Политика обработки персональных данных в ООО «ДиалАрт»
Политика обработки персональных данных в ООО «ДиалАрт» (далее — Политика) определяет цели, основные принципы, условия и способы обработки персональных данных, хранение, передачу третьим лицам и обеспечение безопасности обрабатываемых в ООО «ДиалАрт» (далее — Оператор) персональных данных субъектов персональных данных.
Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных:
1. Основные термины и определения
Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
Генетические персональные данные — информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.
Информация — сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2. Цели обработки персональных данных
Целью сбора, обработки, хранения, а также других действий с персональными данными является исполнение обязательств Оператора перед Субъектами персональных данных в рамках заключаемых с ними договоров, возникновения обязательств и других целей.
3. Принципы обработки персональных данных
При обработке персональных данных Оператора придерживается следующих принципов:
— соразмерности и справедливости соотношения интересов Субъекта персональных данных и Оператора;
— законности сбора и совершения иных действий по обработке персональных данных;
— безопасности;
— соблюдения цели. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
— соблюдение прав субъекта персональных данных на доступ к его персональным данным;
— согласия субъекта персональных данных;
— принятие мер по обеспечению достоверности обрабатываемых и обновление их;
— надлежащего хранения персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4. Состав персональных данных
В состав обрабатываемых у Оператора персональных данных могут входить:
1. Основные персональные данные:
1.1. идентификационный номер, паспортные данные;
1.2. фамилия, собственное имя, отчество (если таковое имеется);
1.3. пол;
1.4. число, месяц, год (далее — дата) рождения;
1.5. место рождения;
1.6. цифровой фотопортрет;
1.7. данные о гражданстве (подданстве);
1.8. данные о регистрации по месту жительства и (или) месту пребывания;
1.9. данные о смерти или объявлении физлица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным
2. Дополнительные персональные данные о:
2.1. родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
2.2. высшем образовании, ученой степени, ученом звании;
2.3. роде занятий;
2.4. пенсии, ежемесячном денежном содержании по законодательству о государственной службе (далее — ежемесячное денежное содержание), ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
2.5. налоговых обязательствах;
2.6. исполнении воинской обязанности;
2.7. инвалидности;
2.8. наличии исполнительного производства на исполнении в органах принудительного исполнения.
3. Специальные персональные данные о:
3.1. расовой либо национальной принадлежности;
3.2. политических взглядов, членстве в профессиональных союзах, религиозных или других убеждений;
3.3. здоровья или половой жизни;
3.4. привлечения к административной или уголовной ответственности;
3.7. биометрические (физиологические и биологические особенности человека, которые используются для его уникальной идентификации. Это отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.) и генетические персональные данные (это информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца).
4. Иные данные, позволяющие идентифицировать лицо, в том числе необходимые для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов).
5. Сбор (получение) персональных данных
Персональные данные Оператора получает только лично от субъекта персональных данных или от его законного представителя.
6. Обработка персональных данных
Обработка персональных данных у Оператора происходит как неавтоматизированным, так и автоматизированным способом.
Сотрудники Оператора руководствуются Приказом об установлении перечня лиц, имеющих доступ к персональным данным и доступ к обработке персональных данных, утвержденным директором Оператора.
К обработке персональных данных у Оператора допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
— ознакомление сотрудника с локальными нормативными актами Оператора (Политика, Положения, Инструкции, приказы и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
— получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Оператора, содержащим в себе персональные данные. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы. Сотрудники, имеющие доступ к персональным данным, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
7. Перечень обрабатываемых персональных данных
Перечень персональных данных, обрабатываемых у Оператора, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в гл. 2 Политики.
8. Хранение персональных данных
Персональные данные хранятся в бумажном и электронном виде. В электронном виде персональные данные хранятся в информационных системах персональных данных Оператора, а также в архивных копиях баз данных этих систем.
При хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
— назначение сотрудника ответственного за тот или иной способ хранения персональных данных;
— ограничение физического доступа к местам хранения и носителям;
— учет всех информационных систем и электронных носителей, а также архивных копий.
9. Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия субъекта персональных данных и только с целью исполнения обязанностей перед субъектов персональных данных в рамках целей получения персональных данных. Кроме случаев, когда такая обязанность у Оператора наступает в результате требований действующего законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Оператор ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
10. Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных у Оператора достигается следующими мерами:
— ознакомлением работников Оператора с требованиями законодательства о персональных данных и защите информации;
— назначением должностного лица ответственных за организацию и проведение работ по защите персональных данных;
— определением списка лиц, допущенных к работе с персональными данными;
— разработкой и утверждением локальных нормативных актов Оператора, регламентирующих порядок обработки персональных данных;
— реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
— непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.
11. Права субъекта персональных данных
1. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в той же форме, в которой он давал согласие.
2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— полное наименование и место нахождения Оператора;
— подтверждение факта обработки персональных данных Оператором;
— его персональные данные и источник их получения;
— правовые основания и цели обработки персональных данных;
— срок, на который дано его согласие;
— сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании Закона;
— иную информацию, предусмотренную законодательством.