1. Общие положения

1.1. Политика обработки персональных данных в республиканском унитарном предприятии «Центр информационных технологий Министерства труда и социальной защиты Республики Беларусь» (далее по тексту – Предприятие) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых на Предприятии персональных данных, функции и обязанности Предприятия при обработке персональных данных, права субъектов персональных данных, а также меры по обеспечению защиты персональных данных.

1.2. Термины и их определения используются в значениях, определенных в статье 1 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-З).

1.3. Политика в отношении обработки персональных данных на Предприятии (далее – Политика) определяет любое действие (операцию) или совокупность действий (операций), по обработке персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.

1.4. Политика разработана с учетом требований Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона № 99-З и иных нормативных правовых актов Республики Беларусь.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных Предприятием осуществляется на основе следующих принципов:

— законность обработки персональных данных;

— соразмерность обработки персональных данных заявленным целям их обработки, ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;

— целевое использование данных;

— получение согласия субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных законодательными актами;

— прозрачность процессов обработки персональных данных. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных, в соответствии с законодательством.

3. Цели обработки персональных данных

3.1. Персональные данные обрабатываются Предприятием в следующих целях:

— осуществления финансово-хозяйственной деятельности, реализации прав и законных интересов Предприятия, в рамках осуществления деятельности, согласно Устава и иными локальными правовыми актами Предприятия, либо достижения общественно значимых целей;

— регулирования трудовых отношений с работниками Предприятия;

— подготовки, заключения, исполнения и прекращения договоров с контрагентами;

— назначения и выплаты пенсий, пособий;

— осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Предприятие, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;

— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;

— обработки обращений и запросов, получаемых от субъектов персональных данных;

— в иных законных целях.

4. Перечень субъектов и обрабатываемых на Предприятии персональных данных

4.1. Все обрабатываемые Предприятием персональные данные являются конфиденциальной, охраняемой информацией в соответствии с законодательством.

4.2. Перечень персональных данных, обрабатываемых на Предприятии, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Предприятия с учетом целей обработки персональных данных, указанных в Главе 3 Политики.

4.3. Предприятие в целях надлежащего исполнения своих обязанностей обрабатывает персональные данные следующих субъектов:

— работники Предприятия, бывшие работники Предприятия, кандидаты на занятие вакансий;

— представители и/или работники контрагентов и клиентов Предприятия, являющихся юридическими лицами или индивидуальными предпринимателями, потребители услуг Предприятия;

— лиц, получающих доход на основании гражданско-правового договора с Предприятием;

— лица, предоставившие Предприятию персональные данные иным путем.

5. Условия и способы обработки персональных данных

5.1. Обработка персональных данных происходит с использованием и без использования средств автоматизации.

5.2. К обработке персональных данных допускаются только работники, указанные в перечне лиц, имеющих доступ к персональным данным.

5.3. Работники, имеющие доступ к персональным данным, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых обязанностей.

5.4. Предприятие, в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лицам с соблюдением требований законодательства Республики Беларусь.

5.5. Внесение изменений в персональные данные субъекта персональных данных производится на основании заявления такого субъекта персональных данных, на основании официальных документов, содержащих персональные данные субъекта персональных данных и в иных случаях, предусмотренных законодательством Республики Беларусь.

5.6. Персональные данные хранятся не дольше, чем этого требуют цели их обработки, и подлежат удалению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.7. Согласие на обработку персональных данных, не требуется:

— для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

— при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

— в целях назначения и выплаты пенсий, пособий;

— при получении персональных данных Предприятием на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

— при обработке персональных данных, когда они указаны в документе, адресованном Предприятию и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

— в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

6. Функции и обязанности Предприятия при осуществлении обработки персональных данных

6.1. Предприятие при осуществлении обработки персональных данных:

— принимает меры, необходимые и достаточные для обеспечения защиты персональных данных и обеспечения выполнения требований законодательства Республики Беларусь;

— назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;

— назначает лицо, ответственное за техническую защиту персональных данных;

— осуществляет ознакомление работников Предприятия, в том числе с положениями законодательства Республики Беларусь и локальными правовыми актами Предприятия в области персональных данных, обучение;

— публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

— осуществляет иные функции, предусмотренные ст. 16 Закона № 99-З.

7. Права субъекта персональных данных

7.1. Субъект персональных данных имеет право:

— на получение информации, касающейся обработки Предприятием его персональных данных;

— на внесение изменений в свои персональные данные;

— на получение информации о предоставлении своих персональных данных третьим лицам;

— на отзыв согласия субъекта персональных данных;

— на требование прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки;

— на обжалование действия/бездействий и решения Предприятия, относящегося к обработке его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством.

8. Меры по обеспечению защиты персональных данных

8.1. Предприятие принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2. Предприятием определен состав и перечень мер, для обеспечения защиты персональных данных, включающие:

— назначение лиц, ответственного за осуществление внутреннего контроля за обработкой персональных данных и ответственного за техническую защиту персональных данных;

— издание локальных правовых актов Предприятия, определяющих политику Предприятия в отношении обработки персональных данных;

— ознакомление работников Предприятия с положениями законодательства о персональных данных, локальными правовыми актами Предприятия в отношении обработки персональных данных, в том числе с требованиями по защите персональных данных;

— обучение работников Предприятия в порядке, установленном законодательством.

8.3. Предприятие прекращает обработку персональных данных в следующих случаях:

— наступления условий прекращения обработки персональных данных или по истечении установленных сроков;

— достижения целей их обработки либо в случае утраты необходимости в достижении этих целей;

— требования субъекта персональных данных, а также, если обрабатываемые персональные данные являются неполными, устаревшими, неточными или при отсутствии оснований для обработки персональных данных, предусмотренных законодательством Республики Беларусь;

— выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;

— отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Предприятием исключительно на основании согласия субъекта персональных данных);

— ликвидации Предприятия.

9. Информация о Предприятии

9.1. Республиканское унитарное предприятие «Центр информационных технологий Министерства труда и социальной защиты Республики Беларусь», Республика Беларусь, 220004, г. Минск, пр-т Победителей, 23, корп. 2, каб. 712.

10. Заключительные положения

10.1. Предприятие при необходимости в одностороннем порядке вносит в настоящую Политику соответствующие изменения. Субъекты персональных данных самостоятельно получают на Сайте информацию об изменениях.

10.2. Настоящая Политика является внутренним документом Предприятия, и подлежит размещению на сайте Предприятия www.cit-mintrud.by.

10.3. Предприятие вправе по своему усмотрению изменять и (или) дополнять Политику. Изменения и дополнения, вносимые в Политику, будут вступать в силу с даты их утверждения, если Предприятием не определено иное.