Приказ

 

УТВЕРЖДЕНО

Приказом директора

торгового унитарного предприятия «Табак»

№ 122-Пр от «24» мая 2022г.

 

Политика в отношении обработки, доступа и защиты персональных данных в торговом унитарном предприятии «Табак»

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных в торговом унитарном предприятии «Табак» (далее - Политика) разработана на основании Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных) и иных нормативных правовых актов Республики Беларусь в области персональных данных.

1.2. Настоящая Политика определяет деятельность торгового унитарного предприятия «Табак» (далее – предприятие, Оператор) в отношении обработки персональных данных, включая основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, а также права и обязанности Оператора и субъектов персональных данных.

1.3. Для целей настоящей Политики используются определения, содержащиеся в Законе о защите персональных данных.

1.4. Действие настоящей Политики распространяется на физических лиц, в отношении которых предприятие осуществляет обработку персональных данных (субъектов персональных данных).

1.5. Положения Политики являются основой для разработки локальных правовых актов, регламентирующих на предприятии вопросы обработки персональных данных работников и иных субъектов персональных данных.

1.6. Место нахождения Оператора: 230001, г. Гродно, ул. Лелевеля, 12.

 

2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Предприятие осуществляет обработку персональных данных работников и иных субъектов персональных данных.

2.2. Обработка персональных данных на предприятии осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

2.2.1. обработка персональных данных осуществляется на законной основе;

2.2.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

2.2.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

2.2.4. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

2.2.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Работники предприятия, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций;

2.2.6. обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

2.2.7. предприятие принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

2.2.8. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных в соответствии с заявленными целями обработки персональных данных.

2.3. Персональные данные обрабатываются в предприятии в целях:

2.3.1. осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на предприятие, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы и организации;

2.3.2. осуществления прав и законных интересов предприятия в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами предприятия, либо достижения общественно значимых целей;

2.3.3. рассмотрения возможности трудоустройства кандидатов; проверки кандидатов (в том числе их квалификации и опыта работы);

2.3.4. регулирования трудовых отношений с работниками предприятия (в том числе выпуска доверенностей и иных уполномочивающих документов, организации и сопровождения деловых поездок, выявление конфликта интересов);

2.3.5. оказание медицинской помощи гражданам согласно выданной предприятию лицензии, защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

2.3.6. оказание туристических услуг гражданам, проведения мероприятий и обеспечения участия в них субъектов персональных данных;

2.3.7. обеспечения безопасности, сохранения материальных ценностей на предприятии;

2.3.8. формирования справочных и аналитических материалов для внутреннего информационного обеспечения деятельности предприятия;

2.3.9. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;

2.3.10. передача данных третьим лицам в целях осуществления деятельности предприятия;

2.3.11. подготовки, заключения, исполнения и прекращения гражданско-правовых договоров; проверки контрагентов;

2.3.12. в иных целях по решению лиц, ответственных за организацию обработки персональных данных в структурных подразделениях предприятия.

 

3. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ПРЕДПРИЯТИИ

3.1. В предприятии обрабатываются персональные данные следующих категорий субъектов персональных данных:

работников, бывших работников предприятия и их близких родственников (свойственников);

кандидатов на занятие вакантных должностей;

контрагентов предприятия, являющихся физическими лицами;

граждан, обратившихся за оказанием медицинских услуг согласно выданной предприятию лицензии;

граждан, которым оказываются туристические услуги;

лиц, предоставивших предприятию персональные данные при отправке обращений, путем заполнения анкет, в ходе проводимых предприятием мероприятий;

физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и отвечает требованиям, установленным законодательством;

иных физических лиц, выразивших согласие на обработку предприятием их персональных данных, или физических лиц, обработка персональных данных которых необходима предприятию для достижения целей, предусмотренных законодательством;

лиц, предоставивших персональные данные предприятию иным путем.

 

4. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ПРЕДПРИЯТИИ

4.1. Перечень персональных данных, обрабатываемых в предприятии, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами предприятия.

4.2. Основные персональные данные:

идентификационный номер;

фамилия, собственное имя, отчество (если таковое имеется);

число, месяц, год рождения;

место рождения;

цифровой фотопортрет;

данные о гражданстве (подданстве);

данные о регистрации по месту жительства и (или) месту пребывания;

данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Дополнительные персональные данные о (об):

родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;

высшем образовании, ученой степени, ученом звании;

роде занятий;

пенсии;

заработной плате;

ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

налоговых обязательствах;

исполнении воинской обязанности;

инвалидности;

наличии исполнительного производства на исполнении в органах принудительного исполнения;

иных данных, позволяющих идентифицировать лицо (например, номер мобильного телефона, сведения о донорстве, сведения о принадлежности к категории «многодетный родитель», «одинокий родитель», «родитель ребенка-инвалида» и т. п.).

4.3. Специальные персональные данные (в случае, когда представление таких данных предусмотрено законодательством) о:

членстве в профессиональных союзах;

состоянии здоровья;

привлечении к административной или уголовной ответственности;

биометрических персональных данных.

 

5. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

5.1. Предприятие осуществляет обработку персональных данных, под которой понимается любое действие или совокупность действий, совершаемых с персональными данными. Обработка персональных данных включает в себя:

сбор;

систематизацию;

хранение;

изменение (уточнение; обновление);

использование;

распространение;

предоставление;

обезличивание;

блокирование;

удаление.

