Палітыка прыватнасці
Зацверджана загад дырэктара ААТ "АГАТ-сістэмы кіравання « - кіруючая кампанія холдынгу» Геаінфармацыйныя сістэмы кіравання" 03.03.2022 № 79
Палітыка ААТ "АГАТ-сістэмы кіравання « - кіруючая кампанія холдынгу» Геаінфармацыйныя сістэмы кіравання" ў дачыненні да апрацоўкі персанальных дадзеных
1. Агульныя палажэнні
1.1. Палітыка адкрытага ААТ "АГАТ-сістэмы кіравання « – кіруючая кампанія холдынгу» Геаінфармацыйныя сістэмы кіравання" (далей – арганізацыя) у дачыненні да апрацоўкі персанальных дадзеных (далей – палітыка) вызначае асноўныя прынцыпы, мэты, умовы і спосабы апрацоўкі персанальных дадзеных, пералікі суб'ектаў і апрацоўваных у арганізацыі персанальных дадзеных (далей-аператар), функцыі аператара пры апрацоўцы персанальных дадзеных, правы суб'ектаў персанальных дадзеных, а таксама рэалізуюцца ў арганізацыі патрабаванні да абароны персанальных дадзеных.
1.2.Арганізацыя, з'яўляючыся аператарам персанальных дадзеных (далей – аператар), ажыццяўляе апрацоўку персанальных дадзеных работнікаў арганізацыі і іншых суб'ектаў персанальных дадзеных, якія не знаходзяцца з арганізацыяй у працоўных адносінах.
1.3. Сапраўдная палітыка распрацавана ў мэтах выканання патрабаванняў абзаца 1 пункта 3 артыкула 17 Закона Рэспублікі Беларусь ад 7 мая 2021 г. № 99-З «Аб абароне персанальных дадзеных» (далей – Закон аб персанальных дадзеных) у мэтах забеспячэння абароны правоў і свабод чалавека і грамадзяніна пры апрацоўцы яго персанальных дадзеных.
1.4. Палітыка з'яўляецца асноватворным лакальным прававым актам, вызначальным палітыку арганізацыі ў дачыненні да апрацоўкі і забеспячэння бяспекі персанальных дадзеных, меры, накіраваныя на абарону персанальных дадзеных, а таксама працэдуры, накіраваныя на выяўленне і прадухіленне парушэнняў заканадаўства Рэспублікі Беларусь у галіне персанальных дадзеных.
1.5. Палітыка дзейнічае ў дачыненні да ўсіх персанальных дадзеных, якія апрацоўвае аператар, і абавязковая для прымянення усімі работнікамі аператара, якія ажыццяўляюць апрацоўку персанальных дадзеных у адпаведнасці са сваімі службовымі абавязкамі.
1.6. Палітыка распаўсюджваецца на адносіны ў галіне апрацоўкі персанальных дадзеных, якія ўзніклі ў аператара як да, так і пасля зацвярджэння палітыкі.
1.7. Забеспячэнне прыватнасці і бяспекі апрацоўкі персанальных дадзеных з'яўляецца адной з прыярытэтных задач арганізацыі.
1.8. У арганізацыі для гэтых мэтаў уведзены ў дзеянне камплект арганізацыйна-распарадчай дакументацыі, абавязковы да выканання ўсімі работнікамі арганізацыі, дапушчанымі да апрацоўкі персанальных дадзеных.
1.9. Апрацоўка, захоўванне і забеспячэнне прыватнасці і бяспекі персанальных дадзеных ажыццяўляецца ў адпаведнасці з дзеючым заканадаўствам Рэспублікі Беларусь у сферы абароны персанальных дадзеных, і ў адпаведнасці з лакальнымі прававымі актамі Арганізацыі.
1.10. Паколькі да палітыкі неабходна забяспечыць неабмежаваны доступ, у ёй не публікуецца дэталёвая інфармацыя аб прынятых мерах па абароне персанальных дадзеных у арганізацыі, а таксама іншая інфармацыя, выкарыстанне якой неабмежаваным колам асоб можа нанесці шкоду аператару або суб'ектам персанальных дадзеных.
1.11. У мэтах выканання патрабаванняў пункта 4 артыкула 17 Закона Аб персанальных дадзеных сапраўдная палітыка публікуецца ў вольным доступе ў інфармацыйна-тэлекамунікацыйнай сеткі Інтэрнэт на сайце арганізацыі.
1.12. Палажэнні палітыкі служаць асновай для распрацоўкі лакальных прававых актаў, якія рэгламентуюць ў арганізацыі пытанні апрацоўкі персанальных дадзеных работнікаў арганізацыі і іншых суб'ектаў персанальных дадзеных.
