Положение об обработке и защите персональных данных

ОБЩИЕ ПОЛОЖЕНИЯ

1. Коммунальное унитарное предприятие «Центр информационных технологий Мингорисполкома» (далее – Оператор) уделяет особое внимание защите персональных данных при их обработке и соблюдению прав субъектов персональных данных. Утверждение Положения об обработке и защите персональных данных (далее – Положение) является одной из принимаемых Оператором мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99 З «О защите персональных данных» (далее – Закон).

2. Настоящее Положение  разработано в соответствии с Законом и определяет основные принципы, условия и способы обработки персональных данных, категории субъектов персональных данных, перечень обрабатываемых персональных данных, права и обязанности Оператора, права субъектов персональных данных, а так же меры, принимаемые Оператором, по обеспечению защиты и безопасности персональных данных.

3. В настоящем Положении используются термины и их определения в значении, предусмотренном Законом.

4. С целью обеспечения законности, прозрачности и безопасности при обработке персональных данных, информирования субъектов персональных данных о том, как, кем и для чего собираются, используются и иным образом обрабатываются их персональные данные, а также об имеющихся у них правах и механизме их реализации, службой по защите персональных данных Оператора в зависимости от целей обработки и категории субъектов персональных данных разрабатываются и издаются документы, определяющие соответствующую политику в отношении обработки персональных данных (далее – Политика), в том числе отдельно: 

работников (бывших работников) Оператора в процессе их трудовой деятельности;

работников Оператора в системе контроля и управления доступом;

работников и посетителей Оператора с использованием системы видеонаблюдения;

клиентов филиала «Единый расчетно-справочный центр  г. Минска» Оператора.

граждан, обратившихся в Контакт-центр Оператора на короткий телефонный номер «115»;

пользователей интернет-портала «Мая рэспублiка: 115.бел» и мобильных приложений «115.бел - Мая рэспублiка», иных веб-сайтов, принадлежащих Оператору (пр необходимости);

cookie-файлов на интернет-сайтах «IT-Минск» (https://it-minsk.by), «Филиал «Единый расчетно-справочный центр г. Минска»» (https://ерсц.бел), интернет-портале «Мая Рэспублiка: 115.бел» (https://115.бел) и иных веб-сайтах, принадлежащих Оператору (при необходимости).

Политики размещаются в открытом доступе на внутреннем корпоративном портале Оператора «1С-Битрикс», веб-сайтах, принадлежащих Оператору, на стендах (информационных панелях) в расчетно-справочных центрах г. Минска  в зависимости от категории субъектов персональных данных, чьи персональные данные обрабатываются.  

5. Местонахождение Оператора: 220007, г. Минск, ул. Московская, д. 9, пом. 1Н; адрес электронной почты: cit@it-minsk.by; адрес в сети Интернет: https://it-minsk.by; тел. (375 17)  215 45 00.

6. Настоящее Положение размещается в открытом доступе на официальном сайте Оператора «IT-Минск» (https://it-minsk.by).

ОСНОВНЫЕ ПРИНЦИПЫ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7. Обработка персональных данных осуществляется на основе следующих принципов: 

обработка должна проводиться на законной и справедливой основе, осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;

содержание и объем обрабатываемых персональных данных должны соответствовать заранее заявленным целям их обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

обработка должна носить прозрачный характер, информация, касающаяся обработки персональных данных, должна быть доступной для их субъектов;  

обрабатываемые персональные данные должны быть достоверными и актуальными по отношению к заявленным целям их обработки;

обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.

8. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом или иными законодательными актами.

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ

9. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:

кандидатов на работу, работников, в том числе бывших, членов их семей и близких родственников;

клиентов филиала «Единый расчетно-справочный центр г. Минска», в том числе плательщиков жилищно-коммунальных услуг;

контрагентов (физические лица (в том числе потенциальных), выступающих стороной в гражданско-правовом договоре;

пользователей и посетителей интернет-ресурсов, принадлежащих Оператору;

физических лиц, предоставивших Оператору свои персональные данные иным путем.

