ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее по тексту — Политика) утверждает основные процессы, принципы, цели, условия и способы обработки персональных данных в ТОДО "Грокард" г.Гродно (далее по тексту – Предприятие), обязанности и функции Предприятия при обработке персональных данных, права и обязанности субъектов персональных данных, а также установленные Предприятием требования к защите персональных данных.
1.2. Политика является общедоступным документом Предприятия и предусматривает возможность ознакомления с ней любых лиц. Настоящая Политика подлежит в том числе размещению на сайте Предприятия по адресу: https://grokard.by/
1.3. При разработке, внесении изменений и дополнений Предприятием локальных правовых актов, рабочих (должностных) инструкций и иных документов, связанных с процессом обработки персональных данных, в обязательном порядке должны учитываться положения настоящей Политики.
ОСНОВАНИЯ ДЛЯ РАЗРАБОТКИ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных, в том числе:
- Трудовой кодекс Республики Беларусь;
- Закон Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных»;
- Закон Республики Беларусь от 21.07.2008 N 418-З «О регистре населения»;
- Закон Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации».
ОСНОВНЫЕ ПОНЯТИЯ, ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ
3.1. Оператор — Торговое общество с дополнительной ответственностью «Грокард» г. Гродно.
3.2. Клиенты — физические лица, индивидуальные предприниматели и юридические лица, обращающиеся к Предприятию за выполнением работ (оказанием услуг), покупкой товаров и т.п.
3.3. Работники — физические лица, состоящие в трудовых отношениях с Предприятием.
3.4. Соискатели - физические лица, желающие вступить в трудовые или гражданско-правовые отношения с Предприятием.
3.5. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.6. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
3.7. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.8. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.9. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.10. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.13. Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.
3.14. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.15. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.16. Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
3.17. Сайт - https://kardanservis.by/
3.18. Пользователь Сайта – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
3.19. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
3.20. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Обработка персональных данных субъектов персональных данных осуществляется на основе следующих принципов:
— обработке подлежат только персональные данные, которые отвечают целям их обработки.
— обработка персональных данных должна осуществляться исключительно на законной и справедливой основе.
— обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
— оператор принимает меры по обеспечению достоверности, обрабатываемых им персональных данных, при необходимости обновляет их.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность и достоверность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.2. Персональные данные субъектов персональных данных обрабатываются Предприятием в целях:
- содействие в трудоустройстве, обучения и повышения квалификации, обеспечение личной безопасности, контроль объема и качества выполняемой работы, обеспечение сохранности имущества;
- обработка информации (резюме) кандидатов на трудоустройство;
- подтверждение достоверности и полноты персональных данных, предоставленных субъектом персональных данных;
- ведение кадрового делопроизводства, кадрового и воинского учета;
- ведение бухгалтерского учета и налогообложение, начисление и выплата заработной платы;
- назначение и выплата пенсий, пособий;
- предоставление социальных льгот и гарантий;
- организация ведения персонифицированного учета;
- заполнение и предоставление в уполномоченные органы и организации требуемых форм отчетности, в том числе статистической;
- выдача доверенностей и иных уполномочивающих документов;
- организация работы с обращениями граждан и юридических лиц;
— осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с клиентами и контрагентами; в том числе при осуществлении розничной торговли, предоставления услуг по доступу к ресурсам интернет сайтов (порталов).
— защиты жизни, здоровья, прав и законных интересов субъектов персональных данных;
- обеспечения пропускного и внутриобъектового режимов на объектах, принадлежащих Предприятию;
- направления субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанной с деятельностью Предприятия;
- установления с пользователем обратной связи, касающейся использования Сайта, покупки товаров, оказания услуг, выполнения работ, обработка запросов и заявок от пользователя;
- улучшения качества товаров и работ (услуг) Предприятия, предоставления и продвижения его товаров, работ (услуг);
- обработки статистической информации;
- направления уведомлений, информации и запросов, связанных со сбором, хранением и обработкой персональных данных;
- осуществление сайтом (порталом) сбора статистики об IP—адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля законности осуществляемых операций и для защиты баз данных порталов;
- в иных целях, не противоречащих требованиям законодательства о персональных данных.
