УТВЕРЖДЕНО
Директор
ООО «Савана
Сервис» 11.11.2021 года
Вступает в силу с
15.11.2021г.
ПОЛИТИКА ОПЕРАТОРА
В отношении
обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая
Политика оператора (далее - Политика) определяет основные принципы, цели,
условия и способы обработки персональных данных, перечни субъектов и
обрабатываемых персональных данных, а также реализуемые в ООО «Савана Сервис»
(далее - Предприятие) требования к защите
персональных данных.
1.2. Политика
разработана с учетом требований Конституции Республики Беларусь,
законодательных и иных нормативных правовых актов Республики Беларусь в области
персональных данных.
1.3. Положения
Политики служат основой для разработки локальных правовых актов,
регламентирующих на Предприятии вопросы обработки персональных данных
работников Предприятия и других субъектов персональных данных.
ГЛАВА 2
ЗАКОНОДАТЕЛЬНЫЕ И
ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ
ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ
2.1. Политика
разработана в соответствии со следующими нормативными правовыми актами:
Конституция Республики Беларусь; Трудовой кодекс Республики Беларусь; Закон
Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»;
Закон Республики
Беларусь от 21.07.2008 №418-З «О регистре населения»; Закон Республики Беларусь
от 10.11.2008 №455-З «Об информации, информатизации и защите информации»; иные
нормативные правовые акты Республики Беларусь и нормативные документы
уполномоченных органов государственной власти.
2.2. В целях
реализации положений Политики на Предприятии разрабатываются соответствующие
локальные правовые акты и иные документы, в том числе: Положение о порядке
обеспечения конфиденциальности при обработке информации, содержащей
персональные данные; иные локальные правовые акты и документы,
регламентирующие на Предприятии вопросы обработки персональных данных.
ГЛАВА 3
ОСНОВНЫЕ ТЕРМИНЫ И
ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ ПРЕДПРИЯТИЯ,
РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.
Биометрические персональные данные - информация, характеризующая
физиологические и биологические особенности человека, которая используется для
его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка
глаза, характеристики лица и его изображение и др.).
3.2. Блокирование
персональных данных - прекращение доступа к персональным данным без их
удаления.
3.3. Генетические
персональные данные - информация, относящаяся к наследуемым либо приобретенным
генетическим характеристикам человека, которая содержит уникальные данные о его
физиологии либо здоровье и может быть выявлена, в частности, при исследовании
его биологического образца.
3.4. Информация -
сведения (сообщения, данные) независимо от формы их представления.
3.5. Обезличивание
персональных данных - действия, в результате которых становится невозможным без
использования дополнительной информации определить принадлежность персональных
данных конкретному субъекту персональных данных.
3.6. Обработка
персональных данных - любое действие или совокупность действий, совершаемые с
персональными данными, включая сбор, систематизацию, хранение, изменение,
использование, обезличивание, блокирование, распространение, предоставление,
удаление персональных данных.
3.7. Обработка
персональных данных с использованием средств автоматизации либо
автоматизированная обработка персональных данных - это обработка персональных
данных с помощью средств вычислительной техники, при этом такая обработка не
может быть признана осуществляемой исключительно с использованием средств
автоматизации только на том основании, что персональные данные содержатся в
информационной системе персональных данных либо были извлечены из нее;
3.8. Обработка
персональных данных без использования средств автоматизации - действия с
персональными данными, такие как использование, уточнение, распространение,
уничтожение, осуществляемые при непосредственном участии человека, если при
этом обеспечиваются поиск персональных данных и (или) доступ к ним по
определенным критериям (картотеки, списки, базы данных, журналы и др.);
3.9. Общедоступные
персональные данные - персональные данные, распространенные самим субъектом
персональных данных либо с его согласия или распространенные в соответствии с
требованиями законодательных актов.
3.10. Оператор –
государственный орган, юридическое лицо Республики Беларусь, иная организация,
физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или
совместно с иными указанными лицами организующие и (или) осуществляющие
обработку персональных данных;
В настоящей
Политике функции Оператора исполняет общество с ограниченной ответственностью
«Савана Сервис» (ООО «Савана Сервис»), расположенное по адресу: 230024, г.
Гродно, улица Советских пограничников, дом 91.
