ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Политика администрации Партизанского района г.Минска в отношении обработки персональных данных (далее – Политика) определяет основные принципы, цели обработки персональных данных, перечни субъектов и обрабатываемых в администрации Партизанского района г.Минска (далее – администрация) персональных данных, права и обязанности субъектов персональных данных, а также обеспечение защиты при обработке персональных данных.
2. Настоящая Политика разработана с учетом требований следующих нормативных правовых актов:
- Конституции Республики Беларусь;
- Трудового кодекса Республики Беларусь;
- Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее - Законе о защите персональных данных);
- Закона Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;
- Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» (далее – Закон об информации, информатизации и защите информации);
- иных нормативных правовых актов и нормативных документов уполномоченных органов государственной власти.
3. Целью настоящей Политики является обеспечение защиты персональных данных, прав и свобод физических лиц при обработке персональных данных.
4. Почтовый адрес администрации: 220088, г. Минск, ул. Захарова, 53;
адрес в сети Интернет: https://part.gov.by/; e-mail:
5. Для целей настоящей Политики используются термины и определения, применяемые в Законе о защите персональных данных, Законе об информации, информатизации и защите информации, а также следующий термин:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
ГЛАВА 2
ОСНОВНЫЕ ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
6. Администрация, являясь оператором персональных данных, осуществляет обработку персональных данных работников администрации и других субъектов персональных данных, не состоящих с администрацией в трудовых отношениях.
7. Обработка персональных данных в администрации осуществляется с учетом необходимости обеспечения защиты прав и свобод работников администрации и других субъектов персональных данных на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, установленных законодательством;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям обработки;
обработка персональных данных носит прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
принимаются меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости – их обновление;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
8. Персональные данные обрабатываются в администрации в целях:
обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов, локальных правовых актов администрации;
осуществления функций, полномочий и обязанностей, возложенных законодательством на администрацию;
регулирования трудовых отношений с работниками администрации;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
обеспечения пропускного и внутриобъектового режимов;
формирования справочных материалов для внутреннего информационного обеспечения деятельности администрации;
обработки сообщений и запросов, поступивших от субъекта персональных данных;
организации и сопровождения деловых поездок;
ведения кадровой работы и организация учета работников администрации, в том числе привлечение и отбор кандидатов для работы в администрации;
осуществления административных процедур;
ведения индивидуального (персонифицированного) учета застрахованных лиц;
ведения воинского учета;
ведения бухгалтерского и налогового учета;
начисления и перечисления заработной платы, назначения и выплаты пособий;
заполнения и передачи в государственные органы и иные уполномоченные организации требуемых форм отчетности;
осуществления хозяйственной деятельности;
обработки обращений и запросов, получаемых от субъектов персональных данных;
выполнения иных обязанностей (полномочий), предусмотренных законодательными актами.
9. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
10. Обработка персональных данных может осуществляться в иных целях, если это необходимо для обеспечения соблюдения законодательства.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И
ПЕРЕЧЕНЬ, ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. В администрации обрабатываются персональные данные следующих категорий субъектов:
кандидатов на работу, работников администрации, в том числе бывших работников, их супругов и близких родственников (свойственников);
физических лиц, не являющихся работниками администрации, обработка персональных данных которых необходима администрации для достижения целей,
предусмотренных законодательством и при осуществлении функций администрацией;
физических лиц, являющихся кандидатами в резерв руководящих кадров;
физических лиц, не являющихся работниками администрации, при обработке документов для награждения;
студентов, иных лиц, прибывших в администрацию на практику, стажировку;
контрагентов;
представителей потенциальных контрагентов;
посетителей интернет-ресурсов;
физических лиц, предоставивших персональные данные администрации иным путем.
12. Состав персональных данных – основные и дополнительные персональные данные, биометрические, генетические и специальные персональные данные.
13. К основным персональным данным относятся:
фамилия;
собственное имя, отчество (если таковое имеется);
пол;
число, месяц, год (далее – дата) рождения;
место рождения;
цифровой фотопортрет, фотография;
идентификационный номер;
данные о гражданстве (подданстве);
данные о регистрации по месту жительства и (или) месту пребывания;
данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным. При этом:
данными о гражданстве (подданстве) являются:
гражданство (подданство), основания приобретения или прекращения гражданства;
дата приобретения или прекращения гражданства;
данными о регистрации по месту жительства и (или) месту пребывания являются: место жительства и (или) место пребывания, номер телефона, дата регистрации по месту жительства и (или) месту пребывания;
дата снятия с регистрационного учета по месту жительства и (или) месту пребывания;
данными о смерти или объявлении физического лица умершим,
признании безвестно отсутствующим, недееспособным, ограниченно дееспособным являются: дата, место и причина смерти, место захоронения;
дата объявления физического лица умершим, признания безвестно отсутствующим, дата отмены соответствующего решения;
дата признания физического лица недееспособным, ограниченно дееспособным, дата отмены соответствующего решения;
дата установления опеки, попечительства; дата прекращения опеки, попечительства; дата освобождения, отстранения опекунов, попечителей от выполнения их обязанностей.
