Положение о защите персональных данных

УТВЕРЖДЕНО
Приказ директора ООО «ДНК ТРЕЙД» 03.01.2024 №6/3

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ


ГЛАВА 1
Общие положения

1. Настоящее Положение об обработке и защите персональных данных (далее – Положение) определяет порядок обработки персональных данных в ООО «ДНК ТРЕЙД» (далее – Организация), включая порядок доступа к персональным данным, порядок осуществления внутреннего контроля, порядок рассмотрения заявлений субъектов персональных данных, порядок ведения реестра обработок персональных данных.
2. Положение и изменения к нему утверждаются директором Организации.
3. Настоящее Положение разработано с учетом требований Конституции Республики Беларусь, Закона Республики Беларусь от 7 мая 2021 г. N° 99-3 «О защите персональных данных» (далее - Закон о защите персональных данных), иных актов законодательства, регулирующих отношения в сфере обработки персональных данных, и служит основой для дальнейшей разработки и издания локальных актов, регламентирующих порядок обработки и обеспечения защиты персональных данных.
4. Обработка персональных данных осуществляется в соответствии с Законом Республики Беларусь от 7 мая 2021 г.№ 99-З «О защите персональных данных» (далее – Закон № 99-З).
5. Организация при обработке персональных данных обеспечивает соразмерность обработки персональных данных заявленным целям и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.
6. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иным законодательством.
6.1. До принятия решения о получении согласия на обработку персональных данных, лицо, непосредственно осуществляющее обработку персональных данных, должно сначала проверить наличие законного правового основания для обработки персональных данных, предусмотренного статьями 6 и 8 Закона № 99-З, а также иным законодательством. Правовые основания обработки персональных данных должны согласоваться с лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных (далее – лицо, ответственное за ОВК), и юрисконсультом, и в обязательном порядке вносится в реестр обработок персональных данных.
7. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки. Лица, непосредственно осуществляющие обработку персональных данных, несут персональную ответственность за обработку персональных данных для целей, отличных от первоначально заявленных. Предоставление персональных данных третьим лицам без получения согласия субъекта персональных данных осуществляется только в случаях, предусмотренных законодательством, на основании официального запроса третьего лица с указанием целей предоставления персональных данных, перечня необходимых для предоставления персональных данных, правового основания предоставления персональных данных.
8. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Лицо, непосредственно осуществляющие обработку персональных данных, несут персональную ответственность за сбор персональных данных в большем объеме, чем этого требует цель обработки персональных данных.
9. Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом № 99-З, предоставляется соответствующая информация, касающаяся обработки персональных данных и предоставления персональных данных третьим лицам.
10. В Организации принимаются меры по обеспечению достоверности обрабатываемых персональных данных, которые при необходимости обновляются. Достоверность персональных данных обеспечивается. в том числе: путем резервного копирования информации, в том числе персональных данных; реализацией права субъекта персональных данных на изменение своих персональных данных; путем контроля за изменением персональных данных, обрабатываемых в информационных системах, в том числе посредством разграничения прав пользователей информационной системы.
11. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
12. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и глобальной сети Интернет.
13. Работа с персональными данными в электронном виде осуществляется работниками посредством использования персональных рабочих компьютеров. Вход в систему работником осуществляется посредством идентификации и аутентификации – путем ввода логина и пароля. Пароли определяются системным администратором с учетом следующих требований: длина пароля должна быть не менее 8 символов; в числе символов обязательно должны присутствовать минимум одна прописная буква, одна строчная буква, цифра и специальный символ ($, @, #, %, & и т.п.); пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, даты рождения и т.п.); пароль не должен быть часто употребляемым словом; пароль не должен содержать ФИО, дату рождения, номер телефона, номер, автомобиля, название организации.
14. Запрещается:
14.1. передача паролей другим работникам;
14.2. передача паролей от системного администратора пользователю при помощи почтовых сообщений либо иным другим открытым способом через Интернет;
14.3. оставлять пароль, записанный на бумажном носителе, в доступном для посторонних лиц месте (в том числе на рабочем столе, экране монитора);
14.4. вводить пароль от учетной записи при посторонних лицах.
15. В случае утраты пароля или его компрометации системным администратором производится смена пароля. При замене пароля новое значение должно отличаться от предыдущего не менее чем на четыре символа.
16. Любая информация, поступающая на персональный рабочий компьютер по телекоммуникационным каналам, а также с иных материальных (съемных) носителей, подлежит обязательному антивирусному контролю с использованием антивирусных средств.
17. Разархивирование и антивирусный контроль такой информации осуществляются работником непосредственно после ее приема.
18. Антивирусный контроль отправляемой с компьютера (записываемой с него на иной материальный (съемный) носитель) информации осуществляется работником непосредственно перед ее архивированием и отправкой (записью на иной материальный (съемный) носитель).
19. При обработке персональных данных работникам запрещается:
19.1. предоставлять персональные данные устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо реализации законодательства;
19.2. оставлять без присмотра документы и другие носители информации, содержащие персональные данные, разрешать их фотографирование или копирование;
19.3. хранить документы и другие носители, содержащие персональные данные, в условиях, допускающих доступ к ним посторонних лиц;
19.4. передавать ключи от мест хранения персональных данных посторонним лицам;
19.5. выносить документы и другие носители информации, содержащие персональные данные, за пределы рабочего кабинета (помещений организации), если это не требуется для выполнения служебных обязанностей;
19.6. использовать в качестве черновиков документы, содержащие персональные данные;
19.7. производить уничтожение документов способом, позволяющим восстановить информацию, содержащую персональные данные;
19.8. обсуждать порядок доступа, места хранения, средства и методы защиты персональных данных с кем-либо, кроме ответственных за осуществление внутреннего контроля за обработкой персональных данных и лиц, ответственных за техническую и криптографическую защиту информации, иных должностных лиц, уполномоченных на обсуждение данных вопросов.
20. Лица, непосредственно осуществляющие обработку персональных данных, несут персональную ответственность за соблюдение требований законодательства персональных данных, Положения и иных локальных правовых актов Организации в сфере обработки и защиты персональных данных.

