Соглашение на обработку персональных данных

УТВЕРЖДЕНО

Приказ генерального директора ОАО «Гомельстекло»

от 16.03.2022     № 01-02/311

ПОЛИТИКА ОТКРЫТОГО АКЦИОНЕРНОГО ОБЩЕСТВА «ГОМЕЛЬСТЕКЛО» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.            ОБЩИЕ ПОЛОЖЕНИЯ.

1.1.     Политика открытого акционерного общества «Гомельстекло» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с положениями Закона Республики Беларусь от 07 мая 2021 года №99-3 «О защите персональных данных» (далее – Закон) и направлена на обеспечение прав и свобод физических лиц при обработке их персональных данных.

1.2.     Политика определяет принципы, цели и способы обработки персональных данных, права субъектов персональных данных,  перечень субъектов и обрабатываемых персональных данных, условия обработки персональных данных, функции открытого акционерного общества «Гомельстекло» (далее – ОАО «Гомельстекло», Оператор) при обработке персональных данных, а также реализуемые требования к защите персональных данных.

1.3.     Требования настоящей Политики обязательны для исполнения всеми работниками ОАО «Гомельстекло», получившими в установленном порядке доступ к персональным данным.

1.4.     Положения настоящей Политики служат основой для разработки локальных правовых актов, регламентирующих в ОАО «Гомельстекло» вопросы обработки и защиты персональных данных.

1.5.     Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь.

При   внесении   изменений  в  акты законодательства,   а  также  в  случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями, иными нормативными  правовыми актами до внесения соответствующих изменений в настоящую Политику.

1.6.     Политика обработки персональных данных в ОАО «Гомельстекло» определяется в соответствии со следующими нормативными правовыми актами:

Трудовой кодекс Республики Беларусь;

Закон Республики Беларусь «О защите персональных данных»;

Закон Республики Беларусь «О регистре населения»;

Закон Республики Беларусь «Об информации, информатизации и защите информации»;

иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.

2.            ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.

персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);

специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

оператор – ОАО «Гомельстекло», которое  самостоятельно или совместно с иными лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые c персональными данными;

обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

актуальные угрозы безопасности персональных данных – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия;

распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;

субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;

конфиденциальность персональных данных – обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.

3.            ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1.     Оператор (ОАО «Гомельстекло») персональных данных имеет право:

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;

поручить обработку  персональных данных другому лицу, если иное не предусмотрено законодательством на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренных Законом;

в случае отзыва субъектом персональных данных согласия на обработку персональных данных, вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных  Законом.

3.2  Оператор персональных данных обязан:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

организовывать обработку персональных данных в соответствии с требованиями Закона;

получать согласие субъекта персональных данных на их обработку, за исключением случаев, предусмотренных Законом и иными законодательными актами;

обеспечивать защиту персональных данных в процессе их обработки;

предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

выполнять иные обязанности, предусмотренные Законом и иными законодательными актами;

обеспечить неограниченный доступ к настоящей Политике, в том числе путем размещения ее на официальном сайте в глобальной компьютерной сети «ИНТЕРНЕТ».

4.            ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1.     Субъект персональных данных, в порядке определенном Законом, имеет право:

требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

отозвать в любое время, без объяснения причин,  свое согласие на обработку персональных данных посредством подачи Оператору заявления;

получать от Оператора информацию, касающуюся обработки своих персональных данных;

получать от Оператора информацию о предоставлении своих персональных данных третьим лицам;

требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными  законодательными актами;

обжаловать действия (бездействие) и решения  Оператора, нарушающие его права при обработке персональных данных, в уполномоченном органе по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;

на осуществление иных, предусмотренных законодательством, прав.

4.2.     Субъект персональных данных, в целях уточнения и актуализации своих персональных данных должен своевременно предоставлять Оператору информацию об изменении своих персональных данных.

5.            ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

5.1.     Обработка персональных данных в ОАО «Гомельстекло» осуществляется в соответствии с Законом, иными локальными правовыми актами, регулирующими отношения, связанные с деятельностью Оператора.

5.2.     Обработка персональных данных в ОАО «Гомельстекло»  осуществляется с учетом необходимости обеспечения защиты прав и свобод работников предприятия и иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;

обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей;

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки;

обработка персональных данных носит прозрачный характер. Субъекту персональных данных, в порядке и на условиях, установленных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;

обеспечивается принятие необходимых и достаточных мер по защите персональных данных  от неправомерного (несанкционированного или случайного) доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий;

обеспечивается хранение персональных данных в форме, позволяющей идентифицировать субъект персональных данных, не дольше, чем это требуют заявленные цели на их обработку, если иное не предусмотрено законодательством;

при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

обрабатываемые персональные данные уничтожаются  по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательными актами.

