УТВЕРЖДЕНО
Приказ директора
ОАО «Минскметропроект»
12.11.2021 г. № 218/1
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
ОАО «МИНСКМЕТРОПРОЕКТ»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Политика открытого акционерного общества «Минскметропроект» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований абз.3 п.3 ст.17 Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Политика действует в отношении всех персональных данных, которые обрабатываются открытым акционерным обществом «Минскметропроект» (далее - Общество, Оператор), в отношении всех процессов обработки персональных данных, структурных подразделений и лиц, их обрабатывающих.
Требования настоящей Политики обязательны для исполнения всеми работниками Общества, получившими в установленном порядке доступ к персональным данным.
При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями, иными нормативными правовыми актами до внесения соответствующих изменений в Политику.
Политика составлена в соответствии с законодательством Республики Беларусь и определяет принципы, цели, условия и способы обработки персональных данных, перечень субъектов персональных данных и обрабатываемых персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
2. В Политике используются следующие основные термины и их определения:
блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
интернет-ресурс - интернет-сайт, страница интернет-сайта, вебпортал, форум, блог, чат, приложение для мобильного устройства и другие ресурсы, имеющие подключение к сети Интернет;
информация - сведения (сообщения, данные) независимо от формы их представления.
кандидат - физическое лицо, претендующее на вакантную должность в Обществе.
контрагент - физическое или юридическое лицо, в том числе индивидуальный предприниматель, выступающие одной из сторон сделки.
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц;
распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченный орган – Национальный центр защиты персональных данных Республики Беларусь.
физическое лицо, которое может быть идентифицировано - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Иные термины и их определения, употребляющиеся в настоящей Политике, используются в значениях, определенных законодательством.
3. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
4. Требования настоящей Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.
5. Положения настоящей Политики служат основой для разработки локальных правовых актов, регламентирующих в Обществе вопросы обработки, защиты, обеспечения конфиденциальности персональных данных.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. Обработка персональных данных в Обществе осуществляется на основе следующих принципов:
справедливости. Обработка персональных данных должна обеспечивать справедливое соотношение интересов всех заинтересованных лиц;
законности. Обработка данных осуществляется с согласия их субъекта, за исключением предусмотренных законодательством случаев;
ограничения целью. Обработка данных должна ограничиваться достижением конкретных, заранее заявленных законных целей;
минимизации данных. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям обработки;
прозрачности. Обработка данных должна иметь прозрачный характер (своевременные ответы на запросы субъекта данных и т.д.);
точности. Оператор обязан обеспечить достоверность обрабатываемых им персональных данных, обновлять их при необходимости;
ограничения хранения. Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки.
7. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
8. Целями обработки Обществом персональных данных являются:
обеспечение соблюдения законодательства Республики Беларусь;
выполнение функций, полномочий и обязанностей, возложенных на Общество законодательством, Уставом;
регулирование трудовых отношений с работниками Оператора (обучение, ведение кадрового резерва, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности);
заключение с субъектами персональных данных любых видов договоров и их последующего исполнения;
обработка сообщений и запросов, поступивших от субъекта персональных данных;
ведение кадровой работы и организация учета работников Общества, в том числе привлечение и отбор кандидатов для работы в Обществе;
проверка кандидатов (в том числе квалификации, опыта работы, информации о наличии/отсутствии административных и уголовных правонарушений);
осуществление административных процедур;
ведение индивидуального (персонифицированного) учета застрахованных лиц;
ведение воинского учета;
ведение бухгалтерского и налогового учета;
начисление и перечисление заработной платы, назначение и выплата пособий;
заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности;
обработка персональных данных в целях назначения пенсий;
осуществление хозяйственной деятельности;
обеспечение пропускного режима;
исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
ведение списка аффилированных лиц;
организация и сопровождение деловых поездок;
выдача доверенностей и иных уполномочивающих документов;
проверка контрагента;
предоставление работникам Общества и членам их семей дополнительных гарантий и компенсаций;
защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
обработка обращений и запросов, получаемых от субъектов персональных данных;
выполнение иных обязанностей (полномочий), предусмотренных законодательными актами.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
Конституция Республики Беларусь;
Решение Конституционного Суда Республики Беларусь от 29.04.2021 № Р-1261/2021 «О соответствии Конституции Республики Беларусь Закона Республики Беларусь «О защите персональных данных»;
Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
Указ Президента Республики Беларусь от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных»;
Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
Декрет Президента Республики Беларусь от 15.12.2014 № 5 «Об усилении требований к руководящим кадрам и работникам организаций»;
Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
Постановление Совета Министров Республики Беларусь от 10.04.2019 N 228 «Об особенностях внесения отдельных персональных данных и их актуализации в регистре населения»;
Постановление Министерства внутренних дел Республики Беларусь от 27.09.2012 N 341 «Об установлении порядка обезличивания персональных данных, содержащихся в регистре населения»;
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449»;
Трудовой кодекс Республики Беларусь;
иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
10. Правовым основанием обработки персональных данных также являются:
устав Оператора;
договоры, заключаемые между Оператором и субъектами персональных данных;
согласие субъектов персональных данных на обработку их персональных данных.