14. К дополнительным персональным данным относятся данные:
о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
об образовании, квалификации, профессиональной подготовке, повышении квалификации, ученой степени, ученом звании;
о роде занятий;
о пенсии, ежемесячном денежном содержании по законодательству о государственной службе, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
о трудовой деятельности, в том числе наличии поощрений, награждений и (или) дисциплинарных взысканий; об удержании алиментов;
о доходе с предыдущего места работы;
о налоговых обязательствах;
о воинском учете;
об инвалидности;
иные персональные данные, предоставляемые в соответствии с требованиями трудового законодательства.
При этом: данными о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица являются:
фамилия, собственное имя, отчество (если таковое имеется), гражданство (подданство), дата и место рождения, идентификационный номер отца;
фамилия, собственное имя, отчество (если таковое имеется), гражданство (подданство), дата и место рождения, идентификационный номер матери;
фамилия, собственное имя, отчество (если таковое имеется), гражданство (подданство), дата и место рождения, идентификационный номер опекуна, попечителя; дата и орган регистрации заключения брака, расторжения брака;
дата и орган расторжения брака, признания брака недействительным; фамилия, собственное имя, отчество (если таковое имеется), гражданство (подданство), дата и место рождения, идентификационный номер супруга ((упруги);
фамилия, собственное имя, отчество (если таковое имеется), гражданство (подданство), дата и место рождения, идентификационный номер ребенка (детей);
дата лишения родительских прав, восстановления в водительских правах;
данными об образовании, квалификации, профессиональной подготовке, повышении квалификации, ученой степени, ученом звании являются:
наименование учреждения образования;
дата зачисления в учреждение образования;
дата окончания учреждения образования;
полученная специальность;
ученая степень, ученое звание;
дата присуждения ученой степени, присвоения ученого звания;
данными о роде занятий являются;
место работы;
результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
дата трудоустройства, постановки на учет в качестве безработного; привлечение к административной или уголовной ответственности; рекомендации, характеристики, иные сведения о деловых и иные личных качествах, которые носят оценочный характер;
религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе); дата увольнения, снятия с учета в качестве безработного; наличие поощрений и (или) дисциплинарных взысканий;
данными о пенсии, ежемесячном денежном содержании, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний являются: вид пенсии;
дата назначения, прекращения выплаты пенсии, ежемесячного денежного содержания, ежемесячной страховой выплаты;
данными о налоговых обязательствах являются: дата постановки на учет в налоговом органе; учетный номер плательщика;
наличие задолженности по налоговым обязательствам; содержание декларации, подаваемой в налоговый орган; ежемесячном денежном вознаграждении, заработной плате, выплатах стимулирующего характера, компенсирующих выплатах и иных, производимых в администрации;
финансовое положение;
данными о воинском учете, об исполнении воинской обязанности являются:
дата приема на воинский учет; первичные данные воинского учета, требуемые для ведения личных карточек призывников и военнообязанных согласно Положению о воинском учете, утвержденному постановлением Совета Министров Республики Беларусь от 18 декабря 2003 г. № 1662;
дата снятия (исключения) с воинского учета;
данными об инвалидности являются: группа инвалидности, степень утраты здоровья (для несовершеннолетних); дата установления инвалидности; срок инвалидности; причина инвалидности.
К данным о реквизитах документов, подтверждающих указанные выше персональные данные, относятся:
название документа;
серия;
номер;
дата выдачи (принятия);
срок действия;
наименование организации, выдавшей (принявшей) документ.
15. Оператором может обрабатываться следующая техническая информация:
IР-адрес;
информация из браузера;
адрес запрашиваемой страницы;
история запросов и просмотров на интернет-ресурсах Оператора.
16. Допуск к персональным данным, обработка и хранение персональных данных лицами, не утвержденными распоряжением главы администрации, запрещаемся.
17. Ознакомление с настоящей Политикой проводит работник отдела организационно-кадровой работы администрации при приеме на работу. Работник после ознакомления с настоящей Политикой: подписывает согласие на обработку персональных данных, которое хранится в личном деле работника.
ГЛАВА 4
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ АДМИНИСТРАЦИИ ПРИ
ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
18. Администрация и уполномоченные лица при обработке персональных данных субъекта персональных данных обязаны:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных настоящей Политикой и (или) законодательством;
обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных настоящей Политикой и законодательными актами;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных настоящей Политикой и законодательными актами;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Администрации стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные их блокирования или удаления не установлен законодательными актами;
обеспечивать защиту персональных данных субъекта персональных данных от неправомерного их использования или утраты;
принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, а также от иных неправомерных действий в отношении персональных данных;
определять состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований настоящей Политики и актов законодательства;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные настоящей Политикой и законодательными актами.