5.3.     Цели обработки персональных данных Оператором:

обеспечение  соблюдения законодательных и иных нормативных правовых  актов;

осуществление своей деятельности в соответствии с уставом, возложенными законодательством функциями,  обязательствами и полномочиями;

оформление  и регулирование трудовых и иных непосредственно связанных с ними отношений Оператора с работниками (заключение, изменение, прекращение трудового договора и  т.д.);

привлечение, отбор и проверка кандидатов на работу, обработка резюме кандидата на трудоустройство;

оформление (прием) на работу;

ведение кадрового делопроизводства, кадровой документации;

организация практики учащихся;

профессиональная подготовка, повышение квалификации;

аттестация работников;

ведение кадрового резерва;

обеспечение  сохранности имущества и материальных ценностей;

применение системы видеонаблюдения;

формирование, ведение и хранение личных дел;

организация постановки работников на индивидуальный (персонифицированный) учет;

ведение трудовых книжек;

осуществление функций, полномочий и обязанностей, возложенных законодательством по предоставлению персональных данных в государственные органы;

обеспечение пропускного и внутриобъектового режимов на объектах ОАО «Гомельстекло»;

контроль дисциплины труда;

выдача доверенностей и иных уполномачивающих документов;

предоставление работникам и членам их семей дополнительных гарантий и компенсаций;

организация выплаты заработной платы;

предоставление трудовых и социальных отпусков;

организация назначения и выплаты пенсий, пособий;

оформление документов для награждений, поощрений;

реализация условий коллективного договора;

ведение бухгалтерского учета и отчетности;

подготовка документов в целях осуществления государственного социального страхования;

исполнение судебных актов, актов государственных органов и иных организаций, а также должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;

выявление конфликта интересов;

осуществление гражданско-правовых отношений (отношений по договорам с контрагентами – физическими лицами);

формирование справочных материалов для внутреннего информационного обеспечения деятельности предприятия;

применение мер поощрения;

осуществление реализации социальной политики предприятия в области культурно-массовой и физкультурно-оздоровительной работы, предоставления путевок в оздоровительные учреждения, медицинского обслуживания, страхования и т.д.;

ведение воинского учета;

обеспечение охраны труда;

расследование несчастных случаев на производстве;

обязательное страхование от несчастных случаев на производстве;

осуществление административных процедур;

рассмотрение обращений граждан и юридических  лиц;

рассмотрение индивидуальных трудовых споров;

взаимодействие с участниками процедур закупки, контрагентами при ведении договорной работы и исполнении договоров;

обработка отчетной информации и документации по командировкам;

иные  цели, предусмотренные законодательными актами.

6.            ПРАВОВЫЕ      ОСНОВАНИЯ      ОБРАБОТКИ      ПЕРСОНАЛЬНЫХ ДАННЫХ.

6.1.     Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

6.2.     Оператор обрабатывает персональные данные на основании:

Трудового кодекса Республики Беларусь;

Гражданского кодекса Республики Беларусь;

Налогового кодекса Республики Беларусь;

Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных»;

иных нормативных правовых актов, регулирующих отношения, связанные с деятельностью Оператора;

согласий субъектов персональных данных на обработку их персональных данных.

7.            КАТЕГОРИИ  ОБРАБАТЫВАЕМЫХ  ПЕРСОНАЛЬНЫХ  ДАННЫХ. КАТЕГОРИИ  СУБЪЕКТОВ  ПЕРСОНАЛЬНЫХ  ДАННЫХ.

7.1 Категории субъектов  персональных данных, чьи персональные данные

обрабатываются   Оператором (ОАО «Гомельстекло»): 

работники Оператора, бывшие работники, а также члены семьи работников;

кандидаты на трудоустройство;

уполномоченные лица контрагентов ОАО «Гомельстекло»;

физические лица, выступающие стороной по договору, физические лица -    потребители услуг, оказываемых ОАО «Гомельстекло», без заключения

договора;

посетители ОАО «Гомельстекло»;

иные лица в соответствии с целями, предусмотренными  законодательными актами.

