Политика обработки персональных данных
СОДЕРЖАНИЕ
ГЛАВА 2 ОСНОВНЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ
ГЛАВА 3 ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 4 ПЕРЕЧЕНЬ КАТЕГОРИЙ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ОБЩЕСТВЕ
ГЛАВА 5 ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ
ГЛАВА 6 ФУНКЦИИ ОБЩЕСТВА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 7 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ
ГЛАВА 8 ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Положение о политике обработки персональных данных в ОАО «Центр банковских технологий» (далее – Общество) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни категорий субъектов и обрабатываемых в Обществе персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
2. Настоящее положение разработано с учетом требований законодательства в области персональных данных.
3. Нормы настоящего положения служат основой для разработки локальных правовых актов, и иных документов, регламентирующие вопросы обработки персональных данных в Обществе.
(в ред. приказа директора Общества от 30.06.2022 № 95-О)
ГЛАВА 2
ОСНОВНЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ
4. В настоящем положении используются следующие основные термины и их определения:
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
трансграничная передача персональных данных– передача персональных данных на территорию иностранного государства;
(абзац введен приказом директора Общества от 30.06.2022 № 95-О)
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.
абзац исключен. – Приказ директора Общества от 30.06.2022 № 95-О.
ГЛАВА 3
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и других субъектов персональных данных.
6. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется на законной основе;
обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки. В случае необходимости изменения первоначально заявленных целей обработки персональных данных Общество получает согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательными актами;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных в случаях, предусмотренных законодательными актами, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
Общество принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
7. Персональные данные обрабатываются в Обществе в целях:
обеспечения соблюдения нормативных правовых актов Республики Беларусь, локальных правовых актов Общества;
осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь (далее – ФСЗН), а также в иные государственные органы;
регулирования трудовых отношений с работниками Общества (содействие в трудоустройстве, обучение, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
рассмотрения резюме кандидатов и подбора персонала на вакантные должности для дальнейшего трудоустройства в Общество;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
подготовки коммерческого предложения, участия в закупке, подготовки, заключения, исполнения и прекращения договоров с контрагентами;
проверки полномочий должностных лиц контрагентов, уполномоченных на подписание договоров;
организации доступа в здания, в которых расположены помещения, арендуемые Обществом (при необходимости);
(в ред. приказа директора Общества от 30.06.2022 № 95-О)
формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Общества, либо достижения общественно значимых целей;
в иных законных целях.
ГЛАВА 4
ПЕРЕЧЕНЬ КАТЕГОРИЙ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ОБЩЕСТВЕ
8. В Обществе обрабатываются персональные данные следующих категорий субъектов:
работники Общества;
другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в пункте 7 главы 3 настоящего положения).
ГЛАВА 5
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ
9. Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества с учетом целей обработки персональных данных, указанных в пункте 7 главы 3 настоящего положения.
10. Общество может обрабатывать персональные данные следующих категорий субъектов персональных данных:
10.1. кандидаты для приема на работу в Общество:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
контактные данные;
сведения об образовании, опыте работы, квалификации;
о наличии (отсутствии) судимости;
иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах;
10.2. работники и бывшие работники Общества:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
изображение (фотография);
паспортные данные;
адрес регистрации по месту жительства;
адрес фактического проживания;
контактные данные;
индивидуальный номер налогоплательщика;
сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
семейное положение, наличие детей, родственные связи;
сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
данные о регистрации брака;
сведения о воинском учете;
сведения об инвалидности;
сведения об удержании алиментов;
сведения о доходе с предыдущего места работы;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;
10.3. члены семьи работников Общества:
фамилия, имя, отчество;
степень родства;
год рождения;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;
10.4. члены наблюдательного совета Общества:
фамилия, имя, отчество;
контактные данные;
место работы и должность;
10.5. аффилированные лица Общества (физические лица):
фамилия, имя, отчество;
абзац исключен. – Приказ директора Общества от 30.06.2022 № 95-О;
родственные связи;
абзац исключен. – Приказ директора Общества от 30.06.2022 № 95-О;
адрес регистрации по месту жительства;
(абзац введен приказом директора Общества от 30.06.2022 № 95-О)
адрес фактического проживания;
(абзац введен приказом директора Общества от 30.06.2022 № 95-О)
идентификационный номер;
(абзац введен приказом директора Общества от 30.06.2022 № 95-О)
10.6. клиенты и контрагенты Общества (физические лица):
фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
адрес регистрации по месту жительства;
контактные данные;
индивидуальный номер налогоплательщика;
номер расчетного счета;
иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров;
10.7. представители (работники) клиентов и контрагентов Общества (юридических лиц):
фамилия, имя, отчество;
паспортные данные;
контактные данные;
занимаемая должность;
иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
11. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, а также биометрических, за исключением изображений (фотографий), и генетических персональных данных, в Обществе не осуществляется.
