ИНФОРМАЦИЯ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общие положения
1.1. Политика является локальным правовым актом Дочернего унитарного предприятия «Санаторий Криница» (далее по тексту – Оператор), определяющим политику Оператора в отношении обработки и обеспечения безопасности персональных данных, целей, состава персональных данных, обязанностей и функций Оператора, прав субъектов персональных данных, установленных Оператором требований к защите персональных данных, мер, направленных на защиту персональных данных, а также процедур, направленных на выявление и предотвращение нарушений законодательства в области персональных данных.
1.2. Политика распространяется на все процессы Оператора, связанные с обработкой персональных данных, и обязательна для применения всеми работниками Оператора, осуществляющими обработку персональных данных в соответствии со своими должностными обязанностями. При разработке, изменении и дополнении Оператором внутренних локальных актов, должностных или рабочих инструкций, связанных с процессами и процедурами обработки персональных данных, в обязательном порядке должны учитываться положения настоящей Политики.
- Основные термины и их определения
автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
клиент –физические лица, которым Оператор оказывает санаторно-курортные и/или оздоровительные услуги на основании публичного договора;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
оператор– Дочернее унитарное предприятие «Санаторий Криница», УНП 600042208, юридический адрес: 223028 Ждановичский с/с, р-н аг. Ждановичи 50/8, Минская обл., Минский р-н;
персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;
работники— субъекты персональных данных, физические лица, состоящие в трудовых отношениях с Оператором на основании заключенного трудового договора (контракта);
биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;
удаление персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Правовые основания обработки персональных данных
3.1 Правовым основанием обработки персональных данных является совокупность законодательных и нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Закон Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»;
- Закон Республики Беларусь от 21.07.2008 N 418-З «О регистре населения»;
- Закон Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»;
- Постановление Совета Министров Республики Беларусь от 07.04.2006 N 471 «Об утверждении Правил гостиничного обслуживания в Республике Беларусь»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2 Правовым основанием обработки персональных данных также являются:
- устав Оператора;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
- Цели обработки персональных данных
4.1 Обработка персональных данных ограничивается достижением конкретных, заранее определенных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработка персональных данных должна осуществляться исключительно на законной и справедливой основе.
4.3. Обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных.
4.4. Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.
4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. При обработке персональных данных должны быть обеспечены точность и достоверность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
4.7. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством, договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.9. Обработка Оператором персональных данных осуществляется в следующих принципах и целях:
- исполнения и соблюдения требований законодательства, локальных правовых актов Оператора;
- персональные данные относятся к категории конфиденциальной информации.
- обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением общедоступных персональных данных и иных случаев, когда такое согласие не требуется в соответствии с законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных
- оператор (уполномоченное лицо) принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
- осуществления функций, полномочий и обязанностей, возложенных законодательством на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, налоговые органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Оператора, в том числе содействия в трудоустройстве, обучения и повышения квалификации, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;
- осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с клиентами и контрагентами;
- защиты жизни, здоровья, прав и законных интересов субъектов персональных данных;
- обеспечения пропускного и внутри объектового режимов на объектах, принадлежащих Оператору;
- формирования защищенных от несанкционированного доступа справочных и учетных материалов, баз данных для внутреннего информационного обеспечения деятельности Оператора;
- исполнения судебных постановлений, решений, предписаний, требований уполномоченных государственных органов и их должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве и контрольной (надзорной) деятельности;
- реализации, защиты, восстановления нарушенных прав и законных интересов Оператора при осуществлении им хозяйственных операций в их отношениях с субъектами персональных данных;
- ведения бухгалтерского учета и составление налоговой отчетности;
- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- учета и регистрации клиентов;
- ведения медицинской карты амбулаторного больного, электронной медицинской карты пациента в ручном и/или электронном виде;
- оказания услуг, включая, но не ограничиваясь: сотрудничество с национальными и (или) международными операторами на территории Республики Беларусь и за ее пределами для обеспечения оптимального уровня обслуживания клиентов;
- проведения рекламных и маркетинговых активностей и акций;
- направления субъекту персональных данных в печатном и/или электронном виде уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с оказываемыми услугами;
- участия в фото и/или видео материалах для печатных изданий и информационных продуктов Оператора, а также участие в аудио - и/или видеозаписях программ, радиотелепрограмм, кинохроникальных программ, содержащих персональные данные;
- реализации действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности и т.п.;
- бронирования и оплаты путевок и/или номеров;
- идентификации зарегистрированного Пользователя (на конкретном ресурсе);
- обработки онлайн заказов;
- продажи, сдачи в аренду помещений;
- сбора, обработки и предоставления статистических данных, других исследований;
- обработки информации (резюме) кандидата на трудоустройство;
- выдачи доверенностей и иных уполномочивающих документов;
- подтверждения наличия полномочий на осуществление представительских функций;
- осуществления административных процедур;
- рассмотрения обращений;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
- предоставления субъектам персональных данных информации о деятельности Оператора.
