Главная
Политика конфиденциальности

ПОЛИТИКА ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ВЕТЗООБАЗАР» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДЕНО Приказом директора ООО «ВЕТЗООБАЗАР» № 01-03/211 от 18.05.2022

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Цель

Настоящая Политика в отношении обработки персональных данных в обществе с ограниченной ответственностью «ВЕТЗООБАЗАР» (далее – Компания) разработана во исполнение требований пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

Политика в отношении обработки персональных данных в Компании является основополагающим локальным правовым актом, определяющим политику Компании в отношении обработки и обеспечения безопасности персональных данных, цели и меры, направленные на защиту персональных данных.

Компания зарегистрирована решением Минского горисполкома в Едином государственном регистре юридических лиц и индивидуальных предпринимателей за № 192636458, место нахождения (юридический адрес) Компании: 220114, г. Минск, пр. Независимости, 117А-20В, ком.5; почтовый адрес Компании: 220063, г. Минск, ул. Нёманская, д. 24 (этаж 3).

1.2. Задачи

  • 1.2.1. Определить основные принципы и цели обработки персональных данных в Компании.
  • 1.2.2. Определить правовые основания обработки персональных данных.
  • 1.2.3. Определить категории субъектов персональных данных, их права и обязанности.
  • 1.2.4. Описать порядок трансграничной передачи персональных данных.
  • 1.2.5. Описать меры, которые Компания принимает для обеспечения выполнения обязанностей оператора при обработке персональных данных.
  • 1.2.6. Описать порядок контроля в Компании за соблюдением законодательства Республики Беларусь и локальных правовых актов в области персональных данных.

1.3. Область применения и ответственность

  • 1.3.1. Политика в отношении обработки персональных данных в Компании распространяется на все процессы Компании как оператора, связанные с обработкой персональных данных и обязательна для применения всеми работниками оператора, осуществляющими обработку персональных данных в соответствии со своими должностными обязанностями.
  • 1.3.2. Лицом, ответственным за разработку и актуализацию Политики в отношении обработки персональных данных в Компании является лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Компании, назначаемое директором Компании в установленном законодательством порядке.
  • 1.3.3. Утверждает Политику в отношении обработки персональных данных в Компании директор Компании.

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

№ п/п Термин/ Сокращение Определение/Расшифровка
1 Блокирование персональных данных прекращение доступа к персональным данным без их удаления
2 Информация сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
3 Информационная система организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации
4 Клиент юридическое лицо, индивидуальный предприниматель, физическое лицо, которому Компания оказывает услуги и, в том числе, в сети Интернет
5 Контрагент юридическое лицо, индивидуальный предприниматель, с которым у Компании заключен договор (соглашение, контракт), кроме договоров по которым Компания оказывает услуги
6 Обработка персональных данных любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных
7 Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
8 Оператор Компания (ООО «ВЕТЗООБАЗАР»), в случае самостоятельной или совместной с иными лицами организации и (или) осуществления обработки персональных данных
9 Персональные данные любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано
10 Предоставление персональных данных действия, направленные на ознакомление с персональными данными определенного лица или круга лиц
11 Родственники родители, дети, усыновители (удочерители), усыновленные (удочеренные), родные братья и сестры, дед, бабка, внуки, супруг (супруга), родители супруга (супруги)
12 Распространение персональных данных действия, направленные на ознакомление с персональными данными неопределенного круга лиц
13 Субъект персональных данных физическое лицо, в отношении которого осуществляется обработка персональных данных.
14 Трансграничная передача персональных данных передача персональных данных на территорию иностранного государства
15 Удаление персональных данных действия, в результате которых становится невозможным восстановить персональные данные в информационных системах, содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных
16 Уполномоченное лицо юридическое лицо Республики Беларусь, иная организация, физическое лицо, которое на основании договора с Компанией осуществляет обработку персональных данных от имени Компании или в её интересах
17 Физическое лицо, которое может быть идентифицировано лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Политика в отношении обработки персональных данных в Компании (далее – Политика) разработана с учетом требований законодательства Республики Беларусь в области обработки персональных данных и в соответствии со следующими нормативными правовыми актами:

  • Конституция Республики Беларусь;
  • Гражданский кодекс Республики Беларусь;
  • Трудовой кодекс Республики Беларусь;
  • Налоговый кодекс Республики Беларусь;
  • Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных);
  • Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
  • Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
  • иные нормативные правовые акты Республики Беларусь.

4. ПОРЯДОК, УСЛОВИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется Компанией в соответствии с требованиями законодательства Республики Беларусь.

4.2. Обработка персональных данных в Компании осуществляется на основании:

  • - согласия субъекта персональных данных;
  • - согласия субъекта персональных данных;
  • - документа, адресованного Компании и подписанного субъектом персональных данных, в соответствии с содержанием такого документа;
  • - законодательства Республики Беларусь, которым предусматривается обработка персональных данных без согласия субъекта персональных данных.

4.3. К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных.

