Положение об обработке персональных данных

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение, разработанное в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Гражданским кодексом Республики Беларусь, Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», Законом Республики Беларусь от 10.11.2008 №455-З «Об информации, информатизации и защите информации», иными нормативными правовыми актами Республики Беларусь и локальными правовым актами Общества с ограниченной ответственностью «ЭльПорта» (далее – организация), определяет цели, принципы, условия и порядок обработки персональных данных в организации, меры по обеспечению режима их защиты, права и обязанности субъектов персональных данных, права, обязанности и ответственность лиц, осуществляющих обработку персональных данных, а также направлено на обеспечение прозрачного характера обработки персональных данных в организации.

2. Для целей настоящего Положения применяются термины в значениях, определенных в Законе Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон).

3. Организация вправе имеет право по своему усмотрению изменять и/или дополнять условия настоящего Положения без предварительного и/или последующего уведомления субъектов персональных данных. Действующая редакция Положения постоянно доступна по адресу: https://elporta.by.

ГЛАВА 2. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. Организация является оператором, осуществляющим обработку персональных данных в целях:

- обеспечения соблюдения законодательства Республики Беларусь;
- обеспечения выполнения трудовых договоров (контрактов) с работниками;
- обеспечения личной безопасности работников;
- введения кадрового делопроизводства;
- ведения бухгалтерского, налогового и статистического учета;
- обработки информации (резюме) кандидата на трудоустройство в организацию;
- заключения, исполнения, изменения и расторжения гражданско-правовых договоров;
- рассмотрения обращений субъектов персональных данных;
- рассмотрения обращений субъектов персональных данных, направляемых через интернет-сайт организации, расположенный в глобальной компьютерной сети Интернет по адресу: https://elporta.by (далее – Сайт).
- обеспечения работы Сайта, а именно оценки и анализа эффективности работы Сайта, формирования статистической информации и аналитики работы Сайта.

5. Правовыми основаниями обработки персональных данных в организации являются:

- в рамках цели 1 – абз. 20 ст. 6 Закона;
- в рамках целей 2 – 5 – абз. 7, 8, 11 ст. 6 Закона;
- в рамках цели 7 – абз. 15 ст. 6 Закона;
- в рамках цели 8 – абз. 16 ст. 6 Закона;
- в рамках целей 6, 9, 10 – п. 3 ст. 4 Закона.

6. Категории субъектов персональных данных, чьи данные обрабатываются в организации:

- работники, в том числе уволенные, а также их родственники;
- кандидаты на трудоустройство;
- физические лица – стороны по гражданско-правовому договору;
- физические лица, направившие обращение;
- пользователи Сайта.

7. Перечень обрабатываемых персональных данных закреплен в приложении №1 к настоящему Положению и является его неотъемлемой частью. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в настоящем Положении целям.

8. Реестр обработки персональных данных закреплен в приложении №4 к настоящему Положению и является его неотъемлемой частью.

ГЛАВА 3. ПРИНЦИПЫ, УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ СРОКИ ИХ ХРАНЕНИЯ

9. Принципы обработки персональных данных в организации:

- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработка персональных данных, не совместимая с целями сбора персональных данных не допускается;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обработке подлежат только те персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

10. Условия обработки персональных данных:

- обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством. Получение согласия осуществляется в соответствии с Законом, а также настоящим Положением.
- обработка персональных данных необходима для:
- выполнения возложенных на организацию функций, полномочий и обязанностей;
- осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
- исполнения договора в рамках трудовых и/или гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
- осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с законодательством.

11. Персональные данные обрабатываются следующими способами:

- неавтоматизированная обработка: обработка персональных данных работниками организации;
- автоматизированная обработка: с помощью ПЭВМ и специальных программных продуктов;
- смешанная обработка персональных данных.

12. Порядок обработки персональных данных:

- получение оригиналов необходимых документов, предоставляемых субъектами персональных данных;
- получение заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
- формирование персональных данных в ходе кадровой работы;
- получение информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- получение персональных данных в ответ на запросы, направляемые организацией в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
- получение персональных данных из общедоступных источников;
- фиксация (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесение персональных данных в информационные системы организации;
- распространение персональных данных в программных продуктах организации в рамках исполнения гражданско-правовых договоров;
- использование иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой организацией деятельности;
- хранение персональных данных;
- предоставление персональных данных третьим лицам в рамках исполнения гражданско-правовых договоров;
- удаление персональных данных по истечению сроков их хранения, а также при поступлении соответствующего запроса субъекта персональных данных.

13. Организация вправе поручить обработку персональных данных другому лицу исключительно на основании заключаемого с этим лицом договора.

14. Перечень лиц, уполномоченных на обработку персональных данных, закреплен в приложении №3 к настоящему Положению и является его неотъемлемой частью.

