В отношении обработки персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее по тексту — Политика) утверждает основные процессы, принципы, цели, условия и способы обработки персональных данных в ЧПУП «Эльфгран-Техно» (далее по тексту – Предприятие), обязанности и функции Предприятия при обработке персональных данных, права субъектов персональных данных, а также установленные Предприятием требования к защите персональных данных.

1.2. Политика является общедоступным документом Предприятия и предусматривает возможность ознакомления с ней любых лиц. Настоящая Политика подлежит опубликованию на портале Предприятия – elf-techno.by

1.3. При разработке, изменении и дополнении Предприятием внутренних локальных актов, должностных инструкций, связанных с процессами и процедурами обработки персональных данных, в обязательном порядке должны учитываться положения настоящей Политики.

1.4. Настоящая Политика регулирует определение порядка обработки персональных данных клиентов Предприятия, а также лиц, работающих по трудовым договорам на Предприятии и выполняющих работу (оказывающих услуги) по гражданско-правовым договорам, в том числе: физических лиц, желающих вступить в трудовые или иные гражданско-правовые отношения с Предприятием, физических лиц, ранее состоявших в трудовых и иных гражданско-правовых отношениях с Предприятием, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности лиц, имеющих доступ к персональным данным клиентов и работников Предприятия, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

ГЛАВА 2

ОСНОВАНИЯ ДЛЯ РАЗРАБОТКИ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основанием для разработки настоящей Политики обработки персональных данных в Предприятии являются требования следующих законодательных и нормативно-правовых актов:

Конституция Республики Беларусь;

Трудовой кодекс Республики Беларусь;

Закон Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных»;

Закон Республики Беларусь от 21.07.2008 N 418-З «О регистре населения»;

Закон Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации».

ГЛАВА 3

ОСНОВНЫЕ ПОНЯТИЯ, ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ

3.1. Оператор — Предприятие, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3.2. Клиенты — субъекты персональных данных, физические лица (собственник жилого или нежилого помещения, наниматель жилого помещения, арендатор жилого помещения, лизингополучатель по договору лизинга жилого помещения), индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к Предприятию с целью выполнения работ по техническому обслуживанию индивидуального прибора учета (далее ИПУ) расхода тепловой энергии и оказания услуги по расчету потребления тепловой энергии расчетного помещения согласно показаниям ИПУ, с учетом его доли, используемой для обогрева мест общего пользования в общедомовом потреблении, съемом ИПУ для проведения замены литиевого источника питания и государственной поверки с последующей обратной установкой и по другим хозяйственным договорам, операциям и вопросам в рамках предпринимательской деятельности Предприятия (пользователи сервисных сайтов и порталов).

3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Предприятием, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Предприятием), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Предприятием-оператором.

3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).

3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.

3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

3.9. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

3.10. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

3.11. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

3.12. Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.

3.13. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

3.14. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

3.15. Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

3.16. Документы, содержащие персональные данные работника — документы, которые работник предоставляет Предприятию в связи с трудовыми отношениями и гражданско-правовыми отношениями с Предприятием, в том числе: кандидаты (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Предприятием физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Предприятием, и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.

3.17. «Пользователь Сайта» – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.

3.18. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

3.19. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

ГЛАВА 4

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Обработка персональных данных клиентов и работников осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права не неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

— Обработке подлежат только персональные данные, которые отвечают целям их обработки;

— Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— Обработка персональных данных осуществляется исключительно на законной и справедливой основе;

— Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, указанным в законе «О защите персональных данных»;

— Обработка персональных данных носит прозрачный характер. Субъекту персональных данных в соответствии с законодательством Республики Беларусь предоставляется соответствующая информация, касающаяся обработки его персональных данных;

— Предприятие принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

— Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— При обработке персональных данных должны быть обеспечены точность и достоверность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

— Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

4.2. Персональные данные субъектов персональных данных обрабатываются Предприятием в целях:

— Исполнения и соблюдения требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Предприятия;

— Осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Предприятие, в том числе по предоставлению персональных данных в органы государственной власти, налоговые органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;

— Регулирования трудовых отношений с работниками Предприятия (содействие в трудоустройстве, обучения и повышения квалификации, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

— Осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения, изменения и расторжения договоров с клиентами и контрагентами; в том числе при осуществлении оптовой торговли, выполнения работ и предоставления услуг;

