Политика ЗАО «НАУЧСОФТ» по обработке персональных данных

Общие положения

Настоящая Политика по обработке персональных данных (далее – Политика) субъектов в ЗАО «НАУЧСОФТ» (далее – Компания) определяет порядок и условия обработки и защиты персональных данных, которые могут быть получены от субъектов персональных данных.

Настоящая Политика устанавливается в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-3 «О защите персональных данных» и принятыми в соответствии с ним нормативными правовыми актами с целью обеспечения защиты персональных данных, которые могут быть получены от субъектов персональных данных, а также защиты их прав, свобод и законных интересов при обработке персональных данных.

Компания формирует статистическую и иную отчетность, а также раскрывает сведения в отношении акционеров, аффилированных лиц Компании, лиц, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления Компанией и в соответствии с требованиями законодательства Республики Беларусь.

Нормы настоящей Политики распространяются на персональные данные, полученные как до, так и после утверждения настоящей Политики.

В настоящей Политике используются следующие термины и определения:

персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными (как с использованием средств автоматической обработки, так и без них), включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

защита персональных данных – комплекс мер (организационно-распорядительных, технических, юридических), направленных на предоставление неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства.

Цели обработки персональных данных

Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств, а также смешанным образом в следующих целях:

  • заключения и исполнения трудовых, гражданско-правовых договоров с физическими лицами, а также участия физических лиц в мероприятиях, проводимых Компанией
  • расчета и выплаты заработной платы, премий, бонусов, корпоративных возмещений по понесенным расходам, корпоративных компенсаций
  • осуществления страхования Работников и членов их семей
  • участия Работников в корпоративных спортивных и иных программах
  • размещения данных на сайте и в социальных сетях Компании в корпоративных и информационных целях
  • идентификации стороны в рамках заключаемых Компанией договоров
  • направления уведомлений, информации и запросов, связанных со сбором, хранением и обработкой персональных данных
  • организации физического доступа лиц в помещение Компании
  • выполнения действующего законодательства Республики Беларусь, нормативных актов Компании

Правовые основания обработки персональных данных

Компания обрабатывает персональные данные субъектов персональных данных в соответствии с требованиями законодательства Республики Беларусь (Трудовой кодекс Республики Беларусь, Гражданский кодекс Республики Беларусь, Закон «О защите персональных данных») и локальными нормативными актами (внутренними процедурами, политиками и положениями), разработанными в соответствии с требованиями законодательства Республики Беларусь.

Категории субъектов персональных данных, чьи данные подвергаются обработке

  1. Лица, с которыми Компанией заключены трудовые (гражданско-правовые) договоры (далее – Работники), их родственники;
  2. Лица, являющиеся одной из сторон гражданско-правовых договоров (далее – Контрагенты);
  3. Представители юридических лиц – контрагентов Компании;
  4. Кандидаты на занятие вакантных должностей Компании (далее – Кандидаты на должность);
  5. Участники мероприятий, проводимых Компанией;
  6. Акционеры Компании и аффилированные лица.

Перечень обрабатываемых персональных данных

К персональным данным субъектов персональных данных относятся основные и дополнительные персональные данные, а также данные о реквизитах документов, подтверждающих основные и дополнительные персональные данные конкретных субъектов персональных данных:

Основные персональные данные:

  • идентификационный номер;
  • фамилия, собственное имя, отчество (если таковое имеется);
  • пол;
  • число, месяц, год рождения;
  • место рождения;
  • цифровой фотопортрет;
  • данные о гражданстве (подданстве);
  • данные о регистрации по месту жительства и (или) месту пребывания
  • данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным

Дополнительные персональные данные:

  • о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
  • о высшем образовании, ученой степени, ученом звании;
  • о роде занятий;
  • о пенсии, ежемесячном денежном содержании по законодательству о государственной службе, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности;
  • об инвалидности

Порядок и условия обработки персональных данных

Обработка персональных данных Компанией основывается на принципах законности, уважения прав и интересов физических лиц, неприкосновенности их частной жизни.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Компания обязана получать согласие субъектов персональных данных на их обработку.

Согласие субъекта представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

Согласие субъекта может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

Обработка персональных данных без согласия субъекта персональных данных на такую обработку осуществляется только в случаях, предусмотренных законодательством Республики Беларусь, и только для достижения целей, предусмотренных законодательством Республики Беларусь в этих случаях.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

Поручение обработки персональных данных третьему лицу осуществляется Компанией только на основании договора, заключенного между Компанией и третьим лицом, либо ином основании, предусмотренном законодательством Республики Беларусь. При этом Компания указывает в договоре обязанность лица, осуществляющего обработку персональных данных по поручению Компании, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и законодательством Республики Беларусь.

В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.

Компания обязуется и обязывает иных лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.

Права и обязанности субъектов персональных данных

Субъект персональных данных осуществляет свои права в объеме и порядке, установленном законодательством Республики Беларусь.

Субъект персональных данных имеет право на получение информации, касающейся обработки персональных данных соответствующего субъекта персональных данных, в том числе содержащей:

  • наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
  • подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
  • его персональные данные и источник их получения;
  • правовые основания и цели обработки персональных данных;
  • срок, на который дано его согласие;
  • наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
  • иную информацию, предусмотренную законодательством.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.

Субъект, предоставляющий персональные данные Компании, несет ответственность за точность, достоверность и актуальность предоставляемых персональных данных в соответствии с законодательством Республики Беларусь

Порядок подачи субъектами персональных данных заявлений, направленных на реализацию их прав

Субъект имеет право подать заявление, направленное на реализацию его прав, уполномоченному Компании по ответственным за организацию обработки персональных данных, или же лицу, непосредственно осуществляющему обработку персональных данных.

Заявление субъекта персональных данных должно содержать:

  • фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  • дату рождения субъекта персональных данных;
  • идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
  • изложение сути требований субъекта персональных данных;
  • личную подпись либо электронную цифровую подпись субъекта персональных данных.

О мерах защиты персональных данных

Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

К обязательным мерам по обеспечению защиты персональных данных, принимаемым Компанией относятся:

  • разработка и применение нормативных документов по обработке и защите персональных данных в Компании;
  • включение в соглашения, заключаемые Компанией с контрагентами, требований соблюдения конфиденциальности и обеспечения безопасности персональных данных субъектов при их обработке.
  • ознакомление работников Компании с требованиями законодательства Республики Беларусь и нормативными документами Компании в области работы с персональными данными;
  • назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
  • издание внутренних документов, определяющих политику Компании в отношении обработки персональных данных, локальных нормативных актов по вопросам обработки персональных данных, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений при работе с персональными данными, устранение последствий таких нарушений.
  • организация контроля доступа в помещения и здания Компании, их охрана в рабочее и нерабочее время;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных (использование защищенных и сертифицированных каналов передачи данных);
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • учет машинных носителей персональных данных;
  • осуществление внутреннего контроля за соблюдением работниками Компании, осуществляющими работу с персональными данными субъектов, требований законодательства Республики Беларусь и внутренних локальных нормативно-правовых актов, а также контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
  • обеспечение регистрации и учета всех действий, совершаемых с персональными данными, обрабатываемыми с использованием компьютерных устройств;
  • реализация разграничения/ограничения доступа работников к документам, информационным ресурсам, техническим средствам и носителям информации, информационным системам и связанным с их использованием работам;
  • регулярный мониторинг безопасности персональных данных, совершенствование системы их защиты;
  • осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.