ГЛАВА 2
Порядок доступа к персональным данным

1. Доступ к персональным данным в Организации предоставляется:
работникам Организации;
работникам иных организаций, заключивших с Организацией гражданско-правовой договор на оказание услуг (выполнение работ);
индивидуальным предпринимателям, физическим лицам, заключивших с Организацией гражданско-правовой договор на оказание услуг (выполнение работ).
2. Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется Организацией.
3. Работникам, непосредственно осуществляющим обработку персональных данных, предоставляется доступ к персональным данным исходя из занимаемой должности в день приема на работу – системным администратором создается учетная запись работника и предоставляется соответствующий доступ к информационным системам (ресурсам).
Отзыв предоставленных прав осуществляется системным администратором при помощи средств управления правами доступа к соответствующим системам (ресурсам).
4. Права доступа работника:
изменяются – в случаях перевода работника на другую должность;
прекращаются – в случае увольнения работника (в день увольнения, о чем сообщается системному администратору работником отдела кадров).
Доступ к персональным данным может быть также прекращен на основании:
организационно-распорядительного документа (приказа, поручения, указания) директора Организации (лица, исполняющего его обязанности);
иного документа с резолюцией директора Организации (лица, исполняющего его обязанности);
устного распоряжения директора Организации (лица, исполняющего его обязанности).
5. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе, путем ознакомления с настоящим Положением) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством о персональных данных и настоящим Положением.
6. Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
7. Временный доступ к персональным данным работнику предоставляется системным администратором по устному распоряжению директора Организации (лица, исполняющего его обязанности) или руководителя соответствующего структурного подразделения.
8. Работникам Организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
9. Перечень должностных лиц, имеющих доступ к персональным данным, обрабатываемым как автоматизированным, так и не автоматизированным способом, определен в Приложении 1 к настоящему Положению.
10. Доступ к персональным данным работникам иных организаций и индивидуальным предпринимателям, заключивших с Организацией гражданско-правовой договор на оказание услуг (выполнение работ), предоставляется исключительно в целях исполнения обязательств по заключенному гражданско-правовому договору.
Порядок предоставления доступа к персональным данным лицам, указанным в части первой настоящего пункта, регламентируется настоящим Положением и положениями заключенных гражданско-правовых договоров.