— Защиты жизни, здоровья, прав и законных интересов субъектов персональных данных;

— Рассмотрения обращений субъектов персональных данных;

— Формирования защищенных от несанкционированного доступа справочных и учетных материалов, баз данных для внутреннего информационного обеспечения деятельности Предприятия;

— Исполнения судебных постановлений, решений, предписаний, требований уполномоченных государственных органов и их должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве и контрольной (надзорной) деятельности и при осуществлении административных процедур;

— Проведения опросов и исследований, направленных на выявление удовлетворенности субъектов персональных данных услугами и работами Предприятия;

— Получения и анализа информации, которая способствует улучшению качества работ и услуг, оказываемых Предприятием;

— Проведения маркетинговых программ, направленных на повышение удовлетворенность субъекта персональных данных и своевременное информирование о скидках, акциях, презентациях и персональных предложениях;

— Направления субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с работами и услугами;

— Уведомления субъекта персональных данных о товарах, реализуемых Предприятием;

— Коммуникации с объектом персональных данных;

— Ведения бухгалтерского и налогового учета;

— Реализации, защиты, восстановления нарушенных прав и законных интересов Предприятия при осуществлении им хозяйственных операций в их отношениях с субъектами персональных данных;

— Осуществления прав и законных интересов Предприятия в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами, либо достижения общественно значимых целей;

— В иных целях, не противоречащих требованиям законодательства о персональных данных.

4.3. Правовые основаниями для обработки персональных данных указаны в пункте3 статьи 4, и статьи 6 и 8 Закона о защите персональных данных №99-З

ГЛАВА 5

ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ПРЕДПРИЯТИЕМ

5.1. Предприятием обрабатываются персональные данные следующих категорий субъектов:

— Клиенты (включая лиц, заинтересованных в приобретении товаров, работ и услуг Предприятия);

— Работников предприятия (включая кандидатов на занятие должностей, стажеров, практикантов и физических лиц, выполняющих работу на условиях гражданско-правового договора);

— Других физических лиц, данные которых предоставлены клиентами или работниками Предприятия;

— Других субъектов персональных данных для обеспечения реализации целей обработки, указанных в главе 4 настоящей Политики.

ГЛАВА 6

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ПРЕДПРИЯТИЕМ

6.1. Перечень персональных данных работников, обрабатываемых Предприятием, установлен в соответствии с нормативными актами по трудовому законодательству обработке персональных данных:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- сведения об образовании, опыте работы, квалификации;

- персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах;

- изображение (фотография);

- паспортные данные (номер, орган выдавший паспорт и дата выдачи);

- адрес регистрации по месту жительства;

- адрес фактического проживания;

- контактные данные- номер телефона;

- индивидуальный номер налогоплательщика;

- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

- семейное положение, наличие детей;

- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

- сведения о воинском учете;

- сведения об инвалидности;

- сведения об удержании алиментов;

- сведения о доходе с предыдущего места работы;

- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

- сведения о членах семьи работников Оператора, включая фамилия, имя, отчество; степень родства; год рождения;

- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

6.2. В состав персональных данных Клиентов физических лиц и индивидуальных предпринимателей и физических лиц, представителей клиентов юридических лиц, в том числе входят:

• Фамилия, имя, отчество
• Паспортные данные (номер, орган выдавший паспорт и дата выдачи)
• Адрес места регистрации
• Адрес установки ИПУ
• Адрес электронной почты.
• Номер телефона (городской, мобильный).
• сведения из иных документов Клиента и/или о Клиенте, предоставляемые Клиентом в связи с заключением и исполнением договора - тип , заводской номер и место установки ИПУ и общая площадь расчетного помещения.

6.3. На Предприятии могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

• Договор-счёт на выполнение работ и услуг.
• Заявление (акцепт) на согласие с условиями публичного договора на услуги по расчету согласно показаниям ИПУ
• Копии документов, предоставляемых Клиентом (паспорта на ИПУ) и содержащие его персональные данные.
• Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

6.4. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных на Предприятии не допускается и не осуществляется.

6.5 Перечень персональных данных, обрабатываемых Предприятием, в отношении других субъектов персональных данных, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Предприятия с учетом целей обработки персональных данных, указанных в гл. 4 Политики.

