ПОЛИТИКА ПРЕДПРИЯТИЯ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ГЛАВА I

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ принят во исполнение  абзаца третьего п.3 ст. 17 Закона Республики Беларусь  «О защите персональных данных» от 7 мая 2021 г. № 99-З и определяет политику Могилевского РУП «Фармация», расположенного по адресу: 212030 г. Могилев, ул. Первомайская, 59, (далее - Предприятие)  в отношении обработки персональных данных (далее - Политика).

1.2. Целью Политики  является обеспечение  защиты персональных данных, прав и свобод физических лиц при обработке  Предприятием их персональных данных.

1.3. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых на предприятии  персональных данных, функции предприятия  при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.

1.4. Политика разработана в соответствии со следующими нормативными правовыми актами (далее - НПА):

Конституцией  Республики Беларусь;

Трудовым  кодексом  Республики Беларусь;

Указом  Президента Республики Беларусь от 25 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» (далее - Указ № 422);

Законом  Республики Беларусь  «О защите персональных данных» от  7 мая 2021 г. № 99-З (далее - Закон);

Законом Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;

Законом Республики Беларусь от 10 ноября 2008 г. №  455-З «Об информации, информатизации и защите информации»;

иными  НПА.

1.5. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих вопросы обработки персональных данных   работников предприятия  и других субъектов персональных данных (далее вместе  - субъекты персональных данных).

1.6. Основные термины и определения, используемые в Политике, используются в понятиях, установленных  Законом.

ГЛАВА II

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Предприятие, являясь оператором персональных данных, осуществляет обработку персональных данных (далее - ПД)  субъектов персональных данных (далее - СПД).

2.2. Обработка ПД осуществляется с учетом необходимости обеспечения защиты прав и свобод СПД, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

обработка ПД осуществляется на законной и справедливой основе;

обработка ПД осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

обработка ПД осуществляется с согласия СПД, за исключением случаев, предусмотренных законодательными актами;

обработка ПД ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка ПД, не совместимая с первоначально заявленными целями их обработки;

содержание и объем обрабатываемых ПД соответствуют заявленным целям их обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям их обработки;

обработка ПД носит прозрачный характер;

СПД может предоставляться соответствующая информация, касающаяся обработки его ПД;

оператор принимает меры по обеспечению достоверности обрабатываемых им ПД, при необходимости обновляет их;

ПД хранятся в форме, позволяющей идентифицировать СПД, не дольше, чем этого требуют заявленные цели обработки ПД.

2.3. ПД обрабатываются в целях:

обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных НПА, локальных правовых актов (далее – ЛПА);

осуществления функций, полномочий и обязанностей, возложенных законодательством на Предприятие;

регулирования трудовых и связанных с ними  правоотношений с работниками предприятия;

защиты жизни, здоровья или иных жизненно важных интересов СПД;

работы с контрагентами; 

формирования справочных материалов для внутреннего информационного обеспечения деятельности Предприятия;

представления пользователям информационных ресурсов Предприятия информации об оказываемых услугах, оказание дополнительных услуг, предоставление доступа к резервированию и заказу товаров, реализуемых в аптеках Предприятия;

своевременного предоставления ответов по электронному обращению;

иных целей, для осуществления прав и законных интересов в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛПА Предприятия, либо достижения общественно значимых целей.

ГЛАВА III

ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ НА ПРЕДПРИЯТИИ

3.1. На Предприятии  обрабатываются ПД следующих категорий СПД:

соискателей работы;

работников  Предприятия;

бывших работников  Предприятия;

физических лиц, с которыми заключены договоры подряда;

учащихся средних специальных учреждений образования и студентов высших учреждений образования, проходящих практику на Предприятии;

граждан, находящихся в служебной командировке на Предприятии (командированные)  и т.п.;      

контрагентов   и партнеров;

физических лиц, рецепты которых обрабатываются в аптеках Предприятия;

физических лиц, являющихся пользователями информационных ресурсов Предприятия;

других  СПД (для обеспечения реализации целей обработки, указанных в главе II Политики).

