таких материалов может быть продлен по решению директора Организации. Доступ к видеозаписям и/или материалам видеонаблюдения (при их наличии) имеют директор Организации; заместители директора Организации; ответственные работники Организации, для которых обязанность по обработке таких материалов содержится в должностной (рабочей) инструкции и/или приказе; лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных; работники, которые осуществляют мониторинг системы видеонаблюдения.
ГЛАВА 5
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных субъектов основывается на следующих принципах:
а) осуществляется в соответствии с Законом о защите персональных данных и иными актами законодательства;
б) должна быть соразмерна заявленным целям обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
в) осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
г) должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
д) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
е) должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
ж) Организация обязана принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
з) хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 6
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных субъектов персональных данных осуществляется в следующих целях:
- обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов ООО «БИТ Электро»;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь, Уставом на ООО «БИТ Электро», в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- регулирования трудовых отношений с работниками ООО «БИТ Электро» (рассмотрение возможности трудоустройства кандидатов, проверка кандидатов (в том числе их квалификации и опыта работы), привлечения и отбора кандидатов на работу в Организацию, ведения кадрового резерва, ведения кадрового делопроизводства, обучения и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества и материальных ценностей);
- заключения и исполнения трудовых, гражданско-правовых договоров с физическими лицами;
- направления уведомлений, информации и запросов, связанных со сбором, хранением и обработкой персональных данных;
- осуществления пропускного режима, организации физического доступа лиц в помещение Организации;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- реализации прав и законных интересов ООО «БИТ Электро» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами ООО «БИТ Электро», либо достижения общественно значимых целей;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности ООО «БИТ Электро»;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- предоставления работникам и членам их семей дополнительных гарантий и компенсаций;
- выявления конфликта интересов;
- заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- ведения бухгалтерского и налогового учета;
- организации и сопровождения деловых поездок;
- проведения мероприятий и обеспечение участия в них субъектов персональных данных;
- обеспечения безопасности, сохранения материальных ценностей и предотвращения правонарушений;
- выпуска доверенностей и иных уполномочивающих документов;
- проверки контрагента;
- рекламы и продвижения продукции, в том числе представление информации о продукции Организации;
- обработки обращений с претензиями и информацией по безопасности товаров;
- обработки обращений о негативных явлениях и побочных эффектах;
- исполнения обязанности налогового агента;
- трансграничной передачи персональных данных субъектов уполномоченным лицам для возможности осуществления деятельности Организации;
- идентификации пользователя ресурса;
- установления с пользователем обратной связи;
- определения места нахождения пользователя (в случае необходимости);
- подтверждения достоверности и полноты персональных данных, предоставленных пользователем (в случае необходимости);
- продвижения услуг и работ, оказываемых и выполняемых, и улучшения их качества;
- иных целях, направленных на обеспечение соблюдения трудовых договоров, законов и иных нормативных правовых актов.
6.2. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
ГЛАВА 7
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Общие правила.
7.1.1. Обработка персональных данных осуществляется Организацией в соответствии с требованиями законодательства Республики Беларусь.
7.1.2 Организация осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
7.1.3 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
7.1.4. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:
а) фамилию, собственное имя, отчество (если таковое имеется);
б) дату рождения;
в) идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность;
г) подпись субъекта персональных данных.
Согласие субъекта персональных данных представляет собой свободное, однозначное, информационное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
7.1.5. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
7.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7.2. Сбор персональных данных.
7.2.1. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.
7.2.2. Если иное не установлено Законом о защите персональных данных, Организация вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
7.2.3. Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:
a) наименование Организации и адрес ее местонахождения;
б) цель обработки персональных данных и ее правовое основание;
в) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
г) срок, на который дается согласие субъекта персональных данных;
д) информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами.
е) перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных.
7.3. Хранение персональных данных.
7.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
7.3.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
7.3.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Организацией информационных систем и специально обозначенных Организацией баз данных (внесистемное хранение персональных данных) не допускается.
7.3.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь.
7.3.5. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
7.3.6. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).
7.3.7. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.4. Использование.
7.4.1. Персональные данные обрабатываются и используются для целей, указанных в п. 6.1 Положения.
7.4.2. Доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
Доступ к персональным данным имеют следующие работники:
- директор Организации (лицо, исполняющее его обязанности) – ко всем категориям персональных данных;
- лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, – ко всем категориям персональных данных в пределах исполнения должностных обязанностей;
- заместители директора Организации – к персональным данным, необходимым для реализации положений Трудового кодекса Республики Беларусь, иных законодательных актов о труде и принятых в их развитие актов законодательства, данным в соответствии с содержанием резюме соискателей вакансий в структурных подразделениях по курируемым направлениям деятельности, иным категориям персональных данных, необходимым для исполнения должностных обязанностей;
- администратор системный – к персональным данным, обрабатываемым Организацией в информационных ресурсах (системах), в пределах исполнения должностных обязанностей.