1.13. Асноўныя тэрміны, якія выкарыстоўваюцца ў палітыцы, і іх азначэнні:
- аўтаматызаваная апрацоўка персанальных дадзеных-апрацоўка персанальных дадзеных з дапамогай сродкаў вылічальнай тэхнікі;
- біяметрычныя персанальныя дадзеныя-Інфармацыя, якая характарызуе фізіялагічныя і біялагічныя асаблівасці чалавека, якая выкарыстоўваецца для яго ўнікальнай ідэнтыфікацыі (адбіткі пальцаў рук, далоняў, вясёлкавая абалонка вока, характарыстыкі асобы і яго малюнак і інш.);
- Блакаванне персанальных дадзеных-спыненне доступу да персанальных дадзеных без іх выдалення;
- генетычныя персанальныя дадзеныя-Інфармацыя, якая адносіцца да спадчынным альбо набытым генетычным характарыстыках чалавека, якая ўтрымлівае унікальныя дадзеныя аб яго фізіялогіі альбо здароўе і можа быць выяўлена, у прыватнасці, пры даследаванні яго біялагічнай ўзору;
- інфармацыя – звесткі (паведамленні, дадзеныя) аб асобах, прадметах, фактах, падзеях, з'явах і працэсах незалежна ад формы іх прадстаўлення;
- інфармацыйная сістэма персанальных дадзеных-сукупнасць змяшчаюцца ў базах дадзеных персанальных дадзеных і забяспечваюць іх апрацоўку інфармацыйных тэхналогій і тэхнічных сродкаў;
- обезличивание персанальных дадзеных-дзеянні, у выніку якіх становіцца немагчымым без выкарыстання дадатковай інфармацыі вызначыць прыналежнасць персанальных дадзеных канкрэтнаму суб'екту персанальных дадзеных;
- апрацоўка персанальных дадзеных – любое дзеянне (аперацыя) або сукупнасць дзеянняў (аперацый) з персанальнымі дадзенымі, якія здзяйсняюцца з выкарыстаннем сродкаў аўтаматызацыі або без іх выкарыстання.
- збор;
- запіс;
- сістэматызацыю;
- назапашванне;
- захоўванне;
- ўдакладненне (абнаўленне, змяненне);
- выманне;
- выкарыстанне;
- перадачу (распаўсюджванне, прадастаўленне, доступ);
- обезличивание;
- Блакаванне;
- выдаленне;
- знішчэнне;
- агульнадаступныя персанальныя дадзеныя-персанальныя дадзеныя, распаўсюджаныя самім суб'ектам персанальных дадзеных або з яго згоды або распаўсюджаныя ў адпаведнасці з патрабаваннямі заканадаўчых актаў;
- аператар персанальных дадзеных-дзяржаўны орган, юрыдычная асоба Рэспублікі Беларусь, іншая арганізацыя, фізічная асоба, у тым ліку індывідуальны прадпрымальнік, самастойна або сумесна з іншымі названымі асобамі арганізуюць і (або) ажыццяўляюць апрацоўку персанальных дадзеных;
- персанальныя дадзеныя-любая інфармацыя, якая адносіцца да ідэнтыфікаванай фізічнай асобе або фізічнай асобе, якая можа быць ідэнтыфікавана;
- прадастаўленне персанальных дадзеных-дзеянні, накіраваныя на азнаямленне з персанальнымі дадзенымі пэўных асобы або кола асоб;
- распаўсюджванне персанальных дадзеных-дзеянні, накіраваныя на раскрыццё персанальных дадзеных нявызначанаму колу асоб;
- спецыяльныя персанальныя дадзеныя – персанальныя дадзеныя, якія тычацца расавай або нацыянальнай прыналежнасці, палітычных поглядаў, членства ў прафесійных саюзах, рэлігійных або іншых перакананняў, здароўя або палавога жыцця, прыцягнення да адміністрацыйнай або крымінальнай адказнасці, а таксама біяметрычныя і генетычныя персанальныя дадзеныя;
- суб'ект персанальных даных-фізічная асоба, у дачыненні да якой ажыццяўляецца апрацоўка персанальных даных;
- Трансгранічная перадача персанальных даных-перадача персанальных даных на тэрыторыю замежнай дзяржавы;
- выдаленне персанальных дадзеных-дзеянні, у выніку якіх становіцца немагчымым аднавіць змест персанальных дадзеных у інфармацыйнай сістэме персанальных дадзеных і (або) у выніку якіх знішчаюцца матэрыяльныя носьбіты персанальных дадзеных;
- фізічная асоба, якая можа быць ідэнтыфікавана, - фізічная асоба, якая можа быць прама ці ўскосна вызначана, у прыватнасці, праз прозвішча, уласнае імя, імя па бацьку, дату нараджэння, ідэнтыфікацыйны нумар альбо праз адзін або некалькі прыкмет, характэрных для яго фізічнай, псіхалагічнай, разумовай, эканамічнай, культурнай або сацыяльнай ідэнтычнасці.
2. ПРАВАВЫЯ ПАДСТАВЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ
2.1 прававой падставай апрацоўкі персанальных дадзеных з'яўляецца сукупнасць нарматыўных прававых актаў, у мэтах выканання якіх і ў адпаведнасці з якімі аператар ажыццяўляе апрацоўку персанальных дадзеных, у тым ліку:
- Канстытуцыя Рэспублікі Беларусь;
- Грамадзянскі кодэкс Рэспублікі Беларусь;
- Працоўны кодэкс Рэспублікі Беларусь;
- Падатковы кодэкс Рэспублікі Беларусь;
- закон аб персанальных дадзеных;
- Закон Рэспублікі Беларусь ад 21.07.2008 № 418-З "аб рэгістры насельніцтва";
- Закон Рэспублікі Беларусь ад 10.11.2008 № 455-З» аб інфармацыі, інфарматызацыі і абароне інфармацыі"; іншыя нарматыўныя прававыя акты, якія рэгулююць адносіны, звязаныя з дзейнасцю аператара.