19. Обязательными мерами по обеспечению защиты персональных данных являются:
ознакомление работников администрации и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику администрации в отношении обработки
персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативноаналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
20. Классификация информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных устанавливается уполномоченным органом по защите прав субъектов персональных данных.
21. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных администрация предоставляет работникам, работающим с персональными данными, хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и прочее).
22. Работникам администрации, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью.
23. Администрация при обработке персональных данных имеет право:
получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о защите персональных данных;
в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением
требований законодательства;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о защите персональных данных и принятыми в соответствии с ним нормативных и правовыми актами, если иное не предусмотрено законодательством.
ГЛАВА 5
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА
ПЕРСОНАЛЬНЫХ ДАННЫХ
24. Субъект персональных данных имеет право:
на отзыв своего согласия, если для обработки персональных данных администрация обращалась к субъекту персональных данных за получением согласия. Право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора);
на получение информации, касающейся обработки своих персональных данных администрацией, содержащей:
- место нахождения администрации;
- подтверждение факта обработки персональных данных обратившегося лица администрацией;
- персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано согласие (если обработка персональных
данных осуществляется на основании согласия); - наименование и место нахождения уполномоченного лица
(уполномоченных лиц); - иную информацию, предусмотренную законодательством;
требовать от администрации внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
на получение от администрации информации о предоставлении своих персональных данных, обрабатываемых администрацией, третьим лицам
один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами;
требовать от администрации бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
на обжалование действий (бездействия) и решений администрации, нарушающих его права при обработке персональных данных, в порядке, установленном законодательством.
25. Для реализации своих прав, связанных с обработкой персональных данных администрацией, субъект персональных данных подает в администрацию заявление в письменной форме по почтовому адресу, указанному в пункте 4 настоящей Политики, или посредством государственной единой (интегрированной) республиканской
информационной системы учета и обработки обращений граждан и юридических лиц (https://обращения.бел), а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено. Такое заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется)
субъекта персональных данных, адрес его места жительства (места
пребывания); - дату рождения субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных. Администрация не рассматривает заявления субъектов персональных данных, касающиеся реализации их прав, поступившие иными способами (e-mail, телефон и т.п).
26. За содействием в реализации прав, связанных с обработкой персональных данных администрацией, субъект персональных данных может обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в администрации, направив сообщение на электронный адрес
27. Субъект персональных данных обязан передавать администрации достоверные персональные данные, перечень которых установлен законодательством.
ГЛАВА 6
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
28. Работники администрации, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.
29. Обработка и использование персональных данных осуществляется для целей, указанных в настоящей Политике, путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием сети Интернет.
30. При прекращении выполнения трудовой функции (увольнении), связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители), которые находились в распоряжении увольняющегося работника в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.
31. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством.
32. Передача персональных данных осуществляется ответственным за обработку персональных данных работником администрации на основании письменного или устного поручения руководителя структурного подразделения.
33. В случаях, установленных законодательством, основным условием обработки персональных данных является получение согласия субъекта персональных данных.
Согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. В иной электронной форме согласие работника может быть получено посредством проставления соответствующей отметки на интернетресурсе.
34. В случае необходимости изменения первоначально заявленных целей обработки персональных данных администрация обязан получить согласие на обработку персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных настоящей Политикой и иными законодательными актами.
35. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
36. До получения согласия субъекта персональных данных администрация в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязана предоставить субъекту персональных данных информацию, содержащую:
наименование и место нахождения администрации, получающего согласие субъекта персональных данных;
цели обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
срок, на который дается согласие субъекта персональных данных;
информацию об уполномоченных лицах субъекта персональных данных в случае, если обработка персональных данных будет осуществляться такими лицами;
перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых администрацией способов обработки персональных данных;
иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
37. Субъект персональных данных при даче своего согласия указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность.
Если цели обработки персональных данных не требуют обработки информации, указанной в настоящем пункте, эта информация не подлежит обработке администрацией при получении согласия субъекта персональных данных.
38. Обязанность доказывания получения согласия субъекта персональных данных возлагается на администрацию.
39. В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) работника, если такое согласие не было дано субъектом персональных данных при его жизни.
В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, согласие на обработку его персональных данных дает один из его законных представителей.
Лица, указанные в частях первой и второй настоящего пункта, в случае дачи согласия на обработку персональных данных вместо субъекта персональных данных пользуются его правами, предусмотренными настоящей Политикой.
