ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Открытое акционерное общество
УТВЕРЖДЕНО
«Минскремстрой»
Решение Дирекции
15.11.2021 № 12
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных в ОАО «Минскремстрой» (далее – Положение), разработанное в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Гражданским кодексом Республики Беларусь, Законом Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных», Законом Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации», иными нормативными правовыми актами Республики Беларусь и локальными правовыми актами ОАО «Минскремстрой», определяет цели, принципы, условия и правила обработки персональных данных в ОАО «Минскремстрой», меры по обеспечению режима их защиты, права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.
1.2. Положение является локальным правовым актом ОАО «Минскремстрой», обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.
1.3. ОАО «Минскремстрой» (далее – Общество) является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников и других субъектов персональных данных в целях:
осуществления и выполнения функций, полномочий и обязанностей, возложенных на Общество законодательством Республики Беларусь;
обеспечения соблюдения законодательства Республики Беларусь;
обеспечения выполнения трудовых договоров (контрактов) с работниками и гражданско-правовых договоров;
ведения кадрового делопроизводства;
содействия работникам в обучении и продвижении по службе;
ведения индивидуального (персонифицированного) учета застрахованных лиц;
ведения воинского учета;
ведения бухгалтерского и налогового учета;
начисления и перечисления заработной платы, назначения и выплаты пенсий и пособий;
обеспечения личной безопасности работников;
контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества;
обеспечения пропуска субъектов персональных данных на объекты Общества;
ведения переговоров, заключения и исполнения договоров;
организации корпоративного управления;
координирования взаимоотношений, возникающих между эмитентом, депозитарием, акционером;
ведения обработки данных по перечню лиц, имеющих акции;
заключения договоров найма жилых помещений;
осуществления учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещением расходов на электроэнергию, взыскания задолженности по данным платежам;
заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
выполнения социальных обязательств, а также в других целях, предусмотренных Уставом и локальными правовыми актами Общества.
1.4. Действия настоящего Положения не распространяются на отношения, касающиеся случаев обработки персональных данных:
физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного использования, не связанного с профессиональной или предпринимательской деятельностью;
отнесенных в установленном порядке к государственным секретам.
1.5. Директора филиалов и руководители структурных подразделений аппарата Общества несут персональную ответственность за обработку персональных данных, выполнение работниками требований законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных.
1.6. В настоящем Положении используются понятия согласно Закону Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных».
1.7. При приеме на работу работник должен быть ознакомлен с Положением под роспись до подписания трудового договора (контракта).
1.8. Положение размещено в свободном доступе на веб-сайте Общества mrs.by, а также по месту нахождения Оператора (Общества и его филиалов) по адресам:
г. Минск, ул. Интернациональная, 5 (аппарат ОАО «Минскремстрой»);
г. Минск, ул. Глаголева, 45 (РСФ Московского района);
г. Минск, ул. Рабкоровская, 14 (РСФ Октябрьского района);
г. Минск, ул. Я.Мавра, 49 (РСФ Фрунзенского района);
г. Минск, ул. Багратиона, 62 (Ремонтно-реставрационный филиал);
г. Минск, ул. Железнодорожная, 21а (филиал «Сантехгазмонтаж»);
г. Минск, ул. Смоленская, 49 (филиал «Электромонтажстрой»);
г. Минск, ул. Гурского, 11 (филиал «Спецтрансавто»);
г. Минск, ул. Харьковская, 3а (филиал «Завод строительных изделий»);
г. Минск, пер. Калининградский, 13а (Проектно-технический филиал);
г. Минск, ул. Широкая, 34 (Жилищно-эксплуатационный филиал);
Минский р-н, пос. Ждановичи (филиал «Оздоровительный комплекс «Спутник»).
1.9. Типовые формы документов, необходимые для обработки персональных данных, утверждаются настоящим Положением (прилагаются).