ГЛАВА 3
Порядок хранения персональных данных

1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и их защиту от несанкционированного доступа.
2. В Организации осуществляется хранение персональных данных, содержащихся на бумажных носителях, и в электронном виде.
3. Бумажные носители, содержащие персональные данные, хранятся в специально отведенных для этого местах (в том числе в закрываемых шкафах, тумбах, стеллажах в рабочих кабинетах работников, помещении, предназначенном для хранения архивов), которые обеспечивают их сохранность и защиту от несанкционированного доступа.
4. Персональные данные в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Организацией информационных систем и специально обозначенных Организацией баз данных (внесистемное хранение персональных данных) не допускается.
5. Хранение персональных данных, содержащихся на бумажных носителях, в Организации осуществляется:
децентрализовано в каждом структурном подразделении, работники которого непосредственно осуществляют обработку персональных данных, соответственно – для бумажных носителей, необходимых для выполнения должностных обязанностей работниками;
централизованно в архивном помещении – для бумажных носителей, переданных в архив.
6. Передача бумажных носителей, содержащих персональные данные, в архив осуществляется самостоятельно структурными подразделения по истечение надобности бумажного носителя, содержащего персональные данные.
7. Хранение персональных данных в электронном виде осуществляется на серверах Организации, персональных рабочих компьютерах работников, а также на съемных носителях, принадлежащих Организации и (или) работникам Организации.
8. Ответственность за сохранность и защиту персональных данных в электронном виде, хранящихся на сервере Организации, несет системный администратор.
Ответственность за сохранность персональных данных и защиту в электронном виде, хранящихся на персональных рабочих компьютерах работников, а также на съемных носителях, несут работники, в пользовании которых находятся персональные рабочие компьютеры и съемные носители соответственно.
9. Сроки хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством об архивном деле и делопроизводстве.
При определении сроков хранения персональных данных Организация руководствуется сроками, определенными Перечнем типовых документов, утвержденным постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 (далее - Перечень).
Сроки хранения персональных данных, обрабатываемых в Организации, определяются в документах, определяющих политику Организации в отношении обработки персональных данных и в реестре обработок персональных данных.
10. Если срок хранения персональных данных субъектов персональных данных не определен законодательством об архивном деле и делопроизводстве, в том числе Перечнем, то срок хранения персональных данных самостоятельно руководителями структурных подразделений, работники которых непосредственно обрабатывают персональные данные с обязательным согласованием срока хранения с лицом, ответственным за ОВК).
11. По истечении сроков хранения персональных данных, определенных в Организации, персональные данные подлежат уничтожению (удалению) в порядке, предусмотренным настоящим Положением.
12. Ответственность за своевременную передачу персональных данных, содержащихся на бумажных носителях, в архив, за своевременное уничтожение (удаление) персональных данных возлагается на руководителей структурных подразделений, работники которых непосредственно обрабатывают персональные данные.
Текущий контроль за сроками хранения персональных данных осуществляется руководителями структурных подразделений.
Плановый и общий контроль за сроками хранения и своевременностью уничтожения (удаления) персональных данных осуществляется лицом, ответственным за ОВК, в рамках осуществления внутреннего контроля.

ГЛАВА 4
Порядок уничтожения (удаления) персональных данных

1. Основаниями для уничтожения (удаления) персональных данных являются:
1.1. достижение цели обработки персональных данных (в случае, если законодательством об архивном деле и делопроизводстве не установлена обязанность Организации осуществлять хранение персональных данных);
1.2. истечение сроков хранения персональных данных;
1.3. отзыв субъектом персональных данных согласия на обработку персональных данных;
1.4. требование субъекта персональных данных об уничтожении (удалении) персональных данных;
1.5. требование Национального центра защиты персональных данных Республики Беларусь об уничтожении (удалении) персональных данных.
2. При наличии хотя бы одного из оснований, предусмотренных пунктом 44 настоящего Положения, персональные данные, содержащиеся на бумажных носителях, подлежат уничтожению с использованием шредера.
Организация в целях осуществления уничтожения персональных данных на бумажных носителях может привлекать стороннюю организацию, оказывающие услуги о утилизации бумажных носителей.
3. Персональные данные в электронном виде подлежат удалению.
В случае невозможности удаления персональных данных, персональные данные блокируются.
4. В случае, если документы на бумажных, иных материальных носителях, содержащие персональные данные, содержат, в том числе, иную информацию, необходимую для осуществления деятельности Организации, лицом, ответственным за ОВК, при содействии системного администратора производится удаление или обезличивание части персональных данных, если это допускается материальным носителем, способом, исключающем дальнейшую обработку этой части персональных данных, с сохранением возможности обработки иной части персональных данных.
5. Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется лицом, ответственным за ОВК, по предложению структурного подразделения.
Удаление персональных данных в электронном виде осуществляется комиссией, в состав которой входят системный администратор и лицо, ответственное за ОВК.
5.1. Руководитель структурного подразделения, в котором возникла необходимость уничтожения персональных данных, содержащихся на бумажных носителях, и (или) удаления персональных данных в электронном виде извещает об этом лицо, ответственное за ОВК посредством докладной записки.
5.2. После получения докладной записки, указанной в пункте 48.1 Положения, лицо, ответственное за ОВК:
оценивает необходимость уничтожения (удаления) персональных данных;
проверяет основания для уничтожения (удаления) персональных данных;
проверяет наличие копий персональных данных, подлежащих уничтожению (удалению);
принимает решение об уничтожении (удалении) персональных данных или об отказе в уничтожении (удалении) персональных данных.
6. По результатам уничтожения (удаления) персональных данных составляется акт об уничтожении (удалении) персональных данных по форме согласно Приложению 2 к настоящему Положению.
7. Акт об уничтожении (удалении) персональных данных составляется в день уничтожения (удаления) персональных данных лицом, ответственным за ОВК, и подписывается указанным лицом, и системным администратором (при его участии в удалении персональных данных).
8. Хранение актов об уничтожении (удалении) персональных данных осуществляется централизованно в рабочем кабинете лица, ответственного за ОВК.

