Политика ОАО "МЗКТ" в отношении обработки персональных данных
УТВЕРЖДЕНО
Приказ генерального директора ОАО «МЗКТ»
13.04.2022 № 185
(в редакции приказа генерального директора ОАО «МЗКТ»
05.05.2023 № 228) |
ПОЛИТИКА ОАО «МЗКТ»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Открытое акционерное общество «Минский завод колесных тягачей» (ОАО «МЗКТ») является оператором самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных (далее – Оператор).
1.2. Политика Оператора в отношении обработки персональных данных (далее – Политика) определяет основные подходы Оператора к обработке персональных данных, их защите, реализации прав и свобод субъектов персональных данных.
1.3. Оператор при обработке персональных данных обеспечивает безопасность и конфиденциальность обрабатываемых персональных данных через принятие правовых, организационных и технических мер, направленных на исключение неправомерного разглашения, доступа, уничтожения, изменения, копирования и иных неправомерных действий в отношении такой информации.
1.4. Требования настоящей Политики и локальных правовых актов (далее – ЛПА) Оператора, разработанных на основе настоящей Политики распространяются на все бизнес-процессы Оператора, иные процессы на основании законодательства в которых осуществляется обработка персональных данных и являются обязательными для исполнения всеми работниками Оператора, имеющими доступ к персональным данным.
1.5. Настоящая Политика разработана в соответствии с:
Конституцией Республики Беларусь;
Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» (далее – Закон № 99-З);
Законом Республики Беларусь от 10.11.2008 N 455-3 «Об информации, информатизации и защите информации»;
Указом Президента Республики Беларусь от 28.10.2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»;
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 N 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. N 449»;
иными нормативными правовыми актами в сфере обработки персональных данных.
1.6. Если международным договором Республики Беларусь установлены иные правила, чем те, которые предусмотрены Законом № 99-З, то Оператор применяет правила международного договора.
ГЛАВА 2
ОСНОВНЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ
В ЛПА Оператора, регламентирующих вопросы обработки и защиты персональных данных, используются следующие термины и их определения:
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с персональными данными, включая сбор, систематизацию, хранение, уточнение (обновление), изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
информация – сведения (сообщения, данные) независимо от формы их представления;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
контрагент – физическое или юридическое лицо, в том числе индивидуальный предприниматель, выступающие одной из сторон сделки, заключающий гражданско-правовые договора;
конфиденциальность информации – требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами;
материальные носители персональных данных:
бумажный носитель информации – материальный носитель информации, позволяющий считывать, находящуюся на нем информацию без использования компьютерной техники;
несъемный машинный носитель – машинный носитель, встроенный в корпус средства вычислительной техники (СВТ), используемый для записи, хранения и обработки информации (внутренние жесткие диски и иные устройства);
съемный машинный носитель информации (СНИ) – машинный носитель, используемый для записи, хранения и обработки информации вне СВТ (флэш-накопители, внешние жесткие диски, CD-диски и иные устройства);
технические средства: вычислительная техника, оргтехника, сетевое оборудование и мультимедийное аппаратное обеспечение.
ГЛАВА 3
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Цели обработки персональных данных у Оператора основываются на бизнес-процессах Оператора и требованиях законодательства.
Цели обработки персональных данных субъектов персональных данных:
осуществление производственно-хозяйственной деятельности;
осуществление финансово-экономической деятельности;
осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом Оператора;
подготовка, заключение и исполнение гражданско-правовых договоров;
осуществление досудебной и судебной работы, в том числе в целях взыскания дебиторской задолженности;
осуществление пропускного и внутриобъектового режимов;
трансграничная передача персональных данных;
организация командирования работников Оператора, в том числе за границу;
организация охраны труда и осуществление контроля за охраной труда;
обеспечение Оператора необходимыми кадрами руководителей, специалистов и рабочих;
регулирование трудовых отношений;
ведение воинского учета;
оформление и предоставление документов персонифицированного учета;
предоставления работникам Оператора, в том числе бывшим, и членам их семей дополнительных гарантий и компенсаций в соответствии с коллективным договором;
осуществления административных процедур;
рассмотрения обращений, заявлений;
организация идеологической и информационной работы в коллективе;
организация культурно-массовых и спортивно-оздоровительных мероприятий;
осуществление взаимодействия с общественными и молодежными организациями;
в иных целях, предусмотренных законодательством.
