1. Общие положения
1.1. Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) действует в отношении всех персональных данных, которые Коммунальное унитарное предприятие «Центр информационных технологий Мингорисполкома» (далее – Предприятие) может получить от субъекта персональных данных, состоящего с Предприятием в регулируемых трудовым законодательством отношениях (далее – Работник), от субъекта персональных данных – физического лица, состоящего в договорных и иных гражданско-правовых отношениях с Предприятием, (далее – Клиент) либо в силу полномочий, установленных актами законодательства.
1.2. Целью Политики является соблюдение прав субъектов персональных данных при обработке их персональных данных Предприятием.
1.3. Политика разработана в соответствии с Конституцией Республики Беларусь, Законом Республики Беларусь от 10.11.2008 г. № 455-3 «Об информации, информатизации и защите информации», Законом Республики Беларусь от 07.05.2021 г. № 99-З «О защите персональных данных» и иным действующим законодательством Республики Беларусь в области защиты персональных данных.
1.4. Политика описывает основные цели, принципы обработки и требования к безопасности персональных данных, обрабатываемых Предприятием, и обязательна к исполнению всеми сотрудниками Предприятия.
1.5. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности Предприятия.
2. Основные термины, используемые в Политике и их определения
В Политике используются следующие термины и определения в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных»:
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
- удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Цели обработки персональных данных
Обработка персональных данных субъектов персональных данных проводится Предприятием с целью:
- реализации полномочий, установленных законодательными актами;
- осуществления прав и обязанностей работников Предприятия в соответствии с трудовым законодательством;
- ведения персонифицированного учета;
- исполнения договорных и иных гражданско-правовых отношений при осуществлении Предприятием хозяйственной деятельности;
- повышения оперативности и качества обслуживания клиентов установленного правилами Предприятия.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных Предприятием осуществляется на основе принципов:
4.1.1. Обработка персональных данных осуществляется только в соответствии с действующим законодательством Республики Беларусь в области защиты персональных данных.
4.1.2. Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.
4.1.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Республики Беларусь в области защиты персональных данных.
4.1.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.
4.1.5. В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее - согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных действующим законодательством Республики Беларусь в области защиты персональных данных.
4.1.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.1.7. Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных предоставляется соответствующая информация, касающаяся обработки его персональных данных в случаях и объеме, предусмотренными действующим законодательством Республики Беларусь в области защиты персональных данных.
4.1.8. Предприятие должно принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их.
4.1.9. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
5. Состав персональных данных
Предприятием обрабатываются следующие категории персональных данных:
5.1. В отношении работников Предприятия: фамилия, имя, отчество, дата и место рождения, адрес регистрации и место жительства, реквизиты основного документа, удостоверяющего личность гражданина, данные страхового свидетельства, семейное и социальное положения, образование, квалификация, профессия, сведения о воинском учете (при их наличии), данные медицинского характера (в случаях, предусмотренных законодательством Республики Беларусь).
5.2. В отношении Клиентов: фамилия, имя и отчество, год, месяц, дата и место рождения, реквизиты документа, удостоверяющего личность гражданина, сведения о регистрации по месту жительства или временной регистрации по месту пребывания, о месте проживания.
5.3. Персональные данные, необходимые для реализации полномочий, установленных законодательными актами.
6. Условия обработки персональных данных
6.1. Порядок работы с персональными данными на Предприятии регламентирован действующим законодательством Республики Беларусь, локальными нормативными правовыми актами Предприятия и осуществляется с соблюдением строго определенных правил и условий.
6.2. Обработка персональных данных Предприятием осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, предоставления, обезличивания, блокирования, удаления персональных данных исключительно для соблюдения требований действующего законодательства Республики Беларусь, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов деятельности Предприятия, выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных с использованием и без использования средств автоматизации.
6.3. Предоставление персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством Республики Беларусь, в том числе с использованием защищенных телекоммуникационных каналов связи.
6.4. Предприятие не осуществляет трансграничную передачу персональных данных субъектов персональных данных.
6.5. С целью защиты персональных данных при их обработке в информационных системах от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними Предприятием применяются организационные, технические и правовые меры.
7. Основные мероприятия по обеспечению безопасности обработки персональных данных
7.1. Для защиты персональных данных при их обработке на Предприятия применяются следующие организационные, технические и правовые меры:
- доступ к персональным данным предоставляется только тем сотрудникам Предприятия, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;
- обработка персональных данных ведется сотрудниками Предприятия на рабочих местах, выделенных для исполнения ими должностных обязанностей;
- рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации;
- конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым на Предприятии порядком в сроки, установленные законодательством Республики Беларусь;
- проводятся процедуры, направленные на недопущение и своевременное выявление фактов несанкционированного доступа к персональным данным;
- разграничены права доступа к персональным данным, обрабатываемым в информационных системах;
- проводится ознакомление работников Предприятия, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства Республики Беларусь, требованиями к защите персональных данных, локальными нормативными актами Предприятия по вопросам обработки персональных данных;
- своевременно выявляются и предотвращаются нарушения требований законодательства Республики Беларусь в области обработки персональных данных, принимаются меры по локализации последствий таких нарушений;
- проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также контроль соответствия обработки персональных данных требованиям Закона Республики Беларусь от 07.05.2021 г. № 99-3 «О защите персональных данных» и принятым в соответствии с ним локальным нормативным правовым актам Предприятия.
8. Порядок предоставления информации, содержащей персональные данные
8.1. При обращении субъекта персональных данных с заявлением на получение информации, касающейся обработки персональных данных, и изменение персональных данных Предприятие безвозмездно предоставляет в течение пяти рабочих дней с даты получения заявления персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
8.2. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством Республики Беларусь, либо на основании договоров с Предприятием, заключенных в связи с требованиями законодательства Республики Беларусь.
8.3. При передаче персональных данных субъектов Предприятие и уполномоченные им должностные лица соблюдают следующие требования:
- не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством Республики Беларусь;
- предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных законодательством Республики Беларусь;
- не отвечают на запросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
- ведут учет передачи персональных данных субъектов по поступившим в Предприятие запросам.
9. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных
9.1. Должностные лица Предприятия, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством Республики Беларусь за нарушение режима защиты, обработки и порядка использования этой информации.
9.2. Лица, виновные в нарушении действующих нормативных правовых актов в области защиты персональных данных несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.
10. Заключительные положения
10.1. Настоящая Политика является внутренним документом Предприятия и размещается на её официальном сайте https://www.it-minsk.by (далее – сайт).
10.2. Предприятие при необходимости в одностороннем порядке вносит в Политику соответствующие изменения с последующим их размещением на сайте.
10.3. В случае, если какие-либо положения Политики признаются противоречащими законодательству или недействительными, остальные нормы, которые не противоречат законодательству, остаются в силе и являются действительными, а любое недействительное положение или положение, которое не может быть выполнено без дальнейших действий Сторон, считается удаленным, измененным, исправленным в той мере, в какой это необходимо для обеспечение его действительности и возможности выполнения.
10.4. Настоящая Политика вступает в действие с 15.11.2021 г.