- Статут Арганізацыі;
- афармленне працоўных (службовых) адносін, а таксама ў працэсе працоўнай (службовай) дзейнасці суб'екта персанальных дадзеных;
- дагаворы, якія заключаюцца паміж аператарам і суб'ектамі персанальных дадзеных;
- Згода суб'ектаў персанальных дадзеных на апрацоўку іх персанальных дадзеных;
- выпадкі, калі заканадаўчымі актамі прама прадугледжваецца апрацоўка персанальных дадзеных без згоды суб'екта персанальных дадзеных.
3. ПРЫНЦЫПЫ І МЭТЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ
3.1. Апрацоўка персанальных дадзеных аператарам ажыццяўляецца з улікам неабходнасці забеспячэння абароны правоў і свабод работнікаў арганізацыі і іншых суб'ектаў персанальных дадзеных, у тым ліку абароны права на недатыкальнасць прыватнага жыцця, асабістую і сямейную тайну, на аснове наступных прынцыпаў:
апрацоўка персанальных дадзеных ажыццяўляецца на законнай і справядлівай аснове;
апрацоўка персанальных дадзеных ажыццяўляецца суразмерна заяўленым мэтам іх апрацоўкі і забяспечвае на ўсіх этапах такой апрацоўкі справядлівае суадносіны інтарэсаў усіх зацікаўленых асоб;
апрацоўка персанальных дадзеных ажыццяўляецца са згоды суб'екта персанальных дадзеных, за выключэннем выпадкаў, прадугледжаных заканадаўчымі актамі;
апрацоўка персанальных дадзеных абмяжоўваецца дасягненнем канкрэтных, загадзя заяўленых законных мэтаў. Не дапускаецца апрацоўка персанальных дадзеных, не сумяшчальная з першапачаткова заяўленымі мэтамі іх апрацоўкі;
змест і аб'ём апрацоўваных персанальных дадзеных адпавядаюць заяўленым мэтам іх апрацоўкі. Апрацоўваныя персанальныя дадзеныя не з'яўляюцца залішнімі ў адносінах да заяўленым мэтам іх апрацоўкі;
апрацоўка персанальных дадзеных носіць празрысты характар. Суб'екту персанальных дадзеных можа прадастаўляцца адпаведная інфармацыя, якая тычыцца апрацоўкі яго персанальных дадзеных;
Аператар прымае меры па забеспячэнні дакладнасці апрацоўваных ім персанальных дадзеных, пры неабходнасці абнаўляе іх;
захоўванне персанальных дадзеных ажыццяўляецца ў форме, якая дазваляе ідэнтыфікаваць суб'екта персанальных дадзеных, не даўжэй, чым гэтага патрабуюць заяўленыя мэты апрацоўкі персанальных дадзеных.
3.2. Апрацоўка аператарам персанальных дадзеных ажыццяўляецца ў наступных мэтах:
прыцягненне і падбор кандыдатаў на працу ў арганізацыю, праверкі кандыдатаў (у тым ліку іх кваліфікацыі і вопыту работы);
вядзенне кадравага справаводства;
рэгулявання працоўных адносін з работнікамі арганізацыі (садзейнічанне ў працаўладкаванні ,навучанні і прасоўванні па службе, забеспячэнне асабістай бяспекі, кантроль колькасці і якасці выконваемай работы, забеспячэнне захаванасці маёмасці);
апрацоўкі зваротаў і запытаў ад суб'ектаў персанальных дадзеных; арганізацыі і суправаджэння дзелавых паездак (камандзіровак);
выдачы даверанасцяў і іншых упаўнаважваць дакументаў;
прадастаўлення сваякам работнікаў ільгот і кампенсацый;
арганізацыя пастаноўкі на індывідуальны (персаніфікаваны) ўлік работнікаў у сістэме абавязковага пенсійнага страхавання;
запаўненне і перадача ў органы выканаўчай улады і іншыя ўпаўнаважаныя арганізацыі патрэбных формаў справаздачнасці;
ажыццяўленне грамадзянска-прававых адносін;
вядзенне бухгалтарскага ўліку; вядзенне воінскага ўліку;
ажыццяўленне прапускнога і ўнутрыаб'ектавага рэжымаў на аб'ектах Арганізацыі;
фарміравання даведачных матэрыялаў для ўнутранага інфармацыйнага забеспячэння дзейнасці арганізацыі;
выканання судовых актаў, актаў іншых органаў або службовых асоб, якія падлягаюць выкананню ў адпаведнасці з заканадаўствам Рэспублікі Беларусь Аб выканаўчым вядзенні;
вядзення перамоў, падрыхтоўкі, заключэння, выканання і спынення дагавораў з контрагентамі (праверкі контрагента);
у іншых мэтах, якія не супярэчаць заканадаўству Рэспублікі Беларусь.
