Соглашение на обработку персональных данных

Политика РУП «Белкартография» в отношении обработки персональных данных

1.                  Общие положения

1.1.           Настоящая политика обработки персональных данных разработана в соответствии с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые  РУП «Белкартография» (далее – Оператор).

1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая политика Оператора в отношении обработки персональных данных  применяется ко всей информации, которую Оператор может получить в ходе своей деятельности.

1.4. Под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

1.5. Обработка персональных данных  – это любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

1.6. Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных.

          2. Основные права и обязанности Оператора

          2.1. Оператор имеет право:

– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

– самостоятельно определять цели обработки данных, состав информации и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом, и принятыми в соответствии с ним нормативными правовыми актами.

          2.2. Оператор обязан:

– осуществлять обработку персональных данных с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

– обработку персональных данных проводить в объеме достаточном для достижения конкретных, заранее заявленных и законных целей. Не допускается обработка персональных данных, несовместимая или избыточная с первоначально заявленными целями их обработки; 

– предоставлять субъекту персональных данных информацию обо всех условиях обработки  персональных данных и разъяснить его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия;

– обеспечить прозрачность обработки персональных данных. Предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

– организовывать обработку, хранение, уничтожение персональных данных в порядке, установленном действующим законодательством Республики Беларусь;

–  принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;

– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных законодательством;

– при получении заявления от субъекта персональных данных при наличии установленных оснований прекратить обработку данных, осуществить их удаление (или, в зависимости от технических возможностей, блокирование) и уведомить субъекта об этом;

– по запросу субъекта персональных данных предоставлять в доступной форме информацию о том какие его данные обрабатываются и как и кому они передавались;

– в установленном порядке уведомлять уполномоченный орган по защите прав субъекта персональных данных о нарушениях систем защиты персональных данных;

– выполнять указания уполномоченного органа по защите прав субъектов персональных данных по изменению, блокированию или удалению недостоверных или полученных незаконным путем персональных данных;

– обеспечить защиту персональных данных;

– соблюдать процедуры и условия трансграничной передачи данных;

– исполнять иные обязанности, предусмотренные Законом.

          3. Основные права и обязанности субъектов персональных данных

          3.1. Субъекты персональных данных имеют право:

– получать информацию, касающуюся обработки его персональных данных в доступной форме;

– требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

–  отзывать согласие на предоставление персональных данных;

– на получение информации о предоставлении персональных данных третьим лицам;

– требовать прекращения обработки персональных данных и (или) их удаления;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

– на осуществление иных прав, предусмотренных законодательством.

          3.2. Субъекты персональных данных обязаны:

– предоставлять Оператору достоверные данные о себе;

– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

          3.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством.

          4. Цели обработки персональных данных

4.1. Персональные данные субъектов персональных данных обрабатываются в РУП «Белкартография» в следующих целях:

выполнение функций, полномочий и обязанностей, возложенных на РУП «Белкартография» законодательством Республики Беларусь;

подбора персонала, в том числе проверки кандидатов, их квалификации и опыта работы;

оформления трудовых отношений, а также решения вопросов в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

ведение кадрового резерва;

организации практик и стажировок для учащихся ВУЗов;

обеспечения пропускного режима;

ведения воинского учета;

ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования, оформления документов для целей получения пенсий, пособий и иных социальных выплат;

вступления в профессиональные союзы и достижения их уставных целей;

социального и медицинского страхования работников;

открытие карт-счетов для перечисления безналичных денежных средств по заработной плате, договорам подряда, авторских вознаграждений и других выплат;

предоставления работникам и их родственникам льгот и компенсаций, а также выплат, предусмотренных коллективным договором;

для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

подготовки коммерческого предложения, участия в закупках;

для осуществления административных процедур;

для исполнения требований законодательства в области  борьбы с коррупцией;

организация и сопровождение деловых поездок;

проведение мероприятий и обеспечение участия в них субъектов персональных данных;

выдача доверенностей и иных уполномочивающих документов;

ведение переговоров, заключение, исполнение и прекращение гражданско-правовых договоров;

проверка контрагента;

реклама и продвижение продукции, в том числе предоставление информации о продукции Организации;

обработка обращений граждан, запись на прием;

ведение претензионно-исковой работы, участие в судебных заседаниях;

предоставление доступа пользователю к сервисам, информации и/или материалам, содержащимся на сайте Оператора, регистрации на сайтах, в личном кабинете;

оформления заказов через интернет-магазин, доставки товаров;

информирования пользователя посредством отправки электронных писем, уведомления о новых продуктах и услугах, специальных предложениях и различных событиях;

обмена сообщениями;

иные цели, направленные на обеспечение соблюдения законодательства Республики Беларусь.

4.2. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей.

4.3. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и, в случае необходимости, получить новое согласие на обработку.

          5. Порядок  обработки персональных данных

          5.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных (далее – обработка персональных данных) в соответствии с действующим законодательством и настоящей политикой.

          5.2. Оператор назначает из числа своих работников лиц, имеющих право на работу с персональными данными, возлагает на них обязанность принимать правовые, организационные и технические меры по обеспечению защиты персональных данных   от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных и несущих за это ответственность.

          Обработка персональных данных осуществляется только этими работниками.

          5.3. Внутренний контроль за обработкой персональных данных осуществляет  назначенный руководителем специалист.