В иных целях, не противоречащих требованиям законодательства о персональных данных.
- Основные права и обязанности
5.1 Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
- получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
- запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
- поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, иными положениями законодательства, а также локальными актами Оператора;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленным законодательством.
5.2 Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
- исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
- принять необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.3 Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
- получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;
- в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
- требовать от Оператора блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав;
- обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;
-осуществлять иные права, предусмотренных законодательством.
5.4. Субъект персональных данных обязан:
- предоставлять Оператору исключительно достоверные сведения о себе;
- предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
- информировать Оператора об изменениях своих персональных данных.
- Субъекты персональных данных
6.1 Оператором осуществляется как автоматизированная, так и неавтоматизированная обработка персональных данных, с использованием средств вычислительной техники и/или без использования таких средств для следующих категорий субъектов персональных данных:
- клиентов, заключивших договоры на оказание услуг с Оператором;
- посетителей сайтов Оператора;
- контрагентов - физических лиц;
- лиц, обработка персональных данных которых поручена Оператору на основании договоров, заключенных с другими операторами обработки персональных данных;
- посетителей объектов Оператора;
- уполномоченных представителей вышеперечисленных субъектов персональных данных;
- работников, в том числе уволенных, а также их родственников, кандидатов на трудоустройство;
- граждан, подавших обращения;
- иным субъектам персональных данных, перечень которых, цели и сроки их обработки приведены в Приложении 1 к настоящей Политике.
- Порядок получения согласия субъекта персональных данных
7.1 Оператор предоставляет субъекту персональных данных в письменной либо электронной форме информацию о его правах, связанных с обработкой персональных данных, механизмах реализации таких прав, а также последствиях дачи согласия субъекта персональных данных или отказе в даче такого согласия.
7.2 Настоящая Политика предназначена и обязательна для ознакомления лицами, которые дают согласие на передачу персональных данных Оператору.
7.3 Субъект персональных данных выражает свое согласие на обработку его персональных данных на условиях, изложенных в настоящей Политике и подтверждает, что ознакомлен с настоящей Политикой и согласен с ее условиями.
7.4 Основными формами получения согласия являются:
- присоединение к публичному договору на оказание услуг Оператором;
- в регистрационной форме, анкете кандидата на работу, в иных документах путем собственноручной подписи;
- подписание согласия на обработку персональных данных для целей проведения рекламных и маркетинговых активностей и акций
- договоры, заключаемые между Оператором и субъектом персональных данных;
- договоры, заключаемые между Оператором и юридическими лицами в интересах субъектов персональных данных.
7.5. Субъект персональных данных путем присоединения к публичному договору на оказание услуг Оператора выражают свое согласие на обработку персональных данных Оператором, а также согласие на передачу и поручение Оператором уполномоченным лицам обработки персональных данных, переданных субъектом персональных данных в ходе и с целью исполнения публичного договора на оказание услуг. Согласие предоставляется с момента присоединения субъекта персональных данных к договору и на весь период его действия, а также до истечения сроков, предусмотренных нормативными правовыми актами Республики Беларусь.
7.6. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
- Порядок и условия обработки персональных данных
8.1 Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства.
8.2 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством.
8.3 К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
8.4 Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
9.1 Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в Законе о персональных данных, предоставляются Оператором субъекту персональных данных при получении заявления субъекта персональных данных.
9.2 В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.3 Заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
-личную подпись либо электронную цифровую подпись субъекта персональных данных.
9.4 Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством.
9.5 Если в заявлении субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.6 Субъекту персональных данных может быть отказано в предоставлении информации в случаях, предусмотренных законодательством.
9.7 В случае выявления неточных персональных данных при обращении субъекта персональных данных либо по его заявлению или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного заявления или запроса на период проверки.
