Политика конфиденциальности

УТВЕРЖДЕНО
Приказ генерального
директора ОАО «МЗКТ»
от 13.04.2022 № 185

 

ПОЛИТИКА ОАО «МЗКТ» в отношении обработки персональных данных

            1 Общие положения

1.1    Политика ОАО «МЗКТ» в отношении обработки персональных данных (далее – Политика) определяет основные принципы, цели, способы обработки персональных данных, перечень субъектов и обрабатываемых в ОАО «МЗКТ» персональных данных, функции ОАО «МЗКТ» при обработке персональных данных, направлена на обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.

1.2     Настоящая Политика разработана в соответствии с положениями Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее по тексту – Закон № 99-З), а также иными законодательными актами в сфере защиты персональных данных.

1.3     Положения Политики являются основой для организации работы по обработке персональных данных в ОАО «МЗКТ». Политика распространяет свое действие на обрабатываемые оператором персональные данные, которые были получены как до, так и после ввода в действие настоящей Политики, и служит основой для разработки локальных правовых актов, регламентирующих в ОАО «МЗКТ» вопросы обработки персональных данных субъектов.

1.4     Требования настоящей Политики обязательны для исполнения всеми работниками ОАО «МЗКТ», получившими в установленном порядке доступ к персональным данным.

1.5     Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь. Если международным договором Республики Беларусь установлены иные правила, чем те, которые предусмотрены Законом № 99-З, то ОАО «МЗКТ» применяет правила международного договора.

         2 Основные термины и определения, используемые в локальных правовых актах ОАО «МЗКТ», регламентирующих вопросы обработки персональных данных

        - биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);

         - блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

- генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;

-обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с персональными данными, включая сбор, систематизацию, хранение, уточнение (обновление), изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

- общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

         - оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;

         - персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

- предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

- распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

         - специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

         - субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;

- удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

- уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;

- физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

- информация – сведения (сообщения, данные) независимо от формы их представления.

- автоматизированная обработка персональных данных (АОПД) – обработка персональных данных с помощью средств вычислительной техники.

 

3 Принципы обработки персональных данных

 

3.1 Обработка персональных данных в ОАО «МЗКТ» осуществляется в соответствии с Законом № 99-З, иными локальными нормативными актами, регулирующими отношения, связанные с деятельностью оператора.

3.2 Обработка персональных данных в ОАО «МЗКТ» осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

обработка персональных данных осуществляется в ОАО «МЗКТ» на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям обработки;

содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.       ОАО «МЗКТ» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Республики Беларусь, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Республики Беларусь.

          4 Цели обработки персональных данных

          4.1 ОАО «МЗКТ», являясь оператором персональных данных, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также локальными правовыми актами ОАО «МЗКТ» определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

4.2 Обработка персональных данных субъектов осуществляется в   ОАО «МЗКТ» в следующих целях:

обеспечение работникам ОАО «МЗКТ» трудовых прав и предоставленных трудовых гарантий, трудовых и производственных процессов, включая исполнение трудового законодательства Республики Беларусь и иных актов, содержащих нормы трудового права, содействия работникам в трудоустройстве, получении образования и продвижения по профессии, службе;

обеспечение личной безопасности работников и сохранности имущества;

контроль количества и качества выполняемой работы;

информационное обеспечение;

рассмотрение кандидатов на замещение вакантных должностей;

предоставления работникам ОАО «МЗКТ», в том числе бывшим, и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

ведение бухгалтерского учета и составление налоговой отчетности;

выполнение законодательства Республики Беларусь о хозяйственных обществах;

обеспечение пропускного и внутриобъектового режимов на объектах ОАО «МЗКТ»;

исполнение договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

  взаимодействие с участниками процедур закупок, контрагентами и партнерами при ведении закупочной деятельности и договорной работы, при исполнении договоров и соглашений;

осуществление досудебной и судебной работы, в том числе в целях взыскания дебиторской задолженности;

благотворительная деятельность;

формирование справочных материалов для внутреннего информационного обеспечения деятельности ОАО «МЗКТ»;

осуществление прав и законных интересов ОАО «МЗКТ» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами ОАО «МЗКТ», либо достижения общественно значимых целей;

выполнение и обеспечение соблюдения требований законов и иных нормативных правовых актов Республики Беларусь; в иных законных целях.

          5 Перечень субъектов, персональные данные которых обрабатываются в ОАО «МЗКТ»

5.1 В ОАО «МЗКТ» обрабатываются персональные данные следующих категорий субъектов:

работников ОАО «МЗКТ», его филиалов;

других субъектов персональных данных, обработка которых необходима для реализации целей обработки, указанных в гл. 4 Политики.

