Витебск, пр-т Московский, 86
Орша, ул. Мира, 10

Положение об обработке и защите персональных данных

Положение об обработке и защите  персональных данных
Навигация

    УТВЕРЖДЕНО
    Директор  
ООО «Витфалия - ПромтехСервис»
Краузе К.В __________________
    «___»________________2023г.

ПОЛОЖЕНИЕ
об обработке и защите  персональных данных
в обществе с ограниченной ответственностью 
«Витфалия - ПромтехСервис»

ГЛАВА1 
ОБЩИЕПОЛОЖЕНИЯ

1. Настоящее Положение об обработке и защите персональных данных (далее-Положение) определяет порядок обработки персональных данных общества с ограниченной ответственностью «Витфалия - ПромтехСервис» (далее – Общество), включая порядок сбора, хранения, использования, передачи и защиты персональных данных.
2. Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы граждан при обработке персональны хданных, сохранение конфиденциальности персональных данных и их защиту.
3. Положение и изменения к нему утверждаются приказом директора Общества.
4. Положение является локальным правовым актом Общества, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.
5. Положение разработано на основе и во исполнение:

  • Конституции Республики Беларусь;
  • Трудового кодекса Республики Беларусь;
  • Закона Республики Беларусь от 07.05.2021 N99-З "Озащите персональныхданных" (далее - Законо защитеперсональныхданных);
  • Закона Республики Беларусь от 10.11.2008 N455-З "Обинформации, информатизации и защитеинформации";
  • Указа Президента Республики Беларусь от 28.10.2021 N422 "Омерахпо совершенствованиюзащитыперсональных данных";
  • иных нормативных правовых актов Республики Беларусь.

ГЛАВА 2
ОСНОВНЫЕ ПОНЯТИЯ


6. В настоящем Положении используются следующие основные понятия и термины:
     Блокирование персональных данных и прекращение доступа к персональным данным без их удаления;
     Обезличивание персональных данных идействия, в результате которых становится невозможным без использования дополнительной информацииопределить принадлежность персональных данных конкретному субъекту персональных данных;
     Обработка персональных данных и любое действие или совокупность действий, совершаемых с персональными данными,включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
     Обработка    персональных    данных    с    использованием средств автоматизации и обработка персональныхданных спомощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только    на том     основании,    что     персональные    данные    содержатся в информационной системе персональных данных либо были извлечены из нее;
     Обработка персональных данныхбезиспользованиясредств автоматизации идействия с персональными данными, такие какиспользование, уточнение, распространение,уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналыи др.);
     Общество или Оператор –общество с ограниченной ответственностью "Витфалия - ПромтехСервис", расположенное по адресу: 210038, г.Витебск, проспект Московский, 86;
     Персональные    данные    и    любая    информация,    относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
     Предоставлениеперсональных данных идействия, направленные наознакомление с персональнымиданными определенного лица или круга лиц; 
     Распространение персональных данных    идействия, направленные на ознакомление с персональнымиданными неопределенного круга лиц;
     Специальные персональные данные иперсональныеданные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональныхсоюзах, религиозных или других убеждений, здоровья или половой    жизни, привлечения к  административной или уголовной ответственности, а также биометрические и генетические персональные данные; 
     Сервисы и любые сервисы, продукты, программы, мероприятия, услуги Общества;
     Субъект персональныхданных и физическое лицо, к которому относятся обрабатываемыеОбществомперсональныеданные,втомчислефизическое лицо,неявляющеесяработникомОбщества,ккоторомуотносятся обрабатываемыеперсональные данные;
     Удаление персональных данных и действия, в результате которых становится невозможным восстановить персональныеданные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
     Физическое лицо, которое может быть идентифицировано и физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.  Общество    обрабатывает    персональные    данные    следующих категорий субъектов:
     кандидатов на рабочие места;
     работников  Общества; 
     родственников работников;
     физических лиц– контрагентов Общества;
     физических лиц- потенциальных контрагентов Общества; 
     физических лиц, представляющих интересы иных физических лиц;
     иных субъектов, взаимодействие которых с Обществомсоздает необходимость    обработки    персональных данных, включая посетителей Общества, посетителей сайтов, сервисов Общества; 
     лиц, предоставивших Обществу персональные данные при отправке отзывов, обращений, путем заполнения анкет в ходе проводимых Обществом рекламных и иных мероприятий; 
     лиц, предоставивших персональные данные Обществуиным путем.

