1 ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных (далее — Политика) в ОАО «ЦЕНТРОЭНЕРГОМОНТАЖ» (далее – организация) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в организации персональных данных, функции организации при обработке персональных данных, права субъектов персональных данных, а также реализуемые в организации требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (далее – Закон № 455-З), Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-З).
1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в организации вопросы обработки персональных данных работников организации и других субъектов персональных данных.
2 ОСНОВЫНЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ ОРГАНИЗАЦИИ, РЕГЛАМЕНТИРУЮЩИЕ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В настоящей политике применяются следующие определения:
Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
Блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
Оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
Физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3 ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Организация, являясь оператором персональных данных, осуществляет обработку персональных данных работников организации и других субъектов персональных данных, не состоящих с организацией в трудовых отношениях.
3.2. Обработка персональных данных в организации осуществляется с учетом необходимости обеспечения защиты прав и свобод работников организации и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется в соответствии с Законом № 99-З и иными актами законодательства;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Организация не обрабатывает персональные данные в целях, не совместимых с первоначально заявленными;
содержание и объем обрабатываемых организацией персональных данных соответствует заявленным целям их обработки;
обработка персональных данных осуществляется в организации на законной и справедливой основе;
не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных;
период хранения персональных данных определяется достигнутыми целями и законодательством Республики Беларусь;
обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
3.3. Персональные данные обрабатываются в организации в целях:
обеспечения соблюдения законодательных Республики Беларусь, локальных правовых актов организации;
осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на организацию, в том числе по предоставлению персональных данных в органы государственной власти;
регулирования трудовых отношений с работниками организации (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
предоставления работникам организации и членам их семей дополнительных гарантий и компенсаций;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
обеспечения пропускного и внутриобъектового режимов на объектах организации и объектах выполнения работ;
формирования справочных материалов для внутреннего информационного обеспечения деятельности организации;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
осуществления прав и законных интересов организации в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами организации, или третьих лиц либо достижения общественно значимых целей;
трансграничной передачи персональных данных субъектов уполномоченным лицам для возможности осуществления деятельности организации, при условии получения согласия от субъекта персональных данных, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
в иных законных целях.
3.4. Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом № 99-З, предоставляется информация, касающаяся обработки его персональных данных.
3.5. Организация принимает меры по обеспечению достоверности обрабатываемых ей персональных данных.
4 ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ОРГАНИЗАЦИИ
4.1. В организации обрабатываются персональные данные следующих категорий субъектов:
работников организации;
кандидатов, претендующих на вакантные должности организации;
посетителей и авторов (подписантов) обращений в адрес организаций;
контрагентов и партнеров организации, а также их представителей;
участников конкурсных процедур, объявляемых организацией;
участников благотворительных, спонсорских проектов, проводимых с участием организации;
других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).
5 ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОРГАНИЗАЦИИ
5.1. Перечень персональных данных, обрабатываемых в организации, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами организации с учетом целей обработки персональных данных, указанных в разделе 4 Политики.
5.2. В организации ведется обработка специальных персональных данных за исключением данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6 ФУНКЦИИ ОРГАНИЗАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Организация при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов организации в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лицо, ответственное за организацию обработки персональных данных в организации;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в организации;
осуществляет ознакомление работников организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов организации в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
прекращает обработку и уничтожает или блокирует персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
6.2. Обработка персональных данных в организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
6.3. Организация не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
6.4. Организация вправе поручить обработку персональных данных уполномоченному лицу. В случаях, предусмотренных законодательством, получить согласие у субъекта персональных данных на их обработку.
6.5. В целях внутреннего информационного обеспечения организация вправе создавать справочники, адресные книги и другие источники, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его персональные данные.
6.6. Доступ к обрабатываемым в организации персональным данным разрешается только работникам организации, занимающим должности, включенные в перечень должностей структурных подразделений организации, которыми осуществляется обработка персональных данных.
7 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъекты персональных данных имеют право на:
отзыв своего согласия в любое время без объяснения причин посредством подачи оператору заявления в порядке, установленном статьей 14 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
получение информации, касающейся обработки своих персональных данных, содержащей: данных оператором (уполномоченным лицом); его персональные данные и источник их наименование и место нахождения оператора; подтверждение факта обработки персональных получения; правовые основания и цели обработки персональных данных; срок, на который дано его согласие; наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу; иную информацию, предусмотренную законодательством. Для получения информации субъект персональных данных подает оператору заявление в соответствии со статьей 14 Закона № 99-З;
получение от оператора информации о предоставлении своих персональных данных третьим лицам один раз в календарный год, если иное не предусмотрено законодательными актами. Для получения информации, субъект персональных данных подает заявление оператору в порядке, установленном статьей 14 Закона № 99-З;
право требования от оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З;
обжалование действия (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
9 МЕРЫ, ПРИНИМАЕМЫЕ ОРГАНИЗАЦИЕЙ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Меры, необходимые и достаточные для обеспечения выполнения организацией обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
назначение структурного подразделения, ответственного за организацию обработки персональных данных в организации;
принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
организацию обучения и проведение методической работы с работниками структурных подразделений организации, которыми осуществляется обработка персональных данных;
получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
определение порядка и уровней доступа к обрабатываемым персональным данным;
обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных;
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
обеспечение безопасности персональных данных при их передаче по каналам связи;
хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
осуществление внутреннего контроля соответствия обработки персональных данных Закону № 99-З и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным правовым актам организации;
иные меры, предусмотренные законодательством Республики Беларусь в области персональных данных.
10 КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ОРГАНИЗАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Контроль за соблюдением структурными подразделениями организации законодательства Республики Беларусь и локальных правовых актов организации в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью обеспечения соответствия обработки персональных данных в структурных подразделениях организации законодательству Республики Беларусь и локальным правовым актам организации в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
10.2. Внутренний контроль за соблюдением структурными подразделениями организации законодательства Республики Беларусь и локальных правовых актов организации в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в организации.
10.3. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов организации в области персональных данных в структурных подразделениях организации, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях организации возлагается на их руководителей.