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ПРЕДПРИЯТИЕМ
5.1. В рамках настоящей Политики Предприятием обрабатываются персональные данные следующих субъектов персональных данных:
- работники, в том числе уволенные;
- родственники работников;
- соискатели;
- работники и иные представители контрагентов - юридических лиц;
- клиенты – физические лица;
- физические лица, подающие обращения (заявления) в письменном виде;
- физические лица, обратившиеся за осуществлением административной процедуры;
- иные субъекты, взаимодействие которых с Предприятием создает необходимость обработки персональных данных.
5.2. Перечень персональных данных работников, обрабатываемых Предприятием, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Предприятия с учетом целей обработки персональных данных, указанных в настоящей Политике.
5.3. Персональные данные соискателей включают:
- фамилию, имя, отчество;
- дату и место рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность;
- пол;
- сведения о семейном положении и составе семьи;
- сведения о регистрации по месту жительства;
- сведения о месте фактического проживания;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- сведения о трудовой деятельности;
- сведения о воинском учете;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- сведения о социальных льготах и выплатах;
- контактные данные;
- сведения о награждениях и поощрениях;
- сведения, предоставленные самим кандидатом в ходе заполнения личностных опросников;
- иные данные, которые могут быть указаны в резюме или анкете кандидата.
5.4. В состав персональных данных клиентов физических лиц входят:
- фамилия, имя, отчество.
- адрес места жительства, (места пребывания);
- адрес электронной почты;
- контактные данные;
- IP – адрес.
5.5. В состав персональных данных работников и иных представителей контрагентов - юридических лиц входят:
- фамилия, имя, отчество;
- паспортные данные или данные иного документа, удостоверяющего личность;
- сведения о регистрации по месту жительства;
- контактные данные;
- должность;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между Предприятием и контрагентом.
5.6. Персональные данные физических лиц, подающих обращения (заявления) включают:
- фамилию, имя, отчество;
- паспортные данные или данные иного документа, удостоверяющего личность;
- сведения о месте регистрации, о месте пребывания;
- контактные данные;
- иные данные, которые могут быть указаны в обращении или заявлении субъекта персональных данных, необходимые для рассмотрения обращения (заявления).
5.7. Персональные данные физических лиц, обратившихся за осуществлением административной процедуры включают:
- фамилию, имя, отчество;
- паспортные данные или данные иного документа, удостоверяющего личность;
- сведения о месте регистрации, о месте пребывания;
- контактные данные;
- иные данные, которые могут быть указаны в обращении или заявлении субъекта персональных данных, необходимые для рассмотрения обращения (заявления).
5.8. Цель обработки персональных данных клиентов:
осуществление комплекса действий, направленных на достижение цели, в том числе:
- совершение хозяйственных операций между Предприятием и клиентом при оказании клиенту услуг по техническому обслуживанию, ремонту автомобилей, продаже деталей и т.д;
- доставка заказанных клиентом запчастей, узлов и агрегатов, товаров и т.п;
- розничная торговля;
- оказание клиенту консультационных и информационных услуг;
- маркетинговые исследования и рассылка рекламно-информационных материалов, посредством смс-сообщений, электронной почты, мессенджеров, приглашение к участию в рекламных акциях и рекламных играх;
- сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения сделок;
- в целях исполнения требований законодательства Республики Беларусь.
5.9. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также генетических персональных данных, Предприятием не осуществляется за исключением случаев, предусмотренных законодательством Республики Беларусь.
5.10. Обработка Предприятием биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
5.11. «Сookie» являются файлами, позволяющими сайту или порталу Предприятия сохранять информацию относительно просмотра данных сайта (портала) с компьютера клиента (т.е. количество посещений, количество просмотренных станиц и т.д.) с целью сделать посещения сайта или портала более удобными и бесперебойными.
Клиент вправе удалить файлы «cookie», хранящиеся на его компьютере, в любой момент, запретить сохранение новых файлов «cookie» либо получать уведомление перед сохранением новых файлов «cookie» путем изменения настроек браузера, либо вправе предоставить своё согласие на их сохранение.
Статистические сookie-файлы используются для измерения количества посещений, количества просмотренных страниц, активности пользователей на портале и количества возвращений пользователей на сайт. Используемый статистический инструмент генерирует сookie-файл с уникальным идентификатором, который хранится не дольше периода, указанного выше. IP-адрес клиента также обрабатывается с целью уточнения населенного пункта/города, из которого осуществляется вход на сайт.