ГЛАВА 7

ДЕЙСТВИЯ ПРЕДПРИЯТИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Предприятие при осуществлении обработки персональных данных:

— принимает меры, необходимые для выполнения требований законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных;

— принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— назначает сотрудников, ответственных за осуществление внутреннего контроля процедур обработки персональных данных, ответственных за хранение полученных персональных данных от клиентов;

— принимает и внедряет локальные нормативные акты, определяющие политику, регламенты обработки и защиты персональных данных на Предприятии; разрабатывает дополнения в должностные инструкции ответственных лиц.

— осуществляет ознакомление работников Предприятия, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных, в том числе требованиями к защите персональных данных, обучение и проверку знаний указанных работников;

— сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;

— прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;

— совершает иные действия, предусмотренные законодательством Республики Беларусь в области обработки персональных данных.

ГЛАВА 8

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ

8.1. Получение персональных данных работника преимущественно осуществляется путем представления их самим работником, при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности, за исключением случаев, прямо предусмотренных действующим законодательством Республики Беларусь. Согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», предоставление согласия на обработку персональных данных работником для предприятия-оператора, являющегося его Нанимателем не требуется.

8.2. Обработка персональных данных клиентов Предприятия, предоставляющих персональные данные для целей заключения договора с Предприятием (выполнения работ по техническому обслуживанию индивидуального прибора учета (далее ИПУ) расхода тепловой энергии и оказания услуги по расчету потребления тепловой энергии расчетного помещения согласно показаниям ИПУ, с учетом его доли, используемой для обогрева мест общего пользования в общедомовом потреблении, съемом ИПУ для проведения замены литиевого источника питания и государственной поверки с последующей обратной установкой ) осуществляется без письменного согласия клиента на обработку его персональных данных, согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.

8.3. Предприятие без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

8.4. Обработка персональных данных соискателей (кандидатов) на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом Республики Беларусь, предполагает получение письменного согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия Нанимателем решения о приеме либо отказе в приеме на работу и выполнение Нанимателем требований, возложенных на него в статье 5 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь». В случае сообщения Нанимателем отказа в приеме на работу обработка персональных данных соискателя подлежит автоматическому прекращению и сами данные уничтожению в связи с достижением цели обработки.

Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.

8.5. Право доступа к персональным данным работника и их обработки имеют:

— руководитель Предприятия и его заместители;

— сотрудники сектора кадровой работы;

— специалист по охране труда, в пределах своей компетенции;

— руководители отделов (только относительно работников своего отдела);

— сотрудники бухгалтерии, в пределах своей компетенции;

— сам работник.

8.6. Право доступа к персональным данным клиентов и их обработки имеют сотрудники следующих подразделений Предприятия:

— отдел абонентской службы;

— руководитель Предприятия и его заместители;

— бухгалтерия;

— работники Предприятия при замещении должностей в перечень должностных обязанностей которых входит обработка персональных данных.

8.7. В остальных случаях обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.

Предоставляя персональные данные других физических лиц (родственники, арендаторы и т.д.) Предприятию, субъект персональных данных гарантирует, что им получено согласие этих лиц на передачу их персональных данных для обработки Предприятию в соответствии с целями обработки персональных данных.

8.8. Получение персональных данных осуществляется после получения письменных согласий субъектов персональных данных на их обработку, за исключением случаев, предусмотренных законодательством Республики Беларусь.

8.9. Предприятие принимает следующие меры для обеспечения выполнения обязанностей при обработке персональных данных:

— назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

— издание документов, определяющих политику в отношении обработки персональных данных;

— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, и документами, определяющими политику в отношении обработки персональных данных;

— установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

— осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;

— обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;

— прекращение обработки персональных данных при отсутствии оснований для их обработки;

— незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;

— осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;

— ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;

— осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

8.10. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Предприятия, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Предприятия.

ГЛАВА 9

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

9.1. Предприятие осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

9.2. Обработка персональных данных клиентов и работников Предприятия осуществляется смешанным путем:

— неавтоматизированным способом обработки персональных данных;

— автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).

9.3. Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.

9.4. Хранение текущей документации и оконченной производством документации, содержащей персональные данные клиентов и работников Предприятия, осуществляется во внутренних подразделениях Предприятия.

