Политика в отношении обработки и защиты персональных данных
Протокол б/н от «15» ноября 2021г.
Директор ООО «ВИГУРКОМ»
«15» ноября 2021г.
1.1. Политика обработки персональных данных (далее – Политика) в ООО "ВИГУРКОМ" (далее - Общество) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Обществе персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в ООО "ВИГУРКОМ" вопросы обработки персональных данных работников Общества и других субъектов персональных данных.
1.4. Политика вступает в силу с момента её утверждения, действует в отношении всех персональных данных, обрабатываемых Обществом, распространяется на все действия, совершаемые Обществом с персональными данными, на отношения в области обработки персональных данных, возникших как до, так и после утверждения Политики.
2.1. Политика обработки персональных данных в Обществе определяется в соответствии со следующими нормативными правовыми актами:
- - Конституция Республики Беларусь;
- - Трудовой кодекс Республики Беларусь;
- - Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
- - Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
- - иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
2.2. Правовые основания обработки персональных данных:
- - согласие субъекта персональных данных, которое должно быть свободным, однозначными и информированным;
- - договоры, заключаемы между Обществом и субъектами персональных данных;
- - оформление трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных;
- - обработка персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
- - защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможна;
- - обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- - случаи, когда законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
2.3. В целях реализации положений Политики в ООО "ВИГУРКОМ" разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
- - Положение об обработке и защите персональных данных в ООО "ВИГУРКОМ" (приложение 1 к настоящей Политике);
- - Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (приложение 2 к настоящей Политике);
- - иные локальные правовые акты и документы, регламентирующие в Обществе вопросы обработки персональных данных.
3.1. Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.2. Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
3.3. Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
3.4. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.5. Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.6. Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.7. Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
3.8. Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
3.9. Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.10. Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.11. Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
3.12. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
3.13. Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.14. Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3.15. Информация - сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
3.16. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
4.1. ООО "ВИГУРКОМ", являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с ООО "ВИГУРКОМ" в трудовых отношениях.
4.2. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ООО "ВИГУРКОМ" и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- - обработка персональных данных осуществляется на законной и справедливой основе;
- - обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- - обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- - обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- - содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- - обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- - оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- - хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4.3. Персональные данные обрабатываются в ООО "ВИГУРКОМ" в целях:
- - обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Общества;
- - осуществления функций и обязанностей, возложенных законодательством Республики Беларусь на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- - защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- - рассмотрения возможности трудоустройства кандидатов в Общество; проверки кандидатов (в том числе их квалификации и опыта работы);
- - регулирования трудовых отношений с работниками ООО "ВИГУРКОМ" (содействие в трудоустройстве, обучение, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- - ведения кадрового делопроизводства;
- - ведения бухгалтерского учёта;
- - организации и сопровождения деловых поездок;
- - выдачи доверенностей и иных уполномочивающих документов;
- - проверки контрагента;
- - подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- - формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;
- - исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- - осуществления прав и законных интересов ООО "ВИГУРКОМ» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Общества, либо достижения общественно значимых целей;
- - осуществления коммуникации с субъектами персональных данных;
- - предоставления субъектам персональных данных услуг, продуктов, программ Обществу;
- - оценки и анализа работы сайтов Общества, контроля и улучшения качества работы подразделений Общества;
- - рекламы и продвижения товаров Общества;
- - обработки обращений и запросов от субъектов персональных данных;
- - регистрации и обслуживания пользователей на сайте Общества;
- - в иных целях, не противоречащих законодательству Республики Беларусь.
5.1. В ООО «ВИГУРКОМ» обрабатываются персональные данные следующих категорий субъектов:
- - участники Общества, аффилированные лица Общества;
- - работники Общества, в том числе и уволенные;
- - кандидаты для приёма на работу в Общество;
- - пользователи сайтов Общества;
- - контрагенты и клиенты Общества, являющиеся физическими лицами;
- - представители и (или) работники контрагентов Общества, являющихся юридическими лицами (индивидуальными предпринимателями);
- - другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в пункте 4.3. Политики).
6.1. Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами ООО "ВИГУРКОМ" с учетом целей обработки персональных данных, указанных в пункте 4.3. Политики.