ГЛАВА 5
Порядок работы с согласиями на обработку персональных данных

1. Согласие на обработку персональных данных представляет собой самостоятельное основание обработки персональных в Организации и применяется в случаях, когда Законом № 99-З и иным законодательством не предусмотрено иное правовое основание обработки персональных данных.
Согласие на обработку персональных данных может быть получено в письменной форме, а также иным электронным способом.
Формы согласий на обработку персональных данных в Организации определяются лицом, ответственным за ОВК, совместно с подразделениями, в которых осуществляется обработка персональных данных на основании согласия на обработку персональных данных.
2. В Организации осуществляется сбор согласий на обработку персональных данных:
работников Организации;
членов семей работников;
соискателей;
представителей контрагентов, потребителей.
3. Сбор согласий на обработку персональных данных работников Организации, членов их семей и соискателей осуществляется для целей, не связанных с приемом на работу и осуществлением трудовой деятельности.
3.1. Сбор, а также хранение согласий на обработку персональных данных работников Организации, членов их семей и соискателей осуществляется работниками отдела кадров.
3.2. Примерная форма согласий на обработку персональных данных работников Организации, членов их семей и соискателей определяется Политикой обработки персональных данных в процессе осуществления трудовой деятельности и иными документами, определяющими политику Организации в отношении обработки персональных данных.
3.3. При получении согласия на обработку персональных данных работников Организации, членов их семей и соискателей работник отдела кадров обязан:
проинформировать работника о целях, на которые дается согласие на обработку персональных данных, правах субъекта персональных данных и механизме реализации таких прав, о последствиях дачи согласия субъекта персональных данных или отказа в даче такого согласия;
предоставить работнику информацию о правах субъекта персональных данных;
после информирования предоставить работнику согласие на обработку персональных данных и получить его однозначное согласие на обработку персональных данных для конкретной цели обработки (работник проставляет свою подпись в соответствующей графе «Согласен»/«Не согласен»);
проверить правильность и полноту заполнения всех полей формы согласия на обработку персональных данных.
4. Сбор согласий на обработку персональных данных представителей контрагентов, потребителей осуществляется для целей, не связанных с заключением договора, и осуществляется работниками отдела маркетинга (для согласий на обработку персональных данных, полученных в письменной форме) и системным администратором (для согласий на обработку персональных данных, полученных иным электронным способом, в том числе через интернет-сайт Организации).
4.1. Хранение согласий на обработку персональных данных осуществляется:
- в отделе маркетинга (для согласий на обработку персональных данных, полученных в письменной форме);
- на серверах Организации (для согласий на обработку персональных данных, полученных иным электронным способом, в том числе через интернет-сайт Организации).
4.2. При получении согласия на обработку персональных данных в письменной форме работники отдела маркетинга обязаны соблюдать требования пункта 54.3 Положения.
5. Ответственность за централизованный сбор согласий на обработку персональных данных работников, членов их семей, соискателей правильность их заполнения и хранение возлагается на руководителя отдела кадров.
Ответственность за централизованный сбор согласий на обработку персональных данных представителей контрагентов, потребителей правильность их заполнения и хранение возлагается на руководителя отдела маркетинга.

