Политика в отношении обработки персональных данных

ПОЛИТИКА

в отношении обработки

персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Закона Республики Беларусь от 7 мая 2021 г. № 99-3 ”О защите персональных данных” (далее - Закон) и определяет основные принципы, цели, порядок и условия обработки персональных данных открытым акционерным обществом «Бобруйский завод растительных масел» (далее – Предприятие, Оператор) и меры по обеспечению защиты и безопасности персональных данных.

1.2. Политика распространяется на все процессы Предприятия, связанные с обработкой персональных данных, и обязательна для применения всеми работниками, осуществляющими обработку персональных данных в соответствии со своими должностными обязанностями.

2. ОСНОВНЫЕ ТЕРМИНЫ, И ИХ ОПЕРЕДЕЛЕНИЯ

2.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2.2. Блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

2.3. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.4. Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

2.5. Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

2.6. Предоставление персональных данных - действия, направленные на

ознакомление с персональными данными определенного лица или круга лиц;

2.7. Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

2.8. Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

2.9. Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

2.10. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;

2.11. Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

2.12. Физическое лицо, которое может быть идентифицировано -   физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

3. ПРИНЦИПЫ И ЦЕЛИ

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, на основе следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

- оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

- хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

3.2. Персональные данные обрабатываются в целях:

- ведение учета аффилированных лиц, акционеров Предприятия;

- ведение кадровой работы и организация учета работников, в том числе привлечение и отбор кандидатов для работы, обучения, практики и стажировки;

- регулирование трудовых отношений с работниками (контроль дисциплины труда, количества и качества выполняемой работы, охраны труда, обеспечение сохранности имущества, реализации условий коллективного договора);

- ведение воинского учета;

- ведение индивидуального (персонифицированного) учета застрахованных лиц;

- ведение бухгалтерского учета и составление налоговой отчетности;

- начисление и перечисление заработной платы, назначение и выплата пособий;

- назначения пенсий;

- выдача доверенностей и иных уполномочивающих документов;

- заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности;

- рассмотрения обращений и запросов, получаемых от субъектов персональных данных;

- ведение переговоров, а также подготовка, заключение, исполнение и прекращение гражданско-правовых договоров;

- обеспечение пропускного и внутриобъектового режимов на территории Предприятия;

- исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии законодательством Республики Беларусь;

- реализация норм законодательства о борьбе с коррупцией;

- рассмотрение обращений граждан и юридических лиц.

3.3. Персональные данные могут обрабатывается в иных целях, не предусмотренных главой 3 настоящей Политики, для осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами.

4. КАТЕГОРИИ СУБЬЕКТОВ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

- аффилированных лиц Предприятия;

- акционеров Предприятия;

- работников, и их родственников (членов семьи), бывших работников, а также кандидатов на занятие вакантных должностей Предприятия, в том числе студентов, и иных лиц, прибывших на обучение, практику, стажировку, бывших работников;

- контрагентов и клиентов, являющихся физическими лицами;

- представителей (уполномоченных лиц) и (или) работников контрагентов и клиентов Предприятия, являющихся юридическими лицами (индивидуальными предпринимателями);

- лиц, предоставивших персональные данные путем рекламных и иных мероприятий;

- иных лиц, предоставивших персональные данные, для обеспечения реализации целей, указанных в главе 3 настоящей Политики.

4.2. Оператор обрабатывает следующие виды персональных данных субъекта персональных данных.

4.3. Основные персональные данные:

- фамилия, собственное имя, отчество (если таковое иметься);

- пол;

- число, месяц, год рождения;

- место рождения;

- данные о гражданстве (подданстве);

- данные документа, удостоверяющего личность (серия, номер, дата

выдачи, наименование органа, выдавшего документ, идентификационный номер, срок действия);

- данные о регистрации по месту жительства;

- данные о месте фактического проживания;

- контактные данные (включая номера домашнего, рабочего, мобильного телефонов, электронной почты);

- данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограничено дееспособным.

4.4. Дополнительные данные о (об):

- родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;

- высшем образовании, учёной степени, ученом звании;

- роде занятий;

- пенсии;

- ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

- налоговых обязательствах;

- исполнения воинской обязанности;

- инвалидности;

- наличии исполнительного производства на исполнении в органах принудительного исполнения;

- иных данных позволяющих идентифицировать лицо (сведения о донорстве, сведения о принадлежности к категории «многодетный родитель», «одинокий родитель», «родитель ребёнка-инвалида», и т.д.)

