ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Политика конфиденциальности (далее – Политика) определяет деятельность ОАO «Пеленг» (далее – Общество) в отношении обработки персональных данных всех категорий физических лиц, за исключением работников Общества.
Настоящая Политика не распространяется на деятельность Общества при обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), а также пользователей интернет-сайта (в части cookie-файлов), регулируемую отдельными правовыми актами (Политиками).
2. Обработка персональных данных Обществом осуществляется в соответствии с Законом Республики Беларусь № 99-З «О защите персональных данных» (далее – Закон) и иным нормативным правовым актам, принятым в целях реализации его положений.
3. Для целей настоящей Политики используются термины и их определения в значениях, предусмотренных в законах Республики Беларусь «О защите персональных данных» и «Об информации, информатизации и защите информации».
4. Под персональными данными понимается любая информация, которая позволяет идентифицировать физическое лицо или относиться к ранее идентифицированному лицу.
5. Политика является основополагающим документом, регламентирующим обработку персональных данных в Обществе, и определяет основные принципы, цели, условия и способы обработки персональных данных, категории субъектов персональных данных и объем обрабатываемых персональных данных, права и обязанности субъектов персональных данных, а также реализуемые в Обществе требования по защите персональных данных.
6. Общество в соответствии с действующим законодательством Республики Беларусь является оператором.
7. Политика является общедоступной и размещается на официальном интернет-портале Общества.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Обработка персональных данных в Обществе осуществляется на законной и справедливой основе, а также ограничивается достижением конкретных, заранее заявленных законных целей их обработки, избыточность обрабатываемых персональных данных не допускается.
9. При обработке персональных данных Обществом обеспечивается достоверность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных.
10. Сроки использования персональных данных определяются в соответствии с целями, для которых они собирались.
11. Персональные данные относятся к информации, распространение и (или) предоставление которой ограничено.
12. Общество осуществляет обработку персональных данных в следующих целях:
12.1. рассмотрения резюме (анкет) – соискатели;
12.2. оформление (прием) на работу – члены семей соискателей;
12.3. формирование, ведение и хранение личных дел работников – члены семей работников;
12.4. предоставления социальных отпусков работникам – члены семей работников;
12.5. ведения воинского учета – члены семей работников;
12.6. предоставление гарантий и компенсаций, предусмотренных законодательством о труде – члены семей работников;
12.7. подачи документов индивидуального (персонифицированного учета) застрахованных лиц – лица, работающие по гражданско-правовому договору;
12.8. предоставления арендного жилья – члены семей работников
12.9. выдачи справок о состоянии на учете нуждающихся на улучшении жилищных условий – члены семей работников;
12.10. учета нуждающихся в оздоровлении и санаторно-курортном лечении и последующей оплаты путевок – члены семей работников;
12.11. предоставления характеристик – бывшие работники;
12.12. поликлинического обслуживания – бывшие работники;
12.13. прохождения практики обучающимися – практиканты;
12.14. приема делегаций – члены делегаций;
12.15. учета посетителей для обеспечения внутриобъектового контроля – посетители;
12.16. осуществления административных процедур – заявители;
12.17. ведения реестра акционеров и выплаты причитающихся им дивидендов – акционеры;
12.18. ведения учета аффилированных лиц – аффилированные лица;
12.19. оформления документов, необходимых для перевозки грузов – работники грузополучателей (грузоотправителей), а также сторонних перевозчиков;
12.20. оказания спонсорской (безвозмездной) помощи – получатели помощи;
12.21. осуществления выплаты вознаграждений – члены совета директоров Обществе и члены ревизионной комиссии, не являющиеся работниками Общества;
12.22. заключения и исполнения гражданско-правовых договоров с контрагентами Общества;
12.23. проведения тендерных процедур, предусмотренных локальными правовыми актами Общества;
12.24. оформления/регистрации прав на объекты интеллектуальной собственности – авторы;
12.25. обеспечения полного, объективного, всестороннего и своевременного рассмотрения заявлений граждан и юридических лиц – физические лица и представители юридических лиц, обратившихся с заявлением;
12.26. в иных целях, предусмотренных законодательством.