ГЛАВА 4
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

8. Перечень персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Обществареализовать свои права иобязанности, а также права и обязанности соответствующего субъекта.
9. Персональные данные родственников работников включают: 
     фамилию, имя, отчество (если таковое имеется);
     дату рождения;
     гражданство;
     сведения о семейном положении работников и составе семь и работников с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
     сведения о регистрации по месту жительства(включая адрес, дату регистрации);
     сведения о месте фактического проживания;
     контактные данные (включая номера рабочего, домашнего и/или мобильного телефона,электронной почты и др.);
     сведения о состоянии здоровья (при предоставлении социальных отпусков).
10. Персональные данные кандидатов на рабочие места включают:
     фамилию, имя, отчество(если таковое имеется);       
     год рождения; 
     паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
     пол;
     сведения о месте фактического проживания;
     сведения об образовании, повышении квалификациии, профессиональной переподготовке, ученой степени, ученом звании;
     сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
     специальность, профессию, квалификацию; 
     биометрические персональныеданные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
     контактные данные (включая номера телефонов, адрес электронной почты и др.);
     иные данные, которые могут быть указаны в резюме или анкете кандидата.
11. Персональныеданные работников Общества включают:
     фамилию, имя, отчество( а также все предыдущие фамилии); 
     дату рождения;
     гражданство;
     паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, идентификационный номер, дата выдачи, наименование органа, выдавшего документ, и др.);
     пол;
     адрес регистрации (места пребывания);
     биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
     сведения о социальных льготах и выплатах;
     контактныеданные(включаяномера телефонов, адрес электроннойпочты и др.);
     сведения медицинскогохарактера(в    случаях, предусмотренных законодательством);
     номер и серию страхового свидетельства государственного социального страхования;
     иные данные, необходимые для исполнения взаимных прав и обязанностей в соответствии с законодательством.
12. Персональные данные физических лиц – пациентов Обществаи физических лиц – потенциальных пациентов Общества, а также физически елица, представляющие интересы иныхфизических лиц включают:
     фамилию, имя, отчество;
     дата рождения;
     паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, идентификационный номер, дата выдачи, наименование органа, выдавшего документ, и др.);
     сведения о регистрации по месту жительства (включая адрес, дату регистрации);
     контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
     иные данные, необходимые для исполнения прав и обязанностей Общества.
13. Персональные данныеиных субъектов включают:
     фамилию,имя, отчество;
     контактные данные (включая номера домашнего и/или мобильного телефона, адрес электронной почты и др.);
     паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
     сведения о регистрации по месту жительства (включая адрес, дату регистрации);
     иные данные, необходимые для исполнения прав и обязанностей Общества.
14. Общество использует следующие сервисы для веб-аналитики:
- Яндекс. Метрика, предоставляемый компанией Яндекс;
Используемые сервисами файлы cookieне идентифицируют пользователей, а собирают анонимную статистику о взаимодействии пользователей с Сайтом, в целях улучшения функциональности Сайта. 

ГЛАВА 5
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

15. Обработка персональных данных субъектов основывается на следующих принципах:
     обработка персональных данных осуществляется в соответствии с Законом о защите персональных данных и иными актами законодательства;
     обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
     обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
     обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;
     содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.
     Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
     Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
     Общество обязано принимать меры по обеспечению:
     достоверности обрабатываемых им персональных данных, при необходимости обновлять их. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