1.10. Объединенная организация профсоюза и первичные профсоюзные организации, действующие в Обществе, самостоятельно определяют порядок обработки персональных данных и обеспечивают защиту персональных данных, предоставляемых работниками, являющимися членами профсоюза и считаются операторами таких персональных данных. Общество оказывает объединенной организации профсоюза и первичным профсоюзным организациям необходимую помощь по защите персональных данных. Порядок обработки и защиты персональных данных членов профсоюза определяется соответствующим положением, утверждаемым профсоюзным комитетом.
1.11. В административных зданиях осуществляется видеофиксация и/или видеонаблюдение с целью предотвращения неконтролируемого перемещения материальных ценностей и предотвращения причинения вреда здоровью работников и посетителей Общества (филиала).
В помещениях административных зданий, где ведется видеосъемка и/или видеонаблюдение, устанавливаются предупреждающие знаки.
Видеозаписывающие материалы и/или видеонаблюдение обрабатываются в соответствии с законодательством лицом, ответственным за их обработку, которое определяется приказом генерального директора Общества (директора филиала).
Видеорегистрационные материалы и/или видеонаблюдение хранятся на серверном оборудовании Общества (филиала) не более 30 календарных дней. При необходимости срок хранения таких материалов может быть продлен по решению генерального директора Общества (директора филиала).
Доступ к видеозаписям и/или материалам видеонаблюдения имеют генеральный директор Общества (директор филиала); заместители генерального директора Общества (директора филиала); ответственные работники Общества (филиала), для которых обязанность по обработке таких материалов содержится в должностной (рабочей) инструкции; лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных; работники сторожевой охраны (сторожа, контролеры на контрольно-пропускном пункте), которые осуществляют мониторинг системы видеонаблюдения.
2. Состав и категории персональных данных,
обрабатываемых в ОАО «Минскремстрой»
2.1. Состав персональных данных, обрабатываемых в Обществе:
фамилия, собственное имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
число, месяц, год рождения;
место рождения;
сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства;
вид, серия, номер, код документа, удостоверяющего личность, дата выдачи, наименование (код) органа, выдавшего его;
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
номера домашних и мобильных телефонов или сведения о других способах связи;
реквизиты свидетельства социального страхования;
реквизиты свидетельства о браке;
сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Республики Беларусь;
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании (обучении), специальность по документу об образовании, квалификация);
сведения об ученой степени;
фотография работника;
сведения, содержащиеся в трудовом договоре (контракте), дополнительных соглашениях к трудовому договору (контракту), в приложениях к ним;
сведения о наличии или отсутствии судимости – только кандидатов для приема на работу (соискателей) – в случаях, определенных законодательством;
сведения о государственных наградах, иных наградах и знаках отличия;
сведения о переподготовке и (или) повышении квалификации;
результаты медицинского обследования (осмотра) работника на предмет годности к выполнению трудовых обязанностей;
сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат;
данные по акциям, принадлежащим акционерам;
сведения о жилых помещениях, находящихся в собственности;
другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 1.3 настоящего Положения.
2.2. Категории персональных данных, обрабатываемых в Обществе:
2.2.1. персональные данные, включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (корпоративные справочники, Доска почета, информационные, профсоюзные, поздравительные и другие стенды):
фамилия, собственное имя, отчество;
число, месяц, год рождения;
место работы;
занимаемая должность служащего (профессия рабочего);
номера мобильных телефонов;
адреса корпоративной электронной почты;
фотография работника;
2.2.2. персональные данные ограниченного доступа – персональные данные, перечисленные в пункте 2.1 настоящего Положения, за исключением персональных данных, перечисленных в подпункте 2.2.1 настоящего пункта;
2.2.3. специальные персональные данные, касающиеся состояния здоровья работников (обрабатываются в соответствии с требованиями Закона Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных» и Закона Республики Беларусь от 18 июня 1993 г. № 2435-XII«О здравоохранении»);
2.2.4. иные специальные персональные данные, в том числе биометрические персональные данные (обрабатываются в соответствии с требованиями законодательства Республики Беларусь).
