ПОЛИТИКА

в отношении обработки персональных данных

  1. ОБЩИЕ ПОЛОЖЕНИЯ
    1. ООО «МультиТек Инжиниринг» (далее – Предприятие) в отношении обработки персональных данных проводит политику, направленную на защиту прав и свобод человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
    2. Политика в отношении обработки персональных данных  (далее — Политика) определяет основные цели и правовые основания обработки персональных данных, перечень субъектов обрабатываемых на Предприятии персональных данных, принципы, порядок, условия и способы обработки персональных данных, а также реализуемые на Предприятии требования к защите персональных данных (ПДн).
    3. Политика Предприятия в отношении обработки ПДн определяется в соответствии со следующими нормативными правовыми актами:
      — законом Республики Беларусь от 10 ноября 2008 года № 455-З «Об информации, информатизации и защите информации»;
      — законом Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» (далее — Закон);
      — трудовым кодексом Республики Беларусь;
      — иными нормативными правовыми актами Республики Беларусь и нормативными документами Национального центра защиты персональных данных Республики Беларусь.
    4. Положения Политики служат основой для разработки локальных нормативных актов (ЛПА), регламентирующих на Предприятии вопросы обработки ПДн.
    5. Требования Политики распространяются на обработку на Предприятии любых ПДн, независимо от вида носителя ПДн, на котором они зафиксированы.
    6. Требования Политики обязательны для всех сотрудников Предприятия.
      Распространение на другие организации и физических лиц, с которыми у Предприятия имеются договорные отношения (будут заключены, планируются к заключению договоры), осуществляется в виде обязательных требований, соответствующих законодательным и нормативным правовым актам Республики Беларусь в области обработки ПДн.
    7. В настоящей Политике используются следующие термины и их определения:
      блокирование персональных данных – прекращение доступа к ПДн без их удаления;
      генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
      носитель персональных данных – документ или иной материальный объект, на котором сведения, ПДн, содержатся в любой объективной форме, в том числе в виде символов, образов, сигналов, позволяющих эти сведения распознать и идентифицировать;
      обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
      обработка персональных данных – любое действие или совокупность действий, совершаемые с ПДн, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление ПДн;
      общедоступные персональные данные – ПДн, распространенные самим субъектом ПДн либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
      персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
      предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
      распространение персональных данных – действия, направленные на ознакомление с ПДн неопределенного круга лиц;
      специальные персональные данные – ПДн, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические ПДн;
      субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка ПДн;
      трансграничная передача персональных данных – передача ПДн на территорию иностранного государства;
      удаление персональных данных – действия, в результате которых становится невозможным восстановить ПДн в информационных ресурсах (системах), содержащих ПДн, и (или) в результате которых уничтожаются материальные носители ПДн;
      физическое лицо, которое может быть идентифицировано – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
  2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Предприятие осуществляет обработку ПДн в целях:
      — осуществления функций, полномочий и обязанностей, возложенных в соответвии с законодательством Республики Беларусь на Предприятие, в том числе по предоставлению ПДн в органы государственной власти, в Фонд социальной защиты населения, а также в иные государственные органы;
      — исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
      регулирования трудовых отношений с сотрудниками Предприятия;
      — предоставления сотрудникам Предприятия и членам их семей дополнительных гарантий и компенсаций;
      — рассмотрения резюме кандидатов при подборе персонала на вакантные должности Предприятия;
      подготовки коммерческих предложений, участия в тендерах, согласования и подготовки к заключению, заключения, исполнения и прекращения договоров с контрагентами;
      — заключения соглашений о конфиденциальности;
      — выпуска электронной подписи;
      — формирования справочных материалов для внутреннего информационного обеспечения деятельности Предприятия;
      — размещения сведений в информационных материалах на официальном сайте Предприятия в сети Интернет;
      — в иных законных целях.
