+375 174 29-42-62 +375 174 29-42-13
RU

1. Общие положения

1.1.     Политика ООО «Компания БКМ» в отношении обработки персональных данных (далее по тексту – Политика) разработана в целях реализации требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее по тексту – Закон), а также иных законодательных актов в сфере защиты персональных данных.

1.2.     Политика является основой для разработки локальных правовых актов, регламентирующих в ООО «Компания БКМ» (далее по тексту – Оператор, Общество) вопросы организации работы по обработке персональных данных субъектов.

1.3.    Политика распространяет свое действие на обрабатываемые Оператором персональные данные, которые были получены как до, так и после ввода в действие настоящей Политики.

1.4.   Требования настоящей Политики обязательны для исполнения всеми работниками ООО «Компания БКМ», получившими в установленном порядке доступ к обрабатываемым персональным данным.

1.5.   Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь. Если международным договором Республики Беларусь установлены иные правила, то ООО «Компания БКМ» применяет правила международного договора.

1.6.    В настоящей Политике используются термины и их определения в значениях, закрепленных в Законе.

 

2. Принципы обработки персональных данных

2.1.   Обработка персональных данных субъектов в ООО «Компания БКМ» основывается на следующих принципах:

персональные данные обрабатываются в соответствии с Законом и иными действующими законодательными актами Республики Беларусь;

обработка персональных данных осуществляется с учётом необходимости обеспечения защиты прав и свобод субъектов персональных данных на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных заявленных и законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;

обработка персональных данных осуществляется Оператором как с согласия субъекта персональных данных, так и без согласия в случаях, предусмотренных законодательством Республики Беларусь;

согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных;

обработка специальных персональных данных без согласия субъекта персональных данных запрещается, если иное не предусмотрено законодательством Республики Беларусь;

в случаях, когда законодательством Республики Беларусь предусматривается обработка специальных персональных данных без согласия субъекта персональных данных, обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных;

содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

обработка персональных данных носит прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;

Оператор принимает меры по обеспечению точности, достоверности и актуальности обрабатываемых им персональных данных, при необходимости обновления данных;

хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъект персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;

Оператор обеспечивает защиту персональных данных с учетом требований Закона и иных законодательных актов Республики Беларусь;

обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Республики Беларусь.

 

3. Цели обработки персональных данных.

3.1.     ООО «Компания БКМ», являясь Оператором, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.

3.2.   Персональные данные субъектов персональных данных обрабатываются в следующих целях:

выполнения функций, полномочий и обязанностей, возложенных на Оператора законодательством Республики Беларусь;

предоставления работникам, его родственникам и бывшим работникам льгот, компенсаций и других видов социального обеспечения;

рассмотрения резюме (анкет) соискателей на вакантные должности в целях заключения трудового договора;

оформления трудовых отношений, трудовых пенсий, ведения кадрового учета и резерва, ведения воинского учета;

аттестации работников, повышения квалификации, профессиональной подготовки, стажировки и переподготовки работников;

ведения переговоров, заключения и исполнения гражданско-правовых договоров;

осуществления досудебной и судебной работы, в том числе в целях взыскания дебиторской задолженности;

формирования        справочных        материалов  для внутреннего информационного обеспечения деятельности в ООО «Компания БКМ»;

организация служебных командировок;

оформления, выдачи доверенностей и иных уполномочивающих документов;

создания и обеспечения функционирования внутренних информационных систем с использованием учетных записей пользователей;

проведения мероприятий и обеспечения участия в них субъектов персональных данных;

организации оздоровления работников (в том числе бывших), членов семей работников и иных посетителей санаторно-курортной организации;

обеспечения личной безопасности, пропускного и внутриобъектового режимов, сохранения материальных ценностей и предотвращения правонарушений;

осуществления образовательной деятельности в учреждениях дошкольного образования;

осуществления деятельности по созданию условий, способствующих воспитанию, оздоровлению и отдыху детей в воспитательно-оздоровительном учреждении;

осуществления деятельности по развитию физической культуры и спорта (проведение спортивных мероприятий и/или участие в них, физкультурно- оздоровительной и/или спортивно-массовой работы);

осуществления военно-патриотического воспитания детей и молодежи; проверки контрагента;

обработки обращений граждан и юридических лиц;

ведения бухгалтерского учета и исполнения обязанностей налогового агента;

осуществление прав и законных интересов в рамках обеспечения соблюдения трудовых договоров, осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Общества, либо достижения общественно значимых целей;

иные законные цели.