7.2  Общие    категории     обрабатываемых    персональных    данных     всоответствии с заявленными целями и правовыми основаниями:

фамилия, собственное имя, отчество;

идентификационный номер;

пол;

число, месяц, год (далее - дата) рождения;

место рождения;

цифровой фотопортрет;

данные о гражданстве (подданстве);

национальность;

данные о регистрации по месту жительства и (или) месту пребывания;

данные о смерти или объявления субъекта персональных данных умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;

данные о семейном положении, супруге, ребенке (детях) (фамилия, собственное имя, отчество, дата рождения, данные о регистрации по месту жительства и (или) пребывания, место работы (учёбы), контактные данные);

данные об образовании (наименование учреждения образования, дата зачисления и окончания учреждения образования, полученная специальность, профессия, (квалификация, учёная степень, учёное звание и дата их присуждения, присвоения);

сведения о прежних местах (месте) работы, занимаемая должность (профессия);

сведения о трудовой деятельности;

сведения о пенсии, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

данные о налоговых обязательствах;

сведения об исполнении воинской обязанности и воинском учете;

сведения о состоянии здоровья, влияющие на выполнение трудовой функции, в том числе об инвалидности (группа инвалидности, дата установления, причина инвалидности, срок на который установлена инвалидность);

данные страхового свидетельства государственного социального страхования;

сведения   о       судимости, привлечении      к административной ответственности;

сведения о членстве в профессиональных союзах, общественно- политических объединениях;

сведения о повышении квалификации,  о профессиональной  подготовке (переподготовке);

сведения о приеме на работу, переводе, об увольнении, о трудовых отпусках, наличии смежных профессий, дисциплинарных взысканиях, поощрениях за активное участие в общественной, культурной и спортивной жизни предприятия;

сведения о заработной плате;

сведения о наградах (поощрениях), почетных званиях;

сведения о социальных гарантиях;

сведения о наличии социальных льгот;

сведения  о медицинских противопоказаниях;

табельный номер;

контактные данные;

данные, указанные субъектом персональных данных  в договоре;

реквизиты документов, подтверждающих персональные данные (название документа, серия, номер, дата выдачи, наименование органа, выдавшего документ);

сведения, указанные в резюме кандидата на трудоустройство;

сведения, указанные субъектом персональных данных в документе, адресованном Оператору и подписанном субъектом персональных данных (обращение, запрос, заявление и т.д.);

иные персональные данные, предоставленные в соответствии с  законодательными актами, а также на основании согласия субъекта персональных данных.

7.3 Дополнительно обрабатываются персональные данные, содержащиеся в следующих документах:

паспорт или иной документ, удостоверяющий личность;

документы об образовании;

документ о воинском учете;

свидетельство социального страхования;

трудовая книжка;

свидетельство о браке;

свидетельство о рождении детей.

8.            ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

8.1.     Оператор (ОАО «Гомельстекло») при обработке персональных данных  выполняет, в частности, сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

8.2.     В целях обеспечения сохранности и конфиденциальности персональных данных все операции с персональными данными выполняются только работниками Оператора, осуществляющими данную работу в соответствии с трудовыми обязанностями.

8.3.     Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных.

8.4.     Обработка персональных данных осуществляется в соответствии с требованиями Закона и иных  законодательных актов, правилами локальных правовых актов ОАО «Гомельстекло».

8.5.     Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом  и иными  законодательными актами.

Обработка   персональных   данных без согласия  субъекта  персональных данных осуществляется только в целях, установленных Законом и иными законодательными актами.

8.6.     Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.

8.7.     Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей.  Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.

В случае   необходимости  изменения   первоначально  заявленных   целей обработки персональных данных Оператор обязан получить  согласие субъекта

персональных данных на обработку его персональных данных в соответствии с измененными целями обработки при отсутствии иных оснований для такой обработки, предусмотренных Законом и иными законодательными актами.

8.8 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.  Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

8.9 Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом и настоящей Политикой, предоставляется соответствующая информация, касающаяся обработки его персональных данных.

8.10 Оператор обязан принимать необходимые меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их.

8.11 Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

8.12 Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

8.13 Оператор в письменной либо электронной форме обязан предоставить субъекту персональных данных до получения согласия на обработку его персональных данных информацию, содержащую:

наименование и место нахождения  Оператора, получающего согласие субъекта персональных данных;

цели обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

срок, на который дается согласие субъекта персональных данных;

информацию об уполномоченных лицах (за исключением работников Оператора) в случае, если обработка персональных данных будет осуществляться такими лицами на основании договора с Оператором;

перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Оператором способов обработки персональных данных;

иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

До получения согласия субъекта персональных данных Оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена Оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

8.14 Письменное согласие субъекта персональных данных должно включать:

фамилию, собственное имя, отчество (если таковое имеется);

дату рождения;

идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность;

наименование и место нахождения Оператора;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

срок, в течение которого действует согласие;

способ  отзыва согласия;

подпись  субъекта персональных данных.

Форма согласия – приложение к настоящей Политике.