  3. ПЕРЕЧЕНЬ СУБЪЕКТОВ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, КОТОРЫЕ ОБРАБАТЫВАЮТСЯ НА ПРЕДПРИЯТИИ
    1. На Предприятии обрабатываются ПДн следующих категорий субъектов:
      — кандидатов на замещение вакантных должностей Предприятия;
      — сотрудников Предприятия;
      — представителей контрагентов-юридических лиц;
      — контрагентов-физических лиц;
      — представителей потенциальных контрагентов Предприятия;
      — стандартные данные, автоматически получаемые сервером при доступе к сайту Предприятия, и данные электронных форм, заполняемых и направляемых по инициативе пользователей сайта Предприятия;
      — лиц, направивших обращение на Предприятие.
    2. Перечень ПДн, обрабатываемых на Предприятии, определяется ЛПА Предприятия в соответствии с законодательством Республики Беларусь с учетом целей обработки ПДн, указанных в разделе 2 настоящей Политики.
    3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни на Предприятии не осуществляется.
  4. ПРИНЦИПЫ, ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Обработка ПДн на Предприятии осуществляется с учетом необходимости обеспечения защиты прав и свобод сотрудников Предприятия и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
      — обработка ПДн осуществляется на законной и справедливой основе;
      — обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
      — не допускается обработка ПДн, несовместимая с целями сбора ПДн;
      — не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
      — обработке подлежат только ПДн, которые отвечают целям их обработки;
      — содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
      — при обработке ПДн обеспечиваются их точность и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;
      — хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен законом, договором, стороной которого или выгодоприобретателем, по которому является субъект ПДн;
      — обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
    2. Обработка ПДн на Предприятии осуществляется с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством Республики Беларусь.
    3. Обработка ПДн осуществляется как с использованием средств автоматизации, так и без использования таких средств. ПДн хранятся:
      — на бумажных носителях;
      — в форме компьютерных файлов и электронных документов.
    4. Предприятие без согласия субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено законодательством Республики Беларусь.
    5. Трансграничная передача ПДн Предприятием допускается только в рамках подготовки коммерческих предложений, участия в тендерах, согласования и подготовки к заключению, заключения, исполнения и прекращения договоров с контрагентами.
    6. Доступ к ПДн ограничивается в соответствии с законодательством Республики Беларусь и ЛПА Предприятия.
      Обработка ПДн может осуществляется только сотрудниками Предприятия, занимающими должности, включенные в Перечень должностных лиц, допущенных к обработке ПДн.
    7. Сотрудники Предприятия, получившие доступ к ПДн, принимают обязательства по обеспечению конфиденциальности и безопасности обрабатываемых ПДн, которые определены трудовым договором, должностными инструкциями и ЛПА Предприятия по обработке ПДн.
    8. Доступ представителей государственных органов к ПДн на Предприятии регламентируется действующим законодательством Республики Беларусь.
    9. ПДн сотрудников Предприятия могут быть предоставлены третьим лицам только с письменного согласия сотрудника, за исключением случаев, предусмотренных действующим законодательством Республики Беларусь.
  5. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Сроки обработки и хранения, ПДн сотрудников Предприятия и других субъектов ПДн независимо от вида носителя ПДн, на котором они зафиксированы, определяются Предприятием в соответствии с законодательством Республики Беларусь.
    2. Если сроки обработки ПДн не установлены законом, их обработка и хранение осуществляются не дольше, чем этого требуют цели обработки и хранения ПДн.
    3. Предприятие прекращает обрабатывать ПДн, если:
      — достигнута цель обработки и хранения ПДн, либо миновала необходимость в достижении цели, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
      — истек срок действия согласия субъекта или субъект отозвал согласие на обработку ПДн и у Предприятия нет иных, предусмотренных законодательством Республики Беларусь, оснований для обработки ПДн;
      — обнаружена неправомерная обработка ПДн;
      — прекращена деятельность Предприятия.