  5.4. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

Оператор вправе использовать общедоступные персональные данные, получать персональные данные субъекта из открытых источников, от третьих лиц, при наличии согласия субъекта на получение его персональных данных от третьих лиц.

          5.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки, действия должны носить прозрачный характер, обеспечивать достоверность обрабатываемых данных.

          5.6. При сборе персональных данных, на которые требуется согласие субъекта персональных данных, Оператор в письменной или электронной форме уведомляет субъекта персональных данных о цели обработки этих данных, их перечне, сообщает срок на который дается согласие,  перечень действий с данными, способы обработки, иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных, разъясняет права субъекта, связанные с обработкой персональных данных, механизм реализации этих прав.

          5.7. Сбор персональных данных осуществляется после получения письменного согласия субъекта персональных данных. К письменному согласию приравниваются следующие явно выраженные, конкретные, сознательные и свободные действия Субъекта:

·         электронный документ, подписанный простой электронной подписью, в том числе платежи с использованием системы ЕРИП, электронные банковские переводы;

·          нажатие Субъектом на Сайте интернет-магазина кнопки рядом с утверждением «Я даю согласие на обработку персональных данных (Ф.И.О. адрес, E-mail. )»;

·         самостоятельное заполнение персональных данных в анкетах, резюме, заполнение персональных данных в иных документах (формах), адресованных неопределенному кругу лиц;

·         регистрация на сайтах, в личном кабинете;

·         направление обращения, письма с электронной почты Субъекта персональных данных на электронный адрес почты Оператора;

·         присоединение к публичному договору;

·         другие способы, позволяющие установить факт  согласия субъекта персональных данных на обработку его данных.

          5.8. Получение письменного согласия не требуется в случаях:

          исполнения судебных постановлений и иных исполнительных документов;

          при реализации норм законодательства в области борьбы с коррупцией,

          ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

          в целях оформления трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

          в целях назначения и выплаты пенсий, пособий;

          для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

          в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;

          при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

          при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

          для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

          в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

          в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

5.9. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
          5.10.  Согласие субъекта  персональных данных должно быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

5.11. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством направления письменного заявления.

5.12. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных.

Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, должны находиться в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.

Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых оператором информационных систем и специально обозначенных баз данных (внесистемное хранение персональных данных) не допускается.

При хранении должны соблюдаться требования законодательства по работе с документами, в том числе специальные требования по работе с некоторыми документами, содержащими наиболее важные  персональные данные  работников:

• трудовые книжки и документы воинского учета должны храниться в специальных оборудованных местах; трудовые книжки - в несгораемых шкафах, сейфах (ч.1 п.80 Инструкции, утвержденной Постановлением Министерства труда и социальной защиты Республики Беларусь от 16.06.2014 № 40);

• доступ к личным делам работников должны иметь только лица, уполномоченные приказом руководителя организации, и сам руководитель организации (пп.3 и 4 Инструкции о порядке формирования, ведения и хранения личных дел работников, утвержденной постановлением Комитета по архивам и делопроизводству при Совмине от 26.03.2004 № 2);

•  Личные дела работников должны храниться в течение 55 лет с момента их завершения (п. 638.3 перечня типовых документов национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения, утв. постановлением Минюста от 24.05.2012 № 140), приказы о приеме на работу (назначении на должность), переводе на другую постоянную работу, перемещении, увольнении (освобождении от занимаемой должности), награждении, поощрении, премировании, продлении трудовых договоров (контрактов), заключении новых трудовых договоров (контрактов), изменении условий трудовых договоров (контрактов), переводе на контрактную форму найма, установлении надбавок, доплат, временном переводе, отстранении от работы, допуске к работе, установлении (отмене) неполного рабочего времени, присвоении квалификационных категорий, разрядов, классов, повышении тарифных ставок (тарифных окладов), окладов, должностных окладов, длительных (более месяца) служебных командировках в пределах Республики Беларусь и за границу, предоставлении социальных отпусков, изменении фамилии, собственного имени, отчества (если таковое имеется) работников - в течение 55 лет с даты издания (п.21.3 перечня).

5.11. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

Уничтожение персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).

При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.13. Доступ к персональным данным предоставляется только тем работникам, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы.

5.14. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.15 Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах, в целях выполнения задач, соответствующих объективной причине сбора этих данных и только при наличии согласия субъекта либо иного законного основания.

Информация, содержащая персональные данные, должна передаваться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

Трансграничная передача персональных данных запрещается, за исключением случаев, прямо предусмотренных законодательством, и  когда дано согласие субъекта персональных данных.

6. Защита персональных данных.

6.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

6.2. Для защиты персональных данных Оператор принимает необходимые предусмотренные законом меры (включая, но не ограничиваясь):

ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);

обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;

организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

контролирует соблюдение требований по обеспечению безопасности персональных данных;

проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

внедряет программные и технические средства защиты информации в электронном виде;

обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

6.3. Для защиты персональных данных при их обработке в информационных системах Оператор проводит необходимые предусмотренные законом мероприятия (включая, но не ограничиваясь):

определение угроз безопасности персональных данных при их обработке;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

6.4. В РУП «Белкартография» определяется круг лиц, имеющих право на работу с персональными данными, назначаются лица, осуществляющие внутренний контроль за обработкой персональных данных.

6.5. В РУП «Белкартография»  принимаются иные меры, направленные на обеспечение исполнения обязанностей в сфере персональных данных, предусмотренных законодательством Республики Беларусь.