13 | 08 | 2022
Положение об обработке персональных данных

Открытое акционерное общество

«Минскремстрой»

 

УТВЕРЖДЕНО

Решение Дирекции

от 15.11.2021 № 12

 

 

                                                                          

 

ПОЛОЖЕНИЕ

 

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В

ОАО «МИНСКРЕМСТРОЙ»

 

 

г. Минск

2021

 

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных в ОАО «Минскремстрой» (далее – Положение), разработанное в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Гражданским кодексом Республики Беларусь, Законом Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных», Законом Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации», иными нормативными правовыми актами Республики Беларусь и локальными правовыми актами ОАО «Минскремстрой», определяет цели, принципы, условия и правила обработки персональных данных в                         ОАО «Минскремстрой», меры по обеспечению режима их защиты,                              права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.

1.2. Положение является локальным правовым актом                                                 ОАО «Минскремстрой», обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.

1.3. ОАО «Минскремстрой» (далее – Общество) является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников и других субъектов персональных данных в целях:

осуществления и выполнения функций, полномочий и обязанностей, возложенных на Общество законодательством Республики Беларусь;

обеспечения соблюдения законодательства Республики Беларусь;

обеспечения выполнения трудовых договоров (контрактов) с работниками и гражданско-правовых договоров;

ведения кадрового делопроизводства;

содействия работникам в обучении и продвижении по службе;

ведения индивидуального (персонифицированного) учета застрахованных лиц;

ведения воинского учета;

ведения бухгалтерского и налогового учета;

начисления и перечисления заработной платы, назначения и выплаты пенсий и пособий;

обеспечения личной безопасности работников;

контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества;

обеспечения пропуска субъектов персональных данных на объекты Общества;

ведения переговоров, заключения и исполнения договоров;

организации корпоративного управления;

координирования взаимоотношений, возникающих между эмитентом, депозитарием, акционером;

ведения обработки данных по перечню лиц, имеющих акции;

заключения договоров найма жилых помещений;

осуществления учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещением расходов на электроэнергию, взыскания задолженности по данным платежам;

заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

выполнения социальных обязательств, а также в других целях, предусмотренных Уставом и локальными правовыми актами Общества.

1.4. Действия настоящего Положения не распространяются на отношения, касающиеся случаев обработки персональных данных:

физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного использования, не связанного с профессиональной или предпринимательской деятельностью;

отнесенных в установленном порядке к государственным секретам.

1.5. Директора филиалов и руководители структурных подразделений аппарата Общества несут персональную ответственность за обработку персональных данных, выполнение работниками требований законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных.

1.6. В настоящем Положении используются понятия согласно Закону Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных».

1.7. При приеме на работу работник должен быть ознакомлен с Положением под роспись до подписания трудового договора (контракта).

1.8. Положение размещено в свободном доступе на веб-сайте Общества mrs.by, а также по месту нахождения Оператора (Общества и его филиалов) по адресам:

г. Минск, ул. Интернациональная, 5 (аппарат ОАО «Минскремстрой»);

г. Минск, ул. Глаголева, 45 (РСФ Московского района);

г. Минск, ул. Рабкоровская, 14 (РСФ Октябрьского района);

г. Минск, ул. Я.Мавра, 49 (РСФ Фрунзенского района);

г. Минск, ул. Багратиона, 62 (Ремонтно-реставрационный филиал);

г. Минск, ул. Железнодорожная, 21а (филиал «Сантехгазмонтаж»);

г. Минск, ул. Смоленская, 49 (филиал «Электромонтажстрой»);

г. Минск, ул. Гурского, 11 (филиал «Спецтрансавто»);

г. Минск, ул. Харьковская, 3а (филиал «Завод строительных изделий»);

г. Минск, пер. Калининградский, 13а (Проектно-технический филиал);

г. Минск, ул. Широкая, 34 (Жилищно-эксплуатационный филиал);

Минский р-н, пос. Ждановичи (филиал «Оздоровительный комплекс «Спутник»).

1.9. Типовые формы документов, необходимые для обработки персональных данных, утверждаются настоящим Положением (прилагаются).