5.2. Обработка персональных данных в предприятии осуществляется следующими способами:

с использованием средств автоматизации;

без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);

смешанная обработка персональных данных.

 

 

 

6. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПРЕДПРИЯТИИ

6.1. Обработка персональных данных в предприятии осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных. В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста 16 лет, за исключением вступления в брак до достижения возраста 16 лет, согласие на обработку его персональных данных дает один из его законных представителей.

6.2. Предприятии без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

6.3. Предприятие вправе поручить обработку персональных данных от имени предприятия или в его интересах уполномоченному лицу на основании возложенных на это лицо должностных обязанностей.

6.4. В целях внутреннего информационного обеспечения предприятие может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, год и место рождения, место работы, должность, адрес, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

6.5. Лицам, имеющим право обработки или доступа к персональным данным работающих, запрещается:

6.5.1. Предоставлять доступ к персональным данным работающих неуполномоченным физическим лицам или юридическим лицам.

6.5.2. Вносить изменения в персональные данные работающих, не соответствующие документам либо фактическим обстоятельствам.

6.5.3. Блокировать персональные данные работающих от других уполномоченных пользователей.

6.5.4. Копировать и распространять персональные данные работающих для личных целей, целей, не связанных с должностными обязанностями.

6.5.5. Предоставлять персональные данные работающих уполномоченным физическим лицам или юридическим лицам без письменных запросов (требований).

6.5.6. Без законных оснований удалять (уничтожать) персональные данные работающих на бумажных или электронных носителях.

6.5.7. Осуществлять иные неправомерные действия в отношении персональных данных работающих.

 

7. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Предприятие имеет право:

7.1.1. получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;

7.1.2. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

7.1.3. отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе, если они являются необходимыми для заявленных целей их обработки;

7.1.4. в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лицам с соблюдением требований законодательства Республики Беларусь.

7.2. Предприятие обязано:

7.2.1. обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь;

7.2.2. обеспечивать защиту персональных данных в процессе их обработки;

7.2.3. принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;

7.2.4. рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы;

7.2.5. предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;

7.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;

7.2.7. выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

7.3. Субъект персональных данных имеет право:

7.3.1. на получение информации, касающейся обработки предприятием его персональных данных;

7.3.2. на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

7.3.3. на отзыв своего согласия на обработку персональных данных;

7.3.4. на получение информации о предоставлении своих персональных данных третьим лицам;

7.3.5. на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки;

7.3.6. на обжалование действий, бездействия, решений предприятия, относящихся к обработке его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;

7.3.7. на осуществление иных прав, предусмотренных законодательством Республики Беларусь.

7.4. Субъект персональных данных обязан:

7.4.1. предоставлять предприятию достоверные сведения о себе;

7.4.2. в случае необходимости предоставлять предприятию документы, содержащие персональные данные в объеме, необходимом для цели их обработки;

7.4.3. информировать в установленные сроки предприятие об изменениях своих персональных данных.

7.5. Лицо, предоставившее предприятию неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.

 

8. МЕХАНИЗМ РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в письменной форме, а также направления заказным почтовым отправлением, либо в виде электронного документа. Заявление должно содержать:

фамилию, имя, отчество субъекта персональных данных;

адрес места жительства (места пребывания);

дату рождения;

идентификационный номер (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);

изложение сути требования;

личную подпись либо электронную цифровую подпись.

Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству Республики Беларусь), осуществляет их удаление, при отсутствии технической возможности удаления - принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.

8.2. Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи Оператору заявления в порядке, предусмотренном п.8.1 настоящей Политики. Оператор в течение 5 рабочих дней после получения заявления, если иной срок не установлен законодательством Республики Беларусь, предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.

8.3. Информация, касающаяся обработки персональных данных, не предоставляется субъекту персональных данных в случае:

8.3.1. если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством Республики Беларусь, либо доступа к информационному ресурсу (системе) в сети Интернет;

8.3.2. если обработка персональных данных осуществляется в соответствии с законодательством о государственной статистике, о борьбе с коррупцией;

8.3.3. в иных случаях, предусмотренных законодательными актами Республики Беларусь.

8.4. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными, посредством подачи Оператору заявления в порядке, предусмотренном п.8.1 настоящей Политики, с приложением документов (заверенных в установленном порядке копий), подтверждающих необходимость внесения таких изменений. Оператор в течение 15 дней после получения заявления вносит изменения в персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет о причинах отказа во внесении изменений.

8.5. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки, посредством подачи Оператору заявления в порядке, предусмотренном п.8.1 настоящей Политики. Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству Республики Беларусь), осуществляет их удаление, при отсутствии технической возможности удаления - принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.

 

9. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ПРЕДПРИЯТИЯ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Внутренний контроль за соблюдением предприятием законодательства Республики Беларусь и локальных правовых актов предприятия в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом (структурным подразделением), ответственным за осуществление внутреннего контроля за обработкой персональных данных в предприятии.

9.2. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов предприятия в области персональных данных в структурных подразделениях предприятия, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на их руководителей.