ГЛАВА 3
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ, СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
13. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка персональных данных осуществляется без получения такого согласия.
14. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
15. Обработка персональных данных Обществом включает в себя следующие действия с персональными данными: сбор, запись, систематизацию, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, распространение, предоставление, удаление.
16. Обработка персональных данных Обществом осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации (картотеки, списки, журналы и другое).
17. Обработка персональных данных в целях, определенных Главой 2 настоящей Политики, осуществляется путем: получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в вышеуказанных целях; получения оригиналов необходимых документов; копирования оригиналов необходимых документов; внесения сведений в учетные формы (на бумажных и электронных носителях); внесения персональных данных в автоматизированные информационные системы; выполнения иных действий, требуемых для достижения целей обработки персональных данных.
18. Сроки обработки персональных данных определяются в соответствии с целями, для которых они собирались.
19. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки.
20. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока хранения персональных данных, установленных законодательством и локальными правовыми актами Общества, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. В этом случае Общество прекращает обработку персональных данных субъекта, а также осуществляет их удаление.
21. С целью реализации прав субъектов персональных данных Общество принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
22. Передача (распространение, предоставление) персональных данных субъектов персональных данных третьим лицам, чьи данные обрабатываются в целях, определенных главой 2 настоящей Политики, осуществляются в случаях и в порядке, предусмотренных законодательством Республики Беларусь.
ГЛАВА 4
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВЕ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
23. Общество имеет право:
получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимыми для заявленных целей их обработки.
24. Общество обязано:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных; получать согласие субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных законодательством;
обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь;
обеспечивать защиту персональных данных в процессе их обработки; принимать меры по обеспечению достоверности обрабатываемых персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;
рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы; предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии законных оснований для их обработки, а также по требованию субъекта персональных данных;
выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.
25. Субъект персональных данных имеет право:
на получение информации, касающейся обработки Обществом его персональных данных; на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными; на отзыв своего согласия на обработку персональных данных; на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки;
на получение информации о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательством; на обжалование действия (бездействия) и решения Общества, нарушающих его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь в порядке, установленном законодательством об обращении граждан и юридических лиц;
на осуществление иных прав, предусмотренных законодательством Республики Беларусь.
26. Субъект персональных данных обязан:
предоставлять Обществу исключительно достоверные сведения о себе;
в случае необходимости предоставлять Обществу документы, содержащие персональные данные в объеме, необходимом для цели их обработки; своевременно информировать Общество об изменениях своих персональных данных;
исполнять иные обязательства, предусмотренные законодательством.
ГЛАВА 5
МЕХАНИЗМ РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
27. Алгоритмы реализации прав субъектов персональных данных:
Права субъекта |
Механизм реализации прав субъекта |
1. Право на отзыв согласия субъекта персональных данных, когда согласие является законным основанием для обработки персональных данных.