4.4. Обработка персональных данных в Компании осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Компании и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • - обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
  • - обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
  • - обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
  • - содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • - содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • - содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • - хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

4.5. Персональные данные обрабатываются Компанией в целях:

  • - обработки информации (резюме) кандидата на трудоустройство;
  • - обработки персональных данных в процессе трудовой деятельности;
  • - обеспечение пропускного режима на объектах Компании;
  • - обеспечение пропускного режима на объектах Компании;
  • - заключение, исполнение, изменение и расторжение гражданско-правовых договоров;
  • - идентификации зарегистрированного пользователя на интернет-сайте Компании www.zoobazar.by;
  • - направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией (товарами, работами, услугами);
  • - осуществление административных процедур;
  • - рассмотрение обращений граждан и юридических лиц;
  • - ведение бухгалтерского и налогового учета, статистического учета, начисления и выплаты заработной платы, назначения и выплаты пенсий, пособий, иных выплат;
  • - реализация действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности;
  • - аудиозаписи разговоров с работниками Компании;
  • - реклама и продвижение продукции, товаров и услуг, в том числе представление информации о продукции, товарах и услугах Компании;
  • - ведение списка аффилированных лиц Компании;
  • - выдача подарков детям работников;
  • - предоставление родственникам работников льгот и компенсаций;
  • - проведение мероприятий и обеспечение участия в них субъектов персональных данных;
  • - обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
  • - выдача доверенностей и иных уполномочивающих документов;
  • - обработка обращений с претензиями и информацией по безопасности товаров;
  • - обработка обращений о негативных явлениях и побочных эффектах;
  • - в иных законных целях.

5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Компания осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

  • - работники, в том числе уволенные, а также их родственники;
  • - практиканты, члены студенческих отрядов;
  • - кандидаты на замещение вакантных должностей;
  • - представители или работники заказчика, поставщика, подрядчика, исполнителя и иные клиенты и контрагенты, потенциальные клиенты;
  • - граждане, подавшие (подающие) в Компанию обращения;
  • - потребители;
  • - физические лица, с которыми заключены договоры гражданско-правового характера;
  • - пользователи Интернет-сайтов (мобильных приложений) Компании;
  • - посетители офисных помещений, складов, торговых и иных объектов Компании.

p style="text-indent: 15px;">5.2. Перечень, цели и сроки обработки персональных данных вышеперечисленных категорий субъектов персональных данных приведены в Приложении к настоящей Политике.

6. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъекты персональных данных имеют право:

6.1.1. на отзыв своего согласия, если для обработки персональных данных Компания обращалась к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании договора либо в соответствии с требованиями законодательства;

6.1.2. на получение информации, касающейся обработки своих персональных данных Компанией, содержащей:

  • - место нахождения Компании;
  • - подтверждение факта обработки персональных данных обратившегося лица Компанией;
  • - его персональные данные и источник их получения;
  • - правовые основания и цели обработки персональных данных;
  • - срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
  • - наименование и место нахождения уполномоченного лица (уполномоченных лиц);
  • - иную информацию, предусмотренную законодательством;

6.1.3. требовать от Компании внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;

6.1.4. получить от Компании информацию о предоставлении своих персональных данных, обрабатываемых Компанией, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

6.1.5. требовать от Компании бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;

6.1.6. обжаловать действия (бездействие) и решения Компании, нарушающие его права при обработке персональных данных, в суд в порядке, установленном гражданским процессуальным законодательством.

6.2. Для реализации своих прав, связанных с обработкой персональных данных Компанией, субъект персональных данных подает в Компанию заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – также в форме, в которой такое согласие было получено). Такое заявление должно содержать:

  • - фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  • - дату рождения субъекта персональных данных;
  • - изложение сути требований субъекта персональных данных;
  • - идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
  • - личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

6.3. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

6.4. Субъект персональных данных обязан:

  • - предоставлять оператору достоверные персональные данные;
  • - предоставлять оператору достоверные персональные данные;
  • - осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами оператора в области обработки и защиты персональных данных;
  • - исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами оператора в области обработки и защиты персональных данных.

7. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. С учетом требований законодательства Республики Беларусь оператором может осуществляться трансграничная передача персональных данных на территории иностранных государств, приведенных в утверждаемом уполномоченным органом по 6 защите прав субъектов персональных данных перечне иностранных государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных.

7.2. Трансграничная передача персональных данных на территории иных иностранных государств может осуществляться оператором с учетом требований действующего законодательства Республике Беларусь в случаях:

  • - дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
  • - персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
  • - обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
  • - получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.

8. МЕРЫ, ПРИНИМАЕМЫЕ КОМПАНИЕЙ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Меры, необходимые и достаточные для обеспечения выполнения Компанией обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:

  • - предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
  • - разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
  • - получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
  • - назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных субъектов персональных данных;
  • - установление порядка доступа к персональным данным, в том числе обрабатываемым в информационной системе;
  • - осуществление технической и криптографической защиты персональных данных в Компании в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных систем, содержащих персональные данные;
  • - обеспечение неограниченного доступа к настоящей Политике до начала обработки персональных данных;
  • - прекращение обработки персональных данных при отсутствии оснований для их обработки;
  • - незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
  • - осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
  • - ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
  • - осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
  • - публикацию на сайте и внутренних ресурсах Компании или обеспечение иным образом неограниченного доступа к настоящей Политике.

8.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Компании, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

9. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Контроль за исполнением требований Политики осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных у оператора.

9.2. Работники оператора при нарушении установленного порядка обработки и обеспечения безопасности персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.

9.3. Ответственность за нарушение требований законодательства Республики Беларусь и нормативных правовых актов оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.
Приложение: реестр обработки персональных данных.