2.3. Документы и (или) их копии, содержащие персональные данные:
анкета, автобиография, которые заполняются при приеме на работу (согласно Инструкции о порядке формирования, ведения и хранения личных дел работников, утвержденной постановлением Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26 марта 2004 г. № 2);
документ, удостоверяющий личность;
личная карточка работника, личный листок по учету кадров;
трудовая книжка;
свидетельство о заключении брака, рождении детей;
документы воинского учета;
справки о доходах с предыдущего места работы;
документы об образовании;
документы обязательного социального страхования;
медицинские справки о состоянии здоровья;
справки о правонарушениях;
справка-объективка, характеристика, аттестационный лист;
трудовой договор (контракт);
приказы по личному составу;
материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;
договор найма жилого помещения;
справки о занимаемом в данном населенном пункте жилом помещении и составе семьи;
справки о находящихся в собственности гражданина жилых помещениях;
копия лицевого счета;
отчеты, направляемые в органы статистики;
другие документы, содержащие персональные данные.
3. Принципы и условия обработки персональных данных
3.1. Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
обработке подлежат только те персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должен соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.2. Условия обработки персональных данных:
3.2.1. обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством. Получение согласия осуществляется в соответствии с Законом Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных»;
3.2.2. обработка персональных данных необходима для:
выполнения возложенных на Общество Уставом Общества функций, полномочий и обязанностей;
осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
исполнения договора в рамках трудовых и (или) гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.2.3. персональные данные, подлежащие опубликованию или обязательному раскрытию, обрабатываются в соответствии с законодательством.
4. Правила обработки персональных данных
4.1. Общие правила
4.1.1. Персональные данные обрабатываются в Обществе с использованием средств автоматизации и без использования таких средств, а также смешанным способом.
4.1.2. В случаях, установленных законодательством Республики Беларусь, основным условием обработки персональных данных является получение согласия (приложение 1) соответствующего субъекта персональных данных.
4.1.3 Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
4.1.4. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:
фамилию, собственное имя, отчество (если таковое имеется);
дату рождения;
идентификационный номер, а в случае отсутствия такового номера – номер документа, удостоверяющего личность;
подпись субъекта персональных данных.
Если цели обработки персональных данных не требуют обработки информации, эта информация не подлежит обработке Обществом при получении согласия субъекта персональных данных.
4.1.5. До получения согласия субъекта персональных данных Общество в письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставляет субъекту персональных данных информацию (приложение 2), содержащую:
наименование и место нахождение оператора, получающего согласие субъекта персональных данных;
цели обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
срок, на который дается согласие субъекта персональных данных;
информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых способов обработки персональных данных;
иную информацию, необходимую для прозрачности процесса обработки персональных данных.
4.1.6. До получения согласия субъекту персональных данных простым и ясным языком разъясняются его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.
Данные разъяснения (приложение 3) предоставляются субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
4.2. Сбор персональных данных
4.2.1. Сбор персональных данных осуществляется путем:
получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;
получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
формирования персональных данных в ходе кадровой работы;
получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
получения персональных данных в ответ на запросы, направляемые Обществом в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
получения персональных данных из общедоступных источников;
фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
внесения персональных данных в информационные системы и базы данных Общества;
использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.
4.2.2. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.
4.2.3. Если иное не установлено законодательством, Общество вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
4.2.4. Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:
наименование оператора и адрес его местонахождения;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные законом права субъекта персональных данных;
источник получения персональных данных.
4.3. Хранение персональных данных
4.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных, исключающие их утрату и неправомерное использование.
4.3.2. Персональные данные хранятся:
на бумажных носителях;
в электронных документах;
в форме компьютерных файлов;
в специализированных программах, обеспечивающих автоматическую обработку и хранение информации.
4.3.3. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
4.3.4. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических средств защиты.
4.3.5. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.3.6. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
4.3.7. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.
4.3.8. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.3.10. Для уничтожения персональных данных в Обществе (филиале) создается комиссия, в состав которой входят работники, которые допущены к обработке персональных данных, а также лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
4.3.11. Порядок уничтожение персональных данных определяется Обществом.