10. К персональным данным, обрабатываемым Оператором, относятся:

фамилия, собственное имя, отчество, пол, дата рождения, место рождения, гражданство, идентификационный номер, данные документа, удостоверяющего личности;

сведения об образовании, специальности, трудовой деятельности, семейном положении, отношении к воинской обязанности, здоровье, привлечении к дисциплинарной, административной или уголовной ответственности;

номер мобильного (домашнего) телефона, адрес электронной почты, сведения о регистрации по месту жительства и (или) месту пребывания;

данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;

иные персональные данные, обработка которых является необходимой для выполнения обязанностей (полномочий), возложенных на Оператора.

Оператором может обрабатываться следующая техническая информация: IP-адреса, данные файлов сookie, адрес запрашиваемой страницы, история запросов и просмотров на интернет-ресурсах, принадлежащих Оператору.

11. Оператор обрабатывает специальные персональные данные только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных Законом и иными законодательными актами.

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

12. Обработка персональных данных Оператором осуществляется как с использованием средств автоматизации, так и без их использования посредством их сбора, систематизации, хранения, изменения, использования, обезличивание, блокирование, распространение, предоставление и удаления.

13. Центр осуществляет обработку персональных данных в целях, объеме, на правовых основаниях и в сроки, определенные в соответствующих Политиках.

14. Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.

15. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных, если иное не предусмотрено Законом и иными законодательными актами.

16. Доступ к персональным данным предоставляется только тем работникам Оператора, должностные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими персональными данными. Перечень таких лиц и права их доступа определяет Оператор.

17. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом и иными законодательными актами.

18. Оператор может поручить обработку персональных данных третьему (уполномоченному) лицу. Обработка персональных данных уполномоченным лицом осуществляется на основании заключенного между Оператором и уполномоченным лицом договора, составленного с учетом требований статьи 7 Закона.

В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами Оператор:

обязывает уполномоченное лицо соблюдать конфиденциальность предоставленных персональных данных, принимать необходимые меры по обеспечению их защиты от несанкционированного или случайного доступа к ним, а также от их копирования, распространения, предоставления и иных неправомерных  действий в отношении персональных данных;

осуществляет контроль соблюдения порядка и качества оказания услуги уполномоченным лицом, являющейся предметом договора;

не дает уполномоченному лицу разрешения на привлечение субуполномоченных лиц.

19. Оператор может осуществлять трансграничную передачу персональных данных, в том числе на территорию иностранного государства, которое не обеспечивает надлежащий уровень защиты прав субъектов персональных данных.

Такая передача осуществляется на основании пункта 1 статьи 9 Закона либо пункта 11 приказа Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 14 «О трансграничной передаче персональных данных».  

МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ

20. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

21. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц, постоянно совершенствует методы защиты персональных данных.

22. Оператор обеспечивает ознакомление своих работников, непосредственно осуществляющих обработку персональных данных, с положениями Закона и иных законодательных актов о персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, а также проводит обучение указанных работников и иных лиц в порядке, установленном законодательством.

23. Для защиты персональных данных Оператор принимает необходимые предусмотренные Законом и иными законодательными актами меры (включая, но не ограничиваясь):

23.1. ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);

23.2. обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;

23.3. организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

23.4. контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);

23.5. проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

23.6. внедряет программные и технические средства защиты информации в электронном виде;

24. Для защиты персональных данных при их обработке в информационных системах Оператор проводит необходимые предусмотренные законодательством мероприятия (включая, но не ограничиваясь):

24.1. определяет угрозы безопасности персональных данных при их обработке;

24.2. принимает необходимые организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах, принадлежащих Оператору;

24.3. устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах, принадлежащих Оператору, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в таких информационных системах;

24.4. принимает меры по исключению несанкционированного доступа к персональным данным, обеспечивает возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

25. Внутренний контроль за соблюдением работниками Оператора законодательства Республики Беларусь в области защиты персональных данных и локальных правовых актов осуществляет служба по защите персональных данных Оператора.