ДЕЙСТВИЯ ПРЕДПРИЯТИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Предприятие при осуществлении обработки персональных данных:
- принимает меры, необходимые для выполнения требований законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает сотрудников, ответственных за осуществление внутреннего контроля процедур обработки персональных данных, ответственных за хранение полученных персональных данных;
- принимает и внедряет локальные нормативные акты, определяющие политику, регламенты обработки и защиты персональных данных на Предприятии; разрабатывает дополнения в должностные инструкции ответственных лиц;
- осуществляет ознакомление работников Предприятия, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных, в том числе требованиями к защите персональных данных, обучение и проверку знаний указанных работников;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.
ПОЛУЧЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
7.2. Согласие на обработку персональных данных предоставляется в письменной форме либо в электронной форме на Сайте способом, позволяющем идентифицировать субъекта персональных данных и включает в себя:
- фамилию, собственное имя, отчество (если таковое имеется);
- дату рождения;
- идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность;
- адрес регистрации (места пребывания);
- контактные данные;
- подпись субъекта персональных данных.
7.3. В случае непредставления субъектом персональных данных согласия на обработку персональных данных, Предприятие не сможет обрабатывать его персональные данные в рамках целей, установленных законодательством Республики Беларусь и настоящей Политикой.
7.4. Предприятие без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
7.5. Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях:
- для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
- для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
- в целях осуществления контроля (надзора) в соответствии с законодательными актами;
- при реализации норм законодательства в области национальной безопасности, борьбы с коррупцией, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
- при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;
- для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
- при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
- в целях назначения и выплаты пенсий, пособий;
- для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
- в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- при получении персональных данных Предприятием на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- при обработке персональных данных, когда они указаны в документе, адресованном Предприяти. и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
- в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- в иных случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
7.6. Предприятие без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
7.7. Обработка персональных данных соискателей (кандидатов) на замещение вакантных должностей, предполагает получение письменного согласия соискателей на обработку их персональных данных на период принятия Предприятием решения о приеме либо отказе в приеме на работу и выполнение Предприятием требований, возложенных на него статьей 5 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь». В случае отказа Предприятия в приеме на работу обработка персональных данных соискателя подлежит автоматическому прекращению и сами данные уничтожению в связи с достижением цели обработки.
Получение согласия также является обязательным условием при направлении Предприятием запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
При поступлении в адрес Предприятия резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.
7.8. Право доступа к персональным данным работников и их обработки имеют:
- руководитель Предприятия;
- иные лица, в соответствии с приказом руководителя Предприятия
7.9. Право доступа к персональным данным иных субъектов персональных данных и их обработки имеют:
- руководитель Предприятия;
- специалист по продаже;
- бухгалтер;
- ведущий специалист по маркетингу;
- специалист по рекламной коммуникации;
- водитель.
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
8.1. Предприятие осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
8.2. Обработка персональных данных клиентов и работников Предприятия осуществляется смешанным путем:
— неавтоматизированным способом обработки персональных данных;
— автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
8.3. Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.
8.4. Хранение текущей документации и оконченной производством документации, содержащей персональные данные, осуществляется в специальных, закрывающихся помещениях, предназначенных для хранения отработанной документации. а в случаях, предусмотренных законодательством, - в металлических сейфах, запирающихся шкафах.
Ответственные лица за хранение документов, содержащих персональные данные назначаются приказом руководителя Предприятия.
8.5. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
8.6. Предприятие обеспечивает ограничение доступа к персональным данным лицам, не уполномоченным законодательством Республики Беларусь, либо Предприятием для получения соответствующих сведений.
8.7. Доступ к персональным данным имеют только должностные лица Предприятия, допущенные к работе с персональными данными приказом руководителя.
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъекты персональных данных имеют право на:
- разъяснение предоставленных законом прав и обязанностей;
- отзыв согласия субъекта персональных данных;
- получение информации, касающейся обработки персональных данных, и изменение персональных данных;
- требование прекращения обработки персональных данных и (или) их удаления;
- обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
- получение от Оператора информации о предоставлении своих персональных данных третьим лицам не чаще одного раза в календарный год;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе Предприятия исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Предприятию о своем несогласии с соответствующим обоснованием такого несогласия.