1.10. Объединенная организация профсоюза и первичные профсоюзные организации, действующие в Обществе, самостоятельно определяют порядок обработки персональных данных и обеспечивают защиту персональных данных, предоставляемых работниками, являющимися членами профсоюза и считаются операторами таких персональных данных. Общество оказывает объединенной организации профсоюза и первичным профсоюзным организациям необходимую помощь по защите персональных данных. Порядок обработки и защиты персональных данных членов профсоюза определяется соответствующим положением, утверждаемым профсоюзным комитетом.

1.11. В административных зданиях осуществляется видеофиксация и/или видеонаблюдение с целью предотвращения неконтролируемого перемещения материальных ценностей и предотвращения причинения вреда здоровью работников и посетителей Общества (филиала).

В помещениях административных зданий, где ведется видеосъемка и/или видеонаблюдение, устанавливаются предупреждающие знаки.

Видеозаписывающие материалы и/или видеонаблюдение обрабатываются в соответствии с законодательством лицом, ответственным за их обработку, которое определяется приказом генерального директора Общества (директора филиала).

Видеорегистрационные материалы и/или видеонаблюдение хранятся на серверном оборудовании Общества (филиала) не более 30 календарных дней. При необходимости срок хранения таких материалов может быть продлен по решению генерального директора Общества (директора филиала).

Доступ к видеозаписям и/или материалам видеонаблюдения имеют генеральный директор Общества (директор филиала); заместители генерального директора Общества (директора филиала); ответственные работники Общества (филиала), для которых обязанность по обработке таких материалов содержится в должностной (рабочей) инструкции; лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных; работники сторожевой охраны (сторожа, контролеры на контрольно-пропускном пункте), которые осуществляют мониторинг системы видеонаблюдения.

 

2. Состав и категории персональных данных,

обрабатываемых в ОАО «Минскремстрой»

2.1. Состав персональных данных, обрабатываемых в Обществе:

фамилия, собственное имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);

число, месяц, год рождения;

место рождения;

сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства;

вид, серия, номер, код документа, удостоверяющего личность, дата выдачи, наименование (код) органа, выдавшего его;

адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

номера домашних и мобильных телефонов или сведения о других способах связи;

реквизиты свидетельства социального страхования;

реквизиты свидетельства о браке;

сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Республики Беларусь;

сведения о трудовой деятельности;

сведения о воинском учете и реквизиты документов воинского учета;

сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании (обучении), специальность по документу об образовании, квалификация);

сведения об ученой степени;

фотография работника;

сведения, содержащиеся в трудовом договоре (контракте), дополнительных соглашениях к трудовому договору (контракту), в приложениях к ним;

сведения о наличии или отсутствии судимости – только кандидатов для приема на работу (соискателей) – в случаях, определенных законодательством;

сведения о государственных наградах, иных наградах и знаках отличия;

сведения о переподготовке и (или) повышении квалификации;

результаты медицинского обследования (осмотра) работника на предмет годности к выполнению трудовых обязанностей;

сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат;

данные по акциям, принадлежащим акционерам;

сведения о жилых помещениях, находящихся в собственности;

другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 1.3 настоящего Положения.

2.2. Категории персональных данных, обрабатываемых в Обществе:

2.2.1. персональные данные, включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (корпоративные справочники, Доска почета, информационные, профсоюзные, поздравительные и другие стенды):

фамилия, собственное имя, отчество;

число, месяц, год рождения;

место работы;

занимаемая должность служащего (профессия рабочего);

номера мобильных телефонов;

адреса корпоративной электронной почты;

фотография работника;

2.2.2. персональные данные ограниченного доступа – персональные данные, перечисленные в пункте 2.1 настоящего Положения, за исключением персональных данных, перечисленных в подпункте 2.2.1 настоящего пункта;

2.2.3. специальные персональные данные, касающиеся состояния здоровья работников (обрабатываются в соответствии с требованиями Закона Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных» и Закона Республики Беларусь от 18 июня 1993 г. № 2435-XII«О здравоохранении»);

2.2.4. иные специальные персональные данные, в том числе биометрические персональные данные (обрабатываются в соответствии с требованиями законодательства Республики Беларусь).

