0
Cannot find 'inner_top' template with page ''

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ООО «МИ БАЙ»
УТВЕРЖДЕНО
Приказ директора 12.11.2021 № 57

ПОЛИТИКА ОПЕРАТОРА

12.11.2021 № 1

г.Брест

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее по тексту — Политика) утверждает основные процессы, принципы, цели, условия и способы обработки персональных данных в ООО «МИ БАЙ» (далее по тексту – Предприятие), обязанности и функции Предприятия при обработке персональных данных, права субъектов персональных данных, а также установленные Предприятием требования к защите персональных данных.

1.2. Политика является общедоступным документом Предприятия и предусматривает возможность ознакомления с ней любых лиц. Настоящая Политика подлежит опубликованию на сайте Предприятия: mi.by (далее Сайт).

1.3. При разработке, изменении и дополнении Предприятием внутренних локальных актов, рабочих инструкций, связанных с процессами и процедурами обработки персональных данных, в обязательном порядке должны учитываться положения настоящей Политики.

1.4. Настоящая Политика регулирует определение порядка обработки персональных данных клиентов Предприятия (с которыми Предприятием заключены (будут заключены, планируются к заключению) сделки), лиц предоставивших Предприятию персональные данные в процессе регистрации на интернет-сайте https://mi.by (далее - Сайт), лиц предоставивших Предприятию персональные данные путем заполнения письменных, электронных анкет в ходе проводимых Предприятием рекламных и иных мероприятий и лиц предоставивших Предприятию персональные данные иным путем, а также лиц, работающих по трудовым договорам на Предприятии и выполняющих работу (оказывающих услуги) по гражданско-правовым договорам, в том числе: физических лиц, желающих вступить в трудовые или иные гражданско-правовые отношения с Предприятием, физических лиц, ранее состоявших в трудовых и иных гражданско-правовых отношениях с Предприятием, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности лиц, имеющих доступ к персональным данным клиентов и работников Предприятия, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

ГЛАВА 2

ОСНОВАНИЯ ДЛЯ РАЗРАБОТКИ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основанием для разработки настоящей Политики обработки персональных данных в Предприятии являются требования следующих законодательных и нормативно-правовых актов:

  • Конституция Республики Беларусь;
  • Трудовой кодекс Республики Беларусь;
  • Закон Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных»;
  • Закон Республики Беларусь от 21.07.2008 N 418-З «О регистре населения»;
  • Закон Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»;
  • иные нормативные правовые акты Республики Беларусь.

ГЛАВА 3

ОСНОВНЫЕ ПОНЯТИЯ, ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ

3.1. Оператор — Предприятие, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3.2. Клиенты — субъекты персональных данных, физические лица, индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к Предприятию с целью приобретения и поставки товаров и по другим хозяйственным операциям и вопросам в рамках предпринимательской деятельности Предприятия.

3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Предприятием, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Предприятием), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Предприятием-оператором.

3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).

3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.

3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

3.9. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

3.10. Документы, содержащие персональные данные клиента — документы, необходимые для осуществления в установленном порядке покупки и поставки товаров, и по другим вопросам в рамках деятельности Предприятия-оператора.

3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

3.13. Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.

3.14. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

3.15. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

3.16. Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

3.17. Документы, содержащие персональные данные работника — документы, которые работник предоставляет Предприятию в связи с трудовыми отношениями и гражданско-правовыми отношениями с Предприятием, в том числе: кандидаты (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Предприятием физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Предприятием, и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.

3.18. «Пользователь Сайта» – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.

3.19. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

3.20. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

ГЛАВА 4

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных клиентов и работников осуществляется на основе следующих принципов:

  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Обработка персональных данных должна осуществляться исключительно на законной и справедливой основе.
  • Обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
  • Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность и достоверность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

Предприятие может передавать персональные данные третьим лицам в целях, указанных ниже, в соответствии с Политикой.