3.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
4. КАТЭГОРЫІ СУБ'ЕКТАЎ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ, ПЕРАЛІКІ АПРАЦОЎВАНЫХ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ
4.1. Аператарам апрацоўваюцца персанальныя дадзеныя наступных катэгорый суб'ектаў:
- кандыдатаў для прыёму на працу ў арганізацыю;
- работнікаў і былых работнікаў арганізацыі;
- члены сям'і работнікаў арганізацыі; кліенты і контрагенты аператара;
- іншых суб'ектаў персанальных дадзеных (для забеспячэння рэалізацыі мэтаў апрацоўкі, указаных у разд. 3 палітыкі).
4.3. Аператар можа апрацоўваць пералічаныя персанальныя дадзеныя наступных катэгорый суб'ектаў персанальных дадзеных.
4.3.1. Кандыдаты для прыёму на працу ў арганізацыю:
- прозвішча, імя, імя па бацьку;
- пол;
- Грамадзянства;
- дата і месца нараджэння;
- кантактныя дадзеныя;
- звесткі аб адукацыі, вопыце работы, кваліфікацыі; < li > іншыя персанальныя дадзеныя, якія паведамляюцца кандыдатамі ў рэзюмэ< li > і суправаджальных лістах.
- прозвішча, імя, імя па бацьку;
- пол;
- Грамадзянства;
- дата і месца нараджэння;
- Выява (фатаграфія);
- Пашпартныя дадзеныя;
- адрас рэгістрацыі па месцы жыхарства;
- адрас фактычнага пражывання;
- кантактныя дадзеныя;
- індывідуальны нумар падаткаплацельшчыка;
- звесткі аб адукацыі, кваліфікацыі, прафесійнай падрыхтоўцы і павышэнні кваліфікацыі;
- Сямейнае становішча, наяўнасць дзяцей, роднасныя сувязі;
- звесткі аб працоўнай дзейнасці, у тым ліку наяўнасць заахвочванняў, узнагароджанняў і (або) дысцыплінарных спагнанняў;
- дадзеныя аб рэгістрацыі шлюбу;
- звесткі аб воінскім уліку;
- звесткі аб інваліднасці;
- звесткі аб утрыманні аліментаў;
- звесткі аб даходзе з папярэдняга месца працы;
- іншыя персанальныя дадзеныя, якія прадстаўляюцца работнікамі ў адпаведнасці з патрабаваннямі працоўнага заканадаўства.
- фпрозвішча, імя, імя па бацьку;
- ступень сваяцтва;
- год нараджэння;
- іншыя персанальныя дадзеныя, якія прадстаўляюцца работнікамі ў адпаведнасці з патрабаваннямі працоўнага заканадаўства.
- прозвішча, імя, імя па бацьку;
- дата і месца нараджэння;
- Пашпартныя дадзеныя;
- адрас рэгістрацыі па месцы жыхарства;
- кантактныя дадзеныя;
- індывідуальны нумар падаткаплацельшчыка;
- нумар разліковага рахунку;
- іншыя персанальныя дадзеныя, якія прадстаўляюцца кліентамі і контрагентамі (фізічнымі асобамі), неабходныя для заключэння і выканання дагавораў.
- прозвішча, імя, імя па бацьку;
- Пашпартныя дадзеныя;
- кантактныя дадзеныя;
- займаемая пасада;
- іншыя персанальныя дадзеныя, якія прадстаўляюцца прадстаўнікамі (работнікамі) кліентаў і контрагентаў, неабходныя для заключэння і выканання дагавораў.
4.5. Аператарам не ажыццяўляецца апрацоўка спецыяльных катэгорый персанальных дадзеных, якія тычацца расавай, нацыянальнай прыналежнасці, палітычных поглядаў, рэлігійных або філасофскіх перакананняў, стану здароўя, інтымнага жыцця, за выключэннем выпадкаў, прадугледжаных заканадаўствам Рэспублікі Беларусь.
5. ПАРАДАК І ЎМОВЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ
5.1. Апрацоўка персанальных дадзеных ажыццяўляецца аператарам у адпаведнасці з патрабаваннямі заканадаўства Рэспублікі Беларусь.
5.2. Апрацоўка персанальных дадзеных ажыццяўляецца са згоды суб'ектаў персанальных дадзеных на апрацоўку іх персанальных дадзеных.
5.3. Парадак атрымання згоды суб'екта персанальных дадзеных
5.3.1. Аператар прадастаўляе суб'екту персанальных дадзеных у пісьмовай альбо электроннай форме, якая адпавядае форме выказвання яго згоды, інфармацыю аб яго правах, звязаных з апрацоўкай персанальных дадзеных, механізмах рэалізацыі такіх правоў, а таксама наступствы дачы згоды суб'екта персанальных дадзеных або адмовы ў дачы такой згоды.
5.3.2. Сапраўдная палітыка прызначана і абавязковая для азнаямлення асобамі, якія даюць згоду на перадачу персанальныя дадзеных аператару.
5.3.3. Суб'ект персанальных дадзеных выказвае сваю згоду на апрацоўку яго персанальных дадзеных на ўмовах, выкладзеных у сапраўднай палітыцы і пацвярджае, што азнаёмлены з сапраўднай палітыкай і згодны з яе ўмовамі.
5.3.4. Асноўнымі формамі атрымання згоды з'яўляюцца:
- анкеце кандыдата на працу, у іншых дакументах шляхам уласнаручнага подпісу;
- у электронным выглядзе прастаўляючы адзнаку ў полі сайта / аператара» я згодны", са спасылкай на сапраўдную Палітыку.
