Общие положения
Настоящая Политика в отношении обработки персональных данных субъектов в ООО «Автоцентр «Атлант-М Боровая» (далее – Оператор) определяет порядок и условия обработки и защиты персональных данных, которые могут быть получены от субъектов персональных данных.
Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных, в том числе Закона Республики Беларусь от 07.05.2021 N 99-З "О защите персональных данных" (далее - Закон о защите персональных данных), Закона Республики Беларусь от 10.11.2008 N 455-З "Об информации, информатизации и защите информации", Закона Республики Беларусь от 21.07.2008 N 418-З "О регистре населения" и др.
В целях реализации положений Политики разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (приложение 1 к настоящей Политике);
иные локальные правовые акты и документы, регламентирующие вопросы обработки персональных данных.
Нормы Политики распространяются на персональные данные, полученные как до (в пределах ранее согласованных условий обработки персональных данных), так и после утверждения настоящей Политики.
Основные термины и определения(используются в локальных правовых актах оператора, регламентирующих вопросы обработки персональных данных)
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Информация - сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Физическое лицо, которое может быть идентифицировано - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Принципы и цели обработки персональных данных
Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
1. обработка персональных данных осуществляется на законной и справедливой основе;
2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
4. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
6. обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
7. оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
8. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Персональные данные обрабатываются в целях:
1. обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;
2. осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
3. регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
4. защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
5. подготовки, заключения, исполнения и прекращения договоров с контрагентами;
6. обеспечения пропускного и внутриобъектового режимов на объектах Оператора;
7. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
8. проведения опросов и исследований, направленных на выявление удовлетворенности / неудовлетворенности субъектов персональных данных автомобилем марки Mazda, Ford, Geely и иных обслуживаемых марок и / или процессом покупки автомобиля марки Mazda, Ford, Geely и иных продаваемых марок и / или услугами Оператора, у которого субъект персональных данных осуществляет гарантийный ремонт, негарантийный ремонт, доукомплектацию или техническое обслуживание принадлежащего ему автомобиля марки Mazda, Ford, Geely и иных обслуживаемых марок;
9. получения и анализа информации, которая может способствовать улучшению качества автомобилей марки Mazda, Ford, Geely и иных обслуживаемых марок, запасных частей, аксессуаров, а также качества процесса покупки автомобиля марки Mazda, Ford, Geely и иных продаваемых марок, а также качества услуг по гарантийному ремонту, негарантийному ремонту и техническому обслуживанию автомобилей марки Mazda, Ford, Geely и иных обслуживаемых марок;
10. проведения маркетинговых программ, направленных на повышение удовлетворенности клиента, построение коммуникации с клиентом, своевременное информирование о скидках, акциях, кампаниях, презентациях, персональных спецпредложениях и т.д.;
11. проведения статистических исследований;
12. предоставления информации о проведении специальных сервисных кампаний;
13. уведомления субъекта персональных данных о товарах, работах, услугах, реализуемых Оператором;
14. коммуникации с субъектом персональных данных;
15. своевременного информирования о скидках, акциях, кампаниях, презентациях, персональных спецпредложениях и т.п.
16. внутрикорпоративного, управленческого учета и анализа деятельности юридических лиц, осуществляющих свою предпринимательскую деятельность с использованием торговой марки «Атлант-М»;
17. IP-адреса устройств, с помощью которых посещается сайт Оператора, история браузера, тип устройства, тип операционной системы и компьютера, мобильного браузера, дата и время посещения сайта Оператора (сессии), обновления и удаления данных, сведения о действиях на сайте Оператора (в т.ч. о просматриваемой рекламе, использовании сервисов сайта), файлы «cookies» обрабатываются с целью улучшения работы сайта Оператора, повышения удобства и эффективности работы с сайтом Оператора, предоставления решений и услуг, наиболее отвечающих потребностям субъекта персональных данных, определения его предпочтений, отображения рекламных объявлений (поведенческой рекламы), предоставления целевой информации по решениям и услугам Оператора и его партнёров, предоставления субъекту персональных данных таргетированной рекламы на основе предпочтений/действий субъекта персональных данных на сайте Оператора посредством сервисов ВКонтакте, Facebook, Instagram, а также для обеспечения технической возможности функционирования сайта Оператора.
18. осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами, либо достижения общественно значимых целей;
19. в иных законных целях.
Записи систем видеонаблюдения (видеосъемки), аудиозаписи, установленных в помещениях Оператора, обрабатываются с целью обеспечения личной безопасности субъекта персональных данных и обеспечения сохранности имущества Оператора и субъектов персональных данных, оценки качества обслуживания сотрудниками Оператора, не используются для идентификации субъекта персональных данных и, следовательно, не являются биометрическими персональными данными субъекта персональных данных.