4.5. Специальные персональные данные (в случае, когда представление таких данных предусмотрено законодательством Республики Беларусь) о;

- членстве в профессиональных союзах;

- состояния здоровья;

- привлечение к административной или уголовной ответственности.

4.6. Оператор не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических убеждение, здоровья, половой жизни, привлечения к административной ответственности, за исключением случаев, когда субъект персональных данных самостоятельно предоставил такие данные, либо они стали известны, в соответствии с законодательством Республики Беларусь.

4.7. Оператор в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лица с соблюдением требований законодательства Республики Беларусь.

5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.

5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

5.4. Обработка персональных данных осуществляется путем:

- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

- получения персональных данных из общедоступных источников;

- внесения персональных данных в журналы, реестры и информационные системы Оператора;

- использования иных способов обработки персональных данных.

5.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5.6. Передача персональных данных органам дознания и следствия, в налоговые органы, фонда социальной защиты населения и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.

5.7. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.

6. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

- определяет угрозы безопасности персональных данных при их обработке;

- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

- назначает лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

- создает необходимые условия для работы с персональными данными;

- организует учет документов и информационных систем, содержащих персональные данные;

- организует работу и создание системы защиты информации в информационных системах, в которых обрабатываются персональные данные;

- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

- организует обучение по вопросам защиты персональных данных работников Оператора, осуществляющих обработку персональных данных, и лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных.

6.2 Обеспечение безопасности персональных данных при трансграничной обработке персональных данных осуществляется в соответствии с требованиями Закона, рекомендациями международных правовых актов по обеспечению безопасности персональных данных, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются персональные данные.

7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЬЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор имеет право:

- получать от субъекта персональных данных достоверную информацию, а также документы, содержащие персональные данные;

- запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

- отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных, а также их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимым для заявленных целей их обработки;

- устанавливать правила обработки персональных данных, вносить изменения и дополнения в настоящую Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора.

7.2. Оператор обязан:

- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

- получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;

- обеспечивать защиту персональных данных в процессе их обработки;

- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;

- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для обработки персональных данных;

- уведомлять уполномоченный орган по защите прав субъектов персональных данных, о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;

- осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательством Республики Беларусь;

- исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

- выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

7.3. Субъект персональных данных имеет право:

- на отзыв согласия на обработку персональных данных;

- на получение информации, касающейся обработки персональных данных и изменение персональных данных;

- на получение информации о предоставлении своих персональных данных третьим лицам;

- требовать прекращения обработки персональных данных, в том числе их удаление;

- обжаловать действия (бездействия) и решения Оператора, связанных с обработкой персональных данных.

7.4. Субъект персональных данных для реализации прав, предусмотренных настоящей Политикой, подает Оператору заявление в письменной форме либо в виде электронного документа.

7.5 Заявление субъекта персональных данных должно содержать:

- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

- дату рождения субъекта персональных данных;

-идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

- изложение сути требований субъекта персональных данных;

- личную подпись либо электронную цифровую подпись субъекта персональных данных.

8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Оператором может с учетом требований законодательства Республики Беларусь осуществляться трансграничная передача персональных данных на территории иностранных государств, приведенных в утверждаемом уполномоченным органом по защите прав субъектов персональных данных перечне иностранных государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных.

8.2. Трансграничная передача персональных данных на территории иных иностранных государств может осуществляться Оператором с учетом требований действующего законодательства Республике Беларусь в случаях:

- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;

- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.

9. ОТВЕТСТВЕННОСТЬ

9.1 Работники Предприятия при нарушении установленного порядка обработки и обеспечения безопасности персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь

9.2 Контроль за исполнением требований Политики осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных Предприятия.

9.3 Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящая Политика вступает в силу со дня ее утверждения.

10.2. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъектов персональных данных.

10.3. Вопросы, касающиеся обработки персональных данных, не закреплённые в настоящей Политике, регулируются законодательством Республики Беларусь.

10.4. В случае противоречия норм настоящей Политики законодательству Республики Беларусь, применяются нормы законодательства Республики Беларусь.