 6  Способы обработки персональных данных

          6.1 Обработка персональных данных в ОАО «МЗКТ» может осуществляться как с использованием, так и без использования средств автоматизации, в том числе путем осуществления следующих действий: сбор, систематизация, хранение, уточнение (обновление), изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

6.2 Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в информационную систему. Доступ к информационной системе предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей.

6.3 Неавтоматизированная обработка персональных данных осуществляется таким образом, чтобы персональные данные обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) и иным способом.

6.4 Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется ОАО «МЗКТ» без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных локальными правовыми актами ОАО «МЗКТ».

6.5 При сохранении персональных данных на материальных носителях (в т. ч. машинных носителях) не допускается сохранение на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе, должны быть приняты меры по обеспечению раздельной обработки персональных данных. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных следует использовать отдельный материальный носитель.

 7 Конфиденциальность персональных данных

           7.1 ОАО «МЗКТ» в процессе своей деятельности обязано обеспечивать конфиденциальность обрабатываемых персональных данных, в частности ОАО «МЗКТ» обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Республики Беларусь.

          8 Права субъектов персональных данных

          8.1 Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

наименование и место нахождения оператора персональных данных;

подтверждение факта обработки персональных данных оператором;

его персональные данные и источник их получения;

правовые основания и цели обработки персональных данных;

срок, на который дано его согласие;

         наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом, организацией, если обработка персональных данных поручена такому лицу;

иную информацию, предусмотренную законодательством.

Порядок предоставления либо отказ в предоставлении указанной информации субъекту персональных данных установлен законодательными актами.

8.2 Субъект персональных данных имеет право на получение информации о предоставлении персональных данных третьим лицам в порядке, установленном Законом № 99-З и иными законодательными актами.

8.3 Субъект персональных данных имеет право требовать прекращения обработки персональных данных и (или) их удаления в порядке, установленном Законом № 99-З и иными законодательными актами.

8.4 Субъект персональных данных вправе обратиться в адрес ОАО «МЗКТ» с заявлением об отзыве ранее данного согласия на обработку персональных данных в порядке, установленном Законом № 99-З и иными законодательными актами.

8.5 Субъект персональных данных имеет право на обжалование действий (бездействия) и решений ОАО «МЗКТ», связанных с обработкой персональных данных.

8.6 Осуществление иных, предусмотренных законодательством, прав.

8.7 Субъект персональных данных в целях уточнения и актуализации своих персональных данных обязан своевременно представлять ОАО «МЗКТ» информацию об изменении своих персональных данных.

          9 Права и обязанности оператора персональных данных

          9.1 Оператор персональных данных имеет право:

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 99-З и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;

поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом    № 99-З;

в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе № 99-З.

9.2 Оператор персональных данных обязан: разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

   получать согласие субъекта персональных данных, за исключением случаев, предусмотренных настоящим Законом № 99-З и иными законодательными актами;

обеспечивать защиту персональных данных в процессе их обработки;

предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;

вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

 исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.

 10 Сроки обработки (хранения) персональных данных

 10.1 Порядок хранения персональных данных, обрабатываемых в      ОАО «МЗКТ», определяется локальными правовыми актами, Законом               № 99-З и иными законодательными актами.

10.2 Сроки обработки (хранения) персональных данных определяются в соответствии со сроками, установленными законодательством Республики Беларусь и локальными правовыми актами ОАО «МЗКТ».

     10.3 Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено Законом № 99-З или локальными правовыми актами ОАО «МЗКТ».

             11 Обеспечение безопасности персональных данных при их обработке

            11.1 При обработке персональных данных ОАО «МЗКТ» принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, неправомерного уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных противоправных действий в отношении персональных данных.

11.2 Обеспечение защиты персональных данных осуществляется в рамках установленного в ОАО «МЗКТ» режима безопасности информации.

11.3 Внутренний контроль за соблюдением ОАО «МЗКТ», его филиалами и представительствами законодательства Республики Беларусь и локальных правовых актов ОАО «МЗКТ» в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в ОАО «МЗКТ».

11.4 Персональная ответственность за соблюдением требований законодательства Республики Беларусь и локальных нормативных актов ОАО «МЗКТ», обеспечение конфиденциальности и безопасности в области персональных данных в структурных подразделениях ОАО «МЗКТ», его филиалах и представительствах возлагается на их руководителей.

12 Заключительные положения

  12.1 Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем опубликования ее на интернет-сайте ОАО «МЗКТ» mzkt.by/privacy.

12.2 ОАО «МЗКТ» имеет право вносить изменения в настоящую Политику.

12.3 Субъекты персональных данных, чьи персональные данные обрабатываются ОАО «МЗКТ», могут получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 220021, г.  Минск, проспект Партизанский, д. 150, или в электронной форме по адресу:  link @mzkt.by.

Volat