  6. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Субъекты ПДн имеют право на получение информации, касающейся обработки их ПДн на Предприятии, в соответствии со статьей 11 Закона;
    2. Субъект ПДн вправе требовать от Предприятия уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    3. В случае получения обращения субъекта ПДн Предприятие обеспечивает:
      — представление субъекту ПДн возможности ознакомления с полной информацией о его ПДн, обрабатываемых на Предприятии;
      — внесение изменений в ПДн субъекта при наличии сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными;
      — прекращение обработки ПДн и уничтожение ПДн субъекта по его письменному заявлению в случаях, если ПДн незаконно получены или не являются необходимыми для заявленной цели обработки, а также в случае отзыва субъектом согласия на обработку его ПДн, при отсутствии у Предприятия законных оснований для продолжения обработки ПДн;
      — уведомление субъекта ПДн о результатах запрашиваемых субъектом действий в порядке и сроки, предусмотренные законодательством Республики Беларусь.
    4. Для ответа на запросы субъекта ПДн Предприятие может запросить дополнительную информацию, подтверждающую участие субъекта ПДн в отношениях с Предприятием (номер договора, дата заключения, иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн субъекта Предприятием.
  7. ОБЯЗАННОСТИ ПРЕДПРИЯТИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. При обработке ПДн Предприятие принимает меры, необходимые и достаточные для обеспечения выполнения Предприятием обязанностей, предусмотренных законодательством Республики Беларусь в отношении обработки ПДн, в том числе:
      — назначает лицо, ответственное за организацию обработки персональных данных на Предприятии;
      — издает Политику в отношении обработки ПДн, разрабатывает и внедряет ЛПА по вопросам обработки ПДн, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Республики Беларусь, устранение последствий таких нарушений;
      — применяет правовые, организационные и технические меры по обеспечению безопасности ПДн;
      — осуществляет внутренний контроль соответствия обработки ПДн законодательству Республики Беларусь, настоящей Политике и ЛПА Предприятия;
      — ознакамливает сотрудников Предприятия, непосредственно осуществляющих обработку ПДн, с положениями законодательства Республики Беларусь о ПДн, настоящей Политикой, ЛПА по вопросам обработки ПДн;
      — обеспечивает раздельное хранение ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
      — устанавливает запрет на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны Предприятия, сетям Интернет без применения установленных на Предприятии мер по обеспечению безопасности ПДн за исключением общедоступных и/или обезличенных ПДн;
      — обеспечивает надёжные условия хранения материальных носителей ПДн, исключающие несанкционированный доступ к ним;
      — осуществляет на постоянной основе внутренний контроль соответствия обработки ПДн требованиям законодательства Республики Беларусь, настоящей Политике, ЛПА Предприятия;
      — принимает иные меры, предусмотренные законодательством Республики Беларусь в области ПДн.
  8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
    1. Внутренний контроль за соблюдением сотрудниками Предприятия законодательства Республики Беларусь и ЛПА Предприятия в области ПДн, в том числе требований к защите ПДн, осуществляется генеральным директором Предприятия.
    2. Поскольку к настоящей Политике в соответствии со статьей 17 Закона необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых не Предприятии мерах по защите ПДн, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Предприятию или субъектам ПДн.
    3. Субъекты ПДн, чьи ПДн обрабатываются на Предприятии, могут получить разъяснения по вопросам обработки своих ПДн, направив соответствующее письменное заявление по почтовому адресу:
      Республика Беларусь, 220030, г. Минск, ул. Революционная 24Б-28.
    4. В соответствии с требованиями статьи 14 Закона заявление субъекта ПДн должно содержать:
      — фамилию, собственное имя, отчество (если таковое имеется) субъекта ПДн, адрес его места жительства (места пребывания);
      — дату рождения субъекта ПДн;
      — идентификационный номер субъекта ПДн, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта ПДн, в случаях, если эта информация указывалась субъектом ПДн при даче своего согласия Предприятию на обработку ПДн или обработка ПДн осуществляется без согласия субъекта ПДн;
      — изложение сути требований субъекта ПДн к Предприятию;
      — личную подпись субъекта ПДн.
    5. Ответ на заявление будет подготовлен Предприятием и направлен субъекту ПДн в форме, соответствующей форме заявления, если в самом заявлении не указано иное.

Генеральный директор
ООО «МультиТек Инжиниринг»

И.П. Годун