2.3. Документы и (или) их копии, содержащие персональные данные:

анкета, автобиография, которые заполняются при приеме на работу (согласно Инструкции о порядке формирования, ведения и хранения личных дел работников, утвержденной постановлением Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26 марта                2004 г. № 2);

документ, удостоверяющий личность;

личная карточка работника, личный листок по учету кадров;

трудовая книжка;

свидетельство о заключении брака, рождении детей;

документы воинского учета;

справки о доходах с предыдущего места работы;

документы об образовании;

документы обязательного социального страхования;

медицинские справки о состоянии здоровья;

справки о правонарушениях;

справка-объективка, характеристика, аттестационный лист;

трудовой договор (контракт);

приказы по личному составу;

материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;

договор найма жилого помещения;

справки о занимаемом в данном населенном пункте жилом помещении и составе семьи;

справки о находящихся в собственности гражданина жилых помещениях;

копия лицевого счета;

отчеты, направляемые в органы статистики;

другие документы, содержащие персональные данные.

 

3. Принципы и условия обработки персональных данных

3.1. Принципы обработки персональных данных:

обработка персональных данных должна осуществляться на законной и справедливой основе;

обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

обработке подлежат только те персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных должен соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;

хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

3.2. Условия обработки персональных данных:

3.2.1. обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством. Получение согласия осуществляется в соответствии с Законом Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных»;

3.2.2. обработка персональных данных необходима для:

выполнения возложенных на Общество Уставом Общества функций, полномочий и обязанностей;

осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;

исполнения договора в рамках трудовых и (или) гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;

осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

3.2.3. персональные данные, подлежащие опубликованию или обязательному раскрытию, обрабатываются в соответствии с законодательством.

 

4. Правила обработки персональных данных

4.1. Общие правила

4.1.1. Персональные данные обрабатываются в Обществе с использованием средств автоматизации и без использования таких средств, а также смешанным способом.

4.1.2. В случаях, установленных законодательством Республики Беларусь, основным условием обработки персональных данных является получение согласия (приложение 1) соответствующего субъекта персональных данных.

4.1.3 Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

4.1.4. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать:

фамилию, собственное имя, отчество (если таковое имеется);

дату рождения;

идентификационный номер, а в случае отсутствия такового номера – номер документа, удостоверяющего личность;

подпись субъекта персональных данных.

Если цели обработки персональных данных не требуют обработки информации, эта информация не подлежит обработке Обществом при получении согласия субъекта персональных данных.

4.1.5. До получения согласия субъекта персональных данных Общество в письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставляет субъекту персональных данных информацию (приложение 2), содержащую:

наименование и место нахождение оператора, получающего согласие субъекта персональных данных;

цели обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

срок, на который дается согласие субъекта персональных данных;

информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;

перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых способов обработки персональных данных;

иную информацию, необходимую для прозрачности процесса обработки персональных данных.

4.1.6. До получения согласия субъекту персональных данных простым и ясным языком разъясняются его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.

Данные разъяснения (приложение 3) предоставляются субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

4.2. Сбор персональных данных

4.2.1. Сбор персональных данных осуществляется путем:

получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;

получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;

формирования персональных данных в ходе кадровой работы;

получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

получения персональных данных в ответ на запросы, направляемые Обществом в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;

получения персональных данных из общедоступных источников;

фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

внесения персональных данных в информационные системы и базы данных Общества;

использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.

4.2.2. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

4.2.3. Если иное не установлено законодательством, Общество вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.

4.2.4. Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:

наименование оператора и адрес его местонахождения;

цель обработки персональных данных и ее правовое основание;

предполагаемые пользователи персональных данных;

установленные законом права субъекта персональных данных;

источник получения персональных данных.

4.3. Хранение персональных данных

4.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных, исключающие их утрату и неправомерное использование.

4.3.2. Персональные данные хранятся:

на бумажных носителях;

в электронных документах;

в форме компьютерных файлов;

в специализированных программах, обеспечивающих автоматическую обработку и хранение информации.

4.3.3. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.

4.3.4. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических средств защиты.

4.3.5. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.3.6. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

4.3.7. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.

4.3.8. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4.3.10. Для уничтожения персональных данных в Обществе (филиале) создается комиссия, в состав которой входят работники, которые допущены к обработке персональных данных, а также лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.