4.2. Персональные данные субъектов персональных данных обрабатываются Предприятием в целях:

  • Исполнения и соблюдения требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Предприятия;
  • Реализации акций, бонусных программ, рекламных и иных мероприятий;
  • Улучшения качества товаров и услуг Предприятия, предоставления и продвижения товаров и услуг Предприятия, отправки уведомлений, коммерческих предложений, предоставления информации о деятельности Предприятия;
  • Предоставления различных сервисов Сайтом;
  • Идентификации Субъекта – зарегистрированного пользователя Сайта. Также эти данные могут быть отображены на страницах Сайта при его использовании указанным пользователем;
  • Использования в рассылках (почтовых, по электронной почте, с использованием СМС, других служб обмена сообщениями (Viber и проч.) для передачи Пользователю информации о новых товарах, акциях и других новостях Предприятия, на получение которой Клиент дал свое согласие в письменной или иной не запрещенной законодательством форме. Клиент всегда может отказаться от проведения рассылки по его контактной информации;
  • Обработки статистической информации;
  • Направления уведомлений, информации и запросов, связанных со сбором, хранением и обработкой персональных данных;
  • Осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Предприятие, в том числе по предоставлению персональных данных в органы государственной власти, налоговые органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
  • Регулирования трудовых отношений с работниками Предприятия (содействие в трудоустройстве, обучения и повышения квалификации, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
  • Осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с клиентами и контрагентами; в том числе при осуществлении розничной торговли, предоставления услуг по доступу к ресурсам интернет-сайта.
  • Защиты жизни, здоровья, прав и законных интересов субъектов персональных данных;
  • Обеспечения пропускного и внутриобъектового режимов на объектах, принадлежащих Предприятию;
  • Формирования защищенных от несанкционированного доступа справочных и учетных материалов, баз данных для внутреннего информационного обеспечения деятельности Предприятия;
  • Исполнения судебных постановлений, решений, предписаний, требований уполномоченных государственных органов и их должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве и контрольной (надзорной) деятельности;
  • Реализации, защиты, восстановления нарушенных прав и законных интересов Предприятия при осуществлении им хозяйственных операций в их отношениях с субъектами персональных данных;
  • Для осуществления сайтом сбора статистики об IP—адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля законности осуществляемых операций и для защиты баз данных сайта;
  • В иных целях, не противоречащих требованиям законодательства о персональных данных.

ГЛАВА 5

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ПРЕДПРИЯТИЕМ

5.1. Перечень персональных данных работников, обрабатываемых Предприятием установлен иными локальными нормативными актами по обработке персональных данных.

5.2. В состав персональных данных Клиентов физических лиц, а также физических лиц являющихся индивидуальными предпринимателями, в том числе входят:

  • Фамилия, имя, отчество.
  • Год рождения.
  • Месяц рождения.
  • Дата рождения.
  • Место рождения.
  • Семейное положение
  • Паспортные данные
  • Адрес места жительства (полный или частичный)
  • Адрес электронной почты и другие аккаунты в службах электронного обмена информацией и социальных сетях.
  • Номер телефона (городской, мобильный).
  • сведения из иных документов Клиента и/или о Клиенте, предоставляемые Клиентом в связи с заключением и исполнением договора поставки товаров.

5.2.1. В состав персональных данных Клиентов физических лиц, розничных покупателей (потребителей интернет-магазина), в том числе входят:

  • Адрес места жительства или адрес доставки;
  • IP - адрес;
  • история заказанных и оплаченных товаров (услуг), предпочтение, выбор и сравнение товаров (услуг);
  • файлы Cookies
  • IP-адрес Клиента
  • логин и пароль Клиента
  • иные данные, указанные в договорах, соглашениях, анкетах, формах и прочих подобных документах, заполняемых Клиентом

5.2.2. В состав персональных данных физических лиц, представителей клиентов юридических лиц, в том числе входят:

  • Фамилия, имя, отчество.
  • Год рождения.
  • Месяц рождения.
  • Дата рождения.
  • Место рождения.
  • Паспортные данные
  • Адрес места жительства
  • Адрес электронной почты.
  • Номер телефона (городской, мобильный).

5.3. На Предприятии могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

  • Договор поставки.
  • Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом (анкета) и содержащих его персональные данные.
  • Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

5.4. Цель обработки персональных данных клиента.

Цель обработки персональных данных — осуществление комплекса действий, направленных на достижение цели, в том числе:

  • Совершение хозяйственных операций между Предприятием и клиентом по приобретению клиентом товаров, реализуемых Предприятием.
  • Розничная торговля товарами через торговые объекты Предприятия и в иных её формах, в том числе доставка заказанных клиентом товаров, оказание клиенту услуг по предоставлению доступа к ресурсам сайта.
  • Оказание клиенту консультационных и информационных услуг.
  • Маркетинговые исследования и рассылка рекламно-информационных материалов, посредством смс-сообщений, электронной почты, мессенджеров, приглашения на презентации, приглашение к участию в рекламных акциях и рекламных играх.
  • Сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.
  • В целях исполнения требований законодательства Республики Беларусь.