Ответственные лица за хранение документов, содержащих персональные данные работников и клиентов, назначаются Приказом руководителя Предприятия.

9.5. Хранение персональных данных клиентов и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

9.6. Предприятие обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством Республики Беларусь, либо Предприятием для получения соответствующих сведений.

9.7. Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица Предприятия, допущенные к работе с персональными данными клиентов и работников Приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.

ГЛАВА 10

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Субъекты персональных данных имеют право на:

— разъяснение Предприятием предоставленных законом прав и обязанностей;

— предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;

— отзыв согласия субъекта персональных данных;

— получение информации о предоставлении своих персональных данных третьим лицам;

— получение информации, касающейся обработки персональных данных, и изменение персональных данных;

— требование прекращения обработки персональных данных и (или) их удаления;

— обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;

— полную информацию о хранящихся у Предприятия его персональных данных;

— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством;

— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе Предприятия исключить или исправить персональные данные работника он имеет право заявить в письменной форме Предприятию о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

— требование об извещении Нанимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— обжалование в суде любых неправомерных действий или бездействия Предприятия, Нанимателя при обработке и защите его персональных данных.

10.2. Указанные права субъектов персональных данных могут быть реализованы путем подачи заявлений по адресу:

• ул. Франциска Скорины, д. 8, офис 33, г. Минск, 220076,
• E-mail (для электронных документов) doc@ elf-techno.by

10.3. Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.

10.4. Если в заявлении субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

10.5. Субъекту персональных данных может быть отказано в предоставлении информации в соответствии с п. 3 ст. 11 Закона о персональных данных.

ГЛАВА 11

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ

11.1. Предприятие при обработке персональных данных работников и клиентов обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

11.3. Обеспечение безопасности персональных данных работников достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) учетом цифровых носителей персональных данных;

5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

11.4. Для обеспечения безопасности персональных данных работников при неавтоматизированной обработке предпринимаются следующие меры:

11.4.1. Определяются места хранения персональных данных, которые оснащаются средствами защиты:

— в кабинетах, где осуществляется хранение документов, содержащих персональные данные работников, имеются сейфы, шкафы, стеллажи, тумбы.

— дополнительно помещения, где осуществляется хранение документов, оборудованы замками и системами охраны тревожной сигнализации.

11.5. Все действия по неавтоматизированной обработке персональных данных работников осуществляются только должностными лицами, согласно списку должностей, утвержденному Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

11.6. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

11.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление). Персональные данные клиентов и работников, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении персональных данных. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

Для обеспечения безопасности персональных данных клиентов и работника при автоматизированной обработке предпринимаются следующие меры:

11.8. Персональные компьютеры, имеющие доступ к базам хранения персональных данных клиентов и работников, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных клиентов и работников на данном ПК.

11.9. Защита персональных данных клиента:

11.9.1. Защита персональных данных Клиента осуществляется за счёт Предприятия в порядке и способами, установленными законодательством. Предприятие при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, правовые и технические меры, в том числе:

Антивирусная защита.

Управления доступом.

Регистрация и учет.

Обеспечение целостности.

Организация утверждения нормативно-методических локальных актов, регулирующих защиту персональных данных.

Доступ к персональным данным Клиента имеют сотрудники Предприятия, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны соблюдать требования локальных актов Предприятия о неразглашении персональных данных Клиентов.

11.9.2. Процедура оформления доступа к персональным данным Клиента включает в себя:

- Ознакомление сотрудника под роспись с настоящим Положением.

- При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление сотрудника под роспись.

- Ознакомление сотрудника с должностной инструкцией или с дополнением в должностную инструкцию положений о соблюдении требований и правил обработки персональных данных в соответствии с внутренними локальными актами Предприятия, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

Защита персональных данных Клиентов, хранящихся в электронных базах данных Предприятия, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается уполномоченным лицом

ГЛАВА 12

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.

12.2. Работники Предприятия, допущенные к обработке персональных данных работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.

12.3. Внутренний контроль за соблюдением структурными подразделениями Предприятия, законодательства Республики Беларусь о персональных данных и требований настоящей Политики, осуществляется лицом, ответственным за организацию и соблюдение внутреннего контроля.