4.3.11. Порядок уничтожение персональных данных определяется Обществом.

4.4. Использование

4.4.1. Персональные данные обрабатываются и используются для целей, указанных в п.1.3 Положения.

4.4.2. Доступ к персональным данным предоставляется только тем работникам Общества, должностные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется Обществом (филиалом).

4.4.3. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению генерального директора Общества (директора филиала). Соответствующие работники должны быть ознакомлены под роспись со всеми локальными правовыми актами Общества в области персональных данных, а также должны подписать обязательство о соблюдении установленного порядка обработки и неразглашении персональных данных(приложение 4).

4.4.4. Работникам Общества, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.

4.4.5. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

4.4.6. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

4.5. Передача

4.5.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

4.5.2. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.

4.5.3. При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством, в частности, если:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором, который получил от Общества соответствующие данные;

персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

4.5.4. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

4.5.5. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;

такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;

такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;

получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.

4.5.6. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Общество вправе требовать от этих лиц подтверждение того, что это правило соблюдено.

4.5.7. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.

4.5.8. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных в Обществе (филиале), для предварительного рассмотрения и согласования.

4.6. Поручение обработки

4.6.1. Общество вправе поручить обработку персональных данных уполномоченному лицу.

4.6.2. В договоре между Обществом и уполномоченным лицом, акте законодательства либо решении государственного органа должны быть определены:

цели обработки персональных данных;

перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

обязанности по соблюдению конфиденциальности персональных данных;

меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона о защите персональных данных.

4.6.3. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает Общество.

4.6.4. В случае если Общество поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Уполномоченное лицо несет ответственность перед Обществом.

4.7. Защита

4.7.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

4.7.2. Для защиты персональных данных Общество принимает необходимые предусмотренные законом меры (включая, но не ограничиваясь):

разрабатывает и утверждает локальные правовые акты о защите персональных данных;

определяет и закрепляет перечень персональных данных;

ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, ведет учет лиц, получивших доступ к персональным данным и (или) лиц, которым предоставлена или передана такая информация;

заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении установленного порядка обработки и неразглашении персональных данных, включает условия о правах, обязанностях и ответственности в области обработки и защиты персональных данных в должностные инструкции, трудовые договоры (контракты) и гражданско-правовые договоры, заключенные с этими лицами;

обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных;

ограничивает доступ к информации, содержащей персональные данные, закрепляет порядок обращения с этой информацией, особые условия хранения носителей и информации в электронном виде;

организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

контролирует соблюдение требований по обеспечению безопасности персональных данных (в том числе путем проведения внутренних проверок);

проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

внедряет программные и технические средства защиты информации;

4.7.3. Для защиты персональных данных при их обработке в информационных системах Общество проводит необходимые предусмотренные законом мероприятия (включая, но не ограничиваясь):

определение угроз безопасности персональных данных при их обработке;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

учет машинных носителей персональных данных;

обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.

4.7.6. В Обществе принимаются иные меры, направленные на обеспечение выполнения Обществом обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.

4.7.7. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого и незаконного использования.

Перечень лиц, получающих доступ к персональным данным и осуществляющим их обработку, утверждается приказом генерального директора Общества (директора филиала).

Работники, получившие доступ к персональным данным:

должны быть ознакомлены с законодательством о защите персональных данных, об ответственности за его нарушение, локальными правовыми актами Общества в области обработки и защиты персональных данных;

подписывают обязательство о соблюдении установленного порядка обработки и неразглашении персональных данных.

4.7.8. Все документы, содержащие персональные данные, хранятся в режиме конфиденциальности. К ним имеют доступ только те лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей. Конфиденциальное делопроизводство исключает ознакомление с конфиденциальной информацией иных лиц, не имеющих такого доступа.

 

5. Права и обязанности субъектов персональных данных

5.1. Субъекты персональных данных имеют право на:

полную информацию о своих персональных данных, обрабатываемых подразделениями Общества;

доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством;

уточнение своих персональных данных, их блокирование или удаление в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;

извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;

отзыв согласия на обработку своих персональных данных;

обжалование в соответствии с законодательством действий Общества при обработке персональных данных или его бездействия;

осуществление иных прав, предусмотренных законодательством.

5.2. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.