4. Категории субъектов, содержание и объем персональных данных.

4.1.   Оператор обрабатывает персональные данные следующих категорий субъектов:

работников, бывших работников Общества;

членов семей и родственников работников Общества; кандидатов на трудоустройство в Общество;

работников     и     иных     представителей     контрагентов                                 Общества   - юридических лиц (индивидуальных предпринимателей), физических лиц;

лиц, проходящих практику в структурных подразделениях Общества;

иных субъектов, взаимодействие которых с Обществом создает необходимость обработки персональных данных.

4.2.      Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Оператора реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

 

5.    Способы обработки персональных данных.

5.1.   Оператор осуществляет обработку персональных данных в соответствии с требованиями законодательства Республики Беларусь.

5.2.   Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации, в том числе путем осуществления следующих действий: сбор, систематизация, хранение, уточнение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление.

5.3.   Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в информационную систему Общества.

Доступ к информационной системе предоставляется работникам, допущенным к обработке персональных данных только для исполнения ими своих функций и должностных обязанностей.

5.4. При хранении персональных данных соблюдаются условия, обеспечивающие сохранность персональных данных.

5.5.   Документы на бумажных носителях, включающие в себя персональные данные, хранятся в сейфах (металлических несгораемых шкафах), которые запираются на замок, а также в специально отведенных для этого местах с ограниченным доступом к ним.

5.6.   Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категории обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

5.7. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Обществом информационных систем и специальных баз данных не допускается.

5.8.   Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.9. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, персональные данные, подлежащие распространению или использованию, копируются способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия необходимых персональных данных.

5.10.   Предоставление персональных данных субъектов третьим лицам допускается только при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.

5.11.     Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, если иное не предусмотрено законодательством Республики Беларусь.

В случае трансграничной передачи персональных данных субъекта с его согласия на территорию иностранного государства, на которой не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, субъект в обязательном порядке информируется о рисках, возникающих в связи с отсутствием надлежащего уровня защиты персональных данных.

5.12.   Оператор вправе поручить обработку персональных данных уполномоченному лицу.

5.12.1.  В договоре между Оператором и уполномоченным лицом должны быть определены:

цели обработки персональных данных;

перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

обязанности по соблюдению конфиденциальности персональных данных; меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона.

5.12.2.   Согласие субъекта персональных данных, необходимое для обработки персональных данных уполномоченным лицом по поручению Оператора, получает Оператор.

5.12.3.   В случае если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного уполномоченного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.

 

6. Обеспечение безопасности при обработке персональных данных.

6.1. При обработке персональных данных Оператор обеспечивает защиту персональных данных с учетом требований Закона и иных законодательных актов путем:

ограничения количества работников, функциональные обязанности которых требуют доступ к информации, содержащей персональные данные (в том числе путем использования паролей и (или) ключей доступа к электронным информационным системам);

обеспечения условия для хранения документов, содержащих персональные данные, в ограниченном доступе;

организации порядка уничтожения информации, содержащей персональные данные, согласно установленным законодательством требованиям по хранению соответствующих данных;

проведения расследований случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности;

проведения иных необходимых мероприятий, направленных на обеспечение защиты персональных данных, предусмотренных действующим законодательством Республики Беларусь.

6.2.   Безопасность персональных данных при их обработке с использованием средств автоматизации обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые Оператором информационные технологии. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к техническим и программным средствам защиты информации, определенными Оперативно-аналитическим центром при Президенте Республики Беларусь и Национальным центром защиты персональных данных Республики Беларусь, а также в соответствии с локальными правовыми актами Общества в области обеспечения информационной безопасности.

6.3. В случае нарушения систем защиты персональных данных, повлекшее незаконное распространение, предоставление персональных данных, изменение, блокирование либо удаление персональных данных без возможности восстановления доступа к ним, бюро внутреннего контроля за обработкой персональных данных обязано уведомить уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях.

