ПОЛОЖЕНИЕ о политике в отношении обработки персональных данных Государственного предприятия «Гродненская СПМК-70»

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

Государственное предприятие «Гродненская СПМК-70» (далее – Предприятие) уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.

Положение о политике в отношении обработки персональных данных (далее – Положение) разработано в соответствии   с   Законом   Республики   Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) и иными правовыми актами, принимаемыми в соответствии с законодательством в сфере персональных данных.

Положение разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся, в связи с этим у субъектов персональных данных права и механизм их реализации.

В настоящем Положении используются следующие основные термины и их определения:

• блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
• оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
• персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
• субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
• удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
• физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

ГЛАВА 2.
ЦЕЛИ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЧЬИ ДАННЫЕ ПОДВЕРГАЮТСЯ ОБРАБОТКЕ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Предприятие осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно Приложения 1 к настоящему Положению.

ГЛАВА 3

ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Принципы обработки персональных данных:

• обработка персональных данных должна осуществляться на законной и справедливой основе;
• обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обработке подлежат только те персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;
• хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

Обработка персональных данных необходима для:

• выполнения возложенных на  Предприятие Уставом функций, полномочий и обязанностей;
• осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
• исполнения договора в рамках трудовых и (или) гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
• осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• персональные данные, подлежащие опубликованию или обязательному раскрытию, обрабатываются в соответствии с законодательством.

ГЛАВА 4

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные обрабатываются на Предприятии с использованием средств автоматизации и без использования таких средств, а также смешанным способом.

В случаях, установленных законодательством, обработка персональных данных осуществляется без согласия субъекта, в иных случаях основным условием обработки персональных данных является получение согласия (Приложение 2) соответствующего субъекта персональных данных.

Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
До   получения   согласия   субъекта   персональных   данных,  Предприятие в  письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставляет субъекту персональных данных информацию, содержащую:

• наименование и место нахождение оператора, получающего согласие субъекта персональных данных;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• срок, на который дается согласие субъекта персональных данных;
• информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых способов обработки персональных данных;
• иную информацию, необходимую для прозрачности процесса обработки персональных данных.

До получения согласия субъекту персональных данных простым и ясным языком разъясняются его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.

Данные разъяснения предоставляются субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

Сбор персональных данных

Сбор персональных данных осуществляется путем:

• получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;
• получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
• формирования персональных данных в ходе кадровой работы;
• получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
• получения персональных данных в ответ на запросы, направляемые Предприятием в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
• получения персональных данных из общедоступных источников;
  фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
• внесения персональных данных в информационные системы и базы данных Предприятия;
• использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Предприятием деятельности.

Источником информации обо всех персональных данных является непосредственно субъект персональных данных. 
Предприятие без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.

Хранение персональных данных

При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных, исключающие их утрату и неправомерное использование.
Персональные данные хранятся:

• на бумажных носителях;
• на электронных носителях;

Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.

Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью программных средств защиты.

Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.
При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Порядок уничтожения персональных данных определяется Положением о порядке уничтожения и блокирования персональных данных.

Использование

Персональные данные обрабатываются и используются согласно настоящему Положению.

Доступ к персональным данным предоставляется только тем работникам Предприятия, должностные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.

В случае возникновения необходимости предоставления доступа к персональным данным работникам, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению генерального директора Предприятия. Соответствующие работники должны быть ознакомлены под роспись со всеми локальными правовыми актами Предприятия в области персональных данных.

При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Передача

Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.
При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством, в частности, если:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором, который получил от Общества соответствующие данные;
• персональные данные признаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
Трансграничная передача персональных данных осуществляется в рамках трудовых отношений согласно Приложению 3.

Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности Предприятие, в праве требовать от этих лиц подтверждение того, что это правило соблюдено.

В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном законодательством.

Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных на Предприятии, для предварительного рассмотрения и согласования.

Поручение обработки

Предприятие вправе поручить обработку персональных данных от имени Предприятия или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:

• цели обработки персональных данных;
• перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
• обязанности по соблюдению конфиденциальности персональных данных;
• меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Предприятия необходимо получение согласия субъекта персональных данных, такое согласие получает Предприятие.

В случае если Предприятие поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Предприятие. Уполномоченное лицо несет ответственность перед Предприятием.

Защита

Под    защитой    персональных    данных    понимается    ряд    правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.

Для защиты персональных данных Предприятие принимает необходимые предусмотренные Законом меры (включая, но не ограничиваясь):

• разрабатывает и утверждает локальные правовые акты о защите персональных данных;
• определяет и закрепляет перечень персональных данных;
• ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, ведет учет лиц, получивших доступ к персональным данным и (или) лиц, которым предоставлена или передана такая информация;
• заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении установленного порядка обработки персональных данных, включает условия о правах, обязанностях и ответственности в области обработки и защиты персональных данных в должностные инструкции, трудовые договоры (контракты) и гражданско-правовые договоры, заключенные с этими лицами;
• обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных;
  ограничивает доступ к информации, содержащей персональные данные, закрепляет порядок обращения с этой информацией, особые условия хранения носителей и информации в электронном виде;
• организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
• контролирует соблюдение требований по обеспечению безопасности персональных данных (в том числе путем проведения внутренних проверок);
• проводит расследование случаев несанкионированного доступа или распространения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
• внедряет программные и технические средства защиты информации;

Для защиты персональных данных при их обработке в информационных системах  Предприятие проводит необходимые предусмотренные Законом мероприятия (включая, но не ограничиваясь):

• определение угроз безопасности персональных данных при их обработке; применение организационных и технических мер по обеспечению
  безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.

На Предприятии принимаются иные меры, направленные на обеспечение выполнения Предприятием обязанностей в сфере персональных данных, предусмотренных законодательством.

Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого и незаконного использования.

Работники, получившие доступ к персональным данным:

• должны быть ознакомлены с законодательством о защите персональных данных, об ответственности за его нарушение, локальными правовыми актами  в области обработки и защиты персональных данных;

Все документы, содержащие персональные данные, хранятся в режиме конфиденциальности. К ним имеют доступ только те лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей.

ГЛАВА 5
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных имеет право:

• на отзыв своего согласия, если для обработки персональных данных Предприятие обращалось к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании договора, либо в соответствии с требованиями законодательства;
• на получение информации, в течении пяти рабочих дней, касающейся обработки своих персональных данных, содержащей:

место нахождения Предприятия;
подтверждение факта обработки персональных данных обратившегося лица Предприятием;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица; иную информацию, предусмотренную законодательством;

• требовать от Предприятия внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
• получить от Предприятия информацию о предоставлении своих персональных данных, обрабатываемых Предприятием, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
• требовать от Предприятия прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
• обжаловать действия (бездействие) и решения предприятия, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ ГОСУДАРСТВЕННОГО ПРЕДПРИЯТИЯ  «ГРОДНЕНСКАЯ СПМК-70»

Для реализации своих прав, связанных с обработкой персональных данных на Предприятии, субъект персональных данных подает заявление в письменной форме по почтовому адресу предприятия: 230001 г. Гродно, ул. Суворова,133.

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  дату рождения субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

Предприятие не рассматривает заявления субъектов персональных данных, направленные иными способами (e-mail, телефон, факс и т.п).

ГЛАВА 7
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Лица, виновные в нарушении законодательства и локальных правовых актов Общества в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.

Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.

Приложение: 1. Реестр обработки персональных данных, всего на 22 л. в 1 экз.
2.    Письменное    согласие    работника    на    обработку    персональных данных на 1л. в 1 экз.
3.    Перечень стран в которые общество осуществляет трансграничную передачу персональных данных на 1л. в 1 экз.