УТВЕРЖДЕНО
директор
Частного предприятия "Наш Белый Дом"
Бекиш А.Н.
01 августа 2024г.
ПОЛОЖЕНИЕ
О ПОЛИТИКЕ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1. Частное унитарное предприятие по оказанию услуг "Наш Белый Дом» (далее – оператор персональных данных (ПД) уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.
Утверждение Положения о политике в отношении обработки персональных данных (далее - Политика) является одной из принимаемых оператором ПД мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. N 99‑З "О защите персональных данных" (далее - Закон).
Настоящее Положение разработано в соответствии с:
Конституцией Республики Беларусь;
Трудовым кодексом Республики Беларусь от 26.07.1999 № 296-З;
Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон);
Законом Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
иными актами законодательства.
1.2. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
Политика не применяется к обработке персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте оператора ПД.
1.3. Почтовый адрес оператора ПД: Республика Беларусь, 230023, Гродненская область, г. Гродно, ул. 1 Мая, д. 7, оф. 18;
адрес в сети Интернет: https://nbd.by/
1.4. В настоящей Политике используются термины и их определения в значении, определенном Законом, в том числе следующие основные:
Персональные данные— любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
Информационная система персональных данных (далее по тексту — «ИСПД») - совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к ПД лицом требование не допускать их распространение без согласия субъекта Пн или наличия иного законного основания.
Оператор (персональных данных) — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
Автоматизированная обработка персональных данных — обработка ПД с помощью средств вычислительной техники.
Неавтоматизированная обработка персональных данных — обработка ПД, содержащихся в ИСПД либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПД, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека.
Блокирование персональных данных— временное прекращение обработки ПД (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Предоставление персональных данных— действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц.
Распространение персональных данных— действия, направленные на раскрытие ПД неопределенному кругу лиц.
Уничтожение персональных данных— действия, в результате которых становится невозможным восстановить содержание ПД в ИСПД и (или) в результате которых уничтожаются материальные носители ПД.
1.5. Персональные данные могут быть использованы оператором ПД в научных или иных исследовательских целях после обязательного обезличивания таких персональных данных, в частности, для:
- подготовки и публикации ежегодных отчетов о своей деятельности;
- подготовки и осуществления публикаций и выступлений, связанных с исполнением работниками оператора ПД своих должностных обязанностей.
1.6. Оператор ПД осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.
1.7. Обработка персональных данных осуществляется на основе следующих принципов:
• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором ПД принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
2. ЦЕЛИ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЧЬИ ДАННЫЕ ПОДВЕРГАЮТСЯ ОБРАБОТКЕ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор ПД осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно приложению 1 к настоящей Политике.
2.2. После истечения сроков хранения:
документы на бумажных носителях, содержащие персональные данные, уничтожаются;
документы в электронной форме, содержащие персональные данные, удаляются.
2.3. Об уничтожении или удалении персональных данных составляется акт об уничтожении или удалении.
3. УПОЛНОМОЧЕННЫЕ ЛИЦА.
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор ПД в случае необходимости поручает обработку персональных данных уполномоченным лицам.
3.2. Оператор осуществляет трансграничную передачу персональных данных для обеспечения непрерывной коммуникации с пользователями электронной почты (Яндекс).
Трансграничная передача персональных данных на территорию иностранного государства может осуществляться оператором ПД, если:
3.2.1. на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных (стороны Конвенции Совета Европы от 28.01.1981 «О защите физических лиц при автоматизированной обработке персональных данных», а также государства, включенного службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в Перечень иностранных государств, не являющихся сторонами указанной Конвенции и обеспечивающих адекватную защиту прав субъектов персональных данных)<*> - без ограничений при наличии правовых оснований, предусмотренных Законом;
3.2.2. на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных - в случаях, предусмотренных статьей 9 Закона, в том числе:
- когда дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;
- когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
--------------------------------
<*> Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. N 14 "О трансграничной передаче персональных данных".
4. ПРАВА И ОБЯЗАННОСТИ В СФЕРЕ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъект персональных данных имеет право:
4.1.1. на отзыв своего согласия, если для обработки персональных данных оператор ПД обращался к субъекту персональных данных за получением согласия. Право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора);
4.1.2. на получение информации, касающейся обработки своих персональных данных оператором ПД содержащей:
- место нахождения оператора ПД;
- подтверждение факта обработки персональных данных обратившегося лица оператором ПД;
- персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);
- наименование и место нахождения уполномоченного лица оператора ПД;
- иную информацию, предусмотренную законодательством;
4.1.3. требовать от оператора ПД внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
4.1.4. на получение от оператора ПД информации о предоставлении своих персональных данных, обрабатываемых оператором ПД, третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами;
4.1.5. требовать от оператора ПД бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
4.1.6. на обжалование действий (бездействия) и решений оператора ПД, нарушающих его права при обработке персональных данных, в порядке, установленном законодательством.
4.2. Для реализации своих прав, связанных с обработкой персональных данных оператором ПД, субъект персональных данных подает оператору ПД заявление в письменной форме по почтовому адресу, указанному в подпункте 1.3 пункта 1 настоящей Политики, или посредством государственной единой (интегрированной) республиканской информационной системы учета и обработки обращений граждан и юридических лиц (https://обращения.бел), а в случае реализации права на отзыв согласия - в форме, в которой такое согласие было получено.