ГЛАВА 6
Порядок рассмотрения заявлений субъектов персональных данных

1. Для реализации в Организации прав субъектов персональных данных, предусмотренных Законом № 99-З, в Организации организовано рассмотрение заявлений субъектов персональных данных.
Заявления субъектов персональных данных могут быть поданы субъектами персональных в форме письменного заявления.
2. Заявления субъектов персональных данных подлежат отдельной регистрации с присвоением индекса «/ПД».
Рассмотрение заявлений субъектов персональных данных и подготовка ответов по результатам рассмотрения таких заявлений осуществляется лицом, ответственным за ОВК.
Лицо, ответственное за ОВК, несет ответственность за полноту ответа на заявление субъекта персональных данных, а также за соблюдение сроков подготовки ответа на заявление субъекта персональных данных.
3. Заявление субъекта персональных данных подлежит проверке лицом, ответственным за ОВК, на соответствие требованиям, определенным в статье 14 Закона № 99-З.
В случае несоответствия заявления субъекта персональных данных требованиям, определенным в статье 14 Закона № 99-З, заявление субъекта персональных данных не подлежит рассмотрению по существу, о чем сообщается в ответе субъекту персональных данных.
4. При получении заявления субъекта персональных данных с требованием об отзыве согласия на обработку персональных данных, лицо, ответственное за ОВК, в 15 (пятнадцатидневный) срок:
принимает меры по прекращению обработки персональных данных (сообщает работникам, непосредственно обрабатывающим персональные данные о том, что обработка персональных данных конкретного субъекта персональных данных прекращается);
принимает меры по уничтожению (удалению) персональных данных в порядке, предусмотренном главой 4 настоящего Положения;
готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных.
5. При получении заявления субъекта персональных данных с требованием о предоставлении информации, касающейся обработки персональных данных, лицо, ответственное за ОВК, в течение 5 (пяти) рабочих дней готовит ответ на заявление субъекта персональных данных, который должен содержать:
наименование Организации и ее место нахождения;
правовые основания обработки персональных данных;
категории персональных данных и источник их получения;
цели обработки персональных данных;
срок, на который дано его согласие (в случае обработки персональных данных на основании согласия);
наименование и место нахождения уполномоченного лица, если обработка персональных данных поручена такому лицу;
порядок обжалования решения Организации в части обработки персональных данных субъекта персональных данных.
6. При получении заявления субъекта персональных данных с требованием об изменении его персональных данных лицо, ответственное за ОВК, в 15 (пятнадцатидневный) срок:
рассматривает заявление и предлагающиеся к нему документы (их копии), подтверждающие необходимость внесения изменений в персональные данные;
при наличии оснований для внесения изменений в персональные данные сообщает работникам, непосредственно осуществляющих обработку персональных данных, о необходимости внесения соответствующих изменений в персональные данные;
готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных.
7. При получении заявления субъекта персональных данных с требованием о предоставлении информации о том, кому предоставлялись персональные данные, лицо, ответственное за ОВК, в 15 (пятнадцатидневный) срок готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных.
Информация о предоставлении персональных данных третьим лицам предоставляется субъекту персональных данных за последний календарный год, предшествующий дате подачи заявления.
Ответ на заявление субъекта персональных данных должен содержать:
наименование лиц, которым предоставлялись персональные данные;
перечень предоставленных персональных данных;
цель предоставления персональных данных;
правовое основание предоставления персональных данных;
дату предоставления персональных данных;
разъяснения для субъекта персональных данных, что право на получение информации о предоставлении персональных данных третьим лицам в этом календарном году уже реализовано.
8. При получении заявления субъекта персональных данных с требованием о прекращении обработки персональных данных, в том числе об их уничтожении (удалении) лицо, ответственное за ОВК, в 15 (пятнадцатидневный) срок рассматривает заявление, готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных.
В ответе на заявление субъекта персональных данных должны содержаться сведения о возможности либо невозможности прекращения обработки персональных данных, в том числе уничтожения (удаления).
9. При необходимости получения информации для подготовки ответа на заявление субъекта персональных данных лицо, ответственное за ОВК, имеет право запросить необходимую информацию у структурных подразделений.
Структурное подразделение обязано предоставить информацию, необходимую для подготовки ответа на заявление субъекта персональных данных, не позднее 2 (двух) рабочих дней со дня получения запроса лица, ответственного за ОВК.
10. Ответственность за своевременность предоставления информации, необходимой для подготовки ответа на заявление субъекта персональных данных, и ее полноту лежит на руководителе структурного подразделения, которое непосредственно предоставляет информацию для подготовки ответа на заявление субъекта персональных данных.

ГЛАВА 7
Порядок ведения реестра обработок персональных данных

1. Для целей упорядочивания обработок персональных данных, контроля за сроками хранения персональных данных, соотношения целей обработки персональных данных и правовых оснований обработки персональных данных в Организации ведется Реестр обработок персональных данных (далее – Реестр) по форме согласно приложению 3.
2. В Реестр вносятся следующие сведения:
Цель обработки персональных данных;
Лицо (подразделение), непосредственно осуществляющее обработку персональных данных;
Категории субъектов персональных данных;
Перечень обрабатываемых персональных данных;
Категории получателей персональных данных;
Правовое основание обработки персональных данных;
Срок хранения персональных данных.
3. Правовое основание обработки персональных данных обязательно должно содержать ссылку на положения статей 4, 6, 8 и 9 Закона № 99-З.
4. Предоставление персональных данных между структурными подразделениями, в том числе работниками Организации не вносятся в Реестр.
5. Ведение Реестра обеспечивается лицом, ответственным за ОВК.
6. Хранение Реестра осуществляется на персональном рабочем компьютере лица, ответственного за ОВК.
Резервная копия Реестра хранится на сервере Организации.
7. При необходимости лицом, за ОВК, могут вносится изменения в форму Реестра.
8. Сведения для Реестра предоставления предоставляются структурными подразделениями по требованию лица, ответственного за ОВК, в течение 5 (пяти) рабочих дней со дня требования о предоставлении информации для Реестра.
Ответственность за своевременность предоставления и полноту информации, указанной в части первой настоящего пункта, несут руководители структурных подразделений.
9. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, работники, непосредственно осуществляющие обработку персональных данных, направляют лицу, ответственному за ОВК, предложения о дополнении Реестра, изменении сведений в нем или исключении их из него в течение 5 (пяти) рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.
10. Пересмотр Реестра с целью его актуализации производится лицом, ответственным за ОВК, по мере необходимости, но не реже одного раза в год.
11. Резервное копирование Реестра осуществляется лицом, ответственным за ОВК, на внешний жесткий диск (иной съемный носитель) не реже одного раза в три месяца.