5.4. Згоду на апрацоўку персанальных дадзеных, дазволеных суб'ектам персанальных дадзеных для распаўсюджвання, афармляецца асобна ад іншых згоды суб'екта персанальных дадзеных на апрацоўку яго персанальных дадзеных.
5.5. Аператар без згоды суб'екта персанальных дадзеных не раскрывае трэцім асобам і не распаўсюджвае персанальныя дадзеныя, калі іншае не прадугледжана заканадаўствам Рэспублікі Беларусь.
5.6. Аператар мае права даручыць апрацоўку персанальных дадзеных ад імя арганізацыі або ў яго інтарэсах ўпаўнаважанай асобе на падставе заключаецца з гэтай асобай дагавора.
Дагавор павінен змяшчаць:
- мэты апрацоўкі персанальных дадзеных;
- пералік дзеянняў, якія будуць здзяйсняцца з персанальнымі дадзенымі ўпаўнаважанай асобай;
- абавязкі па захаванні прыватнасці персанальных дадзеных;
- меры па забеспячэнні абароны персанальных дадзеных у адпаведнасці з артыкулам 17 Закона аб абароне персанальных дадзеных.
5.8. Апрацоўка персанальных дадзеных аператарам ажыццяўляецца наступнымі спосабамі:
- з выкарыстаннем сродкаў аўтаматызацыі;
- без выкарыстання сродкаў аўтаматызацыі, калі пры гэтым забяспечваюцца пошук персанальных дадзеных і (або) доступ да іх па пэўных крытэрыях (картатэкі, спісы, базы дадзеных, часопісы і інш.).
5.10. Апрацоўка персанальных дадзеных ажыццяўляецца шляхам:
- атрымання персанальных дадзеных у вуснай і пісьмовай форме непасрэдна ад суб'ектаў персанальных дадзеных;
- атрымання персанальных дадзеных з агульнадаступных крыніц;
- ўнясення персанальных дадзеных у часопісы, рэестры і інфармацыйныя сістэмы аператара;
- выкарыстання іншых спосабаў апрацоўкі персанальных дадзеных.
5.12. Перадача персанальных дадзеных органам дазнання і следства, у падатковыя органы, Фонд сацыяльнай абароны насельніцтва і іншыя органы выканаўчай улады і арганізацыі ажыццяўляецца ў адпаведнасці з патрабаваннямі заканадаўства Рэспублікі Беларусь.
5.13. Аператар ажыццяўляе захоўванне персанальных дадзеных не даўжэй, чым гэтага патрабуюць мэты апрацоўкі персанальных дадзеных, калі тэрмін захоўвання персанальных дадзеных не ўстаноўлены заканадаўствам Рэспублікі Беларусь, дагаворам.
5.14. Асноўныя правы і абавязкі аператара.
5.14.1. Аператар мае права: < br>
- самастойна вызначаць склад і пералік мер, неабходных і дастатковых для забеспячэння выканання абавязкаў, прадугледжаных Законам аб персанальных дадзеных і прынятымі ў адпаведнасці з ім нарматыўнымі прававымі актамі, калі іншае не прадугледжана заканадаўствам;
- даручыць апрацоўку персанальных дадзеных іншай асобе, калі іншае не прадугледжана заканадаўствам, на падставе заключаемага з гэтай асобай дагавора. Асоба, якая ажыццяўляе апрацоўку персанальных дадзеных па даручэнні аператара, абавязана выконваць прынцыпы і правілы апрацоўкі персанальных дадзеных, прадугледжаныя Законам аб персанальных дадзеных;
- у выпадку адклікання суб'ектам персанальных дадзеных згоды на апрацоўку персанальных дадзеных Аператар мае права працягнуць апрацоўку персанальных дадзеных без згоды суб'екта персанальных дадзеных пры наяўнасці падстаў, указаных у Законе аб персанальных дадзеных.
- арганізоўваць апрацоўку персанальных дадзеных у адпаведнасці з патрабаваннямі Закона Аб персанальных дадзеных;
- адказваць на звароты і запыты суб'ектаў персанальных дадзеных у адпаведнасці з патрабаваннямі Закона Аб персанальных дадзеных;
- паведамляць ва ўпаўнаважаны орган па абароне правоў суб'ектаў персанальных дадзеных;
- выконваць патрабаванні ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных дадзеных аб ліквідацыі парушэнняў заканадаўства аб персанальных дадзеных.
5.16. Доступ да апрацоўваным ў арганізацыі персанальным дадзеных дазваляецца толькі работнікам аператара, якія займаюць пасады, уключаныя ў пералік пасад структурных падраздзяленняў арганізацыі, яе філіялаў і прадстаўніцтваў, пры замяшчэнні якіх ажыццяўляецца апрацоўка персанальных дадзеных.