ГЛАВА IV 

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ НА ПРЕДПРИЯТИИ

4.1. Перечень ПД, обрабатываемых на Предприятии, определяется в соответствии с законодательством и ЛПА с учетом целей обработки ПД, указанных в главе II Политики.

4.2. ПД обрабатываются как с согласия СПД, так и  без такого согласия  в случаях, установленных статьями 6,8 Закона (относительно основных, специальных ПД, а также при трансграничной передаче ПД).

Перечень таких  персональных данных устанавливается в ЛПА.

4.3. На Предприятии также обрабатываются ПД, полученные в результате использования СПД информационных ресурсов Предприятия.

Предприятие обрабатывает ПД пользователей информационных ресурсов Предприятия только в случае отправки ПД через формы, расположенные на сайте Предприятия https://mogpharm.by. Отправляя свои ПД Предприятию, пользователь выражает свое согласие с данной Политикой.

Пользователь, заполнивший сведения, составляющие ПД, на сайте https://mogpharm.by или на любых его страницах, разместивший иную информацию обозначенными действиями, а также проставивший галочку в чек – боксе «Согласие на обработку персональных данных», подтверждает свое согласие на обработку своих ПД и передачу их Предприятию.

4.4. Обработка биометрических ПД в Предприятии  допускается только при наличии согласия в письменной форме СПД, за исключением случаев, предусмотренных законодательством.

ГЛАВА V

ФУНКЦИИ ПРЕДПРИЯТИЯ  ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Предприятие (в качестве оператора)  обязано принимать правовые, организационные и технические меры по обеспечению защиты ПД от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления ПД, а также от иных неправомерных действий в отношении ПД (ст.17 Закона).

5.2. Предприятие  при осуществлении обработки ПД:

издает ЛПА, определяющие Политику и вопросы обработки и защиты ПД на Предприятии;

принимает меры согласно главе 9 Политики,  необходимые и достаточные для обеспечения выполнения требований законодательства и ЛПА в области  ПД;

принимает меры для защиты ПД в процессе их обработки;

осуществляет ознакомление  работников Предприятия, непосредственно осуществляющих обработку ПД, с нормами  законодательства и ЛПА  в области ПД, в том числе требованиями к защите ПД, и обучает указанных работников;

обеспечивает неограниченный доступ к Политике путем размещения ее на официальном сайте Предприятия https://mogpharm.by;

сообщает в установленном порядке СПД или их представителям информацию о наличии ПД, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПД при обращении и (или) поступлении запросов указанных СПД или их представителей, если иное не установлено законодательством;

прекращает обработку и уничтожает ПД в случаях, предусмотренных законодательством в области ПД;

совершает иные действия, предусмотренные законодательством в области ПД.

ГЛАВА VI

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. ПД на Предприятии  обрабатываются с согласия СПД на обработку его ПД, если иное не предусмотрено законодательством в области ПД.

6.2. Предприятие вправе поручить обработку ПД от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.

6.3. Доступ к обрабатываемым ПД разрешается только работникам Предприятия, занимающим должности служащих, включенные в перечень должностей служащих структурных подразделений Предприятия, имеющих доступ к обработке ПД, установленный ЛПА.

ГЛАВА VII

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

7.1. Предприятие  осуществляет обработку ПД (любое действие или совокупность действий, совершаемые с ПД, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

7.2. ПД обрабатываются следующими способами:

с использованием средств автоматизации;

без использования средств автоматизации, если при этом обеспечиваются поиск ПД и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);

смешанный способ.

7.3. ПД хранятся:

на бумажных носителях;

в  форме компьютерных файлов;

в специализированных системах, информационных ресурсах (системах), обеспечивающих автоматическую обработку, хранение информации.