Такое заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
Оператор ПД не рассматривает заявления субъектов персональных данных, поступившие в его адрес иными способами (e-mail, телефон и т.п).
4.3. За содействием в реализации прав, связанных с обработкой персональных данных оператором ПД, субъект персональных данных может обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у оператора ПД, направив сообщение на электронный адрес info@nbd.by .
4.4. Оператор имеет право:
4.4.1. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
4.4.2. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
4.4.3. отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь.
4.5. Субъект персональных данных обязан:
4.5.1. предоставлять Оператору ПД исключительно персональные данные в объеме, необходимом для целей обработки;
4.5.2. в случае необходимости представлять Оператору ПД документы и информацию, содержащие персональные данные в объеме, необходимом для целей их обработки;
4.5.3. информировать Оператора ПД об изменениях своих персональных данных.
4.6. Оператор ПД обязан:
4.6.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
4.6.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных настоящим Законом и иными законодательными актами;
4.6.3. обеспечивать защиту персональных данных в процессе их обработки;
4.6.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных настоящим Законом и иными законодательными актами;
4.6.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
4.6.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
4.6.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
4.6.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
4.6.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
4.6.10. выполнять иные обязанности, предусмотренные настоящим Законом и иными законодательными актами.
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор осуществляет обработку персональных данных, под которой понимается любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
5.2. Обработка персональных данных осуществляется:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
5.3. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
В иной электронной форме согласие субъекта персональных данных может быть получено посредством:
указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
других способов, позволяющих установить факт получения согласия субъекта персональных данных.
5.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
5.5. В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста шестнадцати лет, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку его персональных данных дает один из его законных представителей. Законодательными актами может быть предусмотрен иной возраст несовершеннолетнего, до достижения которого согласие на обработку его персональных данных дает один из его законных представителей.
Лица, указанные в частях первой и второй настоящего пункта, в случае дачи согласия на обработку персональных данных вместо субъекта персональных данных пользуются правами субъекта персональных данных, предусмотренными Законом.
5.6. Оператор вправе поручить обработку персональных данных уполномоченному лицу на основании договора.
Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона Республики Беларусь от 07 мая 2021 № 99-3 «О защите персональных данных».
6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Оператор (уполномоченное лицо) определяет состав, и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона и иных актов законодательства.
6.3. Обязательными мерами по обеспечению защиты персональных данных являются:
назначение оператором ПД лица, ответственного за осуществление внутреннего контроля за обработку и защиту персональных данных;
издание оператором ПД (уполномоченным лицом) документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;
ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
6.4. Оператор ПД (уполномоченное лицо) обязан обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки.
6.5. Классификация информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных устанавливается уполномоченным органом по защите прав субъектов персональных данных.
7.ОТВЕСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Лица, виновные в нарушении законодательства в области защиты персональных данных, несут ответственность, предусмотренную законодательными актами Республики Беларусь.
7.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
7.3. Лицо, предоставившее оператору ПД неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с действующим законодательством Республики Беларусь.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Вопросы, касающиеся обработки и защиты персональных данных, не закрепленные в настоящем Положении, регулируются действующим законодательством Республики Беларусь.
8.2. В случае, если отдельные нормы Положения противоречат действующем законодательству Республики Беларусь (далее – законодательство), применяются нормы законодательства.
8.3. Оператор ПД имеет право по своему усмотрению, в рамках законодательства Республики Беларусь, изменять и (или) дополнять условия настоящего Положения.
8.4. Действующая редакция Положения размещена на официальном сайте https://nbd.by/ .
8.5. Контроль за выполнением настоящего Положения возлагается на ответственного за осуществлением внутреннего контроля за обработкой персональных данных.
8.6. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут ответственность в соответствии с действующим законодательством Республики Беларусь.
Приложение 1
к Положению о политике в
отношении обработки
персональных данных
ЦЕЛИ, ОБЪЕМ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРА ПД
Цели обработки ПД |
Категории субъектов ПД, чьи данные подвергаются обработке |
Перечень обрабатываемых ПД |
Правовые основания обработки ПД |
Срок обработки и хранения ПД |
|
|
Личные:
Для анализа работы сайтов и сервисов:
|
• законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора ПД; • Устав оператора ПД; • договоры, заключаемые между оператором ПД и субъектом персональных данных договоры, заключаемые между оператором ПД и субъектами хозяйствования в интересах субъектов ПД; • согласие на обработку персональных данных (в случаях, предусмотренных законодательством Республики Беларусь) |
Сроки обработки, в том числе хранения, персональных данных работников и других субъектов персональных данных на бумажных и иных материальных носителях, а также в информационных системах персональных данных определяются в соответствии с законодательством Республики Беларусь.
Если сроки обработки персональных данных не установлены законом, их обработка и хранение осуществляются не дольше, чем этого требуют цели обработки, в том числе хранения, персональных данных. Оператор ПД прекращает обрабатывать ПД, если: • достигнута цель обработки, в том числе хранения, ПД, либо миновала необходимость в достижении цели, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; • истек срок действия согласия субъекта или субъект отозвал согласие на обработку ПД и у Учреждения нет иных, предусмотренных законодательством Республики Беларусь, оснований для обработки ПД; • обнаружена неправомерная обработка персональных данных; • прекращена деятельность оператора ПД |