ПОЛИТИКА
ООО «ПМИ инжиниринг» в отношении обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика общества с ограниченной ответственностью «ПМИ инжиниринг» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатываются обществом с ограниченной ответственностью «ПМИ инжиниринг» (далее - Общество, Оператор).
Требования настоящей Политики обязательны для исполнения всеми работниками Общества, получившими в установленном порядке доступ к персональным данным.
1.3. Положения Политики являются основой для организации работы по обработке персональных данных в ООО «ПМИ инжиниринг». Политика распространяет своё действие на обрабатываемые оператором персональные данные, которые были получены как до, так и после ввода в действие настоящей Политики, и служат основой для разработки локальных правовых актов, регламентирующих в Обществе вопросы обработки, защиты, обеспечения конфиденциальности персональных данных.
1.4. При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями, иными нормативными правовыми актами до внесения соответствующих изменений в Политику.
1.5. Политика составлена в соответствии с законодательством Республики Беларусь и определяет принципы, цели, условия и способы обработки персональных данных, перечень субъектов персональных данных и обрабатываемых персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
В случае изменения наименований структурных подразделений Общества, осуществляющих действия в соответствии с настоящей Политикой, установленные Политикой требования к обработке персональных данных реализуются соответствующими структурными подразделениями Общества до внесения изменений в настоящую Политику.
1.6. Политика разработана с учётом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (автоматизации).
2.2. Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
2.3. Блокирование персональных данных – прекращение доступа к персональным данным без их удаления.
2.4. Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
2.5. Информация - сведения (сообщения, данные) независимо от формы их представления.
2.6. Кандидат - физическое лицо, претендующее на вакантную должность в Обществе.
2.7. Контрагент - физическое или юридическое лицо, в том числе индивидуальный предприниматель, выступающие одной из сторон сделки.
2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.9. Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
2.10. Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
2.11. Оператор – ООО «ПМИ инжиниринг», осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.12. Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
2.13. Пользователь - любой посетитель сайта https: www.pmi.by.
2.14. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.15. Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
2.16. Сайт (веб-сайт) - совокупность графических и информационных материалов, текстов, дизайна, видеоматериалов и иных результатов интеллектуальной деятельности оператора, а также программ для ЭВМ, обеспечивающих их доступность в сети Интернет по сетевому адресу https: www.pmi.by.
2.17. Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
2.18. Уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.
2.19. Уполномоченный орган - Национальный центр защиты персональных данных Республики Беларусь.
3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества, его контрагентов, пользователей и иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей, не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям обработки;
- содержание и объём обрабатывающих персональных данных соответствует заявленных целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Обществом принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Республики Беларусь, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Республики Беларусь.
3.2. Персональные данные обрабатываются в Обществе в следующих целях:
- обеспечение соблюдения законодательства Республики Беларусь;
- выполнение функций, полномочий и обязанностей, возложенных на Общество законодательством, Уставом;
- регулирование трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение, ведение кадрового резерва, привлечение и отбор кандидатов на работу в Обществе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и материальных ценностей);
- организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- осуществление гражданско-правовых отношений;
- осуществление функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Общество, в том числе по предоставлению персональных данных в Министерство труда и социальной защиты, Фонд социальной защиты населения, а также в иные государственные органы;
- предоставление работникам Общества и членам их семей дополнительных гарантий и компенсаций;
- защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- обеспечение пропускного и внутриобъектового режимов на объектах Общества;
- формирование справочных материалов для внутреннего информационного обеспечения деятельности Общества;
- реализация прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Общества, либо достижения общественно значимых целей;
- исполнение судебных актов, актов государственных органов и иных организаций, а также должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
- трансграничная передача персональных данных субъектов уполномоченным лицам для возможности осуществления деятельности Оператора;
- установление с пользователем обратной связи;
- подтверждение достоверности и полноты персональных данных, предоставленных пользователем (в случае необходимости);
- предоставление доступа пользователю к сервисам, информации и (или) материалам, содержащимся на сайте https: www.pmi.by;
- продвижение услуг и работ, оказываемых и выполняемых, и улучшение их качества;
- в иных целях, вытекающих из требований законодательства.
4. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ОБЩЕСТВЕ
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в главе 3 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Обществом обрабатываются персональные данные следующих категорий субъектов:
работников и бывших работников Общества;
членов семьи работников Общества;
кандидатов для приема на работу;
субъектов персональных данных, обработка персональных данных которых связана с исполнением договоров, стороной которого либо выгодоприобретателем по которому является субъект;
пользователей сайта https: www.pmi.by;
контрагентов (физических лиц) Общества;
представителей (работников) контрагентов Оператора (юридических лиц);
других субъектов персональных данных, обработка которых необходима для реализации целей обработки, указанных в главе 3 Политики.
5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАБЫВАЕМЫХ В ОБЩЕСТВЕ
5.1. Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества с учётом целей обработки персональных данных, указанных в главе 3 Политики.
5.2. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, религиозных или других убеждений, интимной жизни, а также генетических персональных данных, в Обществе не осуществляется.
6. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор принимает следующие меры, необходимые для обеспечения выполнения обязанностей Оператора, предусмотренных законодательством Республики Беларусь о персональных данных, включая, но не ограничиваясь:
назначение лиц, ответственных за организацию обработки персональных данных в Обществе;
принятие локальных правовых документов, регулирующих вопросы обработки и защиты персональных данных;
публикация на официальном сайте Общества настоящей Политики, обеспечение доступа к ней, а также к сведениям о реализуемых требованиях к защите персональных данных, не относящихся к сведениям конфиденциального характера;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
осуществление внутреннего контроля соответствия обработки персональных данных законодательству Республики Беларусь о персональных данных, требованиям к защите персональных данных, настоящей Политике, локальным нормативным документам;
оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения Оператором законодательства о персональных данных и, исходя из указанной оценки, принятие решения о перечне мер, необходимых для обеспечения безопасности персональных данных;
осуществление внутреннего контроля за соблюдением работниками Общества, осуществляющими работу с персональными данными субъектов, требований законодательства Республики Беларусь и ЛПА, а также контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
реализация разграничения, ограничения доступа работников к документам, информационным ресурсам, техническим средствам и носителям информации, информационным системам и связанным с их использованием работам;
регулярный мониторинг безопасности персональных данных, совершенствование системы их защиты;
организация обучения и проведение методической работы с работниками структурных подразделений Общества, которые осуществляют обработку персональных данных;
получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь, когда такое согласие не требуется;
обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях персональных данных;
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
сообщение в установленном порядке субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
прекращение обработки и уничтожение или блокировка персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
совершение иных действий, предусмотренных законодательством Республики Беларусь в области персональных данных.
7. УСЛОВИЯ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВОМ
7.1. Персональные данные в Обществе обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в сфере защиты персональных данных.
7.2. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
7.3. Общество вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
Договор должен содержать цели обработки персональных данных, перечень действий, которые будут совершаться с персональными данными уполномоченным лицом, обязанности по соблюдению конфиденциальности персональных данных, меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона о защите персональных данных.
7.4. Обработка персональных данных Обществом осуществляется следующими способами:
-неавтоматизированная обработка персональных данных;
-автоматизированная обработка персональных данных;
-смешанная обработка персональных данных.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.5. В целях внутреннего информационного обеспечения Общество может создавать общедоступные внутренние справочные материалы, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, номер телефона, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
7.6. Доступ к обрабатываемым Обществом персональным данным разрешается только уполномоченным работникам по работе с персональными данными.
8. ТРЕБОВАНИЯ К СРОКАМ ОБРАБОТКИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Требования к срокам обработки персональных данных субъектов персональных данных, обрабатываемых в Обществе, определяются внутренними документами Общества в соответствии с требованиями действующего законодательства.
8.2. Сроки обработки персональных данных устанавливаются в согласии на обработку персональных данных субъекта персональных данных.
8.3. Обработка персональных данных без согласия субъекта возможна только в установленных законом случаях.
8.4. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных.
8.5. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, установленных законодательством, отзыве согласия на обработку персональных данных субъектом персональных данных.