Перечень субъектов, персональные данные которых обрабатываются оператором
Оператором обрабатываются персональные данные следующих категорий субъектов:
· клиентов Оператора (включая лиц, заинтересованных в приобретении товаров, работ, услуг Оператора);
· работников Оператора (включая кандидатов на занятие должностей, стажёров, практикантов, физических лиц, выполняющих работу на условиях гражданско-правового договора);
· других физических лиц, данные которых предоставлены клиентами или работниками Оператора;
· других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в гл. 3 Политики).
Перечень персональных данных, обрабатываемых оператором
1. Перечень персональных данных, обрабатываемых Оператором, в отношении клиентов Оператора:
· основная информация, то есть ФИО, пол, гражданство, дата (день/месяц/год) и место рождения, адрес/сведения о регистрации/проживании, почтовый индекс, сведения, содержащиеся в документе, удостоверяющем личность;
· сведения о владении автомобилем (-ями), то есть сведения о марке и модели принадлежащего субъекту персональных данных автомобиля, идентификационный номер (VIN) автомобиля, информация о работах (услугах), выполненных (оказанных) Оператором для субъекта персональных данных, в т.ч. гарантийное и постгарантийное обслуживание автомобиля;
· контактные данные и сведения об активности на сайтах, то есть адрес электронной почты, телефон (мобильный), контакты в чатах и других электронных ресурсах, информация из социальной сети, к которой субъект персональных данных предоставил доступ, включая сетевой идентификатор (ID) своего аккаунта в социальных сетях, информационных системах Оператора, контакты или список «друзей», а также информация, которую субъект персональных данных опубликовал, сделав общедоступной, информация об отзывах, оставленных на сайтах и в мобильном приложении Оператора, IP-адреса устройств, используемых субъектом персональных данных в ходе взаимодействия с Оператором, их модели, история браузера, тип устройства, тип операционной системы и компьютера, мобильного браузера, файлы «cookies», сведения о действиях на сайтах Оператора, дата и время посещения сайта Оператора (сессии), обновления и удаления данных, в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Google Tag Manager, Mixpanel, Hotjar и других;
· информация о профессиональном и социальном статусе, то есть сведения об образовании, навыках, профессии, занятости, месте работы, поведенческих особенностях, семейном положении, составе семьи, информация о наличии детей, информация о наличии домашних питомцев, информация об увлечениях и хобби.
· финансовая информация, то есть о размере текущего дохода, наличии непогашенного кредита, лизинга.
2. Перечень персональных данных, обрабатываемых Оператором, в отношении работников Оператора (включая кандидатов на занятие должностей, стажёров, практикантов, физических лиц, выполняющих работу на условиях гражданско-правового договора):
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- контактные данные;
- сведения об образовании, опыте работы, квалификации;
- персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах;
изображение (фотография);
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- индивидуальный номер налогоплательщика;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения об удержании алиментов;
- сведения о доходе с предыдущего места работы;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
- сведения о членах семьи работников Оператора, включая фамилия, имя, отчество; степень родства; год рождения;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
3. Перечень персональных данных, обрабатываемых Оператором, в отношении других субъектов персональных данных, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в гл. 3 Политики.
4. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, Оператором не осуществляется.
Функции оператора при осуществлении обработки персональных данных
Оператор при осуществлении обработки персональных данных:
1. принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных;
2. принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
3. назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
4. осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
5. публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
6. сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
7. прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
8. совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
Условия обработки персональных данных
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
Предоставляя персональные данные других физических лиц (родственников, знакомых, друзей и др.) Оператору, субъект персональных данных гарантирует, что им получено согласие этих лиц на передачу их персональных данных для обработки Оператору в соответствии с целями обработки персональных данных.
Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора в соответствии с п. 11 Политики.
Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка персональных данных.
Перечень действий с персональными данными и способы их обработки
Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
Обработка персональных данных осуществляется следующими способами:
· с использованием средств автоматизации;
· без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
Права субъектов персональных данных
Субъекты персональных данных имеют право на:
- отзыв согласия на обработку персональных данных;
- получение информации, касающейся обработки своих персональных данных;
- изменение своих персональных данных;
- получение информации о предоставлении своих персональных данных третьим лицам;
- требовать прекращения обработки персональных данных;
- требовать удаления своих персональных данных;
- обжаловать действия (бездействия) и решения Оператора, связанные обработкой персональных данных.
Указанные права субъектов персональных данных могут быть реализованы путем подачи заявлений по адресу: 223053, Республика Беларусь, Минская обл., Минский район, район д. Боровая, 2, 3-й этаж, оф. пом.№12 / email (для электронных документов) info@borovaya.by. Формы соответствующих заявлений определены в приложениях к Политике.
Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.