8.15 Субъект персональных данных вправе отозвать свое согласие в порядке, определенном Законом.

8.16 Оператор обязан предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных, в порядке, установленном Законом.

8.17 Обработка персональных данных осуществляется Оператором следующими способами:

с использованием средств автоматизации;

без использования средств автоматизации, обеспечивая обработку персональных данных и (или) доступ к ним по определённым критериям.

8.18 Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в информационную систему. Доступ к информационной системе предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей.

8.19 Неавтоматизированная обработка персональных данных осуществляется таким образом, чтобы персональные данные обособлялись от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах и обеспечивался поиск персональных данных и (или) доступ к ним по определенным критериям (журнал, карточка, список и т.д.).

8.20  Обязанности лиц, осуществляющих обработку персональных данных, по соблюдению установленного законодательством о персональных данных порядка обработки персональных данных:

соблюдать и выполнять установленный Законом и локальными правовыми актами порядок обработки и защиты персональных данных;

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать в необходимых случаях согласие субъекта персональных данных на обработку его персональных данных;

принимать меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок актуализации персональных данных установлен законодательными актами либо если цели обработки персональных данных не предполагают изменение таких данных в последующем;

обработку персональных данных ограничивать достижением конкретных, заранее заявленных законных целей;

обработку персональных данных осуществлять соразмерно заявленным целям их обработки;

обеспечивать соответствие содержания и объема обрабатываемых персональных данных заявленным целям их обработки;

осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;

предоставлять и распространять персональные данные только при наличии соответствующего правового основания;

обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам;

при возникновении при обработке персональных данных спорных вопросов привлекать уполномоченных лиц, ответственных за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных;

незамедлительно уведомлять нанимателя о нарушениях систем защиты персональных данных;

исполнять законные требования уполномоченных органов об устранении нарушений законодательства о персональных данных;

обеспечивать сохранность носителей персональных данных в установленном порядке;

выполнять иные обязанности, предусмотренные Законом и локальными правовыми актами предприятия  по обработке и защите персональных данных.

8.21 Лицам, имеющим право обработки или доступа к персональным данным, запрещается:

предоставлять доступ к персональным данным неуполномоченным физическим или юридическим лицам;

вносить изменения в персональные данные, не соответствующие документам либо фактическим обстоятельствам;

блокировать персональные данные работников от других уполномоченных пользователей;

копировать и распространять персональные данные для личных целей, целей, не связанных с должностными обязанностями;

предоставлять персональные данные уполномоченным лицам без письменных запросов (требований);

удалять (уничтожать) без законных оснований персональные данные на бумажных или электронных носителях;

осуществлять иные неправомерные действия в отношении персональных данных.

8.22 Условия предоставления должностному лицу доступа к работе с персональными данными, обрабатываемыми Оператором:

ознакомление с Законом, настоящей Политикой и иными нормативными правовыми и локальными правовыми актами по вопросам обработки и защиты персональных данных;

издание распорядительного документа о допуске;

оформление дополнения в должностную инструкцию в части требований по обработке и защите персональных данных.

9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

9.1 Оператор принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним,  изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных,  а также от иных неправомерных действий в отношении персональных данных.

9.2  К правовым мерам  относятся:

разработка, внедрение и применение локальных правовых актов по обработке и защите персональных данных на предприятии;

включение в соглашения, заключаемые ОАО  с контрагентами, требований соблюдения конфиденциальности и обеспечения безопасности персональных данных субъектов при их обработке;

оформление дополнений в должностные инструкции  лиц, ответственных за организацию работы по обработке персональных данных, и  работников, осуществляющих обработку персональных данных;

публикация на официальном сайте ОАО «Гомельстекло» настоящей Политики, обеспечение доступа к ней.

9.3  К организационным мерам относятся:

ознакомление работников ОАО «Гомельстекло» с требованиями Закона и локальными правовыми актами  в области работы с персональными данными;

издание внутренних документов по вопросам обработки персональных данных, а также локальных правовых  актов, устанавливающих порядок и процедуры,  направленные на безопасную обработку  персональных данных, предотвращение и выявление нарушений при обработке  персональных данных, устранение последствий таких нарушений;

назначение должностных лиц,  допущенных к обработке персональных данных;

установление конкретного объема обрабатываемых персональных данных конкретными  работниками Оператора;

установление порядка допуска работников Оператора к персональным данным и  информационным ресурсам (системам), содержащим персональные данные;

обеспечение внутреннего контроля за соблюдением работниками предприятия, осуществляющими  обработку  персональных данных, требований  Закона и локальных  правовых актов, регламентирующих обработку персональных данных,  а также контроля  за принимаемыми мерами по обеспечению защиты персональных данных;