6.4.   Работники Общества, обрабатывающие персональные данные, обязаны использовать полученную информацию исключительно для целей, связанных с выполнением своих трудовых обязанностей.

6.5. При работе с персональными данными работникам Общества запрещается сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным, а также делать копии документов, содержащих персональные данные, не требующиеся для исполнения своих должностных обязанностей.

6.6.   Работник Общества немедленно информирует своего непосредственного руководителя и специалиста бюро внутреннего контроля за обработкой персональных данных:

о   факте   утраты   (хищения)   материальных   носителей               персональных данных;

о факте разглашения, незаконного предоставления или неправомерной обработки персональных данных;

о ставших         известными         ему        фактах         или                                 возможности несанкционированного доступа к персональным данным.

6.7.    Работник Общества случайно или по иным причинам получивший доступ к персональным данным, в том числе обрабатываемым в информационной системе, не вправе изучать, изменять, удалять, копировать или иным способом использовать соответствующие документы или файлы, а обязан немедленно информировать своего непосредственного руководителя и специалиста бюро внутреннего контроля за обработкой персональных данных.

6.8.   В Обществе принимаются и иные меры, направленные на обеспечение соблюдения требований конфиденциальности и безопасности при обработке персональных данных, предусмотренных законодательством Республики Беларусь.

 

7. Права и обязанности субъектов персональных данных.

7.1. Субъект персональных данных имеет право:

в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном ст. 14 Закона. Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения не является незаконной. Печатные издания, аудио- либо видеозаписи программ, телепрограммы, кинохроникальные программы, а также иная информационная продукция, содержащая персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота;

на получение информации, касающейся обработки своих персональных данных, предусмотренной Законом. Для получения информации субъект

персональных данных подает Оператору заявление в порядке, установленном ст. 14 Закона. Субъект персональных данных имеет право не обосновывать свой интерес к запрашиваемой информации. Предоставление информации осуществляется бесплатно, за исключением случаев, предусмотренных Законом и законодательными актами;

требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление в порядке, установленном ст. 14 Закона с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные;

получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами. Для получения указанной информации субъект персональных данных подает заявление Оператору в порядке, установленном ст. 14 Закона;

требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. Для реализации указанного права субъект персональных данных подает Оператору заявление в порядке, установленном ст. 14 Закона;

обжаловать действия (бездействие) и решения Оператора, нарушающие права субъекта при обработке персональных данных в соответствии с Законом и законодательными актами;

7.2.   Ответ на заявление субъекта персональных данных направляется в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

7.3.   Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.

7.4.   Обращения субъектов или их представителей в связи с нарушением прав при обработке персональных данных рассматриваются бюро внутреннего контроля за обработкой персональных данных.

7.5. Субъект персональных данных обязан:

представлять Оператору достоверные персональные данные;

своевременно сообщать Оператору информацию об изменении своих персональных данных;

осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора в области обработки и защиты персональных данных;

исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Оператора в области обработки и защиты персональных данных.

8. Права и обязанности оператора.

8.1. Оператор имеет право:

устанавливать правила обработки персональных данных в Обществе;

самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, определять состав и перечень мер необходимых и достаточных для исполнения обязанностей Оператора в области защиты персональных данных;

вносить изменения и дополнения в настоящую Политику и иные локальные правовые акты Общества;

получать от субъекта персональных данных достоверную информацию и (или) документы, содержащие персональные данные;

запрашивать у субъекта персональных данных информацию об актуальности и достоверности представленных персональных данных;

осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.

8.2. Оператор обязан:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;

обеспечивать защиту персональных данных в процессе их обработки; представлять субъекту персональных данных информацию о его

персональных данных, а также о представлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

выполнять иные обязанности, предусмотренные Законом и иными законодательными актами Республики Беларусь.

 

9. Ответственность.

9.1.     За нарушение законодательства о защите персональных данных, незаконные действия в отношении персональных данных, несоблюдение мер обеспечения их защиты, виновные лица могут быть привлечены к дисциплинарной, административной и уголовной ответственности в порядке, предусмотренном законодательством Республики Беларусь.