ГЛАВА VIII

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. СПД имеют право согласно ст.ст.10-13 Закона посредством подачи оператору заявления в письменной форме либо в виде электронного         документа и ст. 15 Закона   на:

 ГЛАВА IX

МЕРЫ, ПРИНИМАЕМЫЕ ПРЕДПРИЯТИЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ИСПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Меры, необходимые и достаточные для обеспечения исполнения Предприятием  обязанностей оператора в области защиты  ПД, включают (состав и перечень):

9.1. принятие ЛПА  и иных документов в области обработки и защиты ПД;

9.2. осуществление внутреннего контроля соответствия обработки ПД Закону и принятым в соответствии с ним НПА, требованиям к защите ПД, Политике, ЛПА;

9.3. назначение структурного подразделения или лица, ответственного за внутренний контроль за обработкой ПД;

9.4. предоставление  СПД информации о его ПД, а также о предоставлении его ПД третьим лицам, за исключением случаев, предусмотренных ст.ст. 6,8-9 Закона  и иными законодательными актами;

9.5. предоставление СПД необходимой информации до получения их согласий на обработку ПД;

9.6. разъяснение СПД их прав, связанных с обработкой ПД;

9.7. получение письменных согласий СПД на обработку их ПД, за исключением случаев, предусмотренных законодательством, в т.ч. ст.6,8-9 Закона;

9.8. издание документов, определяющих Политику в отношении обработки ПД;

9.9. ознакомление работников, непосредственно обрабатывающих ПД, с положениями законодательства и ЛПА  о ПД, в том числе с требованиями по защите ПД;  обучение и проведение методической работы с такими  работниками;

9.10. внесение изменений  в ПД, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в ПД установлен законодательными актами либо если цели обработки ПД не предполагают последующих изменений таких данных;

9.11. установление порядка доступа к ПД, в том числе обрабатываемым в информационном ресурсе (системе);

9.12. осуществление технической и криптографической защиты ПД в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих ПД.

9.13. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет к Политике;  

9.14. прекращение обработки, блокирование, удаление ПД при отсутствии оснований для их обработки;

9.15. незамедлительное уведомление уполномоченного органа по защите прав СПД о нарушениях систем защиты ПД (не позднее трех рабочих дней после того, как оператору стало известно о нарушениях);

9.16. изменение, блокирование, удаление недостоверных или полученных незаконным путем ПД;

9.17. хранение ПД в форме, позволяющей идентифицировать СПД, не дольше, чем этого требуют заявленные цели обработки ПД;

9.18. хранение материальных носителей ПД с соблюдением условий, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним;

9.19. ограничение обработки ПД  достижением конкретных, заранее заявленных законных целей;

9.20. обособление ПД, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПД;

9.21. обеспечение раздельного хранения ПД и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПД;

9.22. обеспечение безопасности ПД при их передаче по открытым каналам связи;

9.23. иные меры, предусмотренные законодательством в области ПД.

 ГЛАВА X

КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ПРЕДПРИЯТИЯ  В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Контроль за соблюдением структурными подразделениями Предприятия законодательства и ЛПА в области ПД, в том числе требований к защите ПД, осуществляется с целью проверки соответствия обработки ПД в структурных подразделениях Предприятия  законодательству и ЛПА в области ПД, в том числе требованиям к защите ПД, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства в области ПД, выявления возможных каналов утечки и несанкционированного доступа к ПД, устранения последствий таких нарушений.

10.2. Внутренний контроль за соблюдением структурными подразделениями Предприятия законодательства и ЛПА в области ПД, в том числе требований к защите ПД, осуществляется лицом, назначенным приказом генерального директора Предприятия.

10.3. Персональная ответственность за соблюдение требований законодательства и ЛПА Предприятия в области ПД в структурных  подразделениях Предприятия, а также за обеспечение конфиденциальности и безопасности ПД в указанных структурных подразделениях возлагается на их руководителей, а также специалистов, имеющих допуск к ПД.

10.4. Уполномоченным органом по защите прав СПД, осуществляющим  контроль за обработкой ПД операторами,  является   Национальный  центр защиты персональных данных.