Если в заявлении субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Субъекту персональных данных может быть отказано в предоставлении информации в соответствии с п. 3 ст. 11 Закона о персональных данных.
Меры, принимаемые оператором для обеспечения выполнения обязанностей при обработке персональных данных
Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
3. получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
4. назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
5. издание документов, определяющих политику в отношении обработки персональных данных;
6. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, и документами, определяющими политику в отношении обработки персональных данных;
7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
8. осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
9. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;
10. прекращение обработки персональных данных при отсутствии оснований для их обработки;
11. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
12. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
13. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
14. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.
Поручение обработки
Оператор вправе поручить обработку персональных данных уполномоченному лицу.
В договоре между Оператором и уполномоченным лицом должны быть определены:
· цели обработки персональных данных;
· перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
· обязанности по соблюдению конфиденциальности персональных данных;
· меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
Договор между Оператором и уполномоченным лицом заключается по форме согласно приложению к Политике, если только необходимость иной формы договора не обусловлена особенностями взаимодействия между Оператором и уполномоченным лицом в каждом конкретном случае.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.
В случае если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.
Приложение № 1
к Политике в отношении обработки персональных данных
ООО «Автоцентр «Атлант-М Боровая»
ПОЛОЖЕНИЕ
о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Оператора, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.2. Обеспечение конфиденциальности персональных данных не требуется в случае:
обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных);
для общедоступных персональных данных (персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов).
1.3. Перечни персональных данных и ответственных за хранение и обработку персональных данных утверждаются приказом руководителя Оператора. Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению руководителя Оператора или иного лица, уполномоченного на это руководителем Оператора. Соответствующие работники должны быть ознакомлены под подпись со всеми локальными правовыми актами Оператора в области персональных данных, а также должны подписать обязательство неразглашения персональных данных.
1.4. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Оператор предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:
знакомит работника под подпись с требованиями Политики оператора в отношении обработки персональных данных, с Положением об обработке и защите персональных данных, с настоящим Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные, с должностной инструкцией и иными локальными правовыми актами в сфере обеспечения конфиденциальности и безопасности персональных данных;
предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);
обучает правилам эксплуатации средств защиты информации;
проводит иные необходимые мероприятия.
1.5. Должностным лицам Оператора, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных. Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.
1.6. Должностные лица Оператора, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.
1.7. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.
1.8. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством Республики Беларусь, Политикой оператора в отношении обработки персональных данных, Положением об обработке и защите персональных данных, настоящим Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные, должностной инструкцией и иными локальными правовыми актами Оператора в сфере обеспечения конфиденциальности и безопасности персональных данных.
1.9. Должностные лица Оператора, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) главному специалисту по информационной безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.
1.10. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
1.11. Отсутствие контроля со стороны Оператора за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.
2. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.
2.2. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:
определяет места хранения персональных данных (материальных носителей);
осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
организует раздельное, т.е. не допускающее смешения, хранение материальных носителей персональных данных (документов, дисков, дискет, USB-флеш-накопителей, пр.), обработка которых осуществляется в различных целях.
2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
2.4. При несовместимости целей обработки персональных данных руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.
2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.
3. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ
3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети Оператора (далее - КСО). Безопасность персональных данных при их обработке в КСО обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в КСО информационные технологии. Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Республики Беларусь требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в КСО, в установленном порядке проходят процедуру оценки соответствия.
3.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа руководителя Оператора при наличии паролей доступа.
3.3. Работа с персональными данными в КСО должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.
3.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа.
3.5. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе сети Интернет, запрещается.
3.6. При обработке персональных данных в КСО пользователями должно быть обеспечено:
а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
3.7. При обработке персональных данных в КСО разработчиками и администраторами информационных систем должны обеспечиваться:
а) обучение лиц, использующих средства защиты информации, применяемые в КСО, правилам работы с ними;
б) учет лиц, допущенных к работе с персональными данными в КСО, прав и паролей доступа;
в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
д) описание системы защиты персональных данных.
3.8. Специфические требования по защите персональных данных в отдельных автоматизированных системах Оператора определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.
4. ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ТВЕРДЫМИ КОПИЯМИ И ИХ УТИЛИЗАЦИИ
4.1. Все находящиеся на хранении и в обращении у Оператора съемные носители (диски, дискеты, USB-флеш-накопители, пр.), содержащие персональные данные, подлежат учету. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
4.2. Учет и выдачу съемных носителей персональных данных осуществляют работники отдела инженерно-технической поддержки эксплуатации. Работники Оператора получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета), который ведется в отделе инженерно-технической поддержки эксплуатации. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.
4.3. При работе со съемными носителями, содержащими персональные данные, запрещается:
хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т.д.
4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения Оператора.
4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено руководителю Оператора. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.