6.2. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, в ООО "ВИГУРКОМ" не осуществляется.
7.1. ООО "ВИГУРКОМ" при осуществлении обработки персональных данных:
- - принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных;
- - принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- - назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
- - издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе;
- - осуществляет ознакомление работников Общества, его структурных подразделений с положениями законодательства Республики Беларусь и локальных правовых актов ООО "ВИГУРКОМ" в области персональных данных, в том числе требованиями к защите персональных данных;
- - обеспечивает неограниченный доступ к настоящей Политике;
- - сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
- - прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
- - совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
8.1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
8.2. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
8.3. Общество вправе поручить обработку персональных данных от имени ООО "ВИГУРКОМ" или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
- - цели обработки персональных данных;
- - перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- - обязанности по соблюдению конфиденциальности персональных данных;
- - меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
8.4. В целях внутреннего информационного обеспечения ООО "ВИГУРКОМ" может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
8.5. Доступ к обрабатываемым в ООО "ВИГУРКОМ" персональным данным разрешается только работникам ООО "ВИГУРКОМ", в должностные обязанности которых входит обработка персональных данных.
9.1. ООО "ВИГУРКОМ" осуществляет обработку персональных данных: любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
9.2. Обработка персональных данных в ООО "ВИГУРКОМ" осуществляется следующими способами:
- - с использованием средств автоматизации;
- - без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
10.1. Субъекты персональных данных имеют право на:
- - отзыв согласия субъекта персональных данных;
- - получение информации, касающейся обработки персональных данных, и изменение персональных данных;
- - требование прекращения обработки персональных данных и (или) их удаление;
- - обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
11.1. Меры, необходимые и достаточные для обеспечения выполнения ООО "ВИГУРКОМ" обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
- - предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
- - разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
- - получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- - назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО "ВИГУРКОМ";
- - издание документов, определяющих политику ООО "ВИГУРКОМ" в отношении обработки персональных данных;
- - ознакомление работников, непосредственно осуществляющих обработку персональных данных в Общества, с положениями законодательства о персональных данных;
- - установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- - осуществление технической и криптографической защиты персональных данных в Обществе в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
- - обеспечение доступа к документам, определяющим политику ООО "ВИГУРКОМ" в отношении обработки персональных данных, до начала такой обработки;
- - прекращение обработки персональных данных при отсутствии оснований для их обработки;
- - незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
- - осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
- - ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
- - осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
- - установление и поддержание в актуальном состоянии: перечня информационных ресурсов, содержащих персональные данные, собственниками которых Общество является, категорий персональных данных, подлежащих включению в такие ресурсы, сроков хранения обрабатываемых персональных данных;
- - внесение в создаваемый Национальным центром защиты персональных данных государственный информационный ресурс "Реестр операторов персональных данных" сведений об информационных ресурсах (системах), содержащих персональные данные, а также обеспечение актуализации соответствующих сведений (с 01.01.2024).
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами ООО "ВИГУРКОМ", регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Общества.
12.1. Контроль за соблюдением структурными подразделениями ООО "ВИГУРКОМ» законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях ООО "ВИГУРКОМ" законодательству Республики Беларусь и локальным правовым актам Общества в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
12.2. Внутренний контроль за соблюдением структурными подразделениями ООО "ВИГУРКОМ" законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в ООО "ВИГУРКОМ".
12.3. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов ООО "ВИГУРКОМ" в области персональных данных в структурных подразделениях Общества, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях ООО "ВИГУРКОМ" возлагается на их руководителей.
13.1. Вопросы, касающиеся обработки персональных данных, не закреплённые в настоящей Политике, регулируются законодательством Республики Беларусь.
13.2. В случае, если какое-либо положение Политики признается противоречащим законодательству, остальные положения остаются в силе и являются действительными, а любое недействительное положение будет считаться удалённым или изменённым в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
13.3. Общество имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного уведомления субъектов персональных данных. Действующая редакция Политики постоянно доступна в сети Интернет на сайте Общества.