ПОЛИТИКА ОПЕРАТОРА в отношении обработки и защиты

УТВЕРЖДЕНО
Приказ директора
ООО «ЭмеральдСити»
О принятии правовых и
технических мер по защите
персональных данных
15.11.2021 г. № 3
ПОЛИТИКА ОПЕРАТОРА
в отношении обработки и защиты персональных данных
в ООО «ЭмеральдСити»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая политика обработки персональных данных определяет порядок
обработки персональных данных и меры по обеспечению безопасности
персональных данных, предпринимаемые обществом с ограниченной
ответственностью «ЭмеральдСити», место нахождения: 222201, Минская обл.,
Смолевичский р-н, г. Смолевичи, ул. Гавриила Тихого, д. 2, кабинет 1 (далее –
Оператор).
1.1. Оператор ставит важнейшей целью и условием осуществления своей
деятельности соблюдение прав и свобод человека и гражданина при обработке его
персональных данных, в том числе защиты прав на неприкосновенность частной
жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных
данных (далее – Политика) применяется в отношении всех персональных данных,
которые получает Оператор.
1.3. Политика распространяется на отношения в области обработки
персональных данных, возникшие у Оператора как до, так и после утверждения
Политики.
1.4. Во исполнение требований п. 4 ст. 17 Закона Республики Беларусь от
07.05.2021 г. № 99-З «О защите персональных данных» (далее – Закон о персональных
данных), Политика размещается в свободном доступе в офисе Оператора, а также
публикуется в информационно-телекоммуникационной сети Интернет на сайте
www.onalogah.by.
1.5. Термины, используемые в настоящей Политике, определяются в
соответствии со ст. 1 Закона о персональных данных.
1.6. Контроль за соблюдением настоящего Положения возлагается на
лицо, ответственное за осуществление внутреннего контроля за обработкой
персональных данных.
ГЛАВА 2
ПРАВОВЫЕ ОСНОВАНИЯ СБОРА И ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика обработки персональных данных Оператора определяется в
соответствии со следующими нормативными правовыми актами:
 Конституция Республики Беларусь;
 Закон о персональных данных;
2
 Закон Республики Беларусь от 21.07.2008 г. № 418-З «О регистре
населения»;
 Закон Республики Беларусь от 10.11.2008 г. № 455-З «Об информации,
информатизации и защите информации»;
 иные нормативные правовые акты Республики Беларусь и нормативные
документы уполномоченных органов государственной власти.
2.2. Правовые основания сбора и обработки персональных данных
определены в Приложении 1 к настоящей Политике.
ГЛАВА 3
ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных ограничивается достижением
конкретных, заранее определенных и законных целей. Не допускается обработка
персональных данных, несовместимая с целями сбора персональных данных.
3.2. Обработке подлежат только персональные данные, которые отвечают
целям их обработки.
3.3. Цели обработки персональных данных определены в Приложении 1 к
настоящей Политике.
3.4. Обработка персональных данных осуществляется Оператором на
основе следующих принципов:
 обработка персональных данных осуществляется на законной и
справедливой основе;
 обработка персональных данных осуществляется соразмерно
заявленным целям их обработки и обеспечивает на всех этапах такой обработки
справедливое соотношение интересов всех заинтересованных лиц;
 обработка персональных данных осуществляется с согласия Субъекта
персональных данных, за исключением случаев, предусмотренных
законодательными актами;
 обработка персональных данных ограничивается достижением
конкретных, заранее заявленных законных целей. Не допускается обработка
персональных данных, не совместимая с первоначально заявленными целями их
обработки;
 содержание и объем обрабатываемых персональных данных
соответствуют заявленным целям их обработки. Обрабатываемые персональные
данные не являются избыточными по отношению к заявленным целям их
обработки;
 обработка персональных данных носит прозрачный характер.