40. Согласие субъекта персональных данных на обработку персональных данных не требуется в случаях, предусмотренных статьями 6 и 8 Закона о защите персональных данных.
41. Доступ к персональным данным предоставляется только тем работникам администрации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
42. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению главы администрации.
43. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящей Политикой.
44. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию и используется (распространяется) копия персональных
45. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
46. Работники, осуществляющие обработку персональных данных, при передаче персональных данных работника должны соблюдать
следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством;
не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что и данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать конфиденциальность;
разрешать доступ к персональным данным субъектов персональных данных только уполномоченным лицам администрации, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций;
передавать персональные данные субъекта персональных данных в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
47. Передача персональных данных субъектов персональных данных третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
48. Источником информации обо всех персональных данных является непосредственно субъект персональных данных, если иное не установлено законодательством.
49. Обязательным условием работы с персональными данными является личная ответственность работников за неразглашение доверенной им информации, связанной с персональными данными, за сохранность сведений, а также их носителей.
В связи с этим работник, имеющий полномочия работать с персональными данными, обязан:
не разглашать доверенные ему сведения;
неукоснительно выполнять правила работы с персональными данными;
обеспечивать надежное хранение носителей конфиденциальной информации.
ГЛАВА 7
ПОРЯДОК ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
50. Администрация осуществляет трансграничную передачу персональных данных для обеспечения непрерывной коммуникации с пользователями социальных сетей и мессенджеров (Теlegram, Viber).
Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Администрацией, если:
- на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных – без ограничений при наличии правовых оснований, предусмотренных Законом о защите персональных данных;
- на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – в случаях, предусмотренных статьей 9 Закона о защите персональных данных, в том числе:
- когда дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;
- когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
ГЛАВА 8
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ
51. Защита персональных данных возникает с момента, когда субъект персональных данных, к которому они относятся, предоставил их либо когда предоставление персональных данных осуществляется в соответствии с законодательными актами. Последующая передача персональных данных разрешается только с письменного согласия субъекта персональных данных, к которому они относятся, либо в соответствии с законодательными актами.
52. Меры по защите персональных данных принимаются до уничтожения персональных данных, либо до их обезличивания, либо до получения письменного согласия физического лица, к которому эти данные относятся, на их разглашение.
53. Для защиты персональных данных Администрация принимает необходимые меры:
ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой (путем проведения внутренних проверок);
проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников
к ответственности, принятием иных мер;
внедряет программные и технические средства защиты информации в электронном виде.
54. Для защиты персональных данных при их обработке в информационных системах администрация проводит необходимые мероприятия:
определение угроз безопасности персональных данных при их обработке;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
55. Работники, получившие персональные данные в нарушение требований законодательства и настоящей Политики, не вправе пользоваться ими.
56. В целях обеспечения сохранности и конфиденциальности персональных данных субъектов персональных данных все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками, осуществляющими работу с персональными данными в соответствии со своими должностными обязанностями, зафиксированными в их должностных инструкциях.
57. Ответы на письменные запросы других организаций в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Администрации и в том объеме, который позволяет не разглашать излишний объем персональных сведений о субъектах персональных данных.
В случае, если юридическое или физическое лицо, обратившееся в администрацию с запросом, не уполномочено законодательством или настоящей Политикой на получение информации, относящейся к персональным данным субъекта персональных данных, администрация обязана отказать в выдаче такой информации. Обратившемуся с запросом направляется уведомление об отказе в выдаче информации.
58. Передача информации, содержащей сведения о персональных данных субъектов персональных данных, по телефону, факсу, электронной почте без письменного согласия субъекта персональных данных запрещается.
59. Личные дела и документы, содержащие персональные данные работников, хранятся в помещениях, обеспечивающих защиту от несанкционированного доступа.
60. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
61. Требования к организации защиты персональных данных, содержащихся на бумажных носителях: хранить персональные данные на бумажных носителях в специально отведенных помещениях, в том числе не дольше, чем того требует заявленная цель, а также с обеспечением раздельного хранения персональных данных (материальных носителей), которые обрабатываются в разных целях.
62. При защите персональных данных можно использовать следующие средства защиты информации:
средства криптографической защиты информации;
антивирусные программы;
средства идентификации и аутентификации пользователей;
средства управления доступом;
средства протоколирования и аудита.
63. С целью обеспечения защиты персональных данных в соответствующих структурных подразделениях его руководителем обеспечивается письменное распределение функций между работниками по разным видам документов.
64. В процессе трудовых отношений работник обязан сохранять и не разглашать персональные данные, ставшие ему известными в связи с выполнением своих трудовых обязанностей. В случае нарушения данного обязательства работник несет ответственность в соответствии с законодательством.
65. Работники администрации, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче
носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.