№ п/п Цель обработки Подразделение (лицо), ответственное за обработку Категории субъектов персональных Перечень обрабатываемых персональных данных Правовая основа Категории получателей Срок хранения
1 Рассмотрение информации (резюме) кандидата на трудоустройство в целях заключения трудового договора Отдел по работе с персоналом Физические лица, которые направили (предоставили) резюме нанимателю, физические лица, которые опубликовали резюме на интернет-портале по поиску работы Фамилия, собственное имя, отчество (если таковое имеется), год рождения, сведения об образовании и опыте работы, контактный номер телефона, адрес электронной почты и иные персональные данные в соответствии с содержанием резюме (анкет, автобиографий, листков по учету кадров, рекомендательных писем и т.д.) Согласие – ст. 5 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон) при направлении резюме (анкеты) в электронном виде; абз. 16 ст. 6 Закона при направлении (предоставлении) резюме (анкеты) в письменном виде или в виде электронного документа Не передаются В случае непринятия на работу - 1 год (п. 645 Перечня типовых документов национального архивного фонда Республики Беларусь от 24.05.2012 №140 (далее – Перечень))
В случае принятия на работу – 1 месяц
2 Оформление (прием) на работу Отдел по работе с персоналом Соискатели на работу, члены их семей В соответствии со ст.26 Трудового кодекса Республики Беларусь (далее – ТК) и иными законодательными актами абз. 8 ст. 6 Закона (ст. 26 ТК; п. 11 Декрета Президента Республики Беларусь от 15.05.2014г №5; иные правовые законодательные акты) Не передаются После увольнения - 75 лет (п.638.3 Перечня). Для руководителей -постоянно (п.638.1 Перечня)
3 Изменение и прекращение трудовых отношений Отдел по работе с персоналом Работники Фамилия, собственное имя, отчество (если таковое имеется) работника, сведения о трудовой деятельности, о семейном положении, об образовании, объяснительные и докладные записки и иные сведения, послужившие основанием для изменения, прекращения трудового договора абз. 8 ст. 6 Закона (гл. 3,4,9 и 12 ТК)i> Не передаются После увольнения – 75 лет (п. 638.3 Перечня)
4 Предоставление трудовых и социальных отпусков Отдел по работе с персоналом Работники Фамилия, собственное имя, отчество (если таковое имеется), занимаемая должность работника, дата и вид отпуска, иные сведения, послужившие основанием для предоставления социального отпуска (сведения о состоянии здоровья, о рождении детей). абз. 8 ст. 6 Закона (гл. 12 ТК) Не передаются Графики трудовых отпусков – 1 год (п. 666 Перечня) Приказы о предоставлении трудовых отпусков – 3 года (п. 21.4. Перечня). По социальному отпуску – 75 лет (п. 21.4. Перечня)
5 Формирование, ведение и хранение личных дел работников Отдел по работе с персоналом Работники, члены их семей В соответствии с Инструкцией о порядке формирования, ведения и хранения личных дел работников, утв. Постановлением Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26.03.2004 г. № 2 абз. 8 ст. 6 Закона Не передаются После увольнения - 75 лет (п. 638.3 Перечня).
6 Ведение трудовых книжек Отдел по работе с персоналом Работники В соответствии с постановлением Министерства труда и социальной защиты Республики Беларусь от 16.06.2014 г. №40 «О трудовых книжках» абз. 8 ст. 6 Закона Не передаются Трудовые книжки – на срок трудовой деятельности (после увольнения – до востребования) (п.646 Перечня). Книга учета движения трудовых книжек и вкладышей к ним – 50 лет (п. 648 Перечня)
7 Ведение телефонного справочника Отдел по работе с персоналом Работники Фамилия, собственное имя, отчество (если таковое имеется), занимаемая должность работника, номер служебного телефона абз. 8 ст. 6 Закона (п. 1. ч.1 ст. 55, ч. 1 ст. 132 ТК) Не передаются 1 месяц после увольнения
8 Ведение учета входящей и исходящей документации Административно-хозяйственный отдел Работники, иные лица, сведения о которых содержатся во входящей и исходящей документации Фамилия, собственное имя, отчество (если таковое имеется) работника, занимаемая должность работника. Персональные данные иных лиц – в зависимости от цели обработки. В отношении работников – абз. 8 ст. 6 Закона, (п. 1. ч.1 ст. 55, ч. 1 ст. 132 ТК). В отношении иных лиц – в зависимости от цели обработки персональных данных. Не передаются Персональные данные работников – 1 месяц после увольнения. Персональные данные иных лиц – в зависимости от целей обработки.
9 Ведение учета фактически отработанного времени Ответственное структурное подразделение Работники Фамилия, собственное имя, отчество (если таковое имеется) работника, занимаемая должность работника, сведения о времени нахождения или отсутствия на рабочем месте абз. 8 ст. 6 Закона (ст. 132 ТК) Не передаются 3 года (п.п. 466-468 Перечня)
10 Командирование Отдел по работе с персоналом, бухгалтерия Работники Фамилия, собственное имя, отчество (если таковое имеется) работника, занимаемая должность работника, сведения о проездных документах, бронирования гостиниц и иные сведения, предусмотренные законодательством и (или) необходимые для организации командировки абз. 8 ст. 6 Закона (ст. 94-95 ТК) Могут передаваться третьим лицам (при покупке билетов, бронирования гостиниц, в организацию по месту командирования) 3 года при служебных командировках за границу – 10 лет (п.п. 663-665 Перечня)