Работникам, непосредственно осуществляющим обработку персональных данных, предоставляется доступ к персональным данным исходя из занимаемой должности и в соответствии с категориями персональных данных и целями их обработки.
Предоставление доступа к персональным данным в информационных ресурсах (системах), а также отзыв предоставленных прав осуществляется при помощи средств управления правами доступа к соответствующим ресурсам (системам).
Права доступа работника:
- изменяются – в случаях перевода работника на другую должность;
- прекращаются – в случае увольнения работника.
Доступ к персональным данным может быть также прекращен на основании приказа или иного документа с резолюцией директора Организации (лица, исполняющего его обязанности) или его заместителя.
Предоставление доступа к персональным данным обеспечивается:
- в случае если персональные данные содержатся в организационно-распорядительной документации, образующейся в Организации, – руководителем (его заместителем) структурного подразделения, в котором осуществляется оперативное хранение дела в соответствии с номенклатурой дел Организации;
- в случае если персональные данные обрабатываются в информационном ресурсе (системе) – администратором системным, осуществляющим обеспечение информационной безопасности.
Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
При определении периода времени и объема персональных данных для предоставления временного доступа к ним руководитель структурного подразделения или его заместитель, а также системный администратор руководствуются содержанием служебного задания, содержащегося в организационно-распорядительном документе (приказ, поручение, указание) или ином документе с резолюцией директора Организации (лица, исполняющего его обязанности) или его заместителя по курируемому направлению деятельности.
В случае наличия сомнений относительно периода времени или объема персональных данных лицу, предоставляющему временный доступ к персональным данным, необходимо обратиться к директору Организации (лицу, исполняющему его обязанности) или его заместителю по курируемому направлению деятельности.
Работник или иное лицо, случайно или по иным причинам получившее доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), не вправе изучать, изменять, удалять, копировать или иным способом использовать соответствующие документы или файлы.
Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, изучает и анализирует процессы, связанные с соблюдением настоящего Положения, вносит директору Организации (лицу, исполняющему его обязанности) предложения по совершенствованию осуществления внутреннего контроля за обработкой персональных данных, в том числе по ограничению доступа отдельных работников к определенным категориям персональных данных (если по его мнению такой доступ носит избыточный характер и может создавать риски для защиты прав субъектов персональных данных).
7.4.3. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
7.4.4. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.4.5. В целях внутреннего информационного обеспечения Организация может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
7.5. Передача.
7.5.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
7.5.2. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.
7.5.3. При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством, в частности, если:
a) субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором, который получил от Организации соответствующие данные;
б) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
в) персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
7.5.4. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
7.5.5. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных законодательством.
7.5.6. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
7.5.7. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
7.5.8. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в Организации, для предварительного рассмотрения и согласования.
7.6. Поручение обработки.
7.6.1. Организация вправе поручить обработку персональных данных уполномоченному лицу.
7.6.2. В договоре между Организацией и уполномоченным лицом должны быть определены:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
7.6.3. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Организации (Оператора) необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.
7.6.4. В случае если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.
7.6.5. Работник, осуществляющий обработку персональных данных (уполномоченное лицо), обязан:
- разъяснять иным работающим их права и обязанности, связанные с обработкой персональных данных;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными;
- представлять в установленные законодательством сроки информацию о персональных данных работающих, оригиналы либо копии документов, содержащих персональные данные работающих;
- незамедлительно письменно либо устно уведомлять нанимателя о нарушениях систем защиты персональных данных работающих;
- исполнять законные требования уполномоченных органов об устранении нарушений законодательства о персональных данных;
- выполнять иные обязанности, предусмотренные законодательством по защите персональных данных.
Работникам, имеющим право обработки или доступа к персональным данным работающих, запрещается:
- предоставлять доступ к персональным данным работающих неуполномоченным физическим лицам или юридическим лицам;
- вносить изменения в персональные данные работающих, не соответствующие документам либо фактическим обстоятельствам;
- блокировать персональные данные работающих от других уполномоченных пользователей;
- копировать и распространять персональные данные работающих для личных целей, целей, не связанных с должностными обязанностями;
- предоставлять персональные данные работающих уполномоченным физическим лицам или юридическим лицам без письменных запросов (требований);
- без законных оснований удалять (уничтожать) персональные данные работающих на бумажных или электронных носителях;
- осуществлять иные неправомерные действия в отношении персональных данных работающих.
