УТВЕРЖДЕНО

                                                                   Приказ государственного                                                            

                                                                   предприятия «Зеленстрой             

                                                                   Заводского района г. Минска»

                                                                   «24» декабря 2021 г. №144

 

ПОЛИТИКА

КОММУНАЛЬНОГО УНИТАРНОГО ПРЕДПРИЯТИЯ «ЗЕЛЕНСТРОЙ ЗАВОДСКОГО РАЙОНА Г.МИНСКА»

в  отношении обработки персональных данных

 

г.Минск

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика коммунального унитарного предприятия «Зеленстрой Заводского района г.Минска» (далее – Предприятие) в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее – Закон) и иных актов законодательства Республики Беларусь.
2. Настоящая Политика является локальным правовым актом Предприятия, применяется в отношении всех персональных данных, обрабатываемых Предприятием, служит основой для разработки локальных правовых актов, регламентирующих вопросы обработки персональных данных работников предприятия и других субъектов персональных данных и определяет:

порядок обработки Предприятием персональных данных физических лиц (субъектов персональных данных);

порядок предоставления и распространения Предприятием персональных данных третьим лицам.

3. Передавая Предприятию персональные данные, в том числе посредством интернет-ресурсов, субъект персональных данных подтверждает своё согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.

Актуальная редакция Политики размещается в свободном доступе на информационных ресурсах Предприятия.

4. В настоящей Политике применяются следующие термины и определения:

биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение, рост, окружность головы и другое);

блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту  персональных данных;

обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

оператор - Предприятие, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных;

персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;

распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

интернет-ресурс – интернет-сайт, страница интернет-сайта, веб-портал, форум, блог, чат, приложение для мобильного устройства и другие ресурсы, имеющие подключение к сети Интернет;

информационные ресурсы предприятия – информационные стенды, справочники, плакаты, брошюры, таблички, корпоративные чаты, интернет-ресурсы и прочие ресурсы, позволяющие размещать информацию о деятельности предприятия;

субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;

удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах, базах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в  соответствии с актом законодательства, решением государственного органа,  являющегося   оператором,    либо   на   основании   договора   с

Предприятием осуществляют обработку персональных данных от имени Предприятия или в его интересах;

физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Иные термины и их определения, употребляющиеся в настоящей Политике, используются в значениях, определенных законодательством.

ГЛАВА 2

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5. Предприятием устанавливаются следующие цели обработки персональных данных:

5.1. при оформлении трудовых (гражданско-правовых) отношений между Предприятием и субъектом персональных данных и в процессе трудовой (гражданско-правовой) деятельности таких субъектов;

         5.2. обеспечения пропускного и внутриобъектного режимов, при установлении режимов доступа в помещения (на территорию) Предприятия, фиксации перемещения физических лиц по помещениям (территории) Предприятия;

5.3. для ведения кадровой работы и организации учёта (кадрового, воинского, налогового, бухгалтерского, индивидуального (персонифицированного), сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования);

5.4. для осуществления обязательного профессионального и дополнительного пенсионного страхования, оформления пенсий, предоставления статистической и иной необходимой отчетности;

5.5. для осуществления административных процедур и обработки иных обращений и запросов, получаемых от субъектов персональных данных;

5.6. формирования справочных и информационных материалов для внутреннего обеспечения деятельности Предприятия;

5.7. для осуществления прав и законных интересов Предприятия в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными правовыми актами Предприятия, выполнения обязанностей (полномочий), предусмотренных законодательными актами (работа с правоохранительными органами, вышестоящими организациями, обращениями и прочие);

5.8. выполнения иных обязанностей (полномочий), предусмотренных законодательными актами.

ГЛАВА 3

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

6. Обработка персональных данных осуществляется Предприятием в соответствии с настоящей Политикой и актами законодательства.
7. Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.
8. Для целей, указанных в п. 5. настоящей политики, Предприятием обрабатываются следующие персональные данные:

фамилия, имя и отчество (если таковые имеются), в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения;

адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

данные, содержащиеся в документе, удостоверяющем личность (вид, серия, номер, код документа, удостоверяющего личность, дата выдачи, наименование (код) органа, выдавшего его, число, месяц, год и место рождения, сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства и прочие данные);

номера рабочих, домашних (стационарных) и мобильных телефонов или сведения о других способах связи;

данные, содержащиеся в документе о воинском учете;

данные, содержащиеся в документах об образовании;

данные, содержащиеся в трудовой книжке (копии трудовой книжки);

данные, содержащиеся в резюме, анкетах, справках, автобиографии и характеристиках с предыдущих мест работы;

данные, полученные для формирования личного дела и (или) личной карточки по учёту (о семейном положении, составе семьи и близких родственниках, ученой степени, владении иностранными языками, включая уровень владения, сведения из свидетельств о браке (разводе), рождении детей, о пребывании за границей, о государственных наградах, иных наградах и знаках отличия, фотография работника);

данные содержащиеся в трудовом договоре (контракте), дополнительных соглашениях к трудовому договору (контракту), в гражданско-правовых договорах и в приложениях к ним;

данные о наличии или отсутствии судимости, привлечении к уголовной и (или) административной ответственности (в случаях, определенных законодательством);

данные, содержащиеся в страховом свидетельстве и других документах, подтверждающих обстоятельства, имеющие отношение к работе, предъявление которых предусмотрено законодательными актами;

данные, необходимые для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

данные, необходимые для осуществления обязательного профессионального страхования и дополнительного пенсионного страхования;

данные об обучении, переподготовке и (или) повышении квалификации; результаты медицинского обследования (осмотра) работника (кандидата, соискателя) на предмет годности к выполнению трудовых обязанностей (включая информацию об инвалидности);

сведения о трудовых и социальных отпусках, служебных командировках; сведения об оплате труда, реквизиты банковского счета для перечисления заработной платы и социальных выплат;

другие персональные данные, необходимые для обеспечения реализации целей обработки.

