1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет деятельность республиканского унитарного предприятия «Белорусский институт строительного проектирования» Управления делами Президента Республики Беларусь (далее – Предприятие) в отношении обработки персональных данных и разработана во исполнение требований пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.2. Настоящая Политика служит основой для организации работы по обработке персональных данных на Предприятии, в том числе для разработки локальных нормативных актов (далее – ЛПА) (положений, инструкций и др.), регламентирующих процесс обработки персональных данных на Предприятии.
Политика определяет цели, порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Республики Беларусь в области персональных данных.
1.3. Политика распространяется на все процессы Предприятия, связанные с обработкой персональных данных, и обязательна для применения всеми работниками Предприятия, осуществляющими обработку персональных данных в соответствии со своими должностными обязанностями.
1.4. Во исполнение требований пункта 4 статьи 17 Закона о персональных данных Политика публикуется в свободном доступе в сети Интернет на сайте Предприятия bisp.by.
1.5. В настоящей Политике
используются термины
и их определения в соответствии со статьей 1 Закона о персональных данных.
1.6. Вопросы, не предусмотренные настоящей Политикой, регламентируются действующим законодательством Республики Беларусь и ЛПА Предприятия.
2. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Предприятием персональных данных осуществляется в следующих целях:
обеспечение соблюдения законодательства Республики Беларусь;
осуществление своей деятельности в соответствии с уставом Предприятия;
ведение кадровой работы и организации учета кандидатов и работников Предприятия;
регулирование трудовых и иных, непосредственно связанных с ними, отношений;
предоставление персональных данных государственным органам, иным уполномоченным лицам в рамках исполнения законодательства;
заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
ведение бухгалтерского учета и составление налоговой отчетности;
осуществление гражданско-правовых отношений;
иные, не противоречащие законодательству.
2.4. Обработка персональных данных Предприятием осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе соразмерно заявленным целям их обработки;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
Предприятие принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
обеспечение уничтожения персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Республики Беларусь.
3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ
3.1. Предприятие имеет право:
обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
обрабатывать общедоступные персональные данные физических лиц;
поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Предприятия, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Предприятие вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
3.2. Предприятие обязано:
организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Предприятию стало известно о таких нарушениях;
исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
3.3. Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Предприятием в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
требовать от Предприятия уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
требовать от Предприятия удаления (обезличивания) его персональных данных, их блокировки, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
обжаловать действия (бездействие) и решения Предприятия, нарушающие его права при обработке персональных данных, в порядке, предусмотренном законодательством;
осуществлять иные права, предусмотренные законодательством.
4. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Предприятием осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
работников Предприятия, кандидатов;
родственников работников в части, не нарушающих их права и законные интересы и соответствующих требованиям, установленным законодательством о персональных данных;
физических лиц, с которыми Предприятие заключило (собирается заключить) гражданско-правовые договоры;
физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и соответствует требованиям, установленным законодательством о персональных данных;
иных физических лиц, выразивших согласие на обработку Предприятием их персональных данных, или физических лиц, обработка персональных данных которых необходима Предприятию для достижения целей, предусмотренных законодательством;
уполномоченных представителей вышеперечисленных субъектов персональных данных.
4.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.3. Обработка Предприятием биометрических персональных данных осуществляется в соответствии с законодательством Республики Беларусь.
4.4. Предприятием не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также генетических персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь.
5. ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ СУБЪЕКТА
ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Предприятие предоставляет субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, информацию о его правах, связанных с обработкой персональных данных, механизмах реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.
5.2. Настоящая Политика предназначена и обязательна для ознакомления лицами, которые дают согласие на передачу персональных данных Предприятию.
5.4. Субъект персональных данных выражает свое согласие на обработку его персональных данных на условиях, изложенных в настоящей Политике и подтверждает, что ознакомлен с настоящей Политикой и согласен с ее условиями.
5.5. Основной формой получения согласия является проставление собственноручной подписи в регистрационной форме, анкете кандидата на работу, в иных документах.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных осуществляется Предприятием в соответствии с требованиями законодательства Республики Беларусь.
6.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
6.3. Предприятие осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
6.4. К обработке персональных данных допускаются работники Предприятия, в должностные обязанности которых входит обработка персональных данных.
6.5. Предприятие осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.
6.6. Подтверждение факта обработки персональных данных Предприятием, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в Законе о персональных данных, предоставляются Предприятием субъекту персональных данных при получении заявления субъекта персональных данных в порядке, установленном Законом о персональных данных.
7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ
7.1. Предприятие принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает ЛПА и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
назначает лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в структурных подразделениях Предприятия;
создает необходимые условия для работы с персональными данными;
организует учет документов и информационных систем, содержащих персональные данные;
организует работу и создание системы защиты информации в информационных системах, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
организует обучение по вопросам защиты персональных данных работников Предприятия, осуществляющих обработку персональных данных, и лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных.
7.2. Работники Предприятия при нарушении установленного порядка обработки и обеспечения безопасности персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
7.3. Контроль за исполнением требований Политики осуществляется лицом, ответственным за организацию обработки персональных данных на Предприятии.
7.4. Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Предприятия в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.