ПОЛИТИКА
в отношении обработки
персональных данных
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее – Политика) в Открытом акционерном обществе «Красный Мозырянин» (далее – Общество, Оператор) определяет порядок, условия обработки и защиты персональных данных, которые могут быть получены Оператором от субъектов персональных данных.
1.2. Политика разработана во исполнение требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) и иных нормативных правовых актов Республики Беларусь.
1.3. Целью настоящей Политики является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения, соблюдение прав и свобод гражданина при обработке его персональных данных Обществом.
1.4. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов Общества, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
1.5. Актуальная редакция Политики размещена в свободном доступе в глобальной компьютерной сети Интернет на официальном сайте Общества.
1.6. Место нахождения Оператора: Республика Беларусь, 247802, Гомельская область, г. Наровля, ул. Фабричная, д. 2
2. Категории субъектов персональных данных.
Содержание и объем персональных данных
2.1. Оператор обрабатывает персональные данные, которые могут быть получены от следующих субъектов персональных данных:
работники Оператора, в том числе уволенные, а также их родственники;
кандидаты на занятие вакантных должностей Оператора;
контрагенты Оператора, являющиеся физическими лицами;
представители (работники) контрагентов Оператора, являющиеся юридическими лицами или индивидуальными предпринимателями;
потребители, посетители сайта Оператора;
лица, предоставившие свои персональные данные Оператору в соответствии с требованиями законодательства или локальных правовых актов Оператора, его вышестоящей организации;
иные лица, взаимодействие которых с Оператором создает необходимость обработки персональных данных.
2.2. Содержание и объем персональных данных каждой категории субъектов должны соответствовать заявленным целям их обработки, определяются необходимостью Оператора реализовать свои права и обязанности. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.3. Оператор обрабатывает в зависимости от цели обработки следующие персональные данные:
фамилия, имя, отчество (включая предыдущие);
дата рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
пол;
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте фактического проживания;
биометрические персональные данные (фотографии, изображения камер видеонаблюдения, записи голоса);
сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, дат рождения, мест работы и/или учебы;
номер и серию страхового свидетельства государственного социального страхования;
данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
учетный (идентификационный) номер налогоплательщика (при наличии);
сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
специальность, профессия, квалификация;
сведения о воинском учете;
сведения медицинского характера (в случаях, предусмотренных законодательством);
сведения о социальных льготах и гарантиях;
контактные данные (включая номера рабочего и/или мобильного телефона, электронную почту и др.);
иные данные, необходимые для исполнения взаимных прав и обязанностей между Оператором и субъектом персональных данных.
2.4. Оператор в случае необходимости для достижения целей обработки персональных данных вправе распространять (передавать) персональные данные с соблюдением требований законодательства.
3. Принципы обработки персональных данных
3.1. Работа с персональными данными основывается на следующих принципах:
обработка персональных данных осуществляется в соответствии с законодательством в области защиты персональных данных;
обработка персональных данных должна быть соразмерна заявленным целям их обработки;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.
Оператор обязан принимать меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости обновлять их.
4. Цели обработки персональных данных
4.1. Оператор осуществляют обработку персональных данных в следующих целях:
осуществление финансово-хозяйственной деятельности;
ведение кадрового делопроизводства, кадрового и воинского учета; подбор кандидатов на рабочие места;
организация производственной и преддипломной практики учащихся, студентов;
ведение бухгалтерского учета и налогообложение, начисление и выплата заработной платы;
назначение и выплата пенсий, пособий;
организация членства работников в профсоюзной организации; предоставление социальных льгот и гарантий работникам, в том числе уволенным и членам их семей;
организация ведения персонифицированного учета;
заполнение и предоставление форм отчетности, в том числе статистической;
осуществление гражданско-правовых сделок;
выдача доверенностей и иных уполномочивающих документов;
организация работы с обращениями граждан и юридических лиц;
организация и деятельность коллективов любительского художественного творчества;
обеспечение пропускного и внутриобъектового режимов;
ведение учета аффилированных лиц;
осуществление функций при исполнении требований законодательства в сфере борьбы с коррупцией;
осуществление полномочий и исполнение обязанностей в иных целях, не противоречащих законодательству.
5. Способы, порядок и условия обработки персональных данных
5.1. Способы обработки персональных данных Оператором:
без использования средств автоматизации;
с использованием средств автоматизации;
смешанная обработка с одновременным использованием средств автоматизации и без использования средств автоматизации.