ГЛАВА 4
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОБЩЕСТВОМ
11. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:
кандидаты на рабочие места, работники Общества, в том числе бывшие работники, их супруги и близкие родственники;
студенты, иные лица, прибывшие в Общество на практику, стажировку;
контрагенты - физические лица, в том числе потенциальные (по договорам);
работники и иные представители контрагентов-юридических лиц и индивидуальных предпринимателей;
акционеры, аффилированные лица, иные представители Общества;
пользователи сайта https://metropr.by/;
физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и отвечает требованиям, установленным законодательством;
иные физические лица, выразившие согласие на обработку Обществом их персональных данных, или физические лица, обработка персональных данных которых необходима Обществу для достижения целей, предусмотренных законодательством;
другие субъекты персональных данных, обработка персональных данных которых Обществом предусмотрена в соответствии с законодательством и ЛПА с учетом целей обработки персональных данных, указанных в главе 2 настоящей Политики.
12. К персональным данным, обрабатываемым Обществом, относятся:
фамилия, собственное имя, отчество;
пол;
число, месяц, год рождения;
идентификационный номер;
паспортные данные;
место рождения;
цифровой фотопортрет;
данные:
о гражданстве (подданстве);
о регистрации по месту жительства и (или) месту пребывания;
сведения о месте фактического проживания;
сведения о членстве в политических партиях, профессиональном союзе и иных общественных организациях;
номер страхового свидетельства социального государственного страхования;
банковские реквизиты (расчетный счет, БИК);
подпись;
должность;
сведения о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
сведения медицинского характера (в случаях, предусмотренных законодательством);
сведения о социальных льготах и выплатах;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.);
сведения о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;
об образовании, ученой степени, ученом звании;
сведения о трудовой деятельности;
о роде занятий;
о налоговых обязательствах;
об исполнении воинской обязанности;
об инвалидности;
о наличии исполнительного производства на исполнении в органах принудительного исполнения.
13. Оператором может обрабатываться следующая техническая информация:
IР-адрес;
информация из браузера;
данные из файлов cookie;
адрес запрашиваемой страницы;
история запросов и просмотров на интернет-ресурсах Оператора.
14. Оператор обрабатывает специальные персональные данные только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных законодательством.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
15. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.
Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
16. Обработка персональных данных осуществляется путем:
получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
получения персональных данных из общедоступных источников;
внесения персональных данных в журналы, реестры и информационные системы Оператора;
использования иных способов обработки персональных данных.
Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
17. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
18. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
формирует перечень должностей, осуществляющих обработку персональных данных в Обществе, в зависимости от количества обрабатываемых персональных данных, их видов;
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
осуществляет первичное ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства, локальных правовых актов и иных организационно-распорядительных документов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников.
19. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.
ГЛАВА 6
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
20. Оператор имеет право:
получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом.
21. Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.
ГЛАВА 7
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
22. Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных;
получать от Оператора информацию о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом;
отзывать согласие на обработку персональных данных;
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
требовать от Оператора:
изменения его персональных данных в случае, если персональные данные являются неполными или устаревшими;
прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных;
осуществления иных прав, предусмотренных законодательством Республики Беларусь.
23. Субъект персональных данных обязан:
предоставлять Оператору достоверные данные о себе;
сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
ГЛАВА 8
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
24. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
25. Предоставление Обществом информации, содержащей персональные данные, осуществляется в рамках договоров на выполнение работ, оказание услуг, заключенных с юридическими лицами-нерезидентами.
26. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
27. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяет уполномоченный орган по защите прав субъектов персональных данных.
ГЛАВА 9
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
28. Контроль за соблюдением в Обществе законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в Обществе законодательству Республики Беларусь и локальным правовым актам Общества в области персональных данных, а также для предотвращения нарушений законодательства Республики Беларусь в области персональных данных.
29. Внутренний контроль за соблюдением работниками и структурными подразделениями Общества законодательства Республики Беларусь и ЛПА в области персональных данных, в том числе требований к защите персональных данных, осуществляет лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Обществе.
30. Лица, виновные в нарушении Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», несут ответственность, предусмотренную законодательными актами.
31. Работники и иные лица, виновные в нарушении настоящей Политики, законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Республики Беларусь, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Республики Беларусь.
32. Общество при необходимости в одностороннем порядке вносит в настоящую Политику соответствующие изменения с последующим их размещением на сайте Общества. Субъекты и пользователи самостоятельно получают на сайте информацию об изменениях.
33. Во исполнение требований п.4 ст.17 Закона о защите персональных данных настоящая Политика является общедоступной. Неограниченный доступ к Политике обеспечивается путем ее опубликования на официальном сайте https://metropr.by/, а также на сервере Общества.
34. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.