Политика конфиденциальности
В отношении обработки персональных данных
Глава 1
Общие положения
1. Политика обработки персональных данных в ООО «Дифенс» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «Дифенс» персональных данных, функции ООО «Дифенс» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «Дифенс» требования к защите персональных данных.
2. Политика разработана с учетом требований Конституции, законодательных и иных НПА Республики Беларусь в области персональных данных.
3. Положения Политики служат основой для разработки локальных правовых актов регламентирующих в ООО «Дифенс» вопросы обработки персональных данных работников ООО «Дифенс» и других субъектов персональных данных.
Глава 2
Законодательные акты и иные НПА Республики Беларуси, которые определяют политику обработки данных В ООО «Дифенс»
Глава 3
4. Политика обработки персональных данных в ООО «Дифенс» определяется в соответствии со следующими НПА:
4.1. Конституция;
4.2. Трудовой кодекс;
4.3. Закон от 07.05.2021 № 99-З «О защите персональных данных»;
4.4. Закон от 21.07.2008 № 418-З «О регистре населения»;
4.5. Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
4.6. иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
5. В целях реализации положений Политики в ООО «Дифенс» разрабатываются соответствующие ЛПА и иные документы, в том числе:
5.1. Положение об обработке и защите персональных данных в ООО «Дифенс» (приложение 1);
5.2. иные ЛПА и документы, регламентирующие в ООО «Дифенс» вопросы обработки персональных данных.
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛПА ООО «Дифенс», РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. Блокирование персональных данных – прекращение доступа к персональным данным без их удаления.
7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
8. Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
9. Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
11. Персональные данные – любая информация, относящаяся к идентифицированному физлицу или физлицу, которое может быть идентифицировано.
12. Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
13. Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
14. Субъект персональных данных – физлицо, в отношении которого осуществляется обработка персональных данных.
15. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства.
16. Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
17. Физлицо, которое может быть идентифицировано, – физлицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
18. Информация – сведения (сообщения, данные) независимо от формы их представления.
19. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Глава 4
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
20. ООО «Дифенс», являясь оператором персональных данных, осуществляет обработку персональных данных работников ООО «Дифенс» и других субъектов персональных данных, не состоящих с ООО «Дифенс» в трудовых отношениях.
21. Обработка персональных данных в ООО «Дифенс» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ООО «Дифенс» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
21.1. обработка персональных данных осуществляется на законной и справедливой основе;
21.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
21.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
21.4. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;
21.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
21.6. обработка персональных данных носит прозрачный характер. Субъекту персональных данных в может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
21.7. оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
21.8. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
22. Персональные данные обрабатываются в ООО «Дифенс» в целях:
22.1. обеспечения соблюдения Конституции, законодательных и иных НПА Республики Беларусь, ЛПА ООО «Дифенс»;
22.2. осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на ООО «Дифенс», в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы;
22.3. подготовки, заключения, исполнения и прекращения договоров с контрагентами;
22.4. формирования справочных материалов для внутреннего информационного обеспечения деятельности ООО «Дифенс»;
22.5. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
22.6. осуществления прав и законных интересов ООО «Дифенс» в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛПА ООО «Дифенс», либо достижения общественно значимых целей;
22.7. в иных законных целях.
Глава 5
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ООО «Дифенс»
23. Работники ООО «Дифенс»;
24. Кандидаты на рабочие места;
25. Физические лица, состоящие с ООО «Дифенс» в гражданско-правовых отношениях;
26. Физические лица, являющихся контрагентами (клиентами, заказчиками) ООО «Дифенс»;
27. Другие субъектов персональных данных.
28. Работники и иные представители контрагентов — юридических лиц (клиентов, заказчиков);
29. Иных субъектов, взаимодействие которых с ООО «Дифенс» создает необходимость обработки персональных данных.
Глава 6
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ООО «Дифенс»
30. Перечень персональных данных, обрабатываемых в ООО «Дифенс», определяется в соответствии с законодательством Республики Беларусь и ЛПА ООО «Дифенс» с учетом целей обработки персональных данных, указанных в настоящей Политике.
31. Обработка специальных персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, в ООО «Дифенс» не осуществляется.
Глава 7
ФУНКЦИИ ООО «Дифенс» ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
32. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и ЛПА ООО «Дифенс» в области персональных данных.
33. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
34. Издает ЛПА, определяющие политику и вопросы обработки и защиты персональных данных в ООО «Дифенс».
35. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
36. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь.
37. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.
38. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
Глава 8
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «Дифенс»
39. Обработка персональных данных в ООО «Дифенс» осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
40. ООО «Дифенс» без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
41. Доступ к обрабатываемым в ООО «Дифенс» персональным данным разрешается только работникам ООО «Дифенс», занимающим должности, включенные в перечень должностей структурных подразделений администрации ООО «Дифенс», при замещении которых осуществляется обработка персональных данных.
Глава 9
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
42. ООО «Дифенс» осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
43. Обработка персональных данных в ООО «Дифенс» осуществляется следующими способами:
43.1. с использованием средств автоматизации;
43.2. без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
Глава 10
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
44. Отзыв согласия субъекта персональных данных.
45. Получение информации, касающейся обработки персональных данных, и изменение персональных данных.
46. Требование прекращения обработки персональных данных и (или) их удаления.
47. Обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
Глава 11
МЕРЫ, ПРИНИМАЕМЫЕ ООО «Дифенс» ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
48. Меры, необходимые и достаточные для обеспечения выполнения ООО «Дифенс» обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
48.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
48.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
48.3. получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
48.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Дифенс»;
48.5. издание документов, определяющих политику ООО «Дифенс» в отношении обработки персональных данных;
48.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных в ООО «Дифенс», с положениями законодательства о персональных данных;
48.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
48.8. осуществление технической и криптографической защиты персональных данных в ООО «Дифенс» в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
48.9. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику ООО «Дифенс» в отношении обработки персональных данных, до начала такой обработки;
49.10. прекращение обработки персональных данных при отсутствии оснований для их обработки;
49.11. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
49.12. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
49.13. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
50. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с ЛПА ООО «Дифенс», регламентирующими вопросы обеспечения безопасности персональных данных при их обработке.
Глава 12
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ООО «Дифенс» В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
51. Контроль за соблюдением структурными подразделениями администрации ООО «Дифенс» законодательства Республики Беларусь и ЛПА ООО «Дифенс» в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях администрации ООО «Дифенс» законодательству Республики Беларусь и ЛПА ООО «Дифенс» в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
52. Внутренний контроль за соблюдением структурными подразделениями администрации ООО «Дифенс» законодательства Республики Беларусь и ЛПА ООО «Дифенс» в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в ООО «Дифенс».