Указанный отзыв не имеет обратной силы и не влияет на законность осуществляемой обработки персональных данных на основании согласия до момента его отзыва. |
Общество обязано в пятнадцатидневный срок после получения заявления прекратить обработку персональных данных, осуществить их удаление и уведомить субъекта персональных данных об этом, за исключением случаев, когда Общество вправе продолжить обработку персональных данных при наличии оснований, установленных законодательством. При отсутствии технической возможности удаления персональных данных Общество принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомляет об этом субъекта персональных данных в тот же срок. |
2. Право на получение информации, касающейся обработки персональных данных, содержащей: наименование и местонахождение Общества; подтверждение факта обработки персональных данных Обществом; перечень персональных данных и источник их получения; правовые основания и цели обработки персональных данных; срок, на который дано согласие субъекта персональных данных на обработку персональных данных; иную информацию, предусмотренную законодательством. |
Общество обязано в течение пяти рабочих дней после получения заявления, если иной срок не предусмотрен законодательными актами, предоставить запрашиваемую информацию либо уведомить о причинах отказа в ее предоставлении. |
3. Право на внесение изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными. |
Общество обязано в пятнадцатидневный срок после получения заявления внести соответствующие изменения в персональные данные либо уведомить о причинах отказа, если иной порядок внесения изменений в персональные данные не установлен законодательными актами. |
4. Право на получение информации о предоставлении персональных данных третьим лицам один раз в календарный год (с момента обращения) бесплатно, если иное не предусмотрено законодательными актами. |
Общество обязано в пятнадцатидневный срок после получения заявления предоставить информацию о том, какие персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить о причинах отказа в ее предоставлении. |
5. Право на бесплатное прекращение обработки персональных данных и (или) их удаление, при отсутствии оснований для обработки персональных данных. |
Общество обязано в пятнадцатидневный срок после получения заявления прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, за исключением случаев, когда Общество вправе продолжить обработку персональных данных при наличии оснований, установленных законодательством, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением субъекта персональных данных о принятом решении в пятнадцатидневный срок. При отсутствии технической возможности удаления персональных данных Общество принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомляет об этом субъекта персональных данных в тот же срок. |
6. Право на обжалование действий (бездействия) и решений Обществе, нарушающие его права при обработке персональных данных, в Национальный центр защиты персональных данных. |
Жалоба рассматривается в порядке, установленном законодательством об обращениях граждан и юридических лиц. |
Для реализации одного или нескольких прав, указанных в подпунктах 1-5 таблицы субъект персональных данных вправе подать Обществу соответствующее заявление одним из следующих способов: в письменной форме – по адресу: 220141, г. Минск, ул. Макаенка, 25; в виде электронного документа, содержащего электронную цифровую подпись субъекта персональных данных на e-mail: info@peleng.by
28. Заявление субъекта персональных данных о реализации одного или нескольких прав, указанных в подпунктах 1-5 таблицы пункта 27 настоящей Политики должно содержать: фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных; адрес места жительства (места пребывания); дату рождения; идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Обществу на обработку персональных данных или обработка персональных данных осуществляется без согласия субъекта персональных данных; изложение сути требований; личную подпись либо электронную цифровую подпись.
29. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в том числе в иной электронной форме, посредством которой получено его согласие.
30. Ответ на заявление о реализации одного или нескольких прав, указанных в подпунктах 1-5 таблицы пункта 27 настоящей Политики, направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
ГЛАВА 6
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
31. Общество обеспечивает весь необходимый и достаточный комплекс мер по обеспечению защиты персональных данных. Обязательные меры по обеспечению защиты персональных данных включают в себя: назначение структурного подразделения, ответственного за осуществление внутреннего контроля за обработкой персональных данных; издание локальных правовых актов в развитие настоящей Политики, регламентирующих деятельность Общества в отношении обработки персональных данных; ознакомление работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными локальными правовыми документами, определяющими деятельность Общества в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством Республики Беларусь; установление порядка доступа к персональным данным, в том числе обрабатываемым в автоматизированных информационных системах; осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
ГЛАВА 7
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
32. Общество до начала осуществления трансграничной передачи персональных данных обязана убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Определение перечня иностранных государств, обеспечивающих надлежащий уровень защиты персональных данных осуществляется с учетом требований абзаца пятого пункта 3 статьи 18 Закона.
33. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только после получения разрешения Национального центра защиты персональных данных Республики Беларусь в порядке определенном абзацем шестым пункта 3 статьи 18 Закона, в том числе, когда дано согласие субъекта персональных данных, при условии, что субъект проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня защиты, и (или) исполнения договора, стороной которого является субъект персональных данных.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
34. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
35. В случае, если какое-либо положение Политики признается противоречащим законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным (измененным) в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
36. Общество при необходимости в одностороннем порядке вносит в Политику соответствующие изменения с последующем размещением новой Политики на официальном интернет-портале. Действующая редакция Политики постоянно доступна по адресу: https://peleng.by