4.4. Использование
4.4.1. Персональные данные обрабатываются и используются для целей, указанных в п.1.3 Положения.
4.4.2. Доступ к персональным данным предоставляется только тем работникам Общества, должностные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется Обществом (филиалом).
4.4.3. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению генерального директора Общества (директора филиала). Соответствующие работники должны быть ознакомлены под роспись со всеми локальными правовыми актами Общества в области персональных данных, а также должны подписать обязательство о соблюдении установленного порядка обработки и неразглашении персональных данных(приложение 4).
4.4.4. Работникам Общества, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
4.4.5. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
4.4.6. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.5. Передача
4.5.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
4.5.2. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.
4.5.3. При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством, в частности, если:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором, который получил от Общества соответствующие данные;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
4.5.4. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
4.5.5. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
4.5.6. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Общество вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
4.5.7. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
4.5.8. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных в Обществе (филиале), для предварительного рассмотрения и согласования.
4.6. Поручение обработки
4.6.1. Общество вправе поручить обработку персональных данных уполномоченному лицу.
4.6.2. В договоре между Обществом и уполномоченным лицом, акте законодательства либо решении государственного органа должны быть определены:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона о защите персональных данных.
4.6.3. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает Общество.
4.6.4. В случае если Общество поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Уполномоченное лицо несет ответственность перед Обществом.
4.7. Защита
4.7.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.
4.7.2. Для защиты персональных данных Общество принимает необходимые предусмотренные законом меры (включая, но не ограничиваясь):
разрабатывает и утверждает локальные правовые акты о защите персональных данных;
определяет и закрепляет перечень персональных данных;
ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, ведет учет лиц, получивших доступ к персональным данным и (или) лиц, которым предоставлена или передана такая информация;
заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении установленного порядка обработки и неразглашении персональных данных, включает условия о правах, обязанностях и ответственности в области обработки и защиты персональных данных в должностные инструкции, трудовые договоры (контракты) и гражданско-правовые договоры, заключенные с этими лицами;
обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных;
ограничивает доступ к информации, содержащей персональные данные, закрепляет порядок обращения с этой информацией, особые условия хранения носителей и информации в электронном виде;
организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
контролирует соблюдение требований по обеспечению безопасности персональных данных (в том числе путем проведения внутренних проверок);
проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
внедряет программные и технические средства защиты информации;
4.7.3. Для защиты персональных данных при их обработке в информационных системах Общество проводит необходимые предусмотренные законом мероприятия (включая, но не ограничиваясь):
определение угроз безопасности персональных данных при их обработке;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.
4.7.6. В Обществе принимаются иные меры, направленные на обеспечение выполнения Обществом обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
4.7.7. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого и незаконного использования.
Перечень лиц, получающих доступ к персональным данным и осуществляющим их обработку, утверждается приказом генерального директора Общества (директора филиала).
Работники, получившие доступ к персональным данным:
должны быть ознакомлены с законодательством о защите персональных данных, об ответственности за его нарушение, локальными правовыми актами Общества в области обработки и защиты персональных данных;
подписывают обязательство о соблюдении установленного порядка обработки и неразглашении персональных данных.
4.7.8. Все документы, содержащие персональные данные, хранятся в режиме конфиденциальности. К ним имеют доступ только те лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей. Конфиденциальное делопроизводство исключает ознакомление с конфиденциальной информацией иных лиц, не имеющих такого доступа.
5. Права и обязанности субъектов персональных данных
5.1. Субъекты персональных данных имеют право на:
полную информацию о своих персональных данных, обрабатываемых подразделениями Общества;
доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством;
уточнение своих персональных данных, их блокирование или удаление в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;
извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;
отзыв согласия на обработку своих персональных данных;
обжалование в соответствии с законодательством действий Общества при обработке персональных данных или его бездействия;
осуществление иных прав, предусмотренных законодательством.
5.2. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
5.3. Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.