ГЛАВА 6
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

16. Обработка персональных данных субъектов персональных данных осуществляется в следующих целях:
     осуществления    хозяйственной деятельности, осуществление и выполнение функций, полномочий и обязанностей, предусмотренных Уставом Общества, законодательством Республики Беларусь и международными договорами Республики Беларусь;
     рассмотрения возможности трудоустройства кандидатов; 
     ведения кадрового резерва;
     проверки кандидатов (в том числе их квалификации и опыта работы); 
     организациии сопровождения деловых поездок;
     выдачи доверенностей и иных уполномочивающих документов; 
     проведения обучающих, рекламных и иных мероприятий и обеспечения участия в них субъектов персональных данных;
     осуществления коммуникаций с субъектами персональных данных; 
     отправки субъектам персональных данных уведомлений, сообщений рекламно-информационного характера;
     проведения Обществом акций, опросов, интервью, тестирований на сайтах и сервисах Общества;
     контроля и улучшения работы сайтов и сервисов Общества;
     регистрациии обслуживания аккаунтов на сайтах и в сервисах Общества;
     обработки запросов и обращений, в том числе обращений с претензиями и предоставление информации по запросам и обращениям;
     предоставления информации в связи с требованиями законодательства;
     ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
     оформления трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
     получения персональных данных Обществом на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
     обработки персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
     предоставления информации работникам Общества, в том числе в целях ведения управленческого учета;
     защиты жизни, здоровья, обеспечения личной безопасности субъектов персональных данных, обеспечения сохранности имущества субъектов персональных данных и обеспечения иных жизненно важных интересов субъектов персональных данных или иных лиц;
     информировании контрагентов по вопросам, связанным с заключением, исполнением, сопровождением, прекращением заключенного (заключаемого) договора с Обществом;
     организациии обеспечения внутри объектового режима для сотрудников;
     обеспечения охраны помещений, сейфов, сохранности документов, денежных средств, ценностей и оборудования;
     в иных целях, вытекающих из требований законодательства или заключаемых (заключенных) Обществом договоров.

ГЛАВА 7
СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

17. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка персональных данных осуществляется без получениятакого согласия.
Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого онразрешает обработку своих персональных данных.
18. Согласие субъекта персональных данных может быть получено:
     в письменной форме;
     в виде электронногодокумента; 
     в иной электронной форме.
19. В иной электронной форме согласие субъекта персональных данных может быть получено посредством:
     проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
     других способов, позволяющих установить факт получения согласия субъекта персональных данных.
20. До получения согласия субъекта персональных данных Общество в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязана предоставить субъекту персональных данных информацию,содержащую:
     наименование и местонахождения Общества; цели обработки персональных данных;
     перечень персональных данных,на обработку которых дается согласие субъекта персональных данных;
     срок, накоторый дается согласие субъекта персональных данных; информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
     перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Обществом способов обработки персональных данных;
     иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
     До получения согласия субъекта персональных данных Общество обязано простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена Обществом субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
     Субъект персональных данных при даче своего согласия Обществу указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера-номер документа, удостоверяющего его личность, за исключением случая, предусмотренного частью второй настоящего пункта.
     Если цели обработки персональных данных не требуют обработки указанной информации, эта информация не подлежит обработке Обществом при получении согласия субъекта персональных данных.
21. В ходе обработки с персональными данными могут совершаться любые действия или совокупность действий, включая: сбор, просмотр, запись, систематизация, накопление, хранение, копирование, в том числерезервное копирование, загрузка (скачивание), анализ, обобщение, уточнение (обновление, изменение), извлечение,использование, распространение, предоставление конкретным третьим лицам, блокирование, удаление, уничтожение, обезличивание. Вышеуказанные действия совершаются исключительно в целях, указанных впункте 16 настоящего Положения.
22. Срок, на который дается согласие субъекта персональных данных: работников – на время действия трудового договора, пациентов – в течение 3 (трёх) лет со дня его подписания пациентом либо до момента отзыва настоящего согласия или прекращения его действия по иным правовым основаниям согласно законодательству Республики Беларусь.
23. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением следующихслучаев:
     если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
     при оформлении трудовых (служебных) отношений, а такжев процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
     для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
     для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
     при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
     для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц,если получение согласия субъекта персональных данных невозможно;
     в случаях, когда настоящим Законом и иными законодательными актами прямо предусматривается обработка персональных данных безсогласия субъекта персональных данных.
     Общество не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных и иных убеждений, здоровья, половой жизни, привлечения к административной или  уголовной ответственности, за исключением случаев, когда получено согласие субъекта персональных данных, а также случаев, установленных законодательством, когда согласие субъекта персональных данных на обработку не требуется.