Субъекту персональных данных может предоставляться соответствующая
информация, касающаяся обработки его персональных данных;
 Оператор принимает меры по обеспечению достоверности
обрабатываемых им персональных данных, при необходимости обновляет их;
 хранение персональных данных осуществляется в форме,
позволяющей идентифицировать Субъекта персональных данных, не дольше, чем
этого требуют заявленные цели обработки персональных данных.
3
ГЛАВА 4
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
И ОПЕРАТОРА
4.1. Права субъекта персональных данных и порядок их реализации
определены в Положении о порядке реализации прав субъектов персональных
данных ООО «ЭмеральдСити», утвержденных приказом директора от 15.11.2021 г.
№ 3, размещенном в офисе Оператора, а также опубликованном на сайте
www.onalogah.by.
4.2. Оператор имеет право:
 самостоятельно определять состав и перечень мер, необходимых и
достаточных для обеспечения выполнения обязанностей, предусмотренных
Законом о персональных данных и принятыми в соответствии с ним нормативными
правовыми актами, если иное не предусмотрено законодательством;
 поручить обработку персональных данных другому лицу, если иное не
предусмотрено законодательством, на основании заключаемого с этим лицом
договора. Лицо, осуществляющее обработку персональных данных по поручению
Оператора, обязано соблюдать принципы и правила обработки персональных
данных, предусмотренные Законом о персональных данных;
 в случае отзыва субъектом персональных данных согласия на
обработку персональных данных Оператор вправе продолжить обработку
персональных данных без согласия субъекта персональных данных при наличии
оснований, указанных в Законе о персональных данных;
 получать достоверные персональные данные от субъекта
персональных данных;
 привлекать к дисциплинарной и материальной и иной ответственности
лиц, нарушивших правила обработки и получения персональных данных;
 осуществлять иные права, предусмотренные законодательством
Республики Беларусь и локальными правовыми актами Оператора в области
обработки и защиты персональных данных.
4.3. Оператор обязан:
 назначать ответственного за осуществление внутреннего контроля за
обработкой персональных данных;
 издавать документы, определяющие политику Оператора в отношении
обработки персональных данных, локальные правовые акты по вопросам
обработки персональных данных, а также иные локальные правовые акты,
устанавливающие процедуры, направленные на предотвращение и выявление
нарушений законодательства и устранение последствий таких нарушений;
 применять правовые, организационные и технические меры для
защиты персональных данных субъектов персональных данных от неправомерного
или случайного доступа к ним, удаления, изменения, блокирования, копирования,
предоставления, распространения, а также от иных неправомерных действий;
 разъяснять субъектам персональных данных юридические последствия
отказа предоставить их персональные данные, если предоставление персональных
данных является обязательным в соответствии с законодательством;
 блокировать неправомерно обрабатываемые персональные данные,
прекращать обработку персональных данных в соответствии с законодательством;
4
 уведомлять субъектов персональных данных об устранении
допущенных нарушений при обработке их персональных данных;
 представлять субъектам персональных данных по их просьбе или их
представителям информацию, касающуюся обработки их персональных данных, в
порядке, установленном законодательством и локальными правовыми актами
Оператора;
 осуществлять внутренний контроль и (или) аудит соответствия
обработки персональных данных законодательству о персональных данных,
требованиям к защите персональных данных, политике оператора в отношении
обработки персональных данных, локальным правовым актам Оператора.
 организовывать обработку персональных данных в соответствии с
требованиями Закона о персональных данных;
 отвечать на обращения и запросы субъектов персональных данных в
соответствии с требованиями Закона о персональных данных;
 сообщать в уполномоченный орган по защите прав субъектов
персональных данных о нарушениях систем защиты персональных данных
незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало
известно о таких нарушениях;
 исполнять требования уполномоченного органа по защите прав
субъектов персональных данных об устранении нарушений законодательства о
персональных данных.
 исполнять иные обязанности, предусмотренные Законом о
персональных данных.
ГЛАВА 5
ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки, предусмотренным в Приложении 1
к настоящей Политике. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.