11 Выплата заработной платы Бухгалтерия Работники Паспортные данные, сведения о трудовой деятельности, о заработной плате, банковские данные абз. 8 ст. 6 Закона (п. 4 ч. 1 ст. 55 ТК) Банки, налоговые и иные государственные органы 75 лет (п. 183 Перечня)
12 Оформление необходимых для назначения пенсий документов Отдел по работе с персоналом Работники В соответствии со статьей 75 Закона Республики Беларусь от 17.04.1992 г. №1596- XII «О пенсионном обеспечении» абз. 8 ст. 6 Закона Орган, осуществляющий пенсионное обеспечение осуществляющий пенсионное обеспечение До предоставления в орган, осуществляющий пенсионное обеспечение
13 Привлечение к дисциплинарной, материальной ответственности Отдел по работе с персоналом, бухгалтерия Работники Фамилия, собственное имя, отчество (если таковое имеется), занимаемая должность работника, иные сведения в соответствии с письменным объяснением работника абз. 8 ст. 6 Закона (гл. 14, 37 ТК) Не передаются 3 года (п.21.4 Перечня)
14 Направление на профессиональную подготовку, повышение квалификации, стажировку и переподготовку Сектор по обучению и развитию персонала, отдел по работе с персоналом, бухгалтерия Работники Паспортные данные, сведения о занимаемой должности абз. 8 ст. 6 Закона (ст. 2201 ТК) Организации, осуществляющие профессиональную подготовку, повышение квалификации, стажировку и переподготовку 5 лет (п.940 Перечня)
15 Ведение воинского учета Отдел по работе с персоналом Работники – военнообязанные, члены их семей В соответствии с постановлением Министерства обороны Республики Беларусь от 27.01.2020 №5 «Об установлении форм документов воинского учета» абз. 8 ст. 6 Закона (ст. 9 Закона Республики Беларусь от 05.11.1992 г. №1914-XII «О воинской обязанности и воинской службе») Местные исполнительные и распорядительные органы, военные комиссариаты, органы государственной безопасности и иные государственные органы и осуществляющие воинский учет 5 лет (п. 657 Перечня)
16 Рассмотрение индивидуальных трудовых споров Ответственное структурное подразделение Работники, стороны индивидуальных трудовых споров Фамилия, собственное имя, отчество (если таковое имеется), занимаемая должность работника, сведения о трудовой деятельности в организации, иные данные, необходимые для разрешения индивидуальных трудовых споров абз. 8 ст. 6 Закона (ст. 235 ТК). Стороны трудовых споров (представители профсоюза, нанимателя) 5 лет - после урегулировании спора (п. 473 Перечня)
17 Подача документов индивидуального (персонифицированного) учета застрахованных лиц Отдел по работе с персоналом, бухгалтерия Работники, лица, работающие по гражданского-правовому договору В соответствии с постановлением Правления ФСЗН Министерства труда и социальной защиты Республики Беларусь от 19.06.2014 №7 «О порядке заполнения и приема-передачи форм документов персонифицированного учета» абз. 8 ст. 6 Закона ФСЗН 5 лет (п. 604.2 Перечня)
18 Обязательное страхование от несчастных случаев на производстве и профессиональных заболеваний Инженер по охране труда, отдел по работе с персоналом Инженер по охране труда, отдел по работе с персоналом Паспортные данные, сведения о трудовой деятельности абз. 8 ст. 6 Закона (ст. 224 ТК, гл. 16 Положения о страховой деятельности в Республике Беларусь, утв. Указом ПрезидентаРеспублики Беларусь от 25.08.2006 г. №530) Белгосстрах 3 года (п. 511 Перечня)
19 Расследование несчастных случаев на производстве Инженер по охране труда, Отдел по работе с персоналом Работники В соответствии с постановлением Министерства труда и социальной защиты Республики Беларусь и Министерства здравоохранения Республики Беларусь от 14.08.2015 г. №51/94 «О документах, необходимых для расследования и учета несчастных случаев на производстве и профессиональных заболеваний» абз. 8 ст. 6 Закона (п. 6 ч. 1 см. 55 ТК) Белгосстрах, представители профсоюза нанимателя 10 лет (п. 512 Перечня)
20 Рассмотрение обращений граждан и юридических лиц Ответственное структурное подразделение Граждане, в т.ч. представители юридических лиц Фамилия, собственное имя, отчество (если таковое имеется), адрес места жительства, суть обращения, иные сведения, указанные в обращении абз. 20 ст. 6 Закона (ст. 12 Закона Республики Беларусь от 18.07.2011 г. №300-З «Об обращениях граждан и юридических лиц») Не передаются 5 лет (п.76 Перечня)
21 Осуществление административных процедур Ответственное структурное подразделение Заявители, третьи лица В соответствии с перечнем административных процедур, осуществляемых государственных органами и иными организациями по заявлением граждан, утв. Указом Президента Республики Беларусь от 26.04.2010 №200 абз. 20 ст. 6 Закона (ст.ст. 14,15 Закона Республики Беларусь от 28.10.2008 г. №433-З «Об основах административных процедур») Не передаются 3 года (п. 458 Перечня)
22 Применение системы видеонаблюдения в интересах обеспечения общественного порядка Ответственное структурное подразделение Работники, посетители Изображение человека абз. 20 ст. 6 Закона (Указ Президента Республики Беларусь от 28.11.2013 г. №527 «О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка») Органы, перечисленные в п.4 Указа 527 30 суток (абз.4 п.20 Положения о применении системы безопасности и систем видеонаблюдения, утв. Постановлением Совета Министров Республики Беларусь от 11.12.2012 №1135)