реализация  разграничения, ограничения доступа работников  к документам, информационным ресурсам, техническим средствам и носителям информации, информационным системам;  

обеспечение  учета  действий с персональными данными, обрабатываемыми с использованием компьютерных устройств;

регулярный мониторинг безопасности персональных данных, совершенствование системы их защиты;

организация обучения и проведение методической работы с работниками  подразделений предприятия, которые осуществляют обработку персональных данных;

получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательными  актами, когда такое согласие не требуется;

обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях персональных данных;

обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

использование защищенных  каналов передачи данных,  обеспечение безопасности  персональных  данных при их передаче по открытым каналам связи;

хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

сообщение в установленном порядке субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных, если иное не установлено законодательными актами;

прекращение обработки и уничтожение или блокировка персональных данных в случаях, предусмотренных законодательными актами в области обработки и защиты персональных данных;

совершение иных действии, предусмотренных  законодательством Республики Беларусь в  области персональных данных;

9.4       К техническим мерам по защите персональных данных относятся меры, установленные  в рамках обеспечения   режима безопасности информации.

10. ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ  ДАННЫХ.

10.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, содержащей:

наименование и место нахождения Оператора;

подтверждение факта обработки персональных данных Оператором;

его персональные данные и источник их получения;

правовые основания и цели обработки персональных данных;

наименование и местонахождение  уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручено такому лицу;

срок, на который дано согласие;

иную информацию, предусмотренную законодательством.

10.2 Предоставление сведений, указанных в пункте 10.1, осуществляется посредством подачи субъектом персональных данных Оператору заявления в письменной форме либо в виде электронного документа.

10.3  Заявление субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных  данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных,

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

10.4 Сведения, касающиеся обработки персональных данных, либо отказ в предоставлении таких сведений с указанием причин отказа, должны быть предоставлены субъекту персональных данных Оператором в доступной форме в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных за исключением случаев, предусмотренных Законом и иными  законодательными  актами.

10.5 Оператор вносит изменения в персональные данные, которые являются неполными, устаревшими или неточными, а также прекращает обработку персональных данных, их удаление или блокирование при отсутствии оснований для их обработки, предусмотренных Законом и иными законодательными актами.

10.6 При внесении изменений в персональные данные по требованию (заявление)  субъекта персональных данных,  Оператор  обязан в пятнадцатидневный срок после получения заявления в письменной форме либо в виде электронного документа, содержащего данные, указанные в пункте 10.3, с приложением соответствующих документов, внести изменения в персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений.

10.7  В случае прекращения обработки персональных данных по требованию (заявление)  субъекта персональных данных, Оператор обязан в пятнадцатидневный срок после получения заявления в письменной форме либо в виде электронного документа, содержащего данные, указанные в пункте 10.3, прекратить обработку персональных данных, а также осуществить их удаление и уведомить об этом субъекта персональных данных.

При отсутствии технической возможности удаления персональных данных, Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами, в том числе, если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.

10.8 В случае получения заявления от субъекта персональных данных относительно информации  о  предоставлении его персональных данных третьим лицам, Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных  предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении. Субъект персональных данных вправе получать такую информацию один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.

11. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ. ОТВЕТСТВЕННОСТЬ. 

11.1 Контроль за соблюдением структурными подразделениями и работниками Оператора  законодательства  и  локальных правовых актов при обработке персональных данных осуществляется с целью оценки соответствия процесса обработки персональных данных в ОАО «Гомельстекло» законодательству, а также полноты применяемых мер, направленных на предотвращение и своевременное выявление нарушений законодательства при обработке персональных данных, возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

11.2 Контроль за соблюдением работниками и структурными подразделениями ОАО «Гомельстекло»  Закона  и локальных правовых актов  в области персональных данных, в том числе требований к защите персональных данных, производится лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных у Оператора.

11.3 Ответственность работников, осуществляющих обработку персональных данных, за нарушение требований  Закона и  локальных правовых актов в сфере обработки и защиты персональных данных определяются в соответствии с законодательством Республики Беларусь.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.

12.1 Настоящая Политика является общедоступным документом и опубликована на сайте ОАО «Гомельстекло».

12.2 ОАО «Гомельстекло» имеет право вносить изменения в настоящую Политику.

12.3 Субъекты персональных данных, чьи персональные данные обрабатываются в ОАО «Гомельстекло», могут получить разъяснения по вопросам своих персональных данных, а также реализовать свои права и законные интересы, направив письменный запрос по адресу: 246030, г.Гомель, ул. Михаила Ломоносова, 25.