Политика в отношении обработки персональных данных
Приложение 1
к приказу от 01.11.2021 №356
ПОЛИТИКА
ОАО «Завод керамзитового гравия г.Новолукомль»
в отношении обработки персональных данных
1. Общие положения
1.1. Политика ОАО «Завод керамзитового гравия г.Новолукомль» в отношении обработки персональных данных (далее - Политика) определяет основные принципы, цели, порядок и способы обработки персональных данных, требования к защите используемых персональных данных.
1.2. Политика разработана в соответствии с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных), иными нормативными правовыми актами Республики Беларусь в целях осуществления ОАО «Завод керамзитового гравия г.Новолукомль» (далее – Общество) функций оператора, осуществляющего обработку персональных данных.
1.3. В настоящей Политике использующиеся термины и их определения в значениях, определенных в Законе о персональных данных.
1.4. Политика является общедоступной и размещается на официальном сайте Общества в глобальной компьютерной сети Интернет.
1.5. Политика действует в отношении всех персональных данных, обрабатываемых в Обществе, которые могут быть получены от субъектов персональных данных.
2. Принципы и цели обработки персональных данных
2.1. Общество осуществляется обработку персональных данных субъектов на основе следующих принципов:
обработки персональных данных на законной и справедливой основе;
соразмерного соотношения объема персональных данных с целями их обработки;
осуществления обработки персональных данных с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
прозрачности обработки персональных данных;
точности, достоверности и актуальности персональных данных;
ограничения срока обработки персональных данных достижением цели их обработки.
2.2. Персональные данные субъектов обрабатываются Обществом в целях:
соблюдения законодательства Республики Беларусь, локальных правовых актов Общества;
обеспечения выполнения функций, возложенных законодательством Республики Беларусь на Общество, в том числе по предоставлению персональных данных в государственные органы (Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, налоговые, правоохранительные и иные государственные органы);
осуществления корпоративного управления Обществом;
оформления и регулирования трудовых отношений с работниками Общества, осуществления подбора кадров;
совершения предусмотренных законодательством сделок и обеспечения исполнения договорных обязательств перед контрагентами;
обеспечения пропускного и внутриобъектового режимов на территории Общества;
осуществления прав и законных интересов Общества в рамках осуществления предпринимательской деятельности либо достижения иных общественно значимых целей;
иных законных целях.
3. Персональные данные, обрабатываемые Обществом
3.1. Общество осуществляет обработку персональных данных, в том числе специальных, в объеме, предусмотренном законодательством Республики Беларусь и локальными правовыми актами Общества.
3.2. Перечень персональных данных, обрабатываемых Обществом, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества с учетом поставленных целей обработки персональных данных.
3.3. Основными категориями субъектов персональных данных являются:
участники Общества и аффилированных лиц Общества;
потребители и иные лица, с которыми Обществом заключены либо планируются к заключению сделки;
лица, состоящие (состоявшие) с Обществом в отношениях, регулируемых трудовым законодательством Республики Беларусь, соискатели вакансий;
лица, предоставившие Обществу персональные данные в связи с выполнением договорных обязательств перед Обществом или трудовых обязанностей перед своим нанимателем;
лица, посещающие закрытую охраняемую территорию Общества;
лица, подавшие обращения о работе Общества;
лица, предоставившие Обществу персональные данные по иным законным основаниям.
3.4. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Общества реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.5. Общество имеет право обрабатывать общедоступные персональные данные, осуществлять обработку персональных данных, подлежащих обязательному раскрытию в соответствии с законодательством Республики Беларусь.
3.6. Общество имеет право поручить обработку персональных данных другому лицу на условиях, предусмотренных законодательством.
Общество не осуществляет трансграничную передачу персональных данных.
3.7. Персональные данные, за исключением общеизвестных, обрабатываемые Обществом относятся к категории конфиденциальных сведений, ограничение распространения которых регулируется Положением о коммерческой тайне Общества.
4. Порядок и способы обработки персональных данных
4.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами.
4.2. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. В иной электронной форме согласие субъекта персональных данных может быть получено посредством: указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты; проставления субъектом персональных данных соответствующей отметки на Интернет-ресурсе; других способов, позволяющих установить факт получения согласия субъекта персональных данных.
4.3. До получения согласия субъекта персональных данных Общество в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязано предоставить субъекту персональных данных информацию, содержащую:
наименование и место нахождения Общества;
цели обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
срок, на который дается согласие субъекта персональных данных;
информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
4.4. До получения согласия субъекта персональных данных уполномоченный сотрудник Общества обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
4.5. Субъект персональных данных при даче своего согласия указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность.
4.6. Субъект персональных данных вправе отозвать свое согласие в порядке, установленном Законом о защите персональных данных.
4.7. Персональные данные обрабатываются следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
Персональные данные хранятся на бумажных носителях, в форме компьютерных файлов, в специализированных системах (программах), обеспечивающих автоматическую обработку и хранение информации.
5. Порядок доступа к персональным данным
5.1. Общество определяет и утверждает приказом руководителя перечень лиц (работников Общества), осуществляющих обработку персональных данных в соответствии с трудовыми функциями.
5.2. Работники Общества, уполномоченные на обработку персональных данных, а также назначенные ответственными за осуществление внутреннего контроля за обработкой персональных данных должны быть ознакомлены под роспись с нормативными актами в области защиты персональных данных и обеспечивать их сохранность.
5.3. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
При необходимости документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, должны храниться в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Помещения, в которых находятся носители персональных данных должны быть оборудованы запорными устройствами и не находиться в открытом состоянии в отсутствие лиц, уполномоченных на обработку персональных данных.
5.4. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Обществом информационных систем и специально обозначенных Обществом баз данных (внесистемное хранение персональных данных) не допускается.
5.5. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или по истечении сроков их хранения.
5.6. Доступ к персональным данным предоставляется только тем работникам, трудовые обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
При необходимости может быть предоставлен временный доступ к ограниченному кругу персональных данных неуполномоченным работникам по распоряжению директора Общества или уполномоченного им лица.
Уполномоченным лицам, осуществляющим обработку персональных данных, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на носители, предназначенные для хранения персональных данных. Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих персональные данные, запрещается.
Уполномоченные работники Общества, осуществляющие обработку персональных данных, обязаны использовать информацию о персональных данных исключительно для целей, связанных с исполнением своих трудовых обязанностей. При прекращении трудовых обязанностей, связанных с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении уполномоченного лица, должны быть переданы непосредственному руководителю.
5.7. Передача персональных данных третьим лицам, допускается только при наличии согласия субъекта либо иного законного основания.
Все поступающие в Общество запросы о предоставлении персональных данных субъектов должны передаваться лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе для предварительного рассмотрения и согласования.
Должностные лица Общества, обязаны немедленно сообщать своему непосредственному руководителю и (или) лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.
6. Осуществление защиты персональных данных.
6.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
6.2. Общество при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Общества в области защиты персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лиц, ответственны за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику в отношении защиты персональных данных;
знакомит работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Общества в области защиты персональных данных и обучает указанных работников;
публикует на официальном сайте и иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
6.3. Общество осуществляет техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
7. Ответственность
7.1. Работники Общества и иные лица, виновные в нарушении требований законодательства Республики Беларусь в области защиты персональных данных, несут ответственность, установленную законодательством Республики Беларусь.
7.2. Отсутствие контроля со стороны Общества за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и защиты персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.