Политика в отношении обработки персональных данных

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

 в республиканском унитарном предприятии «Институт «Военпроект»

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ.

     1. Политика республиканского унитарного предприятия «Институт «Военпроект» (далее – предприятие) в отношении обработки персональных данных на предприятии, определяет основные принципы и цели обработки персональных данных, категории субъектов персональных данных, перечень обрабатываемых персональных данных, порядок и условия их обработки, права и обязанности субъектов персональных данных, права и обязанности оператора.

    2. Политика в отношении обработки персональных данных на предприятии (далее – политика) разработана на основании Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон), Закона Республики Беларусь от 21.07.2008 № 418-З «О регистре населения», Закона Республики Беларусь от 10.11.2008 № 55-З «Об информации, информатизации и защите информации» и иных нормативных правовых актов Республики Беларусь в области персональных данных.

    3. В настоящей политике

     под кадрами понимаются сотрудники предприятия,

     под оператором, осуществляющим обработку персональных данных, понимается предприятие.

     Для целей настоящей политики применяются иные термины и их определения в значениях, определенных в Законе.

ГЛАВА 2

ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

   4. Обработка персональных данных, указанных в пункте 7 настоящей политики, осуществляется оператором на основании принципов законности, соразмерности, прозрачности, достоверности и сохранности:

    4.1. Принцип законности означает, что оператор осуществляет обработку персональных данных только на основании имеющихся у него полномочий.

  4.2. Принцип соразмерности означает, что содержание и объем обрабатываемых персональных данных соответствует заявленным целям их обработки, обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

   4.3. Принцип прозрачности означает, что субъекту персональных данных может быть предоставлена информация, касающаяся обработки его персональных данных в порядке, установленном Законом.

  4.4. Принцип достоверности означает, что оператор принимает меры по обеспечению достоверности обрабатываемых им сведений, при необходимости обновляет их.

   4.5. Принцип сохранности означает, что оператор предоставляет персональные данные только лицам, которым данные сведения необходимы для выполнения возложенных на них функций и обязанностей, принимает меры по недопущению несанкционированного распространения персональных данных и несет за это ответственность.

ГЛАВА 3

 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

     5. Персональные данные обрабатываются на предприятии в целях:

     5.1. осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на предприятие, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы и организации;

    5.2. осуществления прав и законных интересов предприятия в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами предприятия, либо достижения общественно значимых целей;

    5.3. рассмотрения возможности трудоустройства кандидатов; проверки кандидатов (в том числе их квалификации и опыта работы);

   5.4. регулирования трудовых отношений с работниками предприятия (в том числе выпуска доверенностей и иных уполномочивающих документов, организации и сопровождения деловых поездок, выявление конфликта интересов);

    5.5. проведения мероприятий и обеспечения участия в них субъектов персональных данных;

    5.6. обеспечения безопасности, сохранения материальных ценностей и предотвращения правонарушений на предприятии;

    5.7. формирования справочных и аналитических материалов для внутреннего информационного обеспечения деятельности предприятия;

    5.8. передача данных третьим лицам в целях осуществления деятельности предприятия;

    5.9. подготовки, заключения, исполнения и прекращения гражданско-правовых договоров; проверки контрагентов;

    5.10. в иных целях по решению лиц, ответственных за организацию обработки персональных данных предприятия.

ГЛАВА 4

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.

ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

    6. Оператор обрабатывает персональные данные следующих категорий субъектов:

кадры предприятия (в том числе бывшие), а также их родственники;

кандидаты на занятие вакантных должностей;

посетители предприятия;

граждане, подавшие (подающие) обращения;

граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры.

    7. Оператор для достижения установленных в настоящей политике целей обрабатывает персональные данные, определенные:

Законом Республики Беларусь от 18 июля 2011 г. № 300-З «Об обращениях граждан и юридических лиц»;

Указом Президента Республики Беларусь от 26 апреля 2010 г. № 200 «Об административных процедурах, осуществляемых государственными органами и иными организациями по заявлениям граждан»;

Постановлением Совета Министров Республики Беларусь от 23 июля 2012 г. № 667 «О некоторых вопросах работы с обращениями граждан и юридических лиц»;

Положением о порядке ведения делопроизводства по обращениям граждан и юридических лиц в государственных органах, иных организациях, у индивидуальных предпринимателей, утвержденным постановлением Совета Министров Республики Беларусь от 30 декабря 2011 г. № 1786;

Инструкцией о порядке ведения делопроизводства по административным процедурам в государственных органах, иных организациях, утвержденной постановлением Министерства юстиции Республики Беларусь от 7 мая 2009 г. № 39.

ГЛАВА 5

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    8. Обработку персональных данных на предприятии осуществляет:

группа организационной и кадровой работы;

бухгалтерия;

бюро пропусков отдела материально-технического обеспечения и пропускного режима.

