Открытое акционерное общество «Витебскдрев»
Политика оператора в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Открытое акционерное общество «Витебскдрев» (ОАО «Витебскдрев»), выполняя требования статьи 17 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», определяющего политику оператора в отношении обработки персональных данных, публикует в свободном доступе настоящую политику в отношении обработки персональных данных.
1.2. Понятия, используемые в Политике:
1.2.1. персональные данные – любая информация, относящаяся к идентифицированному физическому лицу, которое может быть идентифицировано.
1.2.2. оператор персональных данных, оператор — ОАО «Витебскдрев», лицо осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
1.2.3 обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
1.2.4. биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
1.2.5. блокирование персональных данных – прекращение доступа к персональным данным без их удаления.
1.2.6. генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которые содержат уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
1.2.7. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.2.8. общедоступные персональные данные – персональные данные, распространённые самим субъектом персональных данных либо с его согласия или распространённые в соответствии с требованиями законодательных актов.
1.2.9. предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
1.2.10. распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
1.2.11. специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взгляды, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
1.2.12. субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных.
1.2.13. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства.
1.2.14. удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные и (или) в результате которых уничтожаются материальные носители персональных данных.
1.2.15. физическое лицо, которое может быть идентифицировано, — физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационных номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
1.2.16. информация – сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
1.2.17. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.3. субъекты персональных данных имеют право на:
1.3.1. отзыв согласия субъекта персональных данных;
1.3.2. получение информации, касающейся обработки персональных данных, и изменение персональных данных;
1.3.3. требование прекращения обработки персональных данных и (или) их удаления;
1.3.4. обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
1.4. Все указанные в настоящей Политике сведения основаны на требованиях Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», Указа Президента Республики Беларусь от 28.10.2021 №422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 10.11.2008 №455-З «Об информации, информатизации и защите информации» и положения об обработке и защите персональных данных в ОАО «Витебскдрев, утвержденных генеральным директором 15.11.2021г.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. ОАО «Витебскдрев», являясь оператором персональных данных, осуществляет обработку персональных данных работников ОАО «Витебскдрев» и других субъектов персональных данных, не состоящих с ОАО «Витебскдрев» в трудовых отношениях, соблюдая требования законодательства и исключительно в целях трудоустройства, оформления трудовых отношений, получения работниками образования и продвижения по работе, контроля количества и качества выполняемой работы, обеспечения трудовой и исполнительской дисциплины и сохранности имущества.
2.2. Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т.д. – ОАО «Витебскдрев» обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальным правовым актам ОАО «Витебскдрев».
2.3. обработка персональных данных в ОАО «Витебскдрев» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ОАО «Витебскдрев» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
2.3.1. обработка персональных данных осуществляется на законной и справедливой основе;
2.3.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
2.3.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
2.3.4. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленным целям их обработки;
2.3.5. содержание и объём обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
2.3.6. обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
2.3.7. оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
2.3.8. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.4. Персональные данные обрабатываются в ОАО «Витебскдрев» в целях:
2.4.1 обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов ОАО «Витебскдрев»;
2.4.2. осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на ОАО «Витебскдрев», в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерство труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
2.4.3. ведение кадровой работы, регулирования трудовых отношений с работниками ОАО «Витебскдрев»;
2.4.4. защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
2.4.5. подготовки, заключения, исполнения и прекращения договоров с контрагентами;
2.4.6. обеспечения пропускного и внутри объектового режимов на объектах ОАО «Витебскдрев»;
2.4.7. формирования справочных материалов для внутреннего информационного обеспечения деятельности ОАО «Витебскдрев»;
2.4.8. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствие с законодательством Республики Беларусь об исполнительном производстве;
2.4.9. осуществления прав и законных интересов ОАО «Витебскдрев» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами ОАО «Витебскдрев», либо достижения общественно значимых целей;
2.4.10. в иных законных целях.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ОАО «Витебскдрев» обрабатывает персональные данные в соответствии с:
3.1.1.Уставом ОАО «Витебскдрев»;
3.1.2. Положением о порядке обработки персональных данных, Перечнем работников ОАО «Витебскдрев», которые для выполнения трудовой функции получают доступ к персональным данным для выполнения;
3.1.3. Трудовыми договорами (контрактами), договорами о материальной ответственности, договорами на обучение, которые ОАО «Витебскдрев» заключает с работниками;
3.1.4. Согласиями на обработку персональных данных;
3.1.5. Обязательствами о соблюдении конфиденциальности персональных данных.
3.2. Обработка персональных данных в ОАО «Витебскдрев» осуществляется следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
ГЛАВА 4
ОБЬЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЬЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. ОАО «Витебскдрев» обрабатывает персональные данные следующих субъектов персональных данных:
4.1.1. Работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников;
4.1.2. Клиентов и контрагентов – физических лиц;
4.1.3. Представителей или работников, клиентов и контрагентов – юридических лиц;
4.1.4. Граждан, выполняющих работу по гражданско-правовым договорам.