3.11. Персональные
данные - любая информация, относящаяся к идентифицированному физическому лицу
или физическому лицу, которое может быть идентифицировано.
3.12.
Предоставление персональных данных - действия, направленные на ознакомление с
персональными данными определенных лица или круга лиц.
3.13.
Распространение персональных данных - действия, направленные на ознакомление с
персональными данными неопределенного круга лиц.
3.14. Специальные
персональные данные - персональные данные, касающиеся расовой либо национальной
принадлежности, политических взглядов, членства в профессиональных союзах,
религиозных или других убеждений, здоровья или половой жизни, привлечения к
административной или уголовной ответственности, а также биометрические и
генетические персональные данные.
3.15. Субъект
персональных данных - физическое лицо, в отношении которого осуществляется
обработка персональных данных.
3.16.
Трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства.
3.17. Удаление
персональных данных - действия, в результате которых становится невозможным
восстановить персональные данные в информационных ресурсах (системах),
содержащих персональные данные, и (или) в результате которых уничтожаются
материальные носители персональных данных.
3.18.
Уполномоченное лицо – государственный орган, юридическое лицо Республики
Беларусь, иная организация, физическое лицо, которые в соответствии с актом
законодательства, решением государственного органа, являющегося оператором,
либо на основании договора с оператором осуществляют обработку персональных
данных от имени оператора или в его интересах;
3.19. Физическое
лицо, которое может быть идентифицировано - физическое лицо, которое может быть
прямо или косвенно определено, в частности через фамилию, собственное имя,
отчество, дату рождения, идентификационный номер либо через один или несколько
признаков, характерных для его физической, психологической, умственной,
экономической, культурной или социальной идентичности.
ГЛАВА 4
ПРИНЦИПЫ И ЦЕЛИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Предприятие
осуществляет обработку персональных данных работников Предприятия и других
субъектов персональных данных, не состоящих с Предприятием в трудовых
отношениях.
4.2. Обработка
персональных данных осуществляется с учетом необходимости обеспечения защиты
прав и свобод работников Предприятия и других субъектов персональных данных, в
том числе защиты права на неприкосновенность частной жизни, личную и семейную
тайну.
4.3. Обработка
персональных данных, соразмерна заявленным целям их обработки и обеспечивается
на всех этапах такой обработки справедливое соотношение интересов всех
заинтересованных лиц.
4.4. Обработка
персональных данных осуществляется с согласия субъекта персональных данных, за
исключением случаев, предусмотренных настоящим Законом и иными законодательными
актами.
4.5. Обработка персональных данных
ограничивается достижением конкретных, заранее заявленных законных целей. В
случае необходимости изменения первоначально заявленных целей обработки
персональных данных Предприятие должно получить согласие субъекта персональных
данных на обработку его персональных данных в соответствии с измененными целями
обработки.
4.6. Персональные данные обрабатываются на
Предприятии в целях:
обеспечения
соблюдения Конституции Республики Беларусь, законодательных и иных нормативных
правовых актов Республики Беларусь, локальных правовых актов Предприятия;
осуществления
функций, полномочий и обязанностей, возложенных законодательством Республики
Беларусь на Предприятие, в том числе по предоставлению персональных данных в
органы государственной власти, в Фонд социальной защиты населения Министерства
труда и социальной защиты Республики Беларусь, а также в иные государственные
органы;
регулирования
трудовых отношений с работниками Предприятия (содействие в трудоустройстве,
обучение и продвижение по службе, обеспечение личной безопасности, контроль
количества и качества выполняемой работы, обеспечение сохранности имущества);
защиты жизни,
здоровья или иных жизненно важных интересов субъектов персональных данных;
подготовки, заключения, исполнения и прекращения договоров с субъектами
персональных данных; обеспечения внутриобъектового режима на объектах
Предприятия;
формирования
справочных материалов для внутреннего информационного обеспечения деятельности
Предприятия;
исполнения
судебных актов, актов других органов или должностных лиц, подлежащих исполнению
в соответствии с законодательством Республики Беларусь об исполнительном
производстве;
осуществления прав
и законных интересов Предприятия в рамках осуществления видов деятельности,
предусмотренных Уставом и иными локальными правовыми актами Предприятия, либо
достижения общественно значимых целей; в иных законных целях.
