Политика предприятия в отношении обработки персональных данных
|
УТВЕРЖДЕНО приказ генерального директора Могилевского торгово – производственного республиканского унитарного предприятия «Фармация» от 5 ноября 2021 г. № 207-П |
ПОЛИТИКА ПРЕДПРИЯТИЯ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА I
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ принят во исполнение абзаца третьего п.3 ст. 17 Закона Республики Беларусь «О защите персональных данных» от 7 мая 2021 г. № 99-З и определяет политику Могилевского РУП «Фармация», расположенного по адресу: 212030 г. Могилев, ул. Первомайская, 59, (далее - Предприятие) в отношении обработки персональных данных (далее - Политика).
1.2. Целью Политики является обеспечение защиты персональных данных, прав и свобод физических лиц при обработке Предприятием их персональных данных.
1.3. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых на предприятии персональных данных, функции предприятия при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
1.4. Политика разработана в соответствии со следующими нормативными правовыми актами (далее - НПА):
Конституцией Республики Беларусь;
Трудовым кодексом Республики Беларусь;
Указом Президента Республики Беларусь от 25 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» (далее - Указ № 422);
Законом Республики Беларусь «О защите персональных данных» от 7 мая 2021 г. № 99-З (далее - Закон);
Законом Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;
Законом Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;
иными НПА.
1.5. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих вопросы обработки персональных данных работников предприятия и других субъектов персональных данных (далее вместе - субъекты персональных данных).
1.6. Основные термины и определения, используемые в Политике, используются в понятиях, установленных Законом.
ГЛАВА II
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Предприятие, являясь оператором персональных данных, осуществляет обработку персональных данных (далее - ПД) субъектов персональных данных (далее - СПД).
2.2. Обработка ПД осуществляется с учетом необходимости обеспечения защиты прав и свобод СПД, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка ПД осуществляется на законной и справедливой основе;
обработка ПД осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
обработка ПД осуществляется с согласия СПД, за исключением случаев, предусмотренных законодательными актами;
обработка ПД ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка ПД, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых ПД соответствуют заявленным целям их обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям их обработки;
обработка ПД носит прозрачный характер;
СПД может предоставляться соответствующая информация, касающаяся обработки его ПД;
оператор принимает меры по обеспечению достоверности обрабатываемых им ПД, при необходимости обновляет их;
ПД хранятся в форме, позволяющей идентифицировать СПД, не дольше, чем этого требуют заявленные цели обработки ПД.
2.3. ПД обрабатываются в целях:
обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных НПА, локальных правовых актов (далее – ЛПА);
осуществления функций, полномочий и обязанностей, возложенных законодательством на Предприятие;
регулирования трудовых и связанных с ними правоотношений с работниками предприятия;
защиты жизни, здоровья или иных жизненно важных интересов СПД;
работы с контрагентами;
формирования справочных материалов для внутреннего информационного обеспечения деятельности Предприятия;
представления пользователям информационных ресурсов Предприятия информации об оказываемых услугах, оказание дополнительных услуг, предоставление доступа к резервированию и заказу товаров, реализуемых в аптеках Предприятия;
своевременного предоставления ответов по электронному обращению;
иных целей, для осуществления прав и законных интересов в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛПА Предприятия, либо достижения общественно значимых целей.
ГЛАВА III
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ НА ПРЕДПРИЯТИИ
3.1. На Предприятии обрабатываются ПД следующих категорий СПД:
соискателей работы;
работников Предприятия;
бывших работников Предприятия;
физических лиц, с которыми заключены договоры подряда;
учащихся средних специальных учреждений образования и студентов высших учреждений образования, проходящих практику на Предприятии;
граждан, находящихся в служебной командировке на Предприятии (командированные) и т.п.;
контрагентов и партнеров;
физических лиц, рецепты которых обрабатываются в аптеках Предприятия;
физических лиц, являющихся пользователями информационных ресурсов Предприятия;
других СПД (для обеспечения реализации целей обработки, указанных в главе II Политики).
ГЛАВА IV
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ НА ПРЕДПРИЯТИИ
4.1. Перечень ПД, обрабатываемых на Предприятии, определяется в соответствии с законодательством и ЛПА с учетом целей обработки ПД, указанных в главе II Политики.
4.2. ПД обрабатываются как с согласия СПД, так и без такого согласия в случаях, установленных статьями 6,8 Закона (относительно основных, специальных ПД, а также при трансграничной передаче ПД).