5.2. Оператор может обрабатывать перечисленные персональные данные
следующих категорий субъектов персональных данных, указанных в Приложении
1 к настоящей Политике.
5.3. Обработка Оператором специальных персональных данных
(например, фотографии) осуществляется в соответствии с законодательством
Республики Беларусь.
ГЛАВА 6
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Персональные данные у Оператора обрабатываются с согласия субъекта
персональных данных на обработку его персональных данных, если иное не
предусмотрено законодательством в сфере защиты персональных данных.
6.2. Оператор без согласия субъекта персональных данных не раскрывает
третьим лицам и не распространяет персональные данные, если иное не
предусмотрено законодательством.
6.3. Оператор вправе поручить обработку персональных данных от своего
имени или в своих интересах уполномоченному лицу на основании заключаемого с
5
этим лицом договора. Перечень уполномоченных лиц Оператора отражен в
Приложении 2 к настоящей Политике.
Договор с уполномоченным лицом должен содержать:
 цели обработки персональных данных;
 перечень действий, которые будут совершаться с персональными
данными уполномоченным лицом;
 обязанности по соблюдению конфиденциальности персональных
данных;
 меры по обеспечению защиты персональных данных в соответствии со
ст.17 Закона о защите персональных данных.
6.4. Персональные данные у Оператора обрабатываются, как правило, с
использованием средств автоматизации. Допускается обработка в установленном
порядке персональных данных без использования средств автоматизации, если при
этом обеспечиваются поиск персональных данных и (или) доступ к ним по
определенным критериям (журнал, список и др.).
6.5. Порядок обработки и защиты персональных данных у Оператора
устанавливается Положением о порядке обработки и защиты персональных
данных.
6.6. Доступ к обрабатываемым Обществом персональным данным
разрешается только уполномоченным работникам по работе с персональными
данными в порядке, определенном Положением о порядке доступа работников и
иных лиц к персональным данным.
ГЛАВА 7
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ
7.1. Трансграничная передача персональных данных запрещается, если на
территории иностранного государства не обеспечивается надлежащий уровень
защиты прав субъектов персональных данных, за исключением случаев, когда:
 дано согласие субъекта персональных данных при условии, что субъект
персональных данных проинформирован о рисках, возникающих в связи с
отсутствием надлежащего уровня их защиты;
 персональные данные получены на основании договора, заключенного
(заключаемого) с субъектом персональных данных, в целях совершения действий,
установленных этим договором;
 персональные данные могут быть получены любым лицом посредством
направления запроса в случаях и порядке, предусмотренных законодательством;
 такая передача необходима для защиты жизни, здоровья или иных
жизненно важных интересов субъекта персональных данных или иных лиц, если
получение согласия субъекта персональных данных невозможно;
 персональные данные обрабатываются в рамках исполнения
международных договоров Республики Беларусь;
 такая передача осуществляется органом финансового мониторинга в
целях принятия мер по предотвращению легализации доходов, полученных
преступным путем, финансирования террористической деятельности и
финансирования распространения оружия массового поражения в соответствии с
законодательством;
 получено соответствующее разрешение уполномоченного органа по
защите прав субъектов персональных данных.
6
7.2. Перечень иностранных государств, на территории которых
обеспечивается надлежащий уровень защиты прав субъектов персональных
данных, определяется уполномоченным органом по защите прав субъектов
персональных данных.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Вопросы, касающиеся обработки персональных данных, не
закрепленные в настоящей Политике, регулируются законодательством
Республики Беларусь.
8.2. Оператор имеет право по своему усмотрению изменять и (или)
дополнять условия настоящей Политики без предварительного и (или)
последующего уведомления субъектов персональных данных.
Приложение:
1. Перечень обрабатываемых персональных данных в ООО
«ЭмеральдСити».
2. Перечень уполномоченных лиц, обрабатывающих персональные
данные в ООО «ЭмеральдСити».