ГЛАВА 5
ПЕРЕЧЕНЬ
СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ПРЕДПРИЯТИИ
5.1. На
Предприятии обрабатываются персональные данные следующих категорий субъектов
персональных данных: работники Предприятия; кандидатов на работу, студентов, иных
лиц, прибывших на практику (стажировку); клиентов Предприятия (включая лиц,
заинтересованных в приобретении товаров, работ, услуг Предприятия); другие
субъекты персональных данных (для обеспечения реализации целей обработки,
указанных в главе 4 Политики).
ГЛАВА 6
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ НА ПРЕДПРИЯТИИ
6.1. Перечень
персональных данных, обрабатываемых на Предприятии, определяется в соответствии
с законодательством Республики Беларусь и локальными правовыми актами
Предприятия с учетом целей обработки персональных данных, приведен в главе 4
Политики.
6.2. Обработка
специальных персональных данных, касающихся расовой либо национальной
принадлежности, политических взглядов, членства в профессиональных союзах,
религиозных или других убеждений, здоровья или интимной жизни, привлечения к
административной или уголовной ответственности, а также биометрических и
генетических персональных данных, на Предприятии не осуществляется.
ГЛАВА 7
ФУНКЦИИ
ПРЕДПРИЯТИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Предприятие
при осуществлении обработки персональных данных:
принимает меры,
необходимые и достаточные для обеспечения выполнения требований
законодательства Республики Беларусь и локальных правовых актов Предприятия в
области персональных данных; принимает правовые, организационные и технические
меры для защиты персональных данных от неправомерного или случайного доступа к
ним, уничтожения, изменения, блокирования, копирования, предоставления,
распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных; назначает лиц, ответственных за осуществление
внутреннего контроля за обработкой персональных данных; издает локальные
правовые акты, определяющие политику и вопросы обработки и защиты персональных
данных на Предприятии; ознакамливает работников Предприятия, непосредственно
осуществляющих обработку персональных данных, с положениями законодательства
Республики Беларусь и локальных правовых актов Предприятия в области
персональных данных, в том числе требованиями к защите персональных данных, и
обучает указанных работников; обеспечивает неограниченный доступ к настоящей
Политике; сообщает в установленном порядке субъектам персональных данных или их
представителям информацию о наличии персональных данных, относящихся к
соответствующим субъектам, предоставляет возможность ознакомления с этими
персональными данными при обращении и (или) поступлении запросов указанных
субъектов персональных данных или их представителей, если иное не установлено законодательством
Республики Беларусь; прекращает обработку и уничтожает персональные данные в
случаях, предусмотренных законодательством Республики Беларусь в области
персональных данных; совершает иные действия, предусмотренные законодательством
Республики Беларусь в области персональных данных.
ГЛАВА 8
УСЛОВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ
8.1. Персональные
данные Предприятие обрабатывает с согласия субъекта персональных данных на
обработку его персональных данных, если иное не предусмотрено законодательством
Республики Беларусь в области персональных данных.
8.2. Предприятие
без согласия субъекта персональных данных не раскрывает третьим лицам и не
распространяет персональные данные, если иное не предусмотрено
законодательством Республики Беларусь.
8.3. Предприятие
вправе поручить обработку персональных данных от своего имени или в своих
интересах Уполномоченному лицу на основании заключаемого с ним договора, в
котором должны быть указаны: цели обработки персональных данных; перечень
действий, совершаемых с персональными данными; обязанности по соблюдению конфиденциальности
персональных данных; меры по обеспечению защиты персональных данных в
соответствии со ст.17 Закона Республики Беларусь от 07.05.2021 №99-З «О защите
персональных данных».
Уполномоченное
лицо не обязано получать согласие субъекта персональных данных на обработку его
персональных данных - такое согласие получает Предприятие.
8.4. Доступ к
обрабатываемым Предприятием персональным данным разрешается исключительно
работникам Предприятия, занимающим должности, включенные в «Перечень должностей
ООО «Савана Сервис», имеющих доступ к работе с персональными данными»,
утверждаемый приказом директора предприятия.