ГЛАВА 8
Порядок осуществления внутреннего контроля за обработкой персональных данных

1. Целями осуществления внутреннего контроля за обработкой персональных данных (далее – внутренний контроль) являются:
проверка выполнения работниками требований законодательства о персональных данных, документов, определяющих политику Организации в отношении обработки персональных данных, и локальных правовых актов Организации в сфере защиты персональных данных;
оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;
оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;
выявление и упреждение нарушений законодательства о персональных данных;
оказание методической помощи работникам по вопросам обработки персональных данных.
2. Внутренний контроль в Организации осуществляется лицом, ответственным за ОВК, в форме:
плановых проверок соблюдения работниками, непосредственно осуществляющими обработку персональных данных, а также работниками, имеющими доступ к персональным данным, законодательства о персональных данных, требований документов, определяющих политику Организации в отношении обработки персональных данных, и иных локальных правовых актов в сфере защиты персональных данных (далее – плановые проверки);
внеплановых проверок соблюдения работниками, непосредственно осуществляющими обработку персональных данных, а также работниками, имеющими доступ к персональным данным, законодательства о персональных данных, требований документов, определяющих политику Организации в отношении обработки персональных данных, и иных локальных правовых актов в сфере защиты персональных данных (далее – внеплановые проверки);
организации и проведения проверки знаний работников по вопросам обработки и защиты персональных данных.
3. План внутреннего контроля (далее – план) на очередной год формируется лицом, ответственным за ОВК, до 25 декабря текущего года, утверждается директором Организации и доводится до сведения всех работников путем рассылки плана проверок на рабочие почты работников и размещения информации в локальной сети Организации.
86. В план могут включаться сведения:
о дате (периоде) проведения плановых проверок;
о структурных подразделениях, в которых будут проводится плановые проверки.
о дате (периоде) проведения проверки знаний работников по вопросам обработки и защиты персональных данных;
о дате (периоде) проведения обучения работников по вопросам обеспечения защиты персональных данных;
о дате (периоде) направления работников на повышение квалификации по вопросам защиты персональных данных.
4. Плановые проверки каждого структурного подразделения Организации, в котором осуществляется обработка персональных данных, проводятся не реже 1 (одного) раза в 2 (два) года.
По решению лица, ответственного за ОВК, плановые проверки структурных подразделений, отвечающих за наиболее подверженные рискам направления деятельности Организации, могут проводится чаще.
5. Лицо, ответственное за ОВК, не позднее чем за 3 (три) рабочих дня до начала проведения проверки уведомляет руководителя проверяемого структурного подразделения и представляет ему для ознакомления план проведения проверки.
6. Внеплановая проверка проводится:
по распоряжению директора Организации (лица, исполняющего его обязанности);
по решению лица, ответственного за ОВК;
по предложению заинтересованных структурных подразделений.
7. Основаниями проведения внеплановой проверки могут являться:
наличие обращений граждан, в том числе индивидуальных предпринимателей, юридических лиц и их представителей, свидетельствующих о совершаемом (совершенном) нарушении требований законодательства о персональных данных при обработке персональных данных в Организации;
непосредственное обнаружение лицом, ответственным за ОВК, несоблюдения работниками требований по обработке персональных данных, предусмотренных законодательством о персональных данных, документами, определяющими политику обработки персональных данных в Организации, иными локальными правовыми актами в сфере защиты персональных данных;
нарушение работниками требований по обработке персональных данных, предусмотренных законодательством о персональных данных, документами, определяющими политику обработки персональных данных в Организации, иными локальными правовыми актами в сфере защиты персональных данных два и более раз в течение одного календарного года.
8. При проведении внеплановой проверки уведомление руководителя проверяемого структурного подразделения об этом не производится и план проведения проверки не составляется.
9. При проведении плановых (внеплановых) проверок лицом, ответственным за ОВК, оцениваются:
соответствие обработки персональных данных заявленным целям;
избыточность персональных данных по отношению к заявленным целям обработки;
правовые основания обработки персональных данных;
своевременность удаления (уничтожения) персональных данных, срок хранения которых истек;
соблюдение порядка доступа к персональным данным, а также к персональным рабочим компьютерам работников;
соблюдение порядка доступа в помещения, в которых осуществляется обработка персональных данных, в том числе их хранение;