ГЛАВА 6
ФУНКЦИИ ОБЩЕСТВА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Общество при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства в области персональных данных, а также меры, предусмотренные локальными правовыми актами Общества в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе;
осуществляет ознакомление работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и локальных правовых актов Общества в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников и иных лиц в порядке, установленном законодательством;
публикует или иным образом обеспечивает неограниченный доступ к настоящему положению;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
совершает иные действия, предусмотренные законодательством в области персональных данных.
ГЛАВА 7
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ
13. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
14. Общество без согласия субъекта персональных данных на обработку его персональных данных не предоставляет третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
15. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
16. К обработке персональных данных допускаются работники Общества, в должностные обязанности которых входит обработка персональных данных.
17. Обработка персональных данных осуществляется путем:
получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
получения персональных данных из общедоступных источников;
внесения персональных данных в журналы, реестры и информационные системы Общества;
использования иных способов обработки персональных данных.
18. Общество вправе поручить обработку персональных данных от имени Общества или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает Общество.
19. В целях внутреннего информационного обеспечения Общество может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
(в ред. приказа директора Общества от 30.06.2022 № 95-О)
20. Общество осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.
201. Трансграничная передача персональных данных работников Общества осуществляется исключительно для целей направления в служебную командировку за границу.
(абзац введен приказом директора Общества от 30.06.2022 № 95-О)
ГЛАВА 8
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
21. Общество осуществляет обработку персональных данных.
22. Обработка персональных данных в Обществе осуществляется следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
ГЛАВА 9
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
23. Субъект персональных данных имеет право на:
отзыв согласия субъекта персональных данных;
получение информации, касающейся обработки персональных данных, и изменение персональных данных;
требование прекращения обработки персональных данных и (или) их удаления;
обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
иные права, предусмотренные законодательством.
231. Для реализации своих прав, связанных с обработкой персональных данных Обществом, субъект персональных данных подает в Общество заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – также в форме, в которой такое согласие было получено). Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
(пункт введен приказом директора Общества от 30.06.2022 № 95-О)
232. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе, в том числе направив сообщение на электронный адрес: cbt@cbt.by.
(пункт введен приказом директора Общества от 30.06.2022 № 95-О)
ГЛАВА 10
МЕРЫ, ПРИНИМАЕМЫЕ В ОБЩЕСТВЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОБЩЕСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
24. Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей оператора, предусмотренные законодательством в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в Обществе;
издание документов, определяющих политику Общества в отношении обработки персональных данных;
ознакомление работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в Обществе в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Общества в отношении обработки персональных данных, до начала такой обработки;
прекращение обработки персональных данных при отсутствии оснований для их обработки;
незамедлительное уведомление Национального центра защиты персональных данных Республики Беларусь о нарушениях систем защиты персональных данных;
(в ред. приказа директора Общества от 30.06.2022 № 95-О)
осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
25. Перечень применяемых Обществом мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных при необходимости может быть определен локальными правовыми актами Общества.
ГЛАВА 11
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ОБЩЕСТВА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
26. Контроль за соблюдением структурными подразделениями Общества, отдельными работниками, не входящими в состав структурных подразделений Общества, законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях Общества, отдельными работниками, не входящими в состав структурных подразделений Общества, законодательству Республики Беларусь и локальным правовым актам Общества в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
27. Внутренний контроль за соблюдением структурными подразделениями Общества, отдельными работниками, не входящими в состав структурных подразделений Общества, законодательства и локальных правовых актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом (подразделением), ответственным за организацию обработки персональных данных в Обществе.
28. Персональная ответственность за соблюдение требований законодательства и локальных нормативных актов Общества в области персональных данных структурными подразделениями Общества, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Общества, возлагается на их руководителей.
Персональная ответственность за соблюдение требований законодательства и локальных правовых актов Общества в области персональных данных отдельными работниками, не входящими в состав структурных подразделений Общества, а также за обеспечение конфиденциальности и безопасности персональных данных указанными работниками возлагается на этих работников.
ГЛАВА 12
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
29. Настоящее положение вступает в силу с 15.11.2021.
30. Общество имеет право по своему усмотрению изменять и/дополнять условия настоящего положения без предварительного и/или последующего уведомления субъектов персональных данных. Действующая редакция настоящего положения размещается на сайте Общества (https://www.cbt.by).
Управление правовой работы
и документационного обеспечения