12.4. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов Предприятия в области персональных данных в структурном подразделении, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на руководителей данных подразделений.

12.5 Настоящая Политика вступает в силу с даты её утверждения.

12.6. При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа руководителя.

12.7. Настоящая Политика распространяется на всех клиентов и работников, а также работников Предприятия, имеющих доступ и осуществляющих перечень действий с персональными данными клиентов и работников.

Клиенты Предприятия, а также их законные представители имеют право ознакомиться с настоящей Политикой.

Работники Предприятия подлежат обязательному ознакомлению с данным Положением.

12.8. В обязанности Нанимателя входит ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.

Приложение № 1

к Политике в отношении обработки

персональных данных

ЧПУП «Эльфгран-Техно»

ПОЛОЖЕНИЕ

о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Предприятия, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.2. Обеспечение конфиденциальности персональных данных не требуется в случае: обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных); для общедоступных персональных данных (персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов).

1.3. Перечни персональных данных и ответственных за хранение и обработку персональных данных утверждаются приказом руководителя Предприятия. Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению руководителя Предприятия или иного лица, уполномоченного на это руководителем Предприятия. Соответствующие работники должны быть ознакомлены под подпись со всеми локальными правовыми актами Предприятия в области персональных данных, а также должны подписать обязательство неразглашения персональных данных.

1.4. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Предприятие предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований: знакомит работника под подпись с требованиями Политики оператора в отношении обработки персональных данных, с Положением об обработке и защите персональных данных, с настоящим Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные, с должностной инструкцией и иными локальными правовыми актами в сфере обеспечения конфиденциальности и безопасности персональных данных; предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.); обучает правилам эксплуатации средств защиты информации; проводит иные необходимые мероприятия.

1.5. Должностным лицам Предприятия, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных. Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.

1.6. Должностные лица Предприятия, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.

1.7. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.

1.8. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством Республики Беларусь, Политикой оператора в отношении обработки персональных данных, Положением об обработке и защите персональных данных, настоящим Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные, должностной инструкцией и иными локальными правовыми актами Предприятия в сфере обеспечения конфиденциальности и безопасности персональных данных.

1.9. Должностные лица Предприятия, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) директору обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.

1.10. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.

1.11. Отсутствие контроля со стороны Предприятия за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.

2. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.

2.2. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации: определяет места хранения персональных данных (материальных носителей); осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ; информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки; организует раздельное, т.е. не допускающее смешения, хранение материальных носителей персональных данных (документов, дисков, дискет, USB-флеш-накопителей, пр.), обработка которых осуществляется в различных целях.

2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.4. При несовместимости целей обработки персональных данных руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.

2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.

3. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ

3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети Предприятия (далее - КСП). Безопасность персональных данных при их обработке в КСП обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в КСП информационные технологии. Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Республики Беларусь требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в КСП, в установленном порядке проходят процедуру оценки соответствия.

3.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа руководителя Предприятия при наличии паролей доступа.

3.3. Работа с персональными данными в КСП должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.

3.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа.

3.5. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе сети Интернет, запрещается.

3.6. При обработке персональных данных в КСП пользователями должно быть обеспечено:

а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;

б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.

3.7. При обработке персональных данных в КСП разработчиками и администраторами информационных систем должны обеспечиваться:

а) обучение лиц, использующих средства защиты информации, применяемые в КСП, правилам работы с ними;

б) учет лиц, допущенных к работе с персональными данными в КСП, прав и паролей доступа;

в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

д) описание системы защиты персональных данных.

3.8. Специфические требования по защите персональных данных в отдельных автоматизированных системах Предприятия определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.

4. ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ТВЕРДЫМИ КОПИЯМИ И ИХ УТИЛИЗАЦИИ

4.1. Все находящиеся на хранении и в обращении у Предприятия съемные носители (диски, дискеты, USB-флеш-накопители, пр.), содержащие персональные данные, подлежат учету. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.

4.2. Учет и выдачу съемных носителей персональных данных осуществляет начальник абонентской службы. Работники Предприятия получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета), который ведется в абонентском отделе. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.

4.3. При работе со съемными носителями, содержащими персональные данные, запрещается: хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам; выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т.д.

4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения Предприятия.

4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено руководителю Предприятия. На утраченные носители составляется акт.