7.6.6. Работники Оператора, которые обрабатывают документы и информацию с персональными данными в режиме удаленной работы обязаны:
- в нерабочее время отключать доступ к удаленному рабочему столу через VPN, а также при кратковременном отсутствии на рабочем месте блокировать устройство (компьютер, ноутбук, планшет), которое является собственностью Оператора;
- немедленно информировать руководителя структурного подразделения или лицо, ответственное за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных, о фактах утраты (недостачи) документов (отдельных листов), содержащих персональные данные работников, а также при пересылке курьерскими службами или почтой;
- незамедлительно сообщить ответственному лицу по технической защите персональных данных о попытке или факте взлома устройства;
- убедиться, что на домашнем роутере настроено надежное шифрование (WPA2 и др);
- вовремя обновлять пароли и программное обеспечение, по требованию системы;
- устанавливать пароли повышенного уровня сложности или использовать двойную аутентификацию;
- ограничить число подключаемых внешних устройств (USB, карт памяти, телефонов, внешних жёстких дисков и др.);
- для обмена конфиденциальной информацией между работниками использовать только корпоративную почту.
Работникам, которые обрабатывают документы и информацию с персональными данными в режиме удаленной работы, запрещено:
- разглашать свои индивидуальные пароли доступа к компьютерным, сетевым и иным информационным ресурсам;
- использовать для сохранения персональных данных работников личные (не принадлежащие Оператору) компьютеры, а также ноутбуки, смартфоны, мобильные телефоны и съемные USB-накопители;
- отправлять рабочие файлы (сканы, фотографии) на личную электронную почту и другие внешние адреса, в том числе с помощью мессенджеров;
- использовать удаленный доступ к рабочему столу или компьютер, ноутбук, планшет, смартфон в личных целях;
- использовать облачные хранилища в целях копирования рабочей конфиденциальной информации;
- отключать или заменять антивирусную защиту на устройстве, которое находится в собственности Оператора;
- отвечать на запросы, которые требуют предоставления персональных данных работников, без согласования с Организацией;
- допускать к удаленному рабочему столу или устройству, которое находится в собственности Организации, третьих лиц.
7.7. Защита.
7.7.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
a) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
б) соблюдение конфиденциальности информации ограниченного доступа;
в) реализацию права на доступ к информации.
7.7.2. Для защиты персональных данных Организация принимает необходимые предусмотренные законом меры (включая, но не ограничиваясь):
a) ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
б) обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
в) организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
г) контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
д) проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
е) внедряет программные и технические средства защиты информации в электронном виде;
ж) обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.7.3. Для защиты персональных данных при их обработке в информационных системах Организация проводит необходимые предусмотренные законом мероприятия (включая, но не ограничиваясь):
a) определение угроз безопасности персональных данных при их обработке;
б) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
в) учет машинных носителей персональных данных;
г) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
д) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
е) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
7.7.4. В Организации назначается лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
Организация работы по осуществлению внутреннего контроля за обработкой персональных данных включает в себя:
- разработку совместно с заинтересованными структурными подразделениями Организации локальных правовых актов по вопросам защиты персональных данных;
- мониторинг соблюдения в структурных подразделениях Организации требований законодательства и локальных правовых актов в сфере защиты персональных данных, а также контроль наличия в указанных подразделениях условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- организацию ознакомления работников Организации и иных лиц, непосредственно осуществляющих обработку персональных данных, с нормами законодательства и локальных правовых актов в сфере защиты персональных данных, в том числе с требованиями по защите персональных данных, и обучения указанных работников;
- внесение предложений о назначении работников структурных подразделений Организации, ответственных за реализацию настоящего Положения и иных локальных правовых актов по вопросам защиты персональных данных.
Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, вправе:
- запрашивать и получать в установленном порядке от структурных подразделений и работников Организации сведения и материалы, необходимые для надлежащего выполнения функций, определенных настоящим Положением и иными локальными правовыми актами в сфере защиты персональных данных;
- вносить на рассмотрение уполномоченных лиц Организации предложения, направленные на устранение причин и условий, способствующих совершению нарушений законодательства и локальных правовых актов в сфере защиты персональных данных, а также на совершенствование внутреннего контроля за обработкой персональных данных;
- принимать участие в мероприятиях, проводимых в структурных подразделениях Организации по вопросам, касающимся обеспечения защиты персональных данных;
- требовать от структурных подразделений и должностных лиц Организации принятия в соответствии с компетенцией необходимых мер к соблюдению требований законодательства и локальных правовых актов в сфере защиты персональных данных;
- привлекать работников Организации, обладающих необходимыми знаниями и компетенцией в технической или в иных сферах, к обучению работников Организации и иных лиц, непосредственно осуществляющих обработку персональных данных;
- вносить в установленном порядке предложения о привлечении к дисциплинарной ответственности работников, нарушивших требования законодательства и локальных правовых актов в сфере защиты персональных данных;
- выполнять иные обязанности, предусмотренные локальными правовыми актами и организационно-распорядительными документами Организации.