6.ПРАВЫ СУБ'ЕКТАЎ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ
6.1. Суб'ект персанальных дадзеных мае права:
-
атрымліваць інфармацыю, што датычыцца апрацоўкі яго персанальных даных, за выключэннем выпадкаў, прадугледжаных заканадаўствам. Звесткі прадастаўляюцца суб'екту персанальных дадзеных аператарам у даступнай форме, і ў іх не павінны ўтрымлівацца персанальныя дадзеныя, якія адносяцца да іншых суб'ектаў персанальных дадзеных, за выключэннем выпадкаў, калі маюцца законныя падставы для раскрыцця такіх персанальных дадзеных. Пералік інфармацыі і парадак яе атрымання ўстаноўлены законам аб персанальных дадзеных;
- патрабаваць ад аператара ўдакладнення яго персанальных дадзеных у выпадку, калі персанальныя дадзеныя з'яўляюцца няпоўнымі, састарэлымі, недакладнымі;
- у любы час без тлумачэння прычын адклікаць сваю згоду на апрацоўку персанальных дадзеных;
- патрабаваць ад аператара блакавання або выдалення яго персанальных дадзеных, незаконна атрыманымі або не з'яўляюцца неабходнымі для заяўленай мэты апрацоўкі, а таксама прымаць прадугледжаныя законам меры па абароне сваіх правоў;
- абскардзіць дзеянні (бяздзейнасць) і рашэнні аператара, якія парушаюць яго правы пры апрацоўцы персанальных дадзеных, ва ўпаўнаважаны орган па абароне правоў суб'ектаў персанальных дадзеных у парадку, устаноўленым заканадаўствам аб зваротах грамадзян і юрыдычных асоб.
7. МЕРЫ, ЯКІЯ ПРЫМАЮЦЦА АРГАНІЗАЦЫЯЙ ДЛЯ ЗАБЕСПЯЧЭННЯ ВЫКАНАННЯ АБАВЯЗКАЎ АПЕРАТАРА ПРЫ АПРАЦОЎЦЫ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ
7.1. Аператар прымае неабходныя прававыя, арганізацыйныя і тэхнічныя меры для абароны персанальных дадзеных ад неправамернага або выпадковага доступу да іх, знішчэння, змены, блакавання, капіявання, прадастаўлення, распаўсюджвання і іншых несанкцыянаваных дзеянняў, у тым ліку:
- вызначае пагрозы бяспекі персанальных дадзеных пры іх апрацоўцы;
- прымае лакальныя прававыя акты і іншыя дакументы, якія рэгулююць адносіны ў сферы апрацоўкі і абароны персанальных дадзеных;
- прызначае структурнае падраздзяленне або асоба, адказная за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных дадзеных;
- прызначае асоб, адказных за забеспячэнне бяспекі персанальных дадзеных у структурных падраздзяленнях і інфармацыйных сістэмах аператара;
- стварае неабходныя ўмовы для працы з персанальнымі дадзенымі;
- арганізуе ўлік дакументаў, якія змяшчаюць персанальныя дадзеныя;
- арганізуе працу з інфармацыйнымі сістэмамі, у якіх апрацоўваюцца персанальныя дадзеныя;
- захоўвае персанальныя дадзеныя ва ўмовах, пры якіх забяспечваецца іх захаванасць і выключаецца неправамерны доступ да іх;
- паведамляе ва ўстаноўленым парадку суб'ектам персанальных дадзеных або іх прадстаўнікам інфармацыю аб наяўнасці персанальных дадзеных, якія адносяцца да адпаведных суб'ектаў, дае магчымасць азнаямлення з гэтымі персанальнымі дадзенымі пры звароце і (або) паступленні запытаў названых суб'ектаў персанальных дадзеных або іх прадстаўнікоў, калі іншае не ўстаноўлена заканадаўствам Рэспублікі Беларусь;
- спыняе апрацоўку і знішчае персанальныя дадзеныя ў выпадках, прадугледжаных заканадаўствам Рэспублікі Беларусь у галіне персанальных дадзеных;
- ажыццяўляе азнаямленне работнікаў арганізацыі, якія непасрэдна ажыццяўляюць апрацоўку персанальных даных, з палажэннямі заканадаўства Рэспублікі Беларусь і лакальных прававых актаў арганізацыі ў галіне персанальных даных, у тым ліку патрабаваннямі да абароны персанальных даных;
- арганізуе навучанне па пытаннях абароны персанальных дадзеных работнікаў аператара, якія ажыццяўляюць апрацоўку персанальных дадзеных, і асобамі, адказнымі за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных дадзеных;
- здзяйсняе іншыя дзеянні, прадугледжаныя заканадаўствам Рэспублікі Беларусь у галіне персанальных даных.