5.4. Субъекты персональных данных обязаны:
предоставить Обществу свои персональные данные в соответствии с законодательством Республики Беларусь и настоящим Положением;
своевременно информировать Общество об изменениях своих персональных данных;
осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных;
обеспечить конфиденциальность персональных данных других субъектов персональных данных в соответствии с требованиями законодательства и локальными правовыми актами Общества;
исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.
6. Права и обязанности работников
при работе с персональными данными при удаленной работе
6.1. Работники, которые обрабатывают документы и информацию с персональными данными в режиме удаленной работы обязаны:
в нерабочее время отключать доступ к удаленному рабочему столу через VPN, а также при кратковременном отсутствии на рабочем месте блокировать устройство (компьютер, ноутбук, планшет), которое является собственностью Общества;
немедленно информировать руководителя структурного подразделения или лицо, ответственное за организацию обработки персональных данных иосуществление внутреннего контроля за обработкой персональных данныхо фактах утраты (недостачи) документов (отдельных листов), содержащих персональные данные работников, а также при пересылке курьерскими службами или почтой;
незамедлительно сообщить ответственному лицу по технической защите персональных данных о попытке или факте взлома устройства;
убедиться, что на домашнем роутере настроено надежное шифрование (WPA2 и др);
вовремя обновлять пароли и программное обеспечение, по требованию системы;
устанавливать пароли повышенного уровня сложности или использовать двойную аутентификацию;
ограничить число подключаемых внешних устройств (USB, карт памяти, телефонов, внешних жёстких дисков и др.);
для обмена конфиденциальной информацией между работниками использовать только корпоративную почту.
6.2. Работникам, которые обрабатывают документы и информацию с персональными данными в режиме удаленной работы, запрещено:
разглашать свои индивидуальные пароли доступа к компьютерным, сетевым и иным информационным ресурсам;
использовать для сохранения персональных данных работников личные (не принадлежащие Обществу) компьютеры, а также ноутбуки, смартфоны, мобильные телефоны и съемные USB-накопители;
отправлять рабочие файлы (сканы, фотографии) на личную электронную почту и другие внешние адреса, в том числе с помощью мессенджеров;
использовать удаленный доступ к рабочему столу или компьютер, ноутбук, планшет, смартфон в личных целях;
устанавливать сторонние программы на устройство, которое находится в собственности Общества, без согласования с ним;
использовать Облачные хранилища в целях копирования рабочей конфиденциальной информации;
отключать или заменять Антивирусную защиту на устройстве, которое находится в собственности Общества;
отвечать на запросы, которые требуют предоставления персональных данных работников, без согласования с Обществом (филиалом);
допускать к удаленному рабочему столу или устройству, которое находится в собственности Общества, третьих лиц.
7. Права и обязанности ОАО «Минскремстрой»
7.1. Общество обязано принимать необходимые и достаточные меры для выполнения обязанностей Общества как оператора, предусмотренных законодательством:
назначать лиц, ответственных за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных;
издавать документы, определяющие политику Общества в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также иные локальные правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
разъяснять субъектам персональных данных их права, связанные с обработкой персональных данных, а также юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством;
вносить изменения в персональные данные, которые являются неполными, устаревшими, неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством;
уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;
представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством и локальными правовыми актами Общества;
осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным правовым актам Общества;
проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношения указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством в области обработки и защиты персональных данных;
сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях;
исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
исполнять иные обязанности, предусмотренных Законом о персональных данных и иными актами законодательства.
7.2. Общество вправе:
устанавливать правила обработки персональных данных в Обществе, вносить изменения и дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Общества как оператора;
получать достоверные персональные данные от субъектов персональных данных;
привлекать к дисциплинарной, материальной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных;
осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.
7. Ответственность за нарушение норм,
регулирующих обработку и защиту персональных данных
7.1. Лица, виновные в нарушении законодательства и локальных правовых актов Общества в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.