9.2. Для реализации указанных прав, субъект персональных данных обращается к Предприятию путем подачи заявления в письменной форме, которое должно содержать:
- фамилию, имя, отчество;
- адрес места жительства (места пребывания);
- идентификационный номер (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);
- изложение сути требования;
- личную подпись.
9.3. Предприятие в течение 15 (пятнадцати) дней после получения соответствующего заявления прекращает обработку персональных данных (если нет оснований для обработки согласно законодательству Республики Беларусь), осуществляет их удаление, либо принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, вносит изменения в персональные данные, предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет его о причинах отказа в предоставлении такой информации.
9.4. Субъект персональных данных вправе получить у Предприятия информацию, касающуюся обработки своих персональных данных, посредством подачи Предприятию соответствующего заявления в порядке, установленном настоящей главой. Предприятие в течение 5 (пяти) рабочих дней после получения заявления предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.
9.5. Для ответа на запросы субъекта персональных данных Предприятие может запросить дополнительную информацию, подтверждающую участие субъекта персональных данных в отношениях с Предприятием либо сведения, иным образом подтверждающие факт обработки персональных данных субъекта Предприятием.
9.6. Субъект персональных данных вправе обратиться за содействием в реализации своих прав, за разъяснениями по вопросам обработки персональных данных к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Предприятие при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
10.3. Обеспечение безопасности персональных данных работников достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
3) учетом цифровых носителей персональных данных;
4) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.
10.4. Для обеспечения безопасности персональных данных работников при неавтоматизированной обработке предпринимаются следующие меры:
10.4.1.Определяются места хранения персональных данных, которые оснащаются средствами защиты:
- в кабинетах, где осуществляется хранение документов, содержащих персональные данные работников, имеются запирающиеся сейфы, шкафы, стеллажи, тумбы.
- дополнительно помещения, где осуществляется хранение документов, оборудованы замками.
10.5. Все действия по неавтоматизированной обработке персональных данных работников осуществляются только должностными лицами, согласно списку должностей, утвержденному Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
10.6. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
10.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
Персональные данные клиентов, работников и иных субъектов персональных данных, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении персональных данных.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
Для обеспечения безопасности персональных данных клиентов, работников и иных субъектов персональных данных при автоматизированной обработке предпринимаются следующие меры:
- персональные компьютеры, имеющие доступ к базам хранения персональных данных клиентов, работников и иных субъектов персональных данных защищены паролями доступа;
- пароли устанавливаются Предприятием и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных клиентов, работников и иных субъектов персональных данных на персональном компьютере
10.8. Защита персональных данных клиента:
10.8.1. Защита персональных данных клиентов осуществляется за счёт Предприятия в порядке и способами, установленными законодательством.
Предприятие при защите персональных данных клиентов принимает все необходимые организационно-распорядительные, правовые и технические меры, в том числе:
Антивирусная защита.
Анализ защищённости.
Обнаружение и предотвращение вторжений.
Управления доступом.
Регистрация и учет.
Обеспечение целостности.
Доступ к персональным данным клиента имеют сотрудники Предприятия, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
Все сотрудники, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны соблюдать требования законодательства, а также локальных нормативных актов Предприятия по работе с персональными данными клиентов.
10.8.2. Процедура оформления доступа к персональным данным Клиента включает в себя:
- ознакомление сотрудника под роспись с настоящим Положением.
- при наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных клиента, с данными актами также производится ознакомление сотрудника под роспись.
Защита персональных данных Клиентов, хранящихся в электронных базах данных Предприятия, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается ответственным специалистом.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников, клиентов и иных субъектов персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
11.2. Работники Предприятия, допущенные к обработке персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.
11.3. Внутренний контроль за соблюдением законодательства Республики Беларусь о персональных данных и требований настоящей Политики, осуществляется лицом, ответственным за организацию и соблюдение внутреннего контроля.
11.4. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов Предприятия в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на руководителя Предприятия.
11.5 Настоящая Политика вступает в силу с даты её утверждения.
11.6. Настоящая Политика распространяется на клиентов, работников Предприятия, а также иных субъектов персональных данных.