5.2. Основанием для обработки персональных данных является свободное, однозначное, информированное согласие соответствующего субъекта персональных данных, за исключением случаев, установленных законодательством, когда обработка персональных данных осуществляется без получения такого согласия.
5.3. Допускается получение письменного согласия на обработку персональных данных путем проставления субъектом персональных данных соответствующих отметок (записей) в анкетах, бланках, заявлениях, договорах, а также в электронном виде.
5.4. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.
5.5. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
5.6. Персональные данные, хранящиеся в электронном виде, подлежат защите от несанкционированного доступа с помощью специальных технических и программных средств защиты информации. Не допускается хранение информации, содержащей персональные данные, в электронном виде вне применяемых Оператором информационных систем.
5.7. Хранение персональных данных осуществляется в течение сроков, установленных законодательством, локальными актами, локальными правовыми актами, распорядительными документами Оператора или договором, стороной которого является субъект персональных данных, а если такие сроки не установлены – до достижения целей обработки персональных данных.
5.8. При истечении установленных Оператором сроков хранения, а если такие сроки не установлены — до достижения целей обработки, либо в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта на обработку персональных данных, обрабатываемые персональные данные подлежат удалению или обезличиванию, за исключением случаев, если персональные данные подлежат дальнейшему хранению в силу требований законодательства.
5.9. Удаление персональных данных производится способом, исключающим дальнейшую их обработку. При этом в случае необходимости следует сохранять возможность обработки иных персональных данных, зафиксированных на соответствующем материальном (бумажном или электронном) носителе.
5.10. Доступ к персональным данным предоставляется работникам Оператора, обязанности которых предполагают работу с персональными данными, либо лицам, в установленном порядке их замещающим, и только на период, необходимый для работы с соответствующими данными.
511. Допуск к персональным данным включает:
ознакомление работника с законодательством о защите персональных данных, об ответственности за его нарушение;
принятие работником обязанности соблюдать режим конфиденциальности персональных данных.
5.12. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящим в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора Оператора или лица, в установленном порядке исполняющего его обязанности. Соответствующие работники должны быть ознакомлены с настоящим Положением под подпись.
5.13. При необходимости обработки части персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих обработке, способом, исключающим одновременное копирование персональных данных, не подлежащих обработке, и используется в работе копия персональных данных.
5.14. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все материальные носители, содержащие персональные данные, работник передает своему непосредственному руководителю, а также осуществляется блокировка доступа такого работника в информационной системе, содержащей персональные данные.
5.15. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
5.16. Передача персональных данных третьим лицам допускается только при наличии согласия субъекта либо без его согласия в случаях, предусмотренных законодательством, локальными правовыми актами Оператора, условиями договора.
5.17. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
5.18. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности.
5.19. В целях защиты персональных данных Оператор:
принимает необходимые правовые, организационные и технические меры по защите персональных данных;
контролирует соблюдение требований по обеспечению защиты персональных данных, в том числе установленных настоящей Политикой;
проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
принимает иные меры, направленные на обеспечение выполнения обязанностей в сфере персональных данных, предусмотренных законодательством.
6. Права, обязанности и ответственность
при обработке персональных данных
6.1. Оператор имеет право:
устанавливать дополнительные правила обработки персональных данных;
в рамках требований законодательства разрабатывать и применять формы документов, необходимых для реализации прав и исполнения обязанностей.
6.2. Оператор обязан:
организовывать обработку персональных данных в соответствии с требованиями Закона;
отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона;
исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
6.3. Субъект персональных данных имеет право:
в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном Законом;
получить от Оператора информацию, касающуюся обработки своих персональных данных, в объеме, определенном законодательством;
требовать внесения Оператором изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными в порядке, установленном Законом;
получать от Оператора информацию о предоставлении своих персональных данных третьим лицам;
требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или бездействие Оператора при обработке его персональных данных.
6.4. Субъект персональных данных обязан:
предоставлять Оператору достоверные персональные данные;
своевременно сообщать Оператору об изменениях и дополнениях своих персональных данных;
осуществлять свои права в соответствии с законодательством, локальными актами, локальными правовыми актами Оператора.
6.5. Ответственность за нарушения требований законодательства в сфере обработки и защиты персональных данных, а также настоящей Политики определяется в соответствии с законодательством.
7.Заключительные положения.
7.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
7.2. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
7.3. Внутренний контроль за соблюдением законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных в Обществе.
7.4. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов в области персональных данных в структурных подразделениях, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на их руководителей.
7.5. Настоящая Политика вступает в силу с момента ее утверждения и действует без ограничения срока до изменения или отмены ее Обществом.
7.6. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.
7.7. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.