7.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством и локальными правовыми актами Общества в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Открытое акционерное общество
УТВЕРЖДЕНО
«Минскремстрой»
Решение Дирекции
15.11.2021 № 12
1. Общие положения
1.1. Настоящая Политика ОАО «Минскремстрой» (юридический и почтовый адрес: 220030, г. Минск, ул. Интернациональная, д. 5) в отношении обработки персональных данных (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ОАО «Минскремстрой» персональных данных, функции ОАО «Минскремстрой» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ОАО «Минскремстрой» требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных и во исполнение требований абз.3 п.3 ст.17 Закона Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон о персональных данных) в целях соблюдения законодательства Республики Беларусь о персональных данных, обеспечения защиты интересов субъектов персональных данных, прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в ОАО «Минскремстрой» вопросы обработки персональных данных работников ОАО «Минскремстрой» и других субъектов персональных данных.
1.4. Политика вступает в силу с даты ее утверждения и действует в отношении всех персональных данных, которые обрабатывает ОАО «Минскремстрой» (далее – Оператор).
1.5. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения Политики.
1.6. Текущая редакция Политики размещена в свободном доступе на веб-сайте Оператора mrs.by, а также по месту нахождения Оператора (Общества и его филиалов) по адресам:
г. Минск, ул. Интернациональная, 5 (аппарат ОАО «Минскремстрой»);
г. Минск, ул. Глаголева, 45 (РСФ Московского района);
г. Минск, ул. Рабкоровская, 14 (РСФ Октябрьского района);
г. Минск, ул. Я.Мавра, 49 (РСФ Фрунзенского района);
г. Минск, ул. Багратиона, 62 (Ремонтно-реставрационный филиал);
г. Минск, ул. Железнодорожная, 21а (филиал «Сантехгазмонтаж»);
г. Минск, ул. Смоленская, 49 (филиал «Электромонтажстрой»);
г. Минск, ул. Гурского, 11 (филиал «Спецтрансавто»);
г. Минск, ул. Харьковская, 3а (филиал «Завод строительных изделий»);
г. Минск, пер. Калининградский, 13а (Проектно-технический филиал);
г. Минск, ул. Широкая, 34 (Жилищно-эксплуатационный филиал);
Минский р-н, пос. Ждановичи (филиал «Оздоровительный комплекс «Спутник»).
1.7. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных) с использованием средств автоматизации или без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.), а также смешанным способом.
1.8. Политика обязательна для ознакомления лицами, передающими Оператору персональные данные. Проставляя отметку в поле сайта Оператора «Я согласен», со ссылкой на настоящую Политику, и (или) проставляя свою подпись в журнале ознакомления с настоящей Политикой, предоставляя свои персональные данные, работник выражает свое согласие на обработку его персональных данных на условиях, изложенных в настоящей Политике и подтверждает, что ознакомлен с настоящей Политикой и согласен с ее условиями.
1.9. Политика является неотъемлемой частью заключаемых с Оператором договоров, когда это прямо предусмотрено их условиями.
1.10. Политика применяется только к сервисам, процессам и сайту Оператора. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые субъекты персональных данных могут перейти по ссылкам, доступным на сайте Оператора.
1.11. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Правовые основания обработки персональных данных
2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
Конституция Республики Беларусь;
Гражданский кодекс Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Налоговый кодекс Республики Беларусь;
Закон о персональных данных;
иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
2.2. Правовым основанием обработки персональных данных также являются:
Устав Оператора;
договоры, заключаемые между Оператором и субъектами персональных данных;
согласие субъектов персональных данных на обработку их персональных данных.
2.3. В целях реализации положений политики Оператором разрабатываются соответствующие локальные правовые акты и иные документы, в частности:
Положение об обработке и защите персональных данных в ОАО «Минскремстрой»;
Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные;
иные локальные правовые акты и документы, регламентирующие в ОАО «Минскремстрой» вопросы обработки персональных данных.
3. Принципы и цели обработки персональных данных
3.1. Оператор осуществляет обработку персональных данных работников Оператора и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях.