Перечень таких персональных данных устанавливается в ЛПА.
4.3. На Предприятии также обрабатываются ПД, полученные в результате использования СПД информационных ресурсов Предприятия.
Предприятие обрабатывает ПД пользователей информационных ресурсов Предприятия только в случае отправки ПД через формы, расположенные на сайте Предприятия https://mogpharm.by. Отправляя свои ПД Предприятию, пользователь выражает свое согласие с данной Политикой.
Пользователь, заполнивший сведения, составляющие ПД, на сайте https://mogpharm.by или на любых его страницах, разместивший иную информацию обозначенными действиями, а также проставивший галочку в чек – боксе «Согласие на обработку персональных данных», подтверждает свое согласие на обработку своих ПД и передачу их Предприятию.
4.4. Обработка биометрических ПД в Предприятии допускается только при наличии согласия в письменной форме СПД, за исключением случаев, предусмотренных законодательством.
ГЛАВА V
ФУНКЦИИ ПРЕДПРИЯТИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Предприятие (в качестве оператора) обязано принимать правовые, организационные и технические меры по обеспечению защиты ПД от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления ПД, а также от иных неправомерных действий в отношении ПД (ст.17 Закона).
5.2. Предприятие при осуществлении обработки ПД:
издает ЛПА, определяющие Политику и вопросы обработки и защиты ПД на Предприятии;
принимает меры согласно главе 9 Политики, необходимые и достаточные для обеспечения выполнения требований законодательства и ЛПА в области ПД;
принимает меры для защиты ПД в процессе их обработки;
осуществляет ознакомление работников Предприятия, непосредственно осуществляющих обработку ПД, с нормами законодательства и ЛПА в области ПД, в том числе требованиями к защите ПД, и обучает указанных работников;
обеспечивает неограниченный доступ к Политике путем размещения ее на официальном сайте Предприятия https://mogpharm.by;
сообщает в установленном порядке СПД или их представителям информацию о наличии ПД, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПД при обращении и (или) поступлении запросов указанных СПД или их представителей, если иное не установлено законодательством;
прекращает обработку и уничтожает ПД в случаях, предусмотренных законодательством в области ПД;
совершает иные действия, предусмотренные законодательством в области ПД.
ГЛАВА VI
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. ПД на Предприятии обрабатываются с согласия СПД на обработку его ПД, если иное не предусмотрено законодательством в области ПД.
6.2. Предприятие вправе поручить обработку ПД от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
6.3. Доступ к обрабатываемым ПД разрешается только работникам Предприятия, занимающим должности служащих, включенные в перечень должностей служащих структурных подразделений Предприятия, имеющих доступ к обработке ПД, установленный ЛПА.
ГЛАВА VII
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
7.1. Предприятие осуществляет обработку ПД (любое действие или совокупность действий, совершаемые с ПД, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
7.2. ПД обрабатываются следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск ПД и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);
смешанный способ.
7.3. ПД хранятся:
на бумажных носителях;
в форме компьютерных файлов;
в специализированных системах, информационных ресурсах (системах), обеспечивающих автоматическую обработку, хранение информации.