5.5. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных на Предприятии не допускается и не осуществляется.

5.6. «Сookie» являются файлами, позволяющими сайту Предприятия сохранять информацию относительно просмотра данных сайта с компьютера клиента (т.е. количество посещений, количество просмотренных станиц и т.д.) с целью сделать посещения сайта более удобными и бесперебойными.

Клиент вправе удалить файлы «cookie», хранящиеся на его компьютере, в любой момент, запретить сохранение новых файлов «cookie» либо получать уведомление перед сохранением новых файлов «cookie» путем изменения настроек браузера, либо вправе предоставить своё согласие на их сохранение.

Статистические сookie-файлы используются для измерения количества посещений, количества просмотренных страниц, активности пользователей на сайте и количества возвращений пользователей на сайт. Используемый статистический инструмент генерирует сookie-файл с уникальным идентификатором, который хранится не дольше периода, указанного выше. IP-адрес клиента также обрабатывается с целью уточнения населенного пункта/города, из которого осуществляется вход на сайт.

ГЛАВА 6

ДЕЙСТВИЯ ПРЕДПРИЯТИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Предприятие при осуществлении обработки персональных данных:

  • принимает меры, необходимые для выполнения требований законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных;
  • ринимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • назначает сотрудников, ответственных за осуществление внутреннего контроля процедур обработки персональных данных, ответственных за хранение полученных персональных данных от клиентов;
  • принимает и внедряет локальные нормативные акты, определяющие политику, регламенты обработки и защиты персональных данных на Предприятии; разрабатывает дополнения в должностные инструкции ответственных лиц.
  • осуществляет ознакомление работников Предприятия, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных, в том числе требованиями к защите персональных данных, обучение и проверку знаний указанных работников;
  • сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
  • прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь (Российской Федерации) в области персональных данных.

ГЛАВА 7

ПОЛУЧЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ

7.1. Получение персональных данных работника преимущественно осуществляется путем представления их самим работником, при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности, за исключением случаев, прямо предусмотренных действующим законодательством Республики Беларусь. Согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», предоставление согласия на обработку персональных данных работником для предприятия-оператора, являющегося его Нанимателем не требуется.

7.2. Обработка персональных данных клиентов Предприятия, предоставляющих персональные данные для целей заключения договора с Предприятием (для последующего приобретение товаров в интернет магазине) осуществляется без согласия клиента на обработку его персональных данных, согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.

7.3. Обработка персональных данных соискателей (кандидатов) на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом Республики Беларусь, предполагает получение письменного согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия Нанимателем решения о приеме либо отказе в приеме на работу и выполнение Нанимателем требований, возложенных на него в статье 5 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь». В случае сообщения Нанимателем отказа в приеме на работу обработка персональных данных соискателя подлежит автоматическому прекращению и сами данные уничтожению в связи с достижением цели обработки.

Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.

7.4. Право доступа к персональным данным работника и их обработки имеют:

  • руководитель Предприятия и его заместители;
  • сотрудники сектора кадровой работы;
  • специалист по охране труда, в пределах своей компетенции;
  • руководители отделов (только относительно работников своего отдела);
  • сотрудники бухгалтерии, в пределах своей компетенции;
  • сам работник.

7.5. Право доступа к персональным данным клиентов и их обработки имеют сотрудники следующих подразделений Предприятия:

  • отдел розничной торговли;
  • отдел маркетинга;
  • отделы корпоративных и оптовых продаж;
  • бухгалтерия;
  • отдел закупок товаров;
  • отдел программирования;
  • отдел сервисного обслуживания клиентов.

ГЛАВА 8

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

8.1. Предприятие осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

8.2. Обработка персональных данных клиентов и работников Предприятия осуществляется смешанным путем:

  • неавтоматизированным способом обработки персональных данных;
  • автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).

8.3. Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.

8.4. Хранение текущей документации и оконченной производством документации, содержащей персональные данные клиентов и работников Предприятия, осуществляется во внутренних подразделениях Предприятия, а также в помещениях, предназначенных для хранения отработанной документации.

Ответственные лица за хранение документов, содержащих персональные данные работников и клиентов, назначены Приказом руководителя Предприятия.