9.8 В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (изменяет) персональные данные в сроки, установленные законодательством и снимает блокирование персональных данных.
9.9 В случае выявления неправомерной обработки персональных данных при получении заявления субъекта персональных данных либо запроса уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения заявления (запроса).
9.10 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных или законодательством.
9.11 Субъект персональных данных по запросу Оператора обязан подтвердить соответствие своих персональных данных сведениям, указанным в регистрационной форме при заключении договора, путем предоставления документа, удостоверяющего личность.
9.12 Субъект персональных данных Оператора имеет право обращаться к Оператору для внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных обращается к Оператору с документом, удостоверяющим личность и подает соответствующее заявление.
9.13 Оператор обеспечивает подготовку ответов на заявления субъектов персональных данных в сроки, установленные законодательством.
- Меры по защите персональных данных
10.1 Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов и информационных систем, содержащих персональные данные;
- организует работу и создание системы защиты информации в информационных системах, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение по вопросам защиты персональных данных работников Оператора, осуществляющих обработку персональных данных, и лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных.
10.2 Обеспечение безопасности персональных данных при трансграничной обработке персональных данных осуществляется в соответствии с требованиями Закона о персональных данных, рекомендациями международных правовых актов по обеспечению безопасности персональных данных, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются персональные данные.
10.3. Процедура оформления доступа к персональным данным субъекта персональных данных включает в себя:
- ознакомление работника под роспись с настоящим Положением. При наличии иных локальных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта персональных данных с данными актами также производится ознакомление работника под роспись;
- ознакомление работника с должностной инструкцией или с дополнением в должностную инструкцию положений о соблюдении требований и правил обработки персональных данных в соответствии с внутренними локальными актами Оператора, регулирующих вопросы обеспечения безопасности персональных данных и конфиденциальной информации.
- Передача персональных данных третьим лицам
11.1 Оператор при осуществлении своей деятельности может передавать персональные данные субъектов третьим лицам (уполномоченным органам и контрагентам Оператора) в строгом соответствии с требованиями законодательства, локальных актов и при надлежащем обеспечении безопасности этих данных.
11.2 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
11.3 При передаче персональных данных третьей стороне должны выполняться следующие условия:
- передача (предоставление доступа) персональных данных третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности персональных данных при их обработке;
- передача (предоставление доступа) персональных данных третьей стороне осуществляется на основании действующего законодательства;
- наличие согласия субъекта персональных данных на передачу его персональных данных третьей стороне, за исключением случаев, предусмотренных законодательством.
- Трансграничная передача персональных данных
12.1 Оператором может с учетом требований законодательства Республике Беларусь осуществляться трансграничная передача персональных данных на территорию иностранных государств, приведенных в утверждаемом уполномоченным органом по защите прав субъектов персональных данных перечне иностранных государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных.
12.2 Трансграничная передача персональных данных на территорию иных иностранных государств может осуществляться Оператором с учетом требований действующего законодательства в случаях:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
12.3. Трансграничная передача персональных данных на территории иностранных государств осуществляется согласно законодательства иностранного государства.
- Ответственность
13.1 Работники Оператора при нарушении установленного порядка обработки и обеспечения безопасности персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
13.2 Контроль за исполнением требований Политики осуществляется лицами, ответственными за организацию обработки персональных данных у Оператора.
13.3 Ответственность за нарушение требований законодательства Республики Беларусь и локальных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством.
- Внутренний контроль
14.1. Контроль за соблюдением Оператором законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных у Оператора законодательству Республики Беларусь и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
14.2. Внутренний контроль за соблюдением структурными подразделениями Оператора законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.