ГЛАВА VIII
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. СПД имеют право согласно ст.ст.10-13 Закона посредством подачи оператору заявления в письменной форме либо в виде электронного документа и ст. 15 Закона на:
|
Права СПД |
Обязанности оператора |
|
в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления
|
обязан в 15-дневный срок после получения заявления СПД в соответствии с его содержанием прекратить обработку ПД, осуществить их удаление и уведомить об этом СПД |
|
получение информации, касающейся обработки своих ПД, содержащей наименование и местонахождение оператора, подтверждение факта обработки ПД оператором, его ПД и источник их получения, правовые основания и цели обработки ПД, срок, на который дано их согласие |
обязан в течение пяти рабочих дней после получения соответствующего заявления СПД предоставить ему в доступной форме информацию либо уведомить его о причинах отказа в ее предоставлении |
|
требовать от оператора внесения изменений в свои ПД в случае, если ПД являются неполными, устаревшими или неточными |
обязан в 15-дневный срок после получения заявления СПД внести соответствующие изменения в его ПД и уведомить об этом СПД либо уведомить СПД о причинах отказа во внесении таких изменений |
|
получать от оператора информацию о предоставлении своих ПД третьим лицам один раз в календарный год бесплатно |
обязан в 15-дневный срок после получения заявления СПД предоставить ему информацию о том, какие ПД этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить СПД о причинах отказа в ее предоставлении |
|
требовать от оператора бесплатного прекращения обработки своих ПД, включая их удаление, при отсутствии оснований для обработки ПД |
обязан в 15-дневный срок после получения заявления СПД прекратить обработку ПД, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) |
|
обжаловать действия (бездействие) и решения оператора, нарушающие его права при обработке ПД, в уполномоченный орган по защите прав СПД |
|
ГЛАВА IX
МЕРЫ, ПРИНИМАЕМЫЕ ПРЕДПРИЯТИЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ИСПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Меры, необходимые и достаточные для обеспечения исполнения Предприятием обязанностей оператора в области защиты ПД, включают (состав и перечень):
9.1. принятие ЛПА и иных документов в области обработки и защиты ПД;
9.2. осуществление внутреннего контроля соответствия обработки ПД Закону и принятым в соответствии с ним НПА, требованиям к защите ПД, Политике, ЛПА;
9.3. назначение структурного подразделения или лица, ответственного за внутренний контроль за обработкой ПД;
9.4. предоставление СПД информации о его ПД, а также о предоставлении его ПД третьим лицам, за исключением случаев, предусмотренных ст.ст. 6,8-9 Закона и иными законодательными актами;
9.5. предоставление СПД необходимой информации до получения их согласий на обработку ПД;
9.6. разъяснение СПД их прав, связанных с обработкой ПД;
9.7. получение письменных согласий СПД на обработку их ПД, за исключением случаев, предусмотренных законодательством, в т.ч. ст.6,8-9 Закона;
9.8. издание документов, определяющих Политику в отношении обработки ПД;
9.9. ознакомление работников, непосредственно обрабатывающих ПД, с положениями законодательства и ЛПА о ПД, в том числе с требованиями по защите ПД; обучение и проведение методической работы с такими работниками;
9.10. внесение изменений в ПД, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в ПД установлен законодательными актами либо если цели обработки ПД не предполагают последующих изменений таких данных;
9.11. установление порядка доступа к ПД, в том числе обрабатываемым в информационном ресурсе (системе);
9.12. осуществление технической и криптографической защиты ПД в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих ПД.
9.13. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет к Политике;
9.14. прекращение обработки, блокирование, удаление ПД при отсутствии оснований для их обработки;
9.15. незамедлительное уведомление уполномоченного органа по защите прав СПД о нарушениях систем защиты ПД (не позднее трех рабочих дней после того, как оператору стало известно о нарушениях);
9.16. изменение, блокирование, удаление недостоверных или полученных незаконным путем ПД;
9.17. хранение ПД в форме, позволяющей идентифицировать СПД, не дольше, чем этого требуют заявленные цели обработки ПД;
9.18. хранение материальных носителей ПД с соблюдением условий, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним;
9.19. ограничение обработки ПД достижением конкретных, заранее заявленных законных целей;
9.20. обособление ПД, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПД;
9.21. обеспечение раздельного хранения ПД и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПД;
9.22. обеспечение безопасности ПД при их передаче по открытым каналам связи;
9.23. иные меры, предусмотренные законодательством в области ПД.
ГЛАВА X
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ПРЕДПРИЯТИЯ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Контроль за соблюдением структурными подразделениями Предприятия законодательства и ЛПА в области ПД, в том числе требований к защите ПД, осуществляется с целью проверки соответствия обработки ПД в структурных подразделениях Предприятия законодательству и ЛПА в области ПД, в том числе требованиям к защите ПД, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства в области ПД, выявления возможных каналов утечки и несанкционированного доступа к ПД, устранения последствий таких нарушений.
10.2. Внутренний контроль за соблюдением структурными подразделениями Предприятия законодательства и ЛПА в области ПД, в том числе требований к защите ПД, осуществляется лицом, назначенным приказом генерального директора Предприятия.
10.3. Персональная ответственность за соблюдение требований законодательства и ЛПА Предприятия в области ПД в структурных подразделениях Предприятия, а также за обеспечение конфиденциальности и безопасности ПД в указанных структурных подразделениях возлагается на их руководителей, а также специалистов, имеющих допуск к ПД.
10.4. Уполномоченным органом по защите прав СПД, осуществляющим контроль за обработкой ПД операторами, является Национальный центр защиты персональных данных.
 |
© 2017-2023, РУП «Фармация» |    |
Работает на базе "Инсаер" |  |