соблюдение мер по хранению персональных данных, обрабатываемых в информационных системах (ресурсах);
соблюдение мер по хранению персональных данных, содержащихся в документах на бумажных носителях;
соблюдение правильности и полноты заполнения согласий на обработку персональных данных;
соблюдение механизма реализации прав субъектов персональных данных, включая соблюдение сроков предоставления ответов на заявления субъектов персональных данных (сроков предоставления информации, необходимой для подготовки ответа на заявление субъекта персональных данных).
10. Срок проведения плановой (внеплановой) проверки не может превышать 10 (десять) рабочих дней. По решению директора Организации (лица, исполняющего его обязанности) срок проведения плановой (внеплановой) проверки может быть продлен до 15 (пятнадцати) дней.
11. Проверки проводятся лицом, ответственным за ОВК, непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии.
При проведении проверки работник обязан предоставить лицу, ответственному за ОВК, доступ к своим документам, рабочему месту и персональному рабочему компьютеру.
12. По результатам плановой (внеплановой) проверки лицом, ответственным за ОВК, в течение 3 (трех) рабочих дней со дня окончания плановой (внеплановой) проверки составляется отчет в двух экземплярах, в котором должны быть отражены:
сроки проведения проверки, форма проведения проверки (плановая, внеплановая), наименование структурного подразделения (работника), деятельность которого проверена;
информация о соблюдении (не соблюдении) работниками требований законодательства о персональных данных, документов, определяющих политику Организации в отношении обработки персональных данных, иных локальных правовых актов в сфере защиты персональных данных;
соответствие (несоответствие) принятых работником мер по обеспечению им защиты персональных данных;
выявленные нарушения законодательства о персональных данных либо вывод об отсутствии таких нарушений;
предложения по совершенствованию обработки персональных данных и рекомендуемые сроки устранения выявленных недостатков (при их наличии).
13. Составленный отчет подписывается лицом, ответственным за ОВК, и предоставляется директору Организации (лицу, исполняющему его обязанности).
14. По результатам рассмотрения директором Организации (лицом, исполняющим его обязанности) отчета в случае выявления по результатам плановой (внеплановой) проверки нарушений законодательства о персональных данных, требований документов, определяющих политику Организации в отношении обработки персональных данных, иных локальных правовых актов в сфере защиты персональных данных, отраженных в отчете определяются:
определяются конкретные меры, необходимые для устранения выявленных недостатков;
решается вопрос о привлечении лиц, виновных в нарушении законодательства о защите персональных данных, к ответственности в соответствии с законодательными актами;
устанавливаются сроки устранения выявленных недостатков.
15. Контроль за реализацией мер, необходимых для устранения выявленных недостатков, осуществляется лицом, ответственным за ОВК.
16. Организация и проведение проверки знаний работников по вопросам обработки и защиты персональных данных осуществляется лицом, ответственным за ОВК, в форме собеседования и (или) тестов.
17. Проверка знаний работников по вопросам обработки и защиты персональных данных осуществляется не реже 1 (одного) раза в 3 (три) года.
По решению лица, ответственного за ОВК, проверка знаний работников структурных подразделений, отвечающих за наиболее подверженные рискам направления деятельности Организации, могут проводится чаще.
18. Проверке знаний работников по вопросам обработки и защиты персональных данных должно предшествовать обучение работников по вопросам обработки и защиты персональных данных.
Обучение работников по вопросам обработки и защиты персональных данных может быть организовано:
на базе Организации в форме лекций, просмотра обучающих видео-программ и т.д;
посредством направления работников на обучение в учреждения образования, иные организации, обладающие правом на реализацию образовательных программ.
19. По результатам проведения проверки знаний работников по вопросам обработки и защиты персональных данных составляется в двух экземплярах отчет проведения проверки знаний, в котором отражаются сведения о:
дате проведения проверки знаний по вопросам обработки и защиты персональных данных;
форме проведения проверки знаний по вопросам обработки и защиты персональных данных;
работниках, прошедших проверку знаний по вопросам обработки и защиты персональных данных (фамилия, имя, отчество (если таковое имеется) работника, его должность, наименование структурного подразделения);
работниках, не прошедших проверку знаний по вопросам обработки и защиты персональных данных (фамилия, имя, отчество (если таковое имеется) работника, его должность, наименование структурного подразделения);
сроках повторной проверки знаний работников, не прошедших проверку знаний по вопросам обработки и защиты персональных данных.
20. Отчет подписывается лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, и предоставляется директору Организации.