4.2. ОАО «Витебскдрев» обрабатывает любые персональные данные работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников в целях оформления трудовых отношений, а также в процессе трудовой деятельности таких субъектов персональных данных в случаях, предусмотренных законодательством.
4.2.1. персональные данные о работниках и бывших работниках:
— фамилия, собственное имя, отчество, возраст, дата рождения;
— паспортные данные (данные идентификационной карты) или иного документа, удостоверяющего личность физического лица;
— образование, специальность, квалификация, трудовой стаж, опыт работы;
— занимаемая должность служащего или выполняемая работа по профессии рабочего;
— сведения о воинском учете;
— социальные гарантии и льготы для них;
— состояние здоровья работника, результаты медицинского осмотра, психиатрического освидетельствования;
— адрес места жительства, номер телефона.
4.2.2. Персональные данные о семейном положении работников и членах их семей:
— о наличии детей и иждивенцев;
— состояние здоровья членов семьи;
— необходимости ухода за больным членом семьи;
— усыновлении и удочерении;
— иных фактах, на основании которых работникам по законодательству и локальным правовым актам ОАО «Витебскдрев» должны быть предоставлены гарантии и компенсации.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В ОАО «Витебскдрев» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личном составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
5.2. Доступ к персональным данным в ОАО «Витебскдрев» имеют только те работники, кому это необходимо для исполнения должностных (трудовых) обязанностей. Работники, получающие доступ к персональным данным, определяются приказом генерального директора. Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.
Права, обязанности и ответственность работников, обрабатывающих персональные данные в ОАО «Витебскдрев», закрепляются в их должностных (рабочих) инструкциях. Они дают отдельное письменное обязательство о соблюдении порядка обработки персональных данных, в т.ч. после увольнения их из ОАО «Витебскдрев».
За нарушение правил обработки персональных данных, ставших им известным по работе, работни5кик привлекаются к дисциплинарной ответственности вплоть до увольнения по пункту 10 части первой статьи 47 Трудового кодекса Республики Беларусь.
5.3. В случаях, предусмотренных законодательством, в частности предусмотренных статьями 6 и 8 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», ОАО «Витебскдрев» обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях ОАО «Витебскдрев» предлагает субъекту персональных данных оформить согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
5.4. ОАО «Витебскдрев» хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
При достижении целей обработки ОАО «Витебскдрев» уничтожает персональные данные. Исключения:
— персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
— кандидат на работу желает оставаться в кадровом резерве.
5.5. ОАО «Витебскдрев» передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта за исключением случает, предусмотренных законодательством.
5.6. В целях внутреннего информационного обеспечения ОАО «Витебскдрев» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
ГЛАВА 6
МЕРЫ, ПРИНИМАЕМЫЕ ОАО «ВИТЕБСКДРЕВ» ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
6.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
6.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
6.1.3. получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
6.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ОАО «Витебскдрев»;
6.1.5. издание документов, определяющих политику ОАО «Витебскдрев» в отношении обработки персональных данных;
6.1.6. ознакомление работников, непосредственного осуществляющих обработку персональных данных в ОАО «Витебскдрев», с положениями законодательства о персональных данных;
6.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемых в информационном ресурсе (системе);
6.1.8. осуществление технической и криптографической защиты персональных данных в ОАО «Витебскдрев» в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
6.1.9. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику ОАО «Витебскдрев»;
6.1.10. прекращение обработки персональных данных при отсутствии оснований для их обработки;
6.1.11. незамедлительное уведомление уполномоченного органа по защите персональных данных о нарушениях систем защиты персональных данных;
6.1.12. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
6.1.13. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
6.1.14. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
6.2. меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами ОАО «Витебскдрев», регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных ОАО «Витебскдрев».
ГЛАВА 7
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Контроль за соблюдением структурными подразделениями ОАО «Витебскдрев» законодательства Республики Беларусь и локальных правовых актов ОАО «Витебскдрев» в области защиты персональных данных, осуществляется с целью проверки соответствия обработки персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях законодательству Республики Беларусь и локальным правовым актам ОАО «Витебскдрев» в области персональных данных, выявления возможных каналов утечки и несекционного доступа к персональным данным, устранения последствий таких нарушений.
7.2. Внутренний контроль за соблюдением структурными подразделениями ОАО «Витебскдрев» законодательства Республики Беларусь и локальных правовых актов ОАО «Витебскдрев» в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, назначенным приказом генерального директора.
7.3. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов ОАО «Витебскдрев» в области персональных данных в структурном подразделении ОАО «Витебскдрев», а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях ОАО «Витебскдрев» возлагается на их руководителей.
7.4. Вопросы, не предусмотренные настоящей Политикой, регулируются действующим законодательством о защите персональных данных и локальными правовыми актами ОАО «Витебскдрев».