9. Обработка специальных, в том числе биометрических персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
10. В случаях, установленных актами законодательства, обработка персональных данных осуществляется только с письменного согласия Субъекта.
11. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.
12. В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие Субъекта на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных актами законодательства.
13. Обработка персональных данных должна носить прозрачный характер, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.

       Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

14. Предприятие обязано принимать меры по обеспечению достоверности обрабатываемых им персональных данных.
15. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
16. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством, персональные данные подлежат уничтожению либо обезличиванию.
17. Предприятие может осуществлять трансграничную передачу персональных данных, только в случаях, установленных законодательством.

ГЛАВА 4

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИХ ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ

18. Предприятие обрабатывает персональные данные следующих субъектов персональных данных:

кандидаты (соискатели) на работу, работники Предприятия (в том числе бывшие работники), их супруги и близкие родственники;

студенты, учащиеся и иные лица, прибывшие на практику, стажировку;

лица, не являющиеся работниками предприятия, при организации личного приема руководителем, при обработке обращений граждан, при подготовке наградных документов Предприятия и иных случаях;

         контрагенты - физические лица, в том числе потенциальные (по гражданско-правовым договорам), представители потенциальных контрагентов;

иные лица, предоставившие свои персональные данные каким-либо способом.

19. Субъект персональных данных имеет право:

получать информацию, касающуюся обработки его персональных данных;

получать от Предприятия информацию о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом; отзывать согласие на обработку персональных данных;

         обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Предприятия при обработке его персональных данных;

требовать от Предприятия:

изменения его персональных данных в случае, если персональные данные являются неполными или устаревшими;

бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных;

осуществления иных прав, предусмотренных законодательством Республики Беларусь.

20. Субъект персональных данных обязан:

предоставлять Предприятию достоверные данные о себе;

сообщать Предприятию об уточнении (обновлении, изменении) своих персональных данных.

Лица, передавшие Предприятию недостоверные сведения о себе, либо  сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.

ГЛАВА 5

ПОРЯДОК ПОДАЧИ ЗАЯВЛЕНИЯ И СОГЛАСИЯ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

21. Для реализации указанных в п.19. настоящей Политики прав, субъект персональных данных подает соответствующее заявление.
22. Порядок подачи заявления субъектом персональных данных. Субъект вправе подать Предприятию заявление в письменной форме либо в виде электронного документа. Такое заявление должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных;

изложение сути требований субъекта персональных данных;

дату заявления и личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное в сроки, определенные законодательством.

23. В случаях, предусмотренных законодательством, Субъект даёт согласие на обработку персональных данных. Согласие представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
24. До получения согласия Субъекта Предприятие обязано простым и ясным языком разъяснить Субъекту его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия Субъекта или отказа в даче такого согласия, а так же предоставить субъекту персональных данных информацию, содержащую:

наименование и место нахождения Предприятия;

цели обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

срок, на который дается согласие Субъекта;

информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;

перечень действий с персональными данными, на совершение которых  дается согласие Субъекта, общее описание используемых способов обработки персональных данных;

иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

25. Субъект при даче своего согласия указывает свои:

фамилию, собственное имя, отчество (если таковое имеется);

дату рождения;

идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность.

ГЛАВА 6

ПРАВА И ОБЯЗАННОСТИ ПРЕДПРИЯТИЯ

26. Предприятие вправе:

получать от субъекта персональных данных достоверную информацию и (или) документы, содержащие персональные данные;

запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

в случае отзыва субъектом персональных данных согласия на обработку персональных данных, продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;

в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом отказать Субъекту в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе, если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом Субъекта в пятнадцатидневный срок.

27. Предприятие обязано:

разъяснять Субъекту его права, связанные с обработкой персональных данных;

получать согласие Субъекта, за исключением случаев, предусмотренных законодательными актами;

обеспечивать защиту персональных данных в процессе их обработки;

предоставлять Субъекту информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами;

вносить изменения в персональные данные, которые являются  неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами, либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных иными законодательными актами;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных Субъекта по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами; исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

выполнять иные обязанности, предусмотренные законодательными актами.

ГЛАВА 7

МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

28. Предприятие обязано принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
29. Для защиты персональных данных принимаются следующие меры:

определение лиц, ответственных за осуществление обработки персональных данных;

назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

ведение реестров обработки;

доведение до сведения всех заинтересованных лиц настоящей Политики и иных документов в отношении обработки персональных данных;

ознакомление работников Предприятия и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по  защите персональных данных, настоящей Политикой и иными документами в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;

установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

30. Предприятие обязано обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Предприятия в отношении обработки персональных данных.
31. Классификация информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных устанавливается уполномоченным органом по защите прав субъектов персональных данных.

ГЛАВА 8

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

32. Предприятие осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
33. Обработка персональных данных осуществляется следующими способами: с использованием средств автоматизации; без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

ГЛАВА 9

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

34. Предприятие и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
35. Безопасность персональных данных, обрабатываемых Предприятием, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
36. Внутренний контроль за соблюдением структурными подразделениями Предприятия законодательства Республики Беларусь и локальных правовых актов коммунального унитарного предприятия «Зеленстрой Заводского района г.Минска» в области персональных данных, в том числе требований к защите персональных данных, осуществляет лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
37. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов в области персональных данных в структурных подразделениях Предприятия, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на руководителей структурных подразделений и лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.
38. Настоящая Политика вступает в силу со дня ее утверждения.
39. Предприятие имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.
40. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.