3.2. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение всех заинтересованных лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.3. Обработка Оператором персональных данных осуществляется в целях:
обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;
осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
регулирования трудовых отношений с работниками Оператора;
ведения индивидуального (персонифицированного) учета застрахованных лиц;
ведения воинского учета;
ведения бухгалтерского и налогового учета;
начисления и перечисления заработной платы, назначения и выплаты пенсий и пособий;
осуществления деятельности на рынке ценных бумаг;
регулирования корпоративных правоотношений;
защиты жизни, здоровья и иных жизненно важных интересов субъектов персональных данных;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
осуществления гражданско-правовых отношений;
регулирования жилищных отношений;
обеспечения пропускного и внутриобъектного режимов на объектах Оператора;
формирования справочных материалов для внутреннего информирования обеспечения деятельности Оператора;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Оператора, либо достижения общественно значимых целей;
обработки иных обращений и запросов, получаемых от субъектов персональных данных;
в иных законных целях.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать перечисленные персональные данные следующих категорий субъектов персональных данных:
4.2.1. кандидаты для приема на работу к Оператору – фамилия, имя, отчество; пол; гражданство; дата и место рождения; контактные данные; сведения об образовании, опыте работы, квалификации; иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах;
4.2.2. работники и бывшие работники Оператора – фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); данные документа, удостоверяющего личность; идентификационный номер; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;
4.2.3. члены семьи работников Оператора – фамилия, имя, отчество; степень родства; год рождения; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;
4.2.4. клиенты и контрагенты Оператора (физические лица) – фамилия, имя, отчество; дата и место рождения; данные документа, удостоверяющего личность; идентификационный номер; адрес регистрации по месту жительства; контактные данные; номер расчетного счета; иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров;
4.2.5. представители (работники) клиентов и контрагентов Оператора (юридических лиц) – фамилия, имя, отчество; данные документа, удостоверяющего личность; контактные данные; занимаемая должность; иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров;
4.2.6. физические лица, являющиеся аффилированными лицами Оператора – фамилия, имя, отчество; место жительства; дата рождения; количество принадлежащих акций; иные персональные данные, предоставляемые субъектами персональных данных в соответствии с законодательством о хозяйственных обществах;
4.2.7. акционеры и их представители – фамилия, имя, отчество; данные документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; сведения об акциях и иные персональные данные, предоставляемые субъектами персональных данных в соответствии с законодательством, регулирующим вопросы рынка ценных бумаг;
4.2.7. лица, проживающие в общежитиях Оператора – фамилия, имя, отчество; дата рождения; данные документа, удостоверяющего личность; идентификационный номер; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; изображение (фотография); семейное положение, наличие детей; сведения о занимаемом в данном населенном пункте жилом помещении и составе семьи (копия лицевого счета); сведения о находящихся в собственности гражданина жилых помещениях; иные персональные данные, предоставляемые субъектами персональных данных в соответствии с требованиями жилищного законодательства;
4.2.8. иные лица, в отношении которых Оператор осуществляет обработку персональных данных в соответствии с требованиями законодательства.
4.3. Обработка Оператором биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
5. Функции, права и обязанности Оператора, основные права и обязанности субъекта персональных данных
5.1. Оператор при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в ОАО «Минскремстрой»;
осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
прекращает обработку и уничтожение персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
5.2. Оператор имеет право:
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
5.3. Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных и обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
вносить изменения в персональные данные, которые являются неполными, устаревшими, неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами;
сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные Законом о персональных данных и иными законодательными актами.
5.4. Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
в любое время без объяснения причин отозвать свое согласие на обработку персональных данных, направив Оператору заявление;
требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;
получить любые разъяснения по интересующим вопросам, касающимся его обработки персональных данных, обратившись к Оператору (в том числе с помощью электронной почты marsp@mrs.by);
осуществлять иные права, предусмотренные законодательством Республики Беларусь.
5.5. Субъект персональных данных обязан:
предоставлять Оператору достоверные данные о себе;
сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
6. Условия обработки персональных данных в ОАО «Минскремстрой»
6.1. Обработка персональных данных осуществляется Оператором в соответствии с законодательством Республики Беларусь и внутренними правилами и регламентами Оператора.