- прадастаўленне суб'ектам персанальных дадзеных неабходнай інфармацыі да атрымання іх згоды на апрацоўку персанальных дадзеных;
- тлумачэнне суб'ектам персанальных дадзеных іх правоў, звязаных з апрацоўкай персанальных дадзеных;
- атрыманне пісьмовых згоды суб'ектаў персанальных даных на апрацоўку іх персанальных даных, за выключэннем выпадкаў, прадугледжаных заканадаўствам Рэспублікі Беларусь;
- прызначэнне структурнага падраздзялення або асобы, адказнай за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных дадзеных у арганізацыі;
- выданне палітыкі аператара ў дачыненні да апрацоўкі персанальных дадзеных;
- азнаямленне работнікаў, якія непасрэдна ажыццяўляюць апрацоўку персанальных дадзеных у арганізацыі, з палажэннямі заканадаўства аб персанальных дадзеных;
- устанаўленне парадку доступу да персанальных даных, у тым ліку апрацоўваемых у інфармацыйным рэсурсе (сістэме);
- ажыццяўленне тэхнічнай і крыптаграфічнай абароны персанальных даных у арганізацыі ў парадку, устаноўленым Аператыўна-аналітычным цэнтрам пры Прэзідэнце Рэспублікі Беларусь, у адпаведнасці з класіфікацыяй інфармацыйных рэсурсаў (сістэм), якія змяшчаюць персанальныя даныя;
- забеспячэнне неабмежаванага доступу, у тым ліку з выкарыстаннем глабальнай камп'ютарнай сеткі Інтэрнэт, да дакументаў, якія вызначаюць палітыку аператара ў дачыненні да апрацоўкі персанальных даных, да пачатку такой апрацоўкі;
- спыненне апрацоўкі персанальных дадзеных пры адсутнасці падстаў для іх апрацоўкі;
- неадкладнае апавяшчэнне ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных дадзеных аб парушэннях сістэм абароны персанальных дадзеных;
- ажыццяўленне змены, блакавання, выдалення недакладных або атрыманых незаконным шляхам персанальных дадзеных;
- абмежаванне апрацоўкі персанальных дадзеных дасягненнем канкрэтных, загадзя заяўленых законных мэтаў;
- ажыццяўленне захоўвання персанальных дадзеных у форме, якая дазваляе ідэнтыфікаваць суб'ектаў персанальных дадзеных, не даўжэй, чым гэтага патрабуюць заяўленыя мэты апрацоўкі персанальных дадзеных;
- устанаўленне і падтрыманне ў актуальным стане:
- пераліку інфармацыйных рэсурсаў (сістэм), якія змяшчаюць персанальныя дадзеныя, уласнікамі (уладальнікамі) якіх яны з'яўляюцца;
- катэгорый персанальных дадзеных, якія падлягаюць уключэнню ў такія рэсурсы (сістэмы): агульнадаступныя персанальныя дадзеныя, спецыяльныя персанальныя дадзеныя (акрамя біяметрычных і генетычных персанальных дадзеных), біяметрычныя і генетычныя персанальныя дадзеныя, персанальныя дадзеныя, якія не з'яўляюцца агульнадаступнымі або адмысловымі;
- пераліку ўпаўнаважаных асоб, калі апрацоўка персанальных дадзеных ажыццяўляецца ўпаўнаважанымі асобамі;
- тэрмінаў захоўвання апрацоўваных персанальных дадзеных;
- унясенне ў створаны Нацыянальным цэнтрам абароны персанальных дадзеных дзяржаўны інфармацыйны рэсурс "рэестр аператараў персанальных дадзеных" звестак аб інфармацыйных рэсурсах (сістэмах), якія змяшчаюць персанальныя дадзеныя, а таксама забеспячэнне актуалізацыі адпаведных звестак (з 01.01.2024).
7.4. Меры па забеспячэнні бяспекі персанальных дадзеных пры іх апрацоўцы ў інфармацыйных сістэмах персанальных дадзеных ўсталёўваюцца ў адпаведнасці з лакальнымі прававымі актамі арганізацыі, якія рэгламентуюць пытанні забеспячэння бяспекі персанальных дадзеных пры іх апрацоўцы ў інфармацыйных сістэмах персанальных дадзеных арганізацыі.
8. АКТУАЛІЗАЦЫЯ, ВЫПРАЎЛЕННЕ, ВЫДАЛЕННЕ І ЗНІШЧЭННЕ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ, АДКАЗЫ НА ЗАПЫТЫ СУБ'ЕКТАЎ НА ДОСТУП ДА ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ
8.1. Пацверджанне факту апрацоўкі персанальных дадзеных аператарам, прававыя падставы і мэты апрацоўкі персанальных дадзеных, а таксама іншыя звесткі, названыя ў пунктах 1 і 4 артыкула 11 Закона Аб персанальных дадзеных, прадастаўляюцца аператарам суб'екту персанальных дадзеных пры атрыманні заявы суб'екта персанальных дадзеных. У якія прадстаўляюцца звесткі не ўключаюцца персанальныя дадзеныя, якія адносяцца да іншых суб'ектаў персанальных дадзеных, за выключэннем выпадкаў, калі маюцца законныя падставы для раскрыцця такіх персанальных дадзеных.
Заява павінна ўтрымліваць:
- прозвішча, уласнае імя, імя па бацьку (калі такое маецца) суб'екта персанальных дадзеных, адрас яго месца жыхарства (месца знаходжання);
- дату нараджэння суб'екта персанальных дадзеных;
- ідэнтыфікацыйны нумар суб'екта персанальных дадзеных, пры адсутнасці такога нумара – нумар дакумента, які сведчыць асобу суб'екта персанальных дадзеных, у выпадках, калі гэтая інфармацыя паказвалася суб'ектам персанальных дадзеных пры дачы сваёй згоды аператару або апрацоўка персанальных дадзеных ажыццяўляецца без згоды суб'екта персанальных дадзеных;
- выклад сутнасці патрабаванняў суб'екта персанальных дадзеных; < i>асабісты подпіс альбо электронны лічбавы подпіс суб'екта персанальных дадзеных.