15. В организации уполномоченное лицо осуществляет обработку персональных данных в целях введения кадрового делопроизводства и ведения бухгалтерского, налогового и статистического учета в объемах, уставленных Перечнем персональных данных, обработку которых осуществляет организация.

16. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством о защите персональных данных и настоящим Положением.

17. Персональные данные в организации хранятся на бумажных носителях и в электронном виде.

18. Хранение текущей документации и оконченной производством документации, содержащей персональные данные, осуществляется по юридическому адресу организации, а также в помещениях, предназначенных для хранения отработанной документации.

19. В организации установлены следующие сроки хранения персональных данных:

- для целей обеспечения соблюдения законодательства Республики Беларусь – в рамках установленных законодательством сроков;
- для целей трудовых правоотношений – 75 лет после прекращения трудовых отношений за исключением случаев, указанных в Реестре обработки персональных;
- для целей исполнения гражданско-правовых договоров – в течение срока действия договора, а также 10 лет после истечения его срока действия (если налоговыми органами проводилась проверка соблюдения налогового законодательства срок хранения снижается до 3 лет);
- для целей рассмотрения обращений – 1 год с даты поступления такого обращения.

20. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения. Хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

ГЛАВА 4. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

21. Организация обеспечивает защиту персональных данных при их обработке в соответствии с законодательством и локальными правовыми актами на основании принимаемых ими правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

22. Обеспечение безопасности персональных данных достигается путем:

- определения угроз безопасности персональных данных при их обработке;
- применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
- проведения проверки соответствия законодательству в области обработки и защиты персональных данных применяемых мер защиты информации и оценки их эффективности;
- обнаружения фактов несанкционированного доступа к персональным данным и принятия соответствующих мер;
- восстановления персональных данных, измененных или удаленных вследствие несанкционированного доступа к ним;
- внутреннего контроля соблюдения законодательства и локальных правовых актов организации при обработке персональных данных;
- назначения лица, ответственного за обработку персональных данных в организации;
- установления порядка доступа к персональным данным в организации;
- проведение инструктажа с работниками организации по вопросам обработки персональных данных;
- прохождение обучения работников, непосредственно осуществляющих обработку персональных данных в организации.

23. Защита персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.

24. Защита персональных данных в организации предусматривает ограничение доступа к ним. Доступ к персональным данным без специального разрешения имеют только работники, допущенные к работе с персональными данными Приказом руководителя организации. Данным категориям работников в их должностные инструкции включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.

25. Порядок доступа к персональным данным организации закреплен в приложении №2 к настоящему Положению и является его неотъемлемой частью.

26. Для обеспечения безопасности персональных данных работников при неавтоматизированной обработке предпринимаются следующие меры:

Определяются места хранения персональных данных, которые оснащаются средствами защиты:
- в кабинетах, где осуществляется хранение документов, содержащих персональные данные работников, имеются сейфы, шкафы, стеллажи, тумбы.
- дополнительно помещения, где осуществляется хранение документов, оборудованы замками и/или системами охраны тревожной сигнализации.

27. Все действия по неавтоматизированной обработке персональных данных работников осуществляются только должностными лицами, согласно списку должностей, утвержденному Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

28. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

29. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

30. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

31. Меры защиты персональных данных при их автоматизированной обработке: персональные компьютеры, а также мобильные телефоны, имеющие доступ к базам хранения персональных данных, защищены паролями доступа, а также при возможности – антивирусной защитой. Пароли устанавливаются Ответственным за обработку персональных данных сотрудником и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных.

32. Трансграничная передача персональных данных организацией не осуществляется.

ГЛАВА 5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

33. Субъект персональных данных имеет право на:

- отзыв согласия;
- получение информации, касающейся обработки персональных данных, и изменение персональных данных;
- получение информации о предоставлении персональных данных третьим лицам;
- требование прекращения обработки персональных данных и (или) их удаления;
- обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.

34. Для реализации своих прав субъект персональных данных подает оператору заявление в письменной форме либо в виде электронного документа.

35. Заявление субъекта персональных данных должно содержать:

- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных (в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных);
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.

36. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

37. По вопросу реализации своего права субъект персональных данных может связаться с лицом, ответственным за обработку персональных данных в организации, по адресу электронной почты: pravo@elporta.by, а также номеру телефона: +375 29 641 30 30.

ГЛАВА 6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

38. Лица, виновные в нарушении законодательства и локальных правовых актов организации в области обработки персональных данных несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность согласно законодательству Республики Беларусь.

39. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством и локальными правовыми актами организации в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.

Приложение:
1. Перечень персональных данных, обработку которых осуществляет Общество с ограниченной ответственностью «ЭльПорта»;
2. Порядок доступа к персональным данным Общества с ограниченной ответственностью «ЭльПорта»;
3. Перечень лиц, уполномоченных на обработку персональных данных;
4. Реестр обработки персональных данных в Обществе с ограниченной ответственностью «ЭльПорта».

Замер