23 Заключение, исполнение, изменение и расторжение гражданско-правовых договоров, документы во исполнение договоров Ответственное структурное подразделение Данные контрагентов (руководитель, уполномоченное лицо на подписание, исполнитель) Фамилия, собственное имя, отчество (если таковое имеется), должность, контактный номер телефона, e-mail, реквизиты документа, удостоверяющего личность, иные данные в соответствии с условиями договора (при необходимости) ст. 6 Закона Контрагенты 10 лет после окончания срока действия договора (п.66 Перечня)
24 Доверенности Компании и контрагентов Ответственное структурное подразделение, представители контрагентов Работники, представители контрагентов Фамилия, собственное имя, отчество (если таковое имеется), данные документа, удостоверяющего личность ст. 6 Закона Контрагенты 10 лет после окончания срока действия доверенности (п.п.63-64 Перечня)
25 Первичные учетные документы, акты сверки Бухгалтерия, ответственное структурное подразделение Работники, представители контрагентов Фамилия, собственное имя, отчество (если таковое имеется), данные доверенности, место работы ст. 6 Закона Контрагенты 10 лет после окончания срока действия доверенности (п.п.63-64 Перечня)
26 Закупки, данные об участниках процедуры Ответственное структурное подразделение, комиссия по проведению закупок Контрагенты Фамилия, собственное имя, отчество (если таковое имеется) и должность представителя контрагента, контактный номер телефона, e-mail ст. 6 Закона Могут передаваться контрагентам 5 лет (п.1014 Перечня)
27 Обеспечение пропускного режима на объектах Компании Ответственное структурное подразделение Исполнители по договорам, посетители Реквизиты документа, удостоверяющего личность, место работы, контактный номер телефона, e-mail ст. 6 Закона Контрагенты Постоянно (п.33 Перечня)
28 Для использования внутренних информационных систем Компании: Outlook, 1С:Предприятие 8.3, Confluence, Webtutor, Меркурий, В2В Communicator, Битрикс24 Ответственное структурное подразделение Работники Фамилия, собственное имя, отчество (если таковое имеется), фотографии, рабочие e-mail и телефон, личный телефон, адрес регистрации, адрес проживания, контакты родственников, должность, номер паспорта, кем и когда выдан, срок действия паспорта, период работы в должности, дата рождения, место рождения. Ст. 6 Закона Не передаются На срок, необходимый Оператору для достижения целей обработки
29 Для использования сайтов Компании: zoobazar.by Уполномоченное лицо/Ответственное структурное подразделение Пользователи сайтов, клиенты Компании Персональные данные, указанные при регистрации и использовании сайта, в том числе: фамилия, собственное имя, отчество, дата рождения, контактный телефон, адрес электронной почты. Статистические данные и файлы Cookies. Данные о поведении и предпочтениях пользователей, получаемых посредством сервисов типа Google Analitics, IP (без возможности работы с IP-адресами в статистике), User-Agent, ClientID (идентификатор пользователя). Данные о фактах заполнения форм на веб-сайтах, включая ошибки при их заполнении. Ст. 6,7 Закона Уполномоченным лицам На срок, необходимый Оператору для достижения целей обработки
30 Для использования сервисов/ мобильных приложений: MindBox Уполномоченное лицо/Ответственное структурное подразделение Пользователи сервисов/мобильных приложений Компании Персональные данные, указанные при регистрации и использовании сервиса/приложения, в том числе: фамилия, собственное имя, отчество, дата рождения, адрес регистрации по месту жительства, контактный телефон, адрес электронной почты, фото, данные банковский карт, клиентский номер пользователя (логин), персональный код пользователя (пароль), данные о поведении и предпочтениях пользователей, получаемых посредством сервисов типа Google Analitics, IP (без возможности работы с IP-адресами в статистике), User-Agent, ClientID (идентификатор пользователя), данные о содержании, стоимости, статусе выполнения заказов, ст. 6,7 Закона Уполномоченным лицам На срок, необходимый Оператору для достижения целей обработки
31 Реализация действующих систем единовременных и накопительных скидок и бонусов за оказываемые услуги, акций и программ лояльности Уполномоченное лицо/Ответственное структурное подразделение Пользователи сервисов/мобильных приложений Компании Персональные данные, указанные при регистрации и использовании сервиса/приложения, в том числе: фамилия, собственное имя, отчество (если таковое имеется), дата рождения, контактный телефон, адрес электронной почты ст. 6,7 Закона Уполномоченным лицам На срок, необходимый Оператору для достижения целей обработки
32 Рассылка информационного, новостного и рекламного характера, связанная с продукцией (работами, услугами) Уполномоченное лицо/Ответственное структурное подразделение Пользователи сайтов, сервисов/мобильных приложений Компании Персональные данные, указанные при регистрации и использовании сайта, сервиса/приложения, в том числе: фамилия, собственное имя, отчество (если таковое имеется), дата рождения, контактный телефон, адрес электронной почты ст. 6,7 Закона Уполномоченным лицам На срок, необходимый Оператору для достижения целей обработки