8.2. У выпадку выяўлення недакладных персанальных дадзеных пры звароце суб'екта персанальных дадзеных альбо па яго заяве або па запыце ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных дадзеных Аператар ажыццяўляе Блакаванне персанальных дадзеных, якія адносяцца да гэтага суб'екту персанальных дадзеных, з моманту атрымання названай заявы або запыту на перыяд праверкі. У выпадку пацверджання факту недакладнасці персанальных дадзеных Аператар на падставе звестак, прадстаўленых суб'ектам персанальных дадзеных альбо ўпаўнаважаным органам па абароне правоў суб'ектаў персанальных дадзеных, ці іншых неабходных дакументаў удакладняе персанальныя дадзеныя на працягу 15 дзён з дня прадстаўлення такіх звестак і здымае Блакаванне персанальных дадзеных.
8.3. У выпадку выяўлення неправамернай апрацоўкі персанальных дадзеных пры атрыманні заявы суб'екта персанальных дадзеных альбо запыту ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных дадзеных Аператар ажыццяўляе Блакаванне неправамерна апрацоўваных персанальных дадзеных, якія адносяцца да гэтага суб'екта персанальных дадзеных, з моманту такога звароту або атрымання заявы (запыту).
8.4. Пры дасягненні мэтаў апрацоўкі персанальных дадзеных, а таксама ў выпадку адклікання суб'ектам персанальных дадзеных згоды на іх апрацоўку персанальныя дадзеныя падлягаюць выдаленню, калі іншае не прадугледжана іншым пагадненнем паміж аператарам і суб'ектам персанальных дадзеных або заканадаўствам.
9. КАНТРОЛЬ ЗА ВЫКАНАННЕМ ЗАКАНАДАЎСТВА РЭСПУБЛІКІ БЕЛАРУСЬ І ЛАКАЛЬНЫХ ПРАВАВЫХ АКТАЎ АРГАНІЗАЦЫІ Ў ГАЛІНЕ ПЕРСАНАЛЬНЫХ ДАНЫХ, У ТЫМ ЛІКУ ПАТРАБАВАННЯЎ ДА АБАРОНЫ ПЕРСАНАЛЬНЫХ ДАНЫХ
9.1. Кантроль за выкананнем структурнымі падраздзяленнямі арганізацыі, заканадаўства Рэспублікі Беларусь і лакальных прававых актаў арганізацыі ў галіне персанальных дадзеных, у тым ліку патрабаванняў да абароны персанальных дадзеных, ажыццяўляецца з мэтай праверкі адпаведнасці апрацоўкі персанальных дадзеных у структурных падраздзяленнях Арганізацыі, заканадаўству Рэспублікі Беларусь і лакальным прававым актам аператара ў галіне персанальных дадзеных, у тым ліку патрабаванням да абароны персанальных дадзеных, а таксама прынятых мер, накіраваных на прадухіленне і выяўленне парушэнняў заканадаўства Рэспублікі Беларусь у галіне персанальных дадзеных, выяўлення магчымых каналаў уцечкі і несанкцыянаванага доступу да персанальных дадзеных, ліквідацыі наступстваў такіх парушэнняў.
9.2. Унутраны кантроль за выкананнем структурнымі падраздзяленнямі арганізацыі, заканадаўства Рэспублікі Беларусь і лакальных прававых актаў аператара ў галіне персанальных дадзеных, у тым ліку патрабаванняў да абароны персанальных дадзеных, ажыццяўляецца асобай, адказнай за арганізацыю апрацоўкі персанальных дадзеных у арганізацыі.
9.3. Кантроль за выкананнем патрабаванняў палітыкі ажыццяўляецца асобай, адказнай за арганізацыю апрацоўкі персанальных дадзеных у аператара.
10. ЗАКЛЮЧНЫЯ ПАЛАЖЭННІ
10.1. Персанальная адказнасць за выкананне патрабаванняў заканадаўства Рэспублікі Беларусь і лакальных прававых актаў арганізацыі ў галіне персанальных дадзеных у структурным падраздзяленні арганізацыі, а таксама за забеспячэнне прыватнасці і бяспекі персанальных дадзеных у названых падраздзяленнях Арганізацыі ўскладаецца на іх кіраўнікоў.
10.2. Адказнасць за парушэнне патрабаванняў заканадаўства Рэспублікі Беларусь і лакальных прававых актаў аператара ў сферы апрацоўкі і абароны персанальных дадзеных вызначаецца ў адпаведнасці з заканадаўствам Рэспублікі Беларусь.
10.3. Пытанні, якія тычацца апрацоўкі персанальных дадзеных, не замацаваныя ў сапраўднай палітыцы, рэгулююцца заканадаўствам Рэспублікі Беларусь.
10.4. У выпадку, калі якое-небудзь становішча палітыкі прызнаецца супярэчным заканадаўству, астатнія палажэнні застаюцца ў сіле і з'яўляюцца сапраўднымі, а любое несапраўднае становішча будзе лічыцца выдаленым або змененым ў той меры, у якой гэта неабходна для забеспячэння яго адпаведнасці заканадаўству.
10.5. Арганізацыя мае права па сваім меркаванні змяняць і (або) дапаўняць Умовы сапраўднай Палітыкі без папярэдняга паведамлення суб'ектаў персанальных дадзеных.