ГЛАВА 8
ОБЩЕЕ ОПИСАНИЕ ИСПОЛЬЗУЕМЫХ ОБЩЕСТВОМ СПОСОБОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

24. Персональные данные работника Общества могут быть получены: 
     от самого работника непосредственно;
     от предыдущего нанимателя работника (в случае запроса характеристики с предыдущего места работы);
     от государственных органов и организаций.
     Если иное не установлено     Законом о защите персональных данных, Общество в праве получать персональные данные субъекта персональных данных от третьих лиц только при наличии согласия субъекта на получение его персональных данных от третьих лиц.
25.Общество обрабатывает персональные данные следующими способами:
а) не автоматизированная обработка персональных данных;
б) автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без такой передачи;
в) смешанная обработка персональных данных.
26. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
     Документы, содержащие персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
     Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде в неприменяемых Обществом информационных систем и специально  обозначенных баз данных (вне системное хранение персональных данных) недопускается.
     Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгод о приобретателем или поручителем, является субъект персональных данных.
     Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения. Персональные данные, содержащиеся в документах на бумажных носителях, уничтожаются с использованием шредера, содержащиеся в электронном виде  - удаляются.
     Уничтожение персональных данных оформляется актом об уничтожении (удалении), который согласовывается лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в Обществе.
     При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
27. Персональные данные обрабатываются и используются для целей, указанных в Положении.
     Доступ к персональным данным предоставляется только тем работникам Общества, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работыс соответствующими данными. Перечень таких лиц определяется Обществом.
     В    случае возникновения    необходимости предоставить доступ к персональным данным работникам,невходящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора Общества или его заместителем, уполномоченного на это директором Общества. Соответствующие работники должны быть ознакомлены под подпись совсеми локальными правовыми актами Общества в области персональных данных, а также должны подписать обязательство неразглашения персональных данных.
Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются путем ознакомления с настоящим Положением и иными локальными правовыми актами по вопросам защиты персональных данных о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Положением.
     Работникам Общества, не осуществляющим обработку персональных данных, доступк персональным данным запрещается.
     При необходимости использования определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих использованию, способом, исключающим одновременное копирование персональных данных, неподлежащих использованию,и используется соответствующая копия персональных данных.
     Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это недопускается техническими особенностям и материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
28. Передача персональных данных субъектов контрагентам Общества и третьим лицам допускается только в соответствии с требованиями законодательства, а также в целях выполнения задач, соответствующих объективной причине сбора этих данных.
     Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.
     Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
     Трансграничная передача персональных данных осуществляется исключительно для целей направления в служебную командировку работников Общества за границу.
     Лица, получающие персональные данные от Общества, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Общество в праве требовать от этих лиц подтверждение того,что это правило соблюдено.
     В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
     Все поступающие запросы, содержащие персональные данные или касающиеся персональных данных, должны передаваться лицу, ответственному за организацию обработки персональных данных в Обществе, для предварительного рассмотрения и согласования.
29. Общество в праве поручить обработку персональных данных уполномоченному лицу.
     Обществом заключены договоры с уполномоченными лицами на оказание услуг системного администрирования, услуг по поддержке и обслуживанию сайтов, услуг по использованию Программного обеспечения, услуг по использованию программ для ЭВМ на основании простой неисключительной лицензии (Битрикс-24).
В договоре между Обществом и уполномоченным лицом должны быть определены:
     цели обработки персональных данных;
     перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
     обязанности по соблюдению конфиденциальности персональных данных;
     меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
     Уполномоченное лицо необязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает Общество.
В случае если Общество поручает обработку персональных данных уполномоченномулицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Уполномоченное лицо несет ответственность перед Обществом.