3.2. Формулирование целей обработки персональных данных для обеспечения конкретизации их характера осуществляется в реестрах обработки персональных данных, разрабатываемых филиалами, подразделениями 1-го уровня управления Оператора.
3.3. Правовые основания обработки персональных данных:
3.3.1. с согласия субъекта персональных данных, которое должно быть свободным, однозначными и информированным;
3.3.2. при получении персональных данных на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
3.3.3. без согласия субъекта персональных данных:
при оформление трудовых отношений, а также в процессе трудовой и служебной деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
при обработке персональных данных, когда они указаны в документе, адресованном Обществу, в соответствии с содержанием такого документа;
при обработке ранее распространенных персональных данных до отзыва их субъектом персональных данных;
в соответствии со статьями 6 и 8 Закона № 99-З и иными законодательными актами.
ГЛАВА 4
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Категории субъектов персональных данных, чьи данные подвергаются обработке.
Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:
работников, бывших работников Оператора;
родителей, опекунов, попечителей, супругов, детей работников Оператора;
кандидатов (соискателей) для приема на работу к Оператору;
контрагентов Оператора, являющихся физическими лицами (индивидуальными предпринимателями);
представителей контрагентов Оператора, являющихся юридическими лицами;
подрядчиков Оператора, являющихся физическим лицом (индивидуальным предпринимателем, а также представителей подрядчиков, являющихся юридическими лицами;
аффилированных лиц Оператора;
заявителей – физических лиц, а также физических лиц–представителей заявителей, являющихся юридическими лицами, направивших обращение, запрос Обществу или оставивших обращение, запрос, отзыв на сайтах Оператора;
посетителей – физических лиц, прибывающих в Оператор с целью командировок, деловых визитов, в том числе из-за границы;
иных категорий субъектов персональных данных, обработка персональных данных которых необходима Обществу для достижения целей, предусмотренных бизнес-процессами и законодательством.
4.2. Перечень (содержание и объем) персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Оператором реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
Персональные данные обрабатываемые Оператором включают:
фамилию, собственное имя, отчество;
дату рождения;
место рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, идентификационный номер, срок действия, и др.);
фотографию;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.);
пол;
адрес регистрации по месту жительства;
адрес фактического проживания;
сведения о специальности, профессии, квалификации;
о социальных льготах и выплатах;
сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения;
сведения о состояния здоровья в случаях, предусмотренных законодательством;
сведения об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
сведения о награждениях и поощрениях;
номер и серию страхового свидетельства государственного социального страхования;
сведения о регистрации брака;
сведения о воинском учете;
сведения об удержании алиментов;
сведения о привлечении к административной или уголовной ответственности;
иные данные, предоставляемые работниками в соответствии с требованиями законодательства Республики Беларусь (или) необходимые для исполнения взаимных прав и обязанностей.
4.3. Категории субъектов персональных данных и перечни (содержание и объем), обрабатываемых персональных данных в соответствии с конкретными целями их обработки в полном объеме перечисляются в реестрах обработки персональных данных, утверждаемых руководителями филиалов, подразделений 1-го уровня управления.
ГЛАВА 5
ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных Оператором включает в себя любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, иные действия в соответствии с законодательством.
5.2. Источники получения персональных данных:
получение информации, содержащей персональные данные, в устной, письменной, электронной форме непосредственно от субъектов персональных данных;
получение информации, содержащей персональные данные из оригиналов документов, предоставляемых субъектами персональных данных;
получение персональных данных в ответ на запросы, направляемые Оператором в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
получение персональных данных из общедоступных источников.
5.3. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных Законом 99-З и иными законодательными актами.
5.4. Обработка персональных данных от имени Оператора или в его интересах может осуществляться уполномоченными лицами на основании договора, заключаемого между Оператором и уполномоченным лицом в соответствии с законодательством.
5.5. Виды обработки персональных данных Оператором:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без такой передачи;
смешанная обработка персональных данных.
5.6. Оператор передает персональные данные:
субъекту персональных данных в отношении него самого – без ограничений, кроме случаев, прямо предусмотренных требованиями законодательства;
третьим лицам – в случаях, предусмотренных требованиями законодательства.
5.7. Персональные данные хранятся на следующих материальных носителях:
бумажных носителях;
несъемных машинных носителях;
съемных машинных носителях;
технических средствах: вычислительная техника, оргтехника, сетевое оборудование и мультимедийное аппаратное обеспечение.
Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных.
5.8. Сроки хранения документов, содержащих персональные данные, устанавливаются ежегодно утверждаемой номенклатурой дел Оператора, включающих дела на бумажных носителях, электронные дела, гибридные дела (на бумажных и электронных носителях). Номенклатура дел и порядок формирования дел осуществляется в соответствии с требованиями Инструкции по делопроизводству в государственных органах, иных организациях, утвержденной постановлением Министерства юстиции Республики Беларусь от 19.01.2003 № 4.
Сроки хранения документов в номенклатуре дел определяются в соответствии с Перечнем типовых документов Национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения, утвержденным постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140.
Сроки хранения документов, не отраженных в перечнях документов с указанием сроков хранения, определяются экспертной комиссией Оператора в соответствии с требованиями названной Инструкции.
5.9. Условием прекращения обработки персональных данных могут являться достижение целей обработки персональных данных, истечение сроков хранения документов, содержащих персональные данные, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
ГЛАВА 6
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных в соответствии со статьями 10 – 13 Закона
№ 99-3 имеет право:
на отзыв своего согласия на обработку персональных данных;
на получение информации, касающейся обработки его персональных данных;
требовать от Оператора внесения изменений в его персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено иными законодательными актами;
требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами.
6.2. Субъект персональных данных для реализации прав, перечисленных в пункте 6.1 настоящей главы подает Оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.
Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
6.3. Реализация прав субъекта персональных, перечисленных в пункте 6.1 настоящей главы может быть ограничена в случаях, указанных в статьях 10 – 13 Закона
№ 99-3 о чем субъекту персональных данных сообщается в ответе на его заявление.
6.4. Механизм подачи заявлений субъектом персональных данных Оператору и порядок их рассмотрения Оператором.
Письменное заявление субъекта персональных данных, подписанное его личной подписью направляется по адресу: открытое акционерное общество «Минский завод колесных тягачей» (ОАО «МЗКТ), пр-т Партизанский, 150, 220021, г. Минск.
Заявление субъекта персональных данных, в виде электронного документа, подписанное его электронной цифровой подписью направляется по одному из электронных адресов Оператора: link@mzkt.by, www.mzkt.by.
Все поступившие заявления субъектов персональных данных регистрируются в день их поступления секретарем приемной заместителя генерального директора Оператора, курирующего вопросы защиты персональных данных.
Письменные заявления субъектов персональных данных, являющихся работниками Оператора, могут передаваться секретарю для их регистрации через руководителей филиалов и подразделений 1- го уровня управления Оператора.
Прошедшие регистрацию заявления в тот же день докладываются названному заместителю генерального директора для организации их дальнейшего рассмотрения.
Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
6.5. За содействием в реализации прав субъекта персональных данных можно обратиться в бюро по защите персональных данных Оператора, являющимся ответственным за осуществление внутреннего контроля за обработкой персональных данных. Контактный телефон – 8 (017) 330 18 81.
6.6. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в Национальный центр по защите персональных данных в порядке, установленном Законом Республики Беларусь от 18.07.2011 3 300-З «Об обращениях граждан и юридических лиц». Принятое Национальным центром по защите персональных данных решение может быть обжаловано субъектом персональных данных в суде в порядке, установленном законодательством.
ГЛАВА 7
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор в своей деятельности осуществляет трансграничную передачу персональных данных.
Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанному требованию, может осуществляться только в случаях, предусмотренных:
7.2. пунктом 1 статьи 9 Закона № 99 – З:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
получено соответствующее разрешение Национального центра защиты персональных данных;
7.3. подпунктом 1.1 пункта 1 приказа директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 «О трансграничной передаче персональных данных»:
при размещении государственными органами, государственными организациями, а также хозяйственными обществами, в отношении которых Республика Беларусь либо административно-территориальная единица, обладая акциями (долями в уставных фондах), может определять решения, принимаемые этими хозяйственными обществами, информации о своей деятельности в глобальной компьютерной сети Интернет;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является общедоступной.
Общедоступность Политики обеспечивается путем опубликования ее на внешнем интернет-сайте Оператора www.mzkt.by и внутреннем корпоративном сайте volat.by.
Оператор вправе вносить изменения в настоящую Политику.