6.2. Обработка персональных данных в ОАО «Минскремстрой» осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
6.3. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
6.4. Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных, принципов и правил обработки персональных данных, предусмотренных Политикой Оператора и законодательством Республики Беларусь;
меры по обеспечению защиты персональных данных в соответствии со ст.17Закона о защите персональных данных.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.
6.5. В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
6.6. Оператор обязывает иных лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
6.7. В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, дата рождения, номер мобильного телефона, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
6.8. Доступ к обрабатываемым в ОАО «Минскремстрой» персональным данным разрешается только работникам, которые включены в перечни работников аппарата и филиалов ОАО «Минскремстрой», имеющих доступ к персональным данным, обрабатываемым Оператором.
6.9. Оператор передает персональные данные:
субъекту персональных данных – без ограничений, кроме случаев, прямо предусмотренных требованиями законодательства Республики Беларусь;
другим лицам – в случаях, предусмотренных требованиями законодательства Республики Беларусь.
6.10. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в п.1 и 4 ст.11, п.1 ст.12 Закона о персональных данных, предоставляются Оператором субъекту персональных данных при получении заявления субъекта персональных данных.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.
Если в заявлении субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Субъекту персональных данных может быть отказано в предоставлении информации в соответствии с п.3 ст.11 Закона о персональных данных.
7.2. Оператор в пятнадцатидневный срок после получения заявления:
о прекращении обработки персональных данных – удаляет их и уведомляет заявителя об этом. При отсутствии технической возможности удаления персональных данных Общество принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомляет об этом заявителя в этот же срок;
о внесении изменений в персональные данные – вносит изменения и уведомляет заявителя об этом либо уведомляет о причинах отказа во внесении таких изменений;
предоставляет заявителю информацию о том, какие персональные данные и кому предоставлялись в течение года предшествовавшего дате подачи заявления, либо уведомляет заявителя о причинах отказа в предоставлении такой информации.
7.3. Оператор вправе отказать заявителю в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом заявителя в пятнадцатидневный срок после получения заявления.
7.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных либо по его заявлению или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного заявления или запроса на период проверки.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (изменяет) персональные данные в течение 15 дней со дня представления таких сведений и снимает блокирование персональных данных.
7.5. В случае выявления неправомерной обработки персональных данных при получении заявления субъекта персональных данных либо запроса уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения заявления (запроса).
7.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных или законодательством.
8. Меры, принимаемые ОАО «Минскремстрой» для обеспечения выполнения обязанностей оператора при обработке персональных данных
8.1. Меры, необходимые и достаточные для обеспечения выполнения ОАО «Минскремстрой» обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ОАО «Минскремстрой»;
издание документов, определяющих политику Оператора в отношении обработки персональных данных;
ознакомление работников, непосредственно осуществляющих обработку персональных данных в ОАО «Минскремстрой», с положениями законодательства о персональных данных;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической защиты персональных данных;
обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;
прекращение обработки персональных данных при отсутствии оснований для их обработки;
незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
8.2. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
организует обучение работников Оператора, осуществляющих обработку персональных данных.
8.3. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.
9. Контроль за соблюдением законодательства Республики Беларусь и локальных правовых актов ОАО «Минскремстрой» в области персональных данных, в том числе требований к защите персональных данных
9.1. Контроль за соблюдением филиалами и структурными подразделениями аппарата ОАО «Минскремстрой» законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в филиалах и структурных подразделениях аппарата ОАО «Минскремстрой» законодательству Республики Беларусь и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
9.2. Внутренний контроль за соблюдением филиалами и структурными подразделениями аппарата ОАО «Минскремстрой» законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицами, ответственными за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных.
9.3. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных возлагается:
в филиалах ОАО «Минскремстрой» – на директоров филиалов;
в структурных подразделениях аппарата ОАО «Минскремстрой» – на руководителей структурных подразделений.
9.4. Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.
ПОЛИТИКА В ОБЛАСТИ КАЧЕСТВА
ПОЛИТИКА В ОБЛАСТИ ОХРАНЫ ТРУДА