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ, ЗАЩИТЕ, ОБЕСПЕЧЕНИИ КОНФИДЕНЦИАЛЬНОСТИ И СОХРАННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ВЕТЗООБАЗАР» (редакция №1 от 18.05.2022) УТВЕРЖДЕНО Приказом директора ООО «ВЕТЗООБАЗАР» № 01-03/212 от 18.05.2022

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Цель

Настоящее Положение об обработке, защите, обеспечении конфиденциальности и сохранности персональных данных (далее – Положение) определяет порядок действий общества с ограниченной ответственностью «ВЕТЗООБАЗАР» (далее – Компания) при обработке персональных данных.

Компания зарегистрирована решением Минского горисполкома в Едином государственном регистре юридических лиц и индивидуальных предпринимателей за № 192636458, место нахождения (юридический адрес) Компании: 220114, г. Минск, пр. Независимости, 117А-20В, ком.5; почтовый адрес Компании: 220063, г. Минск, ул. Нёманская, д. 24 (этаж 3).

1.2. Задачи

1.2.1. Установить общие правила и условия обработки персональных данных.

1.2.2. Установить функции Компании при осуществлении обработки персональных данных.

1.2.3. Установить права и обязанности Компании как оператора.

1.2.4. Определить требования обеспечения конфиденциальности при обработке персональных данных в Компании.

1.2.5. Определить порядок обеспечения сохранности при обработке персональных данных.

1.2.6. Описать принципы осуществления контроля за соблюдением Положения и требований законодательства в области персональных данных, ответственность.

1.3. Область применения и ответственность

1.3.1. Данное Положение распространяется на все процессы Компании как оператора, связанные с обработкой персональных данных и обязательна для применения всеми работниками оператора, осуществляющими обработку персональных данных в соответствии со своими должностными обязанностями.

1.3.2. Лицом, ответственным за разработку и актуализацию Положения об обработке, защите, обеспечении конфиденциальности и безопасности персональных данных в Компании, является лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Компании, назначаемое директором Компании в установленном законодательством порядке.

1.3.3. Ответственными за соблюдение правил и норм Положения являются работники Компании, участвующие в обработке персональных данных в соответствии со своими должностными обязанностями.

1.3.4. Утверждает настоящее Положение директор Компании.

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

№ п/п Термин/ Сокращение Определение/Расшифровка
1. Блокирование персональных данных прекращение доступа к персональным данным без их удаления
2. Информация сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
3. Информационная система организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации
4. Клиент юридическое лицо, индивидуальный предприниматель, физическое лицо, которому Компания оказывает услуги
5. Контрагент юридическое лицо, индивидуальный предприниматель, с которым у Компании заключен договор (соглашение, контракт), кроме договоров по которым Компания оказывает услуги
6. действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
7. Обработка персональных данных любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных
8. Обработка персональных данных с использованием средств автоматизации обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе либо были извлечены из нее
9. Обработка персональных данных без использования средств автоматизации действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.)
10. Общедоступные персональные данные персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов
11. Оператор Компания (ООО «ВЕТЗООБАЗАР»), в случае самостоятельной или совместной с иными лицами организации и (или) осуществления обработки персональных данных
12. Персональные данные любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано
13. Предоставление персональных данных действия, направленные на ознакомление с персональными данными определенного лица или круга лиц
14. Распространение персональных данных действия, направленные на ознакомление с персональными данными неопределенного круга лиц
15. Субъект персональных данных физическое лицо, в отношении которого осуществляется обработка персональных данных
16. Удаление персональных данных действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных
17. Уполномоченное лицо юридическое лицо Республики Беларусь, иная организация, физическое лицо, которое на основании договора с Компанией осуществляет обработку персональных данных от имени Компании или в её интересах
18. Физическое лицо, которое может быть идентифицировано лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности

3. ПРАВИЛА И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Общие правила обработки персональных данных.

3.1.1. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и глобальной компьютерной сети Интернет.

3.1.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных. Согласие субъекта персональных данных может быть получено в письменной форме (Приложение 1), в виде электронного документа или в иной электронной форме. 4 В иной электронной форме согласие субъекта персональных данных может быть получено посредством:

  • - указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
  • - проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
  • - других способов, позволяющих установить факт получения согласия субъекта персональных данных.

3.1.3. До получения согласия субъекта персональных данных лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, либо лицо, осуществляющее обработку персональных данных, в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязано предоставить субъекту персональных данных информацию, содержащую:

  • - наименование и место нахождения оператора;
  • - цели обработки персональных данных;
  • - перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • - срок, на который дается согласие субъекта персональных данных;
  • - информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
  • - перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
  • - иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Образец уведомления субъекта персональных данных о предоставлении ему информации по обработке персональных данных до получения его согласия на обработку персональных данных приведен в Приложении 2.

осуществление внутреннего контроля за обработкой персональных данных либо лицо, осуществляющее обработку персональных данных обязано простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации. Образец уведомления субъекта персональных данных о разъяснении его прав, связанных с обработкой персональных данных, приведен в Приложении 3.

3.1.5. Доступ к персональным данным предоставляется только тем работникам Компании, должностные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.

3.1.6. Компания собирает, систематизирует, хранит, предоставляет, при необходимости вносит изменения в персональные данные своих работников для целей оформления и исполнения трудовых контрактов (договоров).

3.1.7. Компания собирает, хранит, при необходимости вносит изменения и удаляет персональные данные, предоставленные клиентами и контрагентами, потенциальными клиентами и контрагентами или их представителями, для целей заключения договоров с потенциальными клиентами и контрагентами и исполнения договоров с клиентами и контрагентами.

3.1.8. Компания осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.

3.2. Сбор персональных данных.

3.2.1. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

3.2.2. Если иное не установлено Законом о защите персональных данных, оператор вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.

3.3. Хранение персональных данных.

3.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

3.3.2. Документы на бумажных носителях, содержащие персональные данные, хранятся в специально отведенных для этого местах с ограниченным доступом и в условиях, которые обеспечивают их защиту от несанкционированного доступа.