8.6. По истечении срока обработки персональные данные уничтожаются или обезличиваются для использования в статистических или иных исследовательских целях.
9. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
9.1. Субъекты персональных данных, персональные данные которых обрабатываются Оператором, имеют право на:
-получение информации, касающейся обработки своих персональных данных, содержащей наименование и местонахождение Общества, подтверждение факта обработки персональных данных Обществом, их персональные данные и источник их получения, правовые основания и цели обработки персональных данных, срок, на который дано их согласие;
- отзыв согласия на обработку персональных данных;
- внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
- обжалование действия (бездействия) и решения Общества, нарушающие их права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных;
- защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;
-осуществление иных прав, предусмотренных законодательством о персональных данных.
9.2. Оператор вправе:
- получать документы, содержащие персональные данные от субъектов персональных данных либо от представителей субъекта персональных данных;
- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством.
9.3. Оператор обязан:
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- обеспечивать защиту персональных данных в процессе их обработки;
-уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
- получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев предусмотренных Законом № 99-З и иными законодательными актами.
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательством либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;
- исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
- выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.
10. ОСНОВНЫЕ ФУНКЦИИ И ПРАВА ОТВЕТСТВЕННЫХ ЗА ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Организация работы по осуществлению внутреннего контроля за обработкой персональных данных возлагается отдел правового обеспечения, бухгалтерию и отдел информационных технологий и административно-хозяйственной части по направлениям.
10.2. Организация работы по осуществлению внутреннего контроля за обработкой персональных данных включает в себя:
- разработку совместно с заинтересованными структурными подразделениями Общества ЛПА по вопросам защиты персональных данных;
- мониторинг соблюдения в структурных подразделениях Общества требований законодательства и ЛПА в сфере защиты персональных данных, а также контроль наличия в указанных подразделениях условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- организацию ознакомления работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных, с нормами законодательства и ЛПА в сфере защиты персональных данных, в том числе с требованиями по защите персональных данных, и обучения указанных работников;
- внесение предложений о назначении работников структурных подразделений Общества, ответственных за реализацию настоящей Политики и иных ЛПА по вопросам защиты персональных данных.
10.3. Структурные подразделения и работники Общества, ответственные за осуществление внутреннего контроля за обработкой персональных данных, вправе:
- запрашивать и получать в установленном порядке от структурных подразделений и работников Общества сведения и материалы, необходимые для надлежащего выполнения функций, определенных настоящей Политикой и иными ЛПА в сфере защиты персональных данных;
- вносить на рассмотрение уполномоченных лиц Общества предложения, направленные на устранение причин и условий, способствующих совершению нарушений законодательства и ЛПА в сфере защиты персональных данных, а также на совершенствование внутреннего контроля за обработкой персональных данных;
- принимать участие в мероприятиях, проводимых в структурных подразделениях Общества по вопросам, касающимся обеспечения защиты персональных данных;
- требовать от структурных подразделений и должностных лиц Общества принятия в соответствии с компетенцией необходимых мер к соблюдению требований законодательства и ЛПА в сфере защиты персональных данных;
- привлекать работников Общества, обладающих необходимыми знаниями и компетенцией в технической или в иных сферах, к обучению работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных;
- вносить в установленном порядке предложения о привлечении к дисциплинарной ответственности работников, нарушивших требования законодательства и ЛПА в сфере защиты персональных данных;
- выполнять иные обязанности, предусмотренные ЛПА и организационно-распорядительными документами Общества.
10.4. Функции, права и обязанности структурных подразделений Общества при обработке и осуществлении защиты персональных данных определяются ЛПА.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Во исполнение требований п.4 ст.17 Закона о защите персональных данных настоящая Политика является общедоступной. Неограниченный доступ к Политике обеспечивается путем ее опубликования на официальном сайте https: www.pmi.by.
11.2. ООО «ПМИ инжиниринг» имеет право вносить изменения в настоящую Политику.
11.3. Субъекты персональных данных, чьи персональные данные обрабатываются ООО «ПМИ инжиниринг», могут получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 220070, Минск, ул. Солтыса, 96, пом. 3, или в электронной форме по адресу: yuru@pmi.by/