ГЛАВА 9
ПЕРЕЧЕНЬ ДЕЙСТВИЙ
С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
9.1. Перечень
действий Предприятия, совершаемых с персональными данными:
любое действие или
совокупность действий, включая сбор, систематизацию, хранение, изменение,
использование, обезличивание, блокирование, распространение, предоставление,
удаление персональных данных.
9.2. Персональные
данные на Предприятии обрабатываются следующими способами:
с использованием
средств автоматизации;
без использования
средств автоматизации, если при этом обеспечиваются поиск персональных данных и
(или) доступ к ним по определенным критериям (картотеки, списки, базы данных,
журналы и др.).
ГЛАВА 10
ПРАВА СУБЪЕКТОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъекты
персональных данных имеют право на:
отзыв согласия
субъекта персональных данных; получение информации, касающейся обработки
персональных данных; внесение изменений в свои персональные данные в случае,
если персональные данные являются неполными, устаревшими или неточными;
прекращение обработки
персональных данных и (или) их удаления; обжалование действий (бездействия) и
решений Предприятия, связанных с обработкой персональных данных.
ГЛАВА 11
МЕРЫ, ПРИНИМАЕМЫЕ
ПРЕДПРИЯТИЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ИСПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Меры,
необходимые и достаточные для обеспечения исполнения Предприятием обязанностей
оператора, предусмотренных законодательством Республики Беларусь в области
персональных данных, включают:
предоставление
субъектам персональных данных необходимой информации до получения их согласий
на обработку персональных данных;
разъяснение
субъектам персональных данных их прав, связанных с обработкой персональных
данных;
получение
письменных согласий субъектов персональных данных на обработку их персональных
данных, за исключением случаев, предусмотренных законодательством Республики
Беларусь;
назначение лиц,
ответственных за внутренний контроль за обработкой персональных данных на
Предприятии;
издание
документов, определяющих политику Предприятия в отношении обработки
персональных данных;
ознакомление
работников, непосредственно обрабатывающих персональные данные на Предприятии,
с положениями законодательства о персональных данных;
установление
порядка доступа к персональным данным, в том числе обрабатываемым в
информационном ресурсе (системе);
обеспечение
неограниченного доступа, в том числе с использованием глобальной компьютерной
сети Интернет, к документам, определяющим политику Предприятия в отношении
обработки персональных данных, до начала такой обработки;
прекращение
обработки персональных данных при отсутствии оснований для их обработки;
незамедлительное
уведомление уполномоченного органа по защите прав субъектов персональных данных
о нарушениях систем защиты персональных данных;
изменение,
блокирование, удаление недостоверных или полученных незаконным путем
персональных данных;
ограничение
обработки персональных данных достижением конкретных, заранее заявленных
законных целей;
хранение
персональных данных в форме, позволяющей идентифицировать субъектов
персональных данных, не дольше, чем этого требуют заявленные цели обработки
персональных данных.
11.2. Меры по
обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных устанавливаются в соответствии с локальными
правовыми актами Предприятия, регламентирующими вопросы обеспечения
безопасности персональных данных при их обработке в информационных системах
персональных данных Предприятия.
ГЛАВА 12
КОНТРОЛЬ ЗА
СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ПРЕДПРИЯТИЯ
В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ
12.1. Контроль за
соблюдением на Предприятии законодательства Республики Беларусь и локальных
правовых актов Предприятия в области персональных данных, в том числе
требований к защите персональных данных, осуществляется с целью проверки
соответствия обработки персональных данных на Предприятии законодательству
Республики Беларусь и локальным правовым актам Предприятия в области
персональных данных, в том числе требованиям к защите персональных данных, а
также принятых мер, направленных на предотвращение и выявление нарушений
законодательства Республики Беларусь в области персональных данных, выявления
возможных каналов утечки и несанкционированного доступа к персональным данным,
устранения последствий таких нарушений.
12.2. Внутренний
контроль за соблюдением работниками Предприятия законодательства Республики
Беларусь и локальных правовых актов Предприятия в области персональных данных,
в том числе требований к защите персональных данных, а так же обеспечение
конфиденциальности и безопасности хранения персональных данных осуществляется
лицами, назначенными приказом директора по Предприятию.