ПРИЛОЖЕНИЕ к Политике оператора в отношении обработки персональных данных
Цели, перечень и сроки обработки персональных данных различных категорий субъектов персональных данных
Категории субъектов персональных данных | Перечень обрабатываемых персональных данных | Цели обработки персональных данных | Сроки обработки персональных данных |
Физические лица, заключившие договоры об оказании санаторно-курортных услуг с Оператором |
|
Обработка персональных данных производится на основании договора с субъектом персональных данных в соответствии с законодательством (абзац четвертый части третьей статьи 17 Закона от 25.11.1999 №326-З «О туризме»), в том числе:
В случае обработки персональных данных в целях, указанных в абзаце 10,11,15 и 16 пункта 4.3 Политики в отношении обработки персональных данных, требуется подписания физическим лицом отдельного согласия. |
10 лет после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. |
Посетители сайтов Оператора |
|
Обработка персональных данных производится в целях:
|
Срок, необходимый Оператору для достижения целей обработки |
Юридические лица, с которыми заключены гражданско-правовые договора, в том числе туроператоры, с которыми заключены договора комиссии |
|
Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, статья 49, пункт 5 статьи 186 Гражданского кодекса, части первой статьи 17 Закона от 25.11.1999 №326-З «О туризме»), а также для:
|
10 лет после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. |
Физические лица, заключившие договора возмездного оказания услуг/договора подряда |
|
Обработка персональных данных производится в целях привлечения физических лиц для выполнения работ/оказания услуг на основании гражданско-правового договора, в том числе для выполнения обязанностей (полномочий), предусмотренных законодательными актами (пункт 1.1 Указа Президента Республики Беларусь от 06.07.2005 N 314 «О некоторых мерах по защите прав граждан, выполняющих работу по гражданско-правовым и трудовым договорам»). | 10 лет после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. |
Посетители объектов (зданий, помещений) Оператора |
|
В целях осуществления пропускного режима на объектах Оператора, обеспечения личной безопасности работников и посетителей, обеспечение сохранности имущества | На период действия пропуска и в течение 30 дней после окончания его действия |
Иные субъекты, обработка персональных данных которых поручена Оператором третьим лицам |
Персональные данные, передаваемые субъектом, в том числе:
|
В целях исполнения обязательств Оператора по заключенным с субъектами договорам, включая оказание информационно-статистических услуг, продвижение санаторно-курортных услуг. | Срок, необходимый Оператору для достижения целей обработки, если иное не установлено законодательством |
Уполномоченные представители вышеперечисленных субъектов
|
|
В целях, указанных для соответствующей категории субъектов персональных данных | Срок, указанный для соответствующей категории субъектов персональных данных |
Работники, в том числе уволенные |
|
В целях обработки персональных данных в процессе трудовой деятельности в соответствии с законодательством (Статья 26 Трудового Кодекса Республики Беларусь, пункт 11 Декрета от 15.05.2014 № 5, часть первая статьи 10 Закона «Об инд.(перс.) учете в системе гос. соц. страхования», абзац второй пункта 32 Положения, утвержденного Постановлением Совета Министров 22.06.2011 № 821). | После прекращения трудовых отношений в течении 75 лет или дольше по решению экспертно-проверочной комиссии (п.638.3Постановления Министерства юстиции Республики Беларусь от 24.05.2012 N 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь»). |
Физические лица, которые направили резюме для рассмотрения (анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма и т.п.) соискатели на вакантные должности в целях заключения трудового договора | Персональные данные в соответствии с содержанием резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) | Согласие субъекта персональных данных (при направлении резюме в электронном виде через сайт); абзац шестнадцатый статьи 6 Закона (при направлении (предоставлении) резюме в письменном виде или в виде электронного документа) |
1 год (в случае непринятия на работу) 1 месяц (в случае принятия на работу) |
Граждане, подавшие (подающие) обращения, в том числе внесенные в книгу замечаний и предложений, и иные лица, чьи персональные данные указаны в обращении |
|
Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 и абзац шестнадцатый пункта 2 статьи 8 Закона, пункт 1 статьи 3 Закона Республики Беларусь” Об обращениях граждан и юридических лиц “) |
5 лет с даты последнего обращения; 5 лет после окончания ведения книги замечаний и предложений |
Лица, обращающиеся на личный прием |
|
Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, пункт 7 статьи 6 Закона Республики Беларусь «Об обращениях граждан и юридических лиц») | 1 год со дня предварительной записи на личный прием |
Запросы Следственного комитета, органов дознания и следствия на предоставление персональных данных вышеперечисленных субъектов | Любые персональные данные, которые имеют право запросить Следственный комитет, органы дознания и следствия в случаях, предусмотренных законодательством | В целях, предусмотренных законодательными актами (абзацем седьмым статьи 10 Закона Республики Беларусь от 13.07.2012 N 403-З «О Следственном комитете Республики Беларусь», статей 15 Закона Республики Беларусь от 15.07.2015 N 307-З (ред. от 06.01.2021) «Об оперативно-розыскной деятельности»). | Срок, необходимый Оператору для достижения целей обработки, если иное не установлено законодательством |