ГЛАВА 9
Порядок реагирования на нарушения системы защиты персональных данных

1. О нарушении системы защиты персональных данных в информационных системах (ресурсах) Организации может свидетельствовать следующее:
признаки наличия на компьютере вредоносной программы;
обнаружение попыток несанкционированного доступа к компьютеру, программному обеспечению, локальной сети, информационным системам (ресурсам), базам и банкам данных, содержащим персональные данные;
уведомление антивирусного средства о нарушении информационной безопасности на компьютере;
уведомление об отклонениях в работе установленных на компьютере системных или прикладных программ;
наличие файлов с нечитаемыми названиями;
неоднократные неудачные попытки авторизации на компьютере;
невозможность аутентификации в информационной системе (ресурсе);
иные факты, не указанные в настоящем пункте.
2. О нарушении системы защиты персональных данных, содержащихся в документах на бумажных носителях и (или) иных материальных, может свидетельствовать следующее:
несоблюдение правил хранения персональных данных, содержащихся в документах на бумажном и (или) ином материальном носителе;
визуальные признаки повреждения места хранения персональных данных, содержащихся в документах на бумажных и (или) иных материальных носителях;
визуальные признаки нарушения доступа в помещения, где осуществляется обработка персональных данных, в том числе их хранение;
иные факты, не указанные в настоящем пункте.
3. При возникновении нарушения системы защиты персональных данных работник незамедлительно информирует об этом своего непосредственного руководителя и лицо, ответственное за ОВК.
Лицом, ответственным за ОВК, с привлечением, при необходимости иных лиц:
проводится оценка риска и последствий нарушения системы защиты персональных данных;
вырабатывается стратегия реагирования на нарушение системы защиты персональных данных;
принимаются все возможные меры по устранению (при невозможности устранения – минимизации) последствий нарушений системы защиты персональных данных и исключению подобного в дальнейшем;
производится документирование нарушения системы защиты персональных данных с составлением заключения по факту его возникновения.
4. В течение трех рабочих дней после обнаружения нарушения системы защиты персональных данных Организация письменным уведомлением сообщает о нарушении системы защиты персональных данных в Национальный центр защиты персональных данных Республики Беларусь, за исключением если нарушение системы защиты персональных данных не привело к:
незаконному распространению, предоставлению персональных данных;
изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

ГЛАВА 10
Меры, принимаемые организацией для обеспечения защиты персональных данных

1. Организация принимает правовые, организационные и технические меры по обеспечению защиты персональных данных при их обработке.
2. К правовым мерам по обеспечению защиты персональных данных при их обработке, принимаем Организацией, относятся:
2.1. издание документов, определяющих политику Организации в отношении обработки персональных данных;
2.2. получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, когда обработка персональных данных осуществляется в соответствии с законодательством;
2.3. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
2.4. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
2.5. прекращение обработки персональных данных при отсутствии оснований для их обработки.
3. К организационным мера по обеспечению защиты персональных данных при их обработке, принимаем Организацией, относятся:
3.1. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в Организации;
3.2. ознакомление работников, непосредственно осуществляющих обработку персональных данных в Организации, с положениями законодательства о персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, иными локальными правовыми актами в сфере защиты персональных данных;
3.3. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
3.4. обеспечение работников, исполнение должностных обязанностей которых связано с работой на персональных рабочих компьютерах учетными записями (личное имя пользователя и пароль).
Список учетных записей хранится у системного администратора. Системный администратор не имеет доступа к паролям от учетных записей работников.
Учетные записи работники блокируются системным администратором в день увольнения работника после получения информации об увольнении работника от работников отдела кадров.
3.5. организация контроля доступа в помещения Организации посредством системы контроля управления доступом;
3.6. осуществление внутреннего контроля за обработкой персональных данных лицом, ответственным за ОВК
3.7. организация резервного копирования информации, обрабатываемой в информационных системах (ресурсах).
4. К техническим мерам по обеспечению защиты персональных данных, принимаемы в Организации, относятся:
4.1. защита персональных компьютеров, в том числе информационных систем (ресурсов), от вредоносного программного обеспечения реализуется путем внедрения специального антивирусного программного обеспечения. Установка и сопровождение, а также периодическое обновление баз вирусных сигнатур средств антивирусной защиты осуществляется системным администратором;
4.2. передача персональных данных по зашифрованным каналам связи;
4.3. использование межсетевых экранов;
4.4. иные меры, предусмотренные законодательством о персональных данных, законодательством об информации, информатизации и защите информации.

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете согласие на работу с этими файлами. Подробную информацию вы найдете в Политике в отношении файлов Cookie.