5.3. Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.

5.4. Субъекты персональных данных обязаны:

предоставить Обществу свои персональные данные в соответствии с законодательством Республики Беларусь и настоящим Положением;

своевременно информировать Общество об изменениях своих персональных данных;

осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных;

обеспечить конфиденциальность персональных данных других субъектов персональных данных в соответствии с требованиями законодательства и локальными правовыми актами Общества;

исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.

 

6. Права и обязанности работников

при работе с персональными данными при удаленной работе

6.1. Работники, которые обрабатывают документы и информацию с персональными данными в режиме удаленной работы обязаны:

в нерабочее время отключать доступ к удаленному рабочему столу через VPN, а также при кратковременном отсутствии на рабочем месте блокировать устройство (компьютер, ноутбук, планшет), которое является собственностью Общества;

немедленно информировать руководителя структурного подразделения или лицо, ответственное за организацию обработки персональных данных иосуществление внутреннего контроля за обработкой персональных данныхо фактах утраты (недостачи) документов (отдельных листов), содержащих персональные данные работников, а также при пересылке курьерскими службами или почтой;

незамедлительно сообщить ответственному лицу по технической защите персональных данных о попытке или факте взлома устройства;

убедиться, что на домашнем роутере настроено надежное шифрование (WPA2 и др);

вовремя обновлять пароли и программное обеспечение, по требованию системы;

устанавливать пароли повышенного уровня сложности или использовать двойную аутентификацию;

ограничить число подключаемых внешних устройств (USB, карт памяти, телефонов, внешних жёстких дисков и др.);

для обмена конфиденциальной информацией между работниками использовать только корпоративную почту.

6.2. Работникам, которые обрабатывают документы и информацию с персональными данными в режиме удаленной работы, запрещено:

разглашать свои индивидуальные пароли доступа к компьютерным, сетевым и иным информационным ресурсам;

использовать для сохранения персональных данных работников личные (не принадлежащие Обществу) компьютеры, а также ноутбуки, смартфоны, мобильные телефоны и съемные USB-накопители;

отправлять рабочие файлы (сканы, фотографии) на личную электронную почту и другие внешние адреса, в том числе с помощью мессенджеров;

использовать удаленный доступ к рабочему столу или компьютер, ноутбук, планшет, смартфон в личных целях;

устанавливать сторонние программы на устройство, которое находится в собственности Общества, без согласования с ним;

использовать Облачные хранилища в целях копирования рабочей конфиденциальной информации;

отключать или заменять Антивирусную защиту на устройстве, которое находится в собственности Общества;

отвечать на запросы, которые требуют предоставления персональных данных работников, без согласования с Обществом (филиалом);

допускать к удаленному рабочему столу или устройству, которое находится в собственности Общества, третьих лиц.

 

7. Права и обязанности ОАО «Минскремстрой»

7.1. Общество обязано принимать необходимые и достаточные меры для выполнения обязанностей Общества как оператора, предусмотренных законодательством:

назначать лиц, ответственных за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных;

издавать документы, определяющие политику Общества в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также иные локальные правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;

получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;

применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

разъяснять субъектам персональных данных их права, связанные с обработкой персональных данных, а также юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством;

вносить изменения в персональные данные, которые являются неполными, устаревшими, неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством;

уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;

представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством и локальными правовыми актами Общества;

осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным правовым актам Общества;

проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношения указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством в области обработки и защиты персональных данных;

сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях;

исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

исполнять иные обязанности, предусмотренных Законом о персональных данных и иными актами законодательства.

7.2. Общество вправе:

устанавливать правила обработки персональных данных в Обществе, вносить изменения и дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Общества как оператора;

получать достоверные персональные данные от субъектов персональных данных;

привлекать к дисциплинарной, материальной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных;

осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.

 

7. Ответственность за нарушение норм,

регулирующих обработку и защиту персональных данных

7.1. Лица, виновные в нарушении законодательства и локальных правовых актов Общества в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.

7.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством и локальными правовыми актами Общества в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.

 

 

 

 

Время начала работы – 8.00 час., обеденный перерыв - 12.00-13.00 час., окончание работы – 17.00 час. 

 

Баннер
Баннер