3.3.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты, используемых Компанией для обеспечения информационной безопасности и защиты персональных данных. Хранение персональных данных в электронном виде вне применяемых Компанией информационных систем и специально обозначенных баз данных (внесистемное хранение персональных данных), съемных-накопителях и жестких дисках, не допускается.

3.3.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют заявленные цели их обработки.

3.3.5. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

3.3.6. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).

3.3.7. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

3.4. Использование персональных данных.

3.4.1. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются непосредственным руководителем о факте обработки ими персональных данных, перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Положением.

3.4.2. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

3.4.3. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3.5. Предоставление персональных данных.

3.5.1. Компания предоставляет персональные данные работников, задействованных в оказании услуг, и руководящих работников клиентам и контрагентам, потенциальным клиентам и контрагентам для целей исполнения обязанностей Компании по договорам и законодательству.

3.5.2. Предоставление персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.5.3. Предоставление персональных данных третьим лицам, допускается только при наличии согласия субъекта персональных данных либо иного законного основания.

3.5.4. При предоставлении персональных данных третьим лицам, субъект персональных данных должен быть уведомлен о таком предоставлении, за исключением случаев, определенных законодательством, в частности, если:

  • - субъект персональных данных уведомлен об осуществлении обработки его персональных данных третьим лицом, который получил от Компании соответствующие данные;
  • - персональные данные стали общедоступными.

3.5.5. Предоставление информации, содержащей персональные данные, должно осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

3.5.6. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности.

3.6. Поручение обработки персональных данных.

3.6.1. Компания вправе поручить обработку персональных данных уполномоченному лицу (аутсорсинговая компания «SoftTech»).

3.6.2. В договоре между Компанией и уполномоченным лицом должны быть определены:

  • - цели обработки персональных данных;
  • - перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
  • - обязанности по соблюдению конфиденциальности персональных данных;
  • - меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.

3.6.3. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Компания.

3.6.4. В случае если Компания поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Уполномоченное лицо несет ответственность перед Компанией.

3.7. Защита персональных данных.

3.7.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

  • - обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • - соблюдение конфиденциальности информации ограниченного доступа;
  • - реализацию права на доступ к информации.

3.7.2. Для защиты персональных данных Компания принимает необходимые предусмотренные законом меры (включая, но не ограничиваясь):

  • - ограничивает и регламентирует перечень должностей работников, должностные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к информационным системам);
  • - обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
  • - устанавливает порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
  • - контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
  • - проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
  • - внедряет программные и технические средства защиты информации в электронном виде;
  • - обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

3.7.3. Для защиты персональных данных при их обработке в информационных системах Компании уполномоченное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных субъектов персональных данных, проводит необходимые предусмотренные законом мероприятия (включая, но не ограничиваясь):

  • - определение угроз безопасности персональных данных при их обработке;
  • - применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  • - учет машинных носителей персональных данных;
  • - обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
  • - восстановление персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • - установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

3.7.4. В Компании назначается лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных субъектов персональных данных.

3.7.5. В Компании принимаются иные меры, направленные на обеспечение выполнения обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.

4. ФУНКЦИИ КОМПАНИИ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • - принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Компании в области персональных данных;
  • - принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • - назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных работников, клиентов Компании (Приложение 4);
  • - издает локальные правовые акты, определяющие Политику и вопросы обработки и защиты персональных данных в Компании;
  • - сообщает в установленном законодательством порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
  • - прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
  • - совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных либо локальными правовыми актами Компании.

Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале (Приложение 5). В Компании назначается ответственное лицо за ведение журнала.

5. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ КАК ОПЕРАТОРА

5.1. Компания вправе:

  • - устанавливать правила обработки персональных данных, вносить изменения или дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора;
  • - отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
  • - осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Компании в области обработки и защиты персональных данных.

5.2. Компания обязуется:

  • - не передавать и не распространять персональные данные субъектов персональных данных без их согласия, за исключением случаев, когда это требуется в соответствии с законодательством;
  • - обеспечивать защиту персональных данных в процессе их обработки;
  • - предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
  • - вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
  • - прекращать обработку персональных данных, а также осуществлять их удаление при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
  • - выполнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.

6. ТРЕБОВАНИЕ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения ответственными лицами Компании, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

6.2. Обеспечение конфиденциальности персональных данных не требуется в случае:

  • - обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных);
  • - для общедоступных персональных данных.

6.3. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных ответственные лица, работающие с персональными данными, должны быть ознакомлены под подпись с требованиями Политики Компании в отношении обработки персональных данных, настоящим Положением и иными локальными правовыми актами Компании в сфере обработки, защиты, обеспечения конфиденциальности и безопасности персональных данных.

Для выполнения своих обязанностей ответственному лицу предоставляются хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.) и создаются иные необходимые условия.

6.4. Конфиденциальность персональных данных в информационных системах Компании обеспечивается комплексом организационных и технических мер по защите информации.

6.5. Для решения основных задач по защите персональных данных в информационных системах Компании используются средства защиты информации и информационных ресурсов, обеспечивающие:

  • - идентификацию и аутентификацию пользователей и ресурсов;
  • - управление доступом к информационным ресурсам и инфраструктуре;
  • - защиту от несанкционированного доступа к ресурсам рабочих станций, серверов и активного сетевого оборудования, входящих в состав информационных систем Компании;
  • - оперативное восстановление информации в случае реализации угроз безопасности;
  • - защиту информации в каналах связи;
  • - регистрацию и учет действий пользователей.