    9. Обработка персональных данных на предприятии осуществляется следующими способами:

с использованием средств автоматизации;

без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);

смешанная обработка персональных данных.

    10. Оператор проводит обработку персональных данных (в том числе специальных) без согласия субъекта персональных данных на их обработку в соответствии с требованиями Закона:

  10.1. при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

  10.2. при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

   10.3. в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

   10.4. в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

 10.5. в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

  11. Оператор осуществляет с персональными данными любое действие или совокупность действий, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, если это не противоречит законодательству.

    12. Обработка персональных данных осуществляется путем:

получения информации непосредственно от субъекта персональных данных;

внесения персональных данных в книги (журналы), личные дела и информационные системы оператора;

использования иных способов обработки персональных данных, не запрещенных законодательством.

  13. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.

  14. Передача персональных данных суду, органам дознания и следствия, в налоговые органы, другие органы исполнительной власти и организации осуществляется в соответствии с законодательством.

    15. Хранение персональных данных оператором осуществляется в части касающейся:

кадров – в течение сроков хранения кадровой документации в соответствии с законодательными актами;

граждан и юридических лиц – в сроки, определенные Положением о порядке ведения делопроизводства по обращениям граждан и юридических лиц в государственных органах, иных организациях, у индивидуальных предпринимателей и Инструкцией о порядке ведения делопроизводства по административным процедурам в государственных органах, иных организациях.

Все документы, содержащие персональные данные кадров, хранятся в режиме конфиденциальности. К ним имеют доступ только те должностные лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей.

ГЛАВА 6

 ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

    16. Субъект персональных данных имеет право:

получать на условиях, определенных Законом, информацию, касающуюся обработки его персональных данных, а также об их предоставлении третьим лицам;

отзывать согласие на обработку персональных данных;

обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия (бездействие) оператора, а также его решения;

на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

осуществления иных прав, предусмотренных законодательством.

    17. Субъект персональных данных обязан:

предоставлять оператору достоверные персональные данные;

информировать оператора об уточнении своих персональных данных.

Лица, передавшие оператору недостоверные сведения о себе, а также сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством.

    18. Для реализации прав, предусмотренных пунктом 16 настоящей политики, субъект персональных данных обращается к оператору с заявлением в письменном виде с отражением следующих сведений:

фамилии, собственного имени, отчества (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

даты рождения субъекта персональных данных;

идентификационного номера субъекта персональных данных, при отсутствии такого номера – номера документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложения сути требований субъекта персональных данных;

личной подписи субъекта персональных данных.

ГЛАВА 7

ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

    19. Оператор обязан:

обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь;

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

при необходимости получать согласие субъекта персональных данных на обработку персональных данных до начала их обработки;

обеспечивать защиту персональных данных в процессе их обработки;

принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;

рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы;

уточнять персональные данные, за исключением случаев, когда порядок внесения изменений в них установлен законодательными актами либо если цели обработки персональных данных не предполагают их последующих изменений;

предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;

осуществлять изменение, блокирование и (или) удаление недостоверных и (или) незаконно полученных персональных данных по требованию Национального центра по защите персональных данных, если иное не установлено законодательными актами;

исполнять требования Национального центра по защите персональных данных об устранении нарушений законодательства о персональных данных;

выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

    20. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

определяет угрозы безопасности при их обработке;

принимает правовые акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

назначает лиц, ответственных за обеспечение безопасности персональных данных;

создает необходимые условия для работы с персональными данными;

организует учет документов, содержащих персональные данные;

организует работу с информационными системами, в которых обрабатываются персональные данные;

хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним третьих лиц;

организует обучение своих работников, осуществляющих обработку персональных данных.

    21. Оператор имеет право:

получать от субъекта персональных данных достоверные информацию и (или) документы, их содержащие, в рамках, определенных нормативными правовыми актами, указанными в пункте 7 настоящей политики;

запрашивать у субъекта персональных данных информацию об актуальности и достоверности сведений в части, его касающейся;

продолжать обработку персональных данных субъекта при наличии оснований, установленных в Законе, в случае отзыва субъектом согласия на обработку;

передавать персональные данные третьим лицам в установленных случаях с соблюдением требований законодательства;

определять при обработке персональных данных состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных нормативными правовыми актами, если иное не предусмотрено Законом.

ГЛАВА 8

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

    22. Настоящая политика вступает в силу со дня ее утверждения директором предприятия.

  23. Оператор имеет право изменять настоящую политику в одностороннем порядке без согласования с субъектами персональных данных с доведением изменений до их сведения.

    24. Иные вопросы, касающиеся обработки персональных данных и не предусмотренные в настоящей политике, регулируются законодательством.