8.5. Хранение персональных данных клиентов и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

8.6. Предприятие обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством Республики Беларусь, либо Предприятием для получения соответствующих сведений.

8.7. Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица Предприятия, допущенные к работе с персональными данными клиентов и работников Приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.

ГЛАВА 9

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъекты персональных данных имеют право на:

  • разъяснение Оператором предоставленных законом прав и обязанностей;
  • отзыв согласия субъекта персональных данных;
  • получение информации, касающейся обработки персональных данных, и изменение персональных данных;
  • требование прекращения обработки персональных данных и (или) их удаления;
  • обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
  • полную информацию о хранящихся у Оператора его персональных данных.
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством.
  • требование об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением. При отказе Оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
  • требование об извещении Нанимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  • обжалование в суд любых неправомерных действий или бездействия Оператора, Нанимателя при обработке и защите его персональных данных.

9.2. Для реализации права на отзыв согласия на обработку и хранение персональных данных необходимо подать заявление в письменной форме по юридическому адресу Предприятия либо в виде электронном виде на электронный адрес Предприятия info@mi.by.

ГЛАВА 10

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ

10.1. Предприятие при обработке персональных данных работников и клиентов обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

10.3. Обеспечение безопасности персональных данных работников достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • учетом цифровых носителей персональных данных;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

10.4. Для обеспечения безопасности персональных данных работников при неавтоматизированной обработке предпринимаются следующие меры:

10.4.1. Определяются места хранения персональных данных, которые оснащаются средствами защиты:

  • в кабинетах, где осуществляется хранение документов, содержащих персональные данные работников, имеются сейфы, шкафы, стеллажи, тумбы.
  • дополнительно помещения, где осуществляется хранение документов, оборудованы замками и системами охраны тревожной сигнализации.

10.5. Все действия по неавтоматизированной обработке персональных данных работников осуществляются только должностными лицами, согласно списку должностей, утвержденному Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

10.6. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

10.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с соением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

Персональные данные клиентов и работников, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении персональных данных.

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

10.8. Для обеспечения безопасности персональных данных клиентов и работника при автоматизированной обработке предпринимаются следующие меры:

  • Персональные компьютеры, имеющие доступ к базам хранения персональных данных клиентов и работников, защищены паролями доступа.
  • Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных клиентов и работников на данном ПК.

10.9. Защита персональных данных клиента:

10.9.1. Защита персональных данных Клиента осуществляется за счёт Предприятия в порядке и способами, установленными законодательством.

Предприятие при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, правовые и технические меры, в том числе:

  • Антивирусная защита.
  • Анализ защищённости.
  • Обнаружение и предотвращение вторжений.
  • Управления доступом.
  • Регистрация и учет.
  • Обеспечение целостности.
  • Организация утверждения нормативно-методических локальных актов, регулирующих защиту персональных данных.
  • Доступ к персональным данным Клиента имеют сотрудники Предприятия, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
  • Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны соблюдать требования локальных актов Предприятия о неразглашении персональных данных Клиентов.

10.9.2. Процедура оформления доступа к персональным данным Клиента включает в себя:

  • Ознакомление сотрудника под роспись с настоящим Положением.
  • При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление сотрудника под роспись.
  • Ознакомление сотрудника с должностной инструкцией или с дополнением в должностную инструкцию положений о соблюдении требований и правил обработки персональных данных в соответствии с внутренними локальными актами Предприятия, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

Защита персональных данных Клиентов, хранящихся в электронных базах данных Предприятия, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.

ГЛАВА 11

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.

11.2. Работники Предприятия, допущенные к обработке персональных данных работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.

11.3. Внутренний контроль за соблюдением структурными подразделениями Предприятия, законодательства Республики Беларусь о персональных данных и требований настоящей Политики, осуществляется лицом, ответственным за организацию и соблюдение внутреннего контроля.

11.4. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов Предприятия в области персональных данных в структурном подразделении, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на руководителей данных подразделений.

11.5. Настоящая Политика вступает в силу с даты её утверждения.

11.6. При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа руководителя.

11.7. Настоящая Политика распространяется на всех клиентов и работников, а также работников Предприятия, имеющих доступ и осуществляющих перечень действий с персональными данными клиентов и работников.

Клиенты Предприятия, а также их законные представители имеют право ознакомиться с настоящей Политикой.

Работники Предприятия подлежат обязательному ознакомлению с данным Положением.

11.8. В обязанности Нанимателя входит ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.

Наверх