6.6. При обработке персональных данных клиентов и контрагентов Компании, содержащихся в информационных ресурсах (Интернет-сайтах, мобильных приложениях/сервисах и т.п.) в связи с оказываемыми клиентам и контрагентам Компании договорными услугами, в договорах и информационных ресурсах необходимо предусмотреть:

  • - цели обработки персональных данных;
  • - перечень действий, которые будут совершаться с персональными данными.

6.7. Ответственным лицам Компании, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных, либо уничтожаются в соответствии с законодательством. Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих персональные данные, запрещается.

6.8. Ответственные лица Компании, работающие с персональными данными, обязаны использовать информацию о персональных данных для целей, связанных с выполнением своих должностных обязанностей.

6.9. При прекращении выполнения работником должностных обязанностей, связанных с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.), которые находились в его распоряжении в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.

6.10. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством Республики Беларусь, Политикой в отношении обработки персональных данных в Компании, настоящим Положением, должностной инструкцией и иными локальными правовыми актами Компании в сфере обработки, защиты, обеспечения конфиденциальности и безопасности персональных данных. Передача персональных данных осуществляется ответственным за обработку персональных данных должностным лицом Компании на основании письменного или устного поручения руководителя структурного подразделения.

6.11. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими в Компании локальными правовыми актами. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.

6.12. Ответственные лица Компании, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.

7. ПОРЯДОК ОБЕСПЕЧЕНИЯ СОХРАННОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Порядок обеспечения сохранности при обработке персональных данных, осуществляемый без использования средств автоматизации.

7.1.1. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:

  • - определяет места хранения персональных данных (материальных носителей) – сейфы, запирающиеся металлические шкафы;
  • - осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
  • - осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
  • - информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
  • - организует раздельное, то есть не допускающее смешения, хранение материальных носителей персональных данных (документов, дисков, дискет, USB-флеш-накопителей, пр.), обработка которых осуществляется в различных целях.

7.1.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. При несовместимости целей обработки персональных данных руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.

7.1.3. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.

7.1.4. Уничтожение бумажных носителей, содержащих персональные данные, осуществляется в соответствии с законодательством Республики Беларусь.

7.2. Порядок обеспечения сохранности при обработке персональных данных, осуществляемый с использованием средств автоматизации.

7.2.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в информационных ресурсах Компании. Сохранность персональных данных при их обработке в информационных ресурсах Компании обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в Компании информационные технологии. Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Республики Беларусь требованиям, обеспечивающим защиту информации.

7.2.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется с применением паролей либо разграничением прав доступа к папкам на сетевых ресурсах и в программных комплексах Компании.

7.2.3. Работа с персональными данными должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.

7.2.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, либо ограничены правами доступа.

7.2.5. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе глобальной компьютерной сети Интернет, запрещается.

7.2.6. При обработке персональных данных в информационных ресурсах Компании пользователями должно быть обеспечено:

  • - использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
  • - недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
  • - постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • - недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.

7.2.7. При обработке персональных данных в информационных ресурсах Компании разработчиками и администраторами информационных систем должны обеспечиваться:

  • - учет лиц, допущенных к работе с персональными данными, прав и паролей доступа;
  • - учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
  • - контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

8. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ТРЕБОВАНИЙ ПОЛОЖЕНИЯ И ЗАКОНОДАТЕЛЬСТВА

8.1. Контроль за соблюдением настоящего Положения и требований законодательства по защите персональных данных осуществляется с целью определения соответствия принятых мер по защите персональных данных, обрабатываемых Компанией, выявления возможных каналов утечки и несанкционированного доступа к данной информации и принятия мер по их пресечению.

8.2. Контроль возлагается на ответственное лицо или структурное подразделение, назначенное приказом директора Компании.

8.3. Контроль осуществляется:

  • - в рабочем порядке ответственным лицом или структурным подразделением, назначенным приказом директора Компании;
  • - в ходе внеплановых проверок по письменному указанию директора Компании или лица, его замещающего.

8.4. При выявлении факта нарушения требований настоящего Положения или законодательства по защите персональных данных проводится служебное расследование.

8.5. Приказом директора Компании для проведения служебного расследования назначается комиссия.

9. ОТВЕТСТВЕННОСТЬ

9.1. Ответственные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут ответственность в соответствии с законодательством Республики Беларусь.

9.2. Требования настоящего Положения обязательны для исполнения всеми работниками Компании, независимо от того, был ли им предоставлен доступ к персональным данным.

9.3. Отсутствие контроля со стороны Компании за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.

9.4. Работники Компании, нарушившие требования настоящего Положения, а также работники Компании, по вине которых произошло незаконное распространение персональных данных, несут ответственность в порядке, предусмотренном законодательством Республики Беларусь, в том числе административную и уголовную ответственность.

    Приложения:
  • Приложение 1: форма письменного согласия субъекта персональных данных на обработку его персональных данных;
  • Приложение 2: форма уведомления субъекта персональных данных о предоставлении ему информации по обработке персональных данных до получения его согласия на обработку персональных данных;
  • Приложение 3: форма уведомления субъекта персональных данных о разъяснении его прав, связанных с обработкой персональных данных;
  • Приложение 4: форма приказа «О назначении ответственного за осуществление внутреннего контроля за обработкой персональных данных»;
  • Приложение 5: форма Журнала учета обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных.
Отзыв о сайте