7.7.5. Организация организует обучение работников, осуществляющих обработку персональных данных, осуществляет ознакомление работников с положениями законодательства Республики Беларусь и локальных правовых актов ООО «БИТ Электро» в области персональных данных, в том числе требованиями к защите персональных данных.
В Организации принимаются иные меры, направленные на обеспечение выполнения Организацией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъекты персональных данных имеют право на:
- получение информации, касающейся обработки персональных данных, и изменение персональных данных;
- получение информации о предоставлении персональных данных третьим лицам;
- отзыв согласия субъекта персональных данных;
- требование прекращения обработки персональных данных и (или) их удаления;
- обжалование действий (бездействия) и решений Оператора, связанных с обработкой персональных данных.
8.2. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
8.3. Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.
8.4. Субъект персональных данных обязан:
a) предоставлять Организации достоверные персональные данные;
б) своевременно сообщать Организации об изменениях и дополнениях своих персональных данных. Субъекты, являющиеся работниками Организации, обязаны сообщать лицу, ответственному за ведение кадрового делопроизводства Организации, с предоставлением копий подтверждающих документов и демонстрацией их оригиналов об изменении ранее предоставленных сведений, в том числе: паспортных данных или данных иного документа, удостоверяющего личность, сведений о семейном положении, о детях, адресе места жительства, номере телефона и других сведений, не позднее 5 (пяти) рабочих дней с даты изменения таких сведений;
в) осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных;
г) исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных;
д) Субъект обязан соблюдать конфиденциальность персональных данных и не допускать разглашения персональных данных других Субъектов, которые стали ему известны в связи с существованием трудовых, гражданско-правовых отношений с Организацией, прохождением практики в Организации, посещением офисов и складов Организации, проведением переговоров с Организацией, получением таких персональных данных или доступа к ним от Организации, осуществлением любого иного взаимодействия с Организацией;
е) при предоставлении Организации персональных данных третьих лиц (включая, но не ограничиваясь, своих родственников, представителей своих работодателей и клиентов/контрагентов, кандидатур соискателей по вакансиям Организации, иных лиц) предварительно получить от этих третьих лиц свободное, однозначное, информированное, сознательное согласие на такое предоставление.
ГЛАВА 9
ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
9.1. Организация вправе:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
- устанавливать правила обработки персональных данных в Организации, вносить изменения и дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;
- поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
- осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных.
9.2. Организация обязана:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- предоставлять субъектам персональных данных необходимую информацию до получения их согласий на обработку персональных данных;
- разъяснять субъектам персональных данных их права, связанные с обработкой персональных данных;
- получать письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
- исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
- обеспечивать неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику ООО «БИТ Электро» в отношении обработки персональных данных, до начала такой обработки;
- прекращать обработку и уничтожать персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
- исполнять иные обязанности, предусмотренные Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и иными законодательными актами.
ГЛАВА 10
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящее Положение является локальным правовым актом Организации и вступает в силу с момента, указанного в документе о его утверждении.
Положение размещено в свободном доступе по месту нахождения Организации: в офисе по адресу Республика Беларусь, 223051, Минская обл., Минский р-н, Колодищанский с/с, аг. Колодищи, ул. Минская-56, помещение 7.
Изменения в Положение вносятся по мере необходимости путем утверждения изменений, дополнений и (или) изложения Положения в новой редакции с последующим обеспечением неограниченного доступа.
10.2. В случае, если какие-либо нормы Положения признаются противоречащими законодательству или недействительными, остальные нормы, которые не противоречат законодательству, остаются в силе и являются действительными, а любое недействительное положение или положение, которое не может быть выполнено без дальнейших действий Сторон, считается удаленным, измененным, исправленным в той мере, в какой это необходимо для обеспечения его действительности и возможности выполнения.
10.3. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются законодательством Республики Беларусь.
10.4. Контроль за исполнением требований Положения осуществляется лицом, ответственным за организацию обработки персональных данных.
10.5. Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Организации в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.