ОСНОВНЫЕ ПРАВА И
ОБЯЗАННОСТИ ОПЕРАТОРА

26. Оператор имеет право:

26.1. получать от субъекта персональных данных информацию и (или) документы, содержащие персональные данные;

26.2. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

26.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе или иных законодательных актах;

26.4. в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований Закона и иных законодательных актов;

26.5. предоставлять персональные данные третьим лицам, в случаях и с соблюдением условий, предусмотренных Законом и иными законодательными актами;

26.6. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом или иными законодательными актами;

26.7. наделен иными правами, предусмотренными Законом и иными законодательными актами.

27. Оператор обязан:

27.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

27.2. получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;

27.3. обеспечивать защиту персональных данных в процессе их обработки;

27.4. предоставлять субъекту персональных данных информацию об обработке его персональных данных, а также об их предоставлении третьим лицам один раз в календарный год бесплатно, за исключением случаев, предусмотренных Законом и иными законодательными актами;

27.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

27.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для дальнейшей обработки персональных данных, предусмотренных Законом и иными законодательными актами;

27.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

27.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

27.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

27.10. выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.

ПРАВА СУБЪЕКТОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОТНОШЕНИИ
ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

28. Субъект персональных данных имеет право:

28.1.  на отзыв своего согласия, если для обработки персональных данных Оператор обращался к субъекту персональных данных за получением согласия.

Субъект персональных данных в любое время без объяснения причин может отозвать свое согласие в порядке, установленном статьей 14 Закона (либо в форме, посредством которой получено его согласие). Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для дальнейшей обработки персональных данных, предусмотренных Законом и иными законодательными актами.

28.2.  на получение информации, касающейся обработки своих персональных данных Оператором, содержащей:

•    место нахождения Оператора;

•    подтверждение факта обработки Оператором (уполномоченным лицом) персональных данных обратившегося лица;

•    персональные данные и источник их получения;

•    правовые основания и цели обработки персональных данных;

•    срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);

•    наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;

•    иную информацию, предусмотренную законодательством.

Субъекту персональных данных не требуется обосновывать свой интерес к запрашиваемой информации. Оператор обязан в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, касающуюся обработки персональных данных либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами. Оператор отказывает в предоставлении запрашиваемой информации в случаях, предусмотренных Законом и иными законодательными актами.

28.3. требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.

В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные. Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

28.4. на получение от Оператора  информации о предоставлении своих персональных данных, обрабатываемых Оператором, третьим лицам.

Такая информация может быть получена один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами. Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении. Оператор отказывает в предоставлении запрашиваемой информации, в случаях, предусмотренных Законом и иными законодательными актами.

28.5. требовать от Оператора  прекращения обработки своих персональных данных, включая их удаление.

Оператор при отсутствии оснований для обработки персональных данных обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных. При отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных. Оператор может отказать в прекращении обработки персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами.

28.6. на обжалование действий (бездействия) и решений Оператора, нарушающих его права при обработке персональных данных, в порядке, установленном законодательством.

Субъект персональных данных также наделен правом обратиться за защитой своих нарушенных прав, свобод и законных интересов в Национальный центр защиты персональных данных для обжалования действий (бездействия) Оператора.

29. Для реализации прав, указанных в пункте 28 настоящего Положения, субъекту персональных данных необходимо направить Оператору заявление в письменной форме по почтовому адресу, указанному в пункте 5 настоящего Положения, или в виде электронного документа, подписанного электронной цифровой подписью. Такое заявление должно содержать следующую информацию:

ФИО и адрес места жительства (места пребывания) субъекта персональных данных;

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

Оператор не рассматривает заявления субъектов персональных данных, поступившие в его адрес иными способами (e-mail, телефон,  факс и т.п).

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

30. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются законодательством Республики Беларусь.

31. Оператор вправе при необходимости в одностороннем порядке внести в Положение соответствующие изменения или дополнения без предварительного и последующего уведомления субъектов персональных данных.