У нас появилась Политика оператора!

У нас появилась Политика оператора!

29.03.2022

                                                                  УТВЕРЖДЕН

                                                                  Приказ

                                                                  Туристско-экскурсионного

                                                                  дочернего унитарного

                                                                  предприятия «Гомельтурист»

                                                                  от                          №

ПОЛИТИКА ОПЕРАТОРА

в отношении обработки персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика обработки персональных данных (далее – Политика) в Туристско-экскурсионном дочернем унитарном предприятии «Гомельтурист» (далее – УП «Гомельтурист») определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в УП «Гомельтурист» персональных данных, функции УП «Гомельтурист» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в УП «Гомельтурист» требования к защите персональных данных.

2. Политика разработана с учетом требований Конституции, законодательных и иных нормативно-правовых актов Республики Беларусь в области персональных данных.

3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в УП «Гомельтурист» вопросы обработки персональных данных работников УП «Гомельтурист», филиалов «Гомельское бюро путешествий и экскурсий», «Мозырское бюро путешествий и экскурсий», «Речицкое бюро путешествий и экскурсий», «Светлогорское бюро путешествий и экскурсий» и других субъектов персональных данных.

4. Для целей настоящей Политики применяются термины в значениях, определенных в законе от 07.05.2021 № 99-З «О защите персональных данных».

ГЛАВА 2

ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НПА РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УП «ГОМЕЛЬТУРИСТ»

4. Политика обработки персональных данных в УП «Гомельтурист