ГЛАВА 9
ЗАЩИТА ПЕРСОНАЛЬНЫХДАННЫХ

30. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
     обеспечение    защиты    информации    от    неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действийвотношениитакой информации;
     соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.
31. Для    защиты    персональных    данных    Обществопринимает необходимые предусмотренные закономмеры (включая, но не ограничиваясь):
     ограничивает и регламентирует состав работников, функциональные обязанности    которых    требуют    доступа    к    информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
     обеспечивает условия для хранения документов содержащих персональные данные, в ограниченном доступе;
     организует    порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
     контролирует    соблюдение    требований     по обеспечению защиты персональных данных, в том числе установленных настоящим Положением (путем проведениявнутренних проверок, установления специальных средств мониторинга и др.);
     проводит расследованиес лучаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
     внедряет программные и технические средства защиты информации в электронном виде;
     обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
32.     Для защиты персональных данных при их обработке в информационных системах Общество проводит необходимые предусмотренные законом мероприятия (включая, но не ограничиваясь):
     определение угроз безопасности персональных данных при их обработке;
     применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных;
     учет машинных носителей персональных данных;
     обнаружение фактов несанкционированного доступа к персональным данными принятие мер;
     восстановление    персональных    данных,    модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
     установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а так же обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
33. В Обществе назначаются лица,ответственные за организацию внутреннего контроля за обработкой персональных данных.
34. В Обществе принимаются иные меры, направленные на обеспечение выполнения обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.

ГЛАВА 10
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
35. Субъект    персональных    данных    имеет    право    путем    подачи письменногозаявления:

  • в любое время отозвать согласие на обработку его персональных данных;
  • требовать бесплатного прекращения обработки своих персональных данных, включая их удаление;
  • получать информацию, касающуюся обработки персональных данных, в том числе информацию об уполномоченных лицах, осуществляющих обработку его персональных данных;
  • требовать внесения изменений в свои персональные данные;
  • получать информацию о предоставлении своих персональных данных третьим лицам втечение года, предшествовавшего дате подачи заявления, один раз в календарный год бесплатно;
  • обжаловать    действия    (бездействие)    и    принятые решения, нарушающие его права при обработке персональных данных, в Национальный центр защитыперсональных данных Республики Беларусь.

36. Заявление субъекта персональных данных для реализации прав, указанных в пункте 35 Положения, должно содержать:
     фамилию,собственноеимя,отчество (если таковое имеется); 
     адрес места жительства (места пребывания);
     дату рождения; 
     идентификационный номер; 
     изложение сутит ребований;
     личную подпись.

ГЛАВА 11
ПРАВАИ ОБЯЗАННОСТИ ОБЩЕСТВА
37. Общество вправе:
     устанавливать правила обработки персональных данных в Обществе, вносить изменения и дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Общества;
     получать от субъекта персональных данных достоверныеинформацию и/или документы, содержащиеперсональные данные;
     запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
     отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований дляобработки, предусмотренных Закономозащите персональных данныхзаконодательствомРеспубликиБеларусь,втомчисле если они являются необходимыми длязаявленных целей их обработки, с уведомлением об этом субъекта персональных данныхв пятнадцатидневный срок;
     осуществлять    иные    права, предусмотренные законодательством Республики Беларусь и локальными правовыми актам и Общества в области обработки и защиты персональных данных.
38. Общество обязано:
     разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
     получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
     обеспечивать защиту персональных данных в процессе их обработки;
     предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
     вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
     прекращать обработку персональных данных, а так же осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
     уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
     осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
     исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
     выполнять иные обязанности, предусмотренны енастоящим Законом и иными законодательными актами.

ГЛАВА 12
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

39. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются законодательством Республики Беларусь.
40. В случае если какая-либо норма Положения признается противоречащей законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
41. Общество имеет право по своему усмотрению изменятьи (или) дополнять настоящее Положение без предварительного и (или) последующего уведомления субъектов персональных данных. Действующая редакция Положения постоянно доступнана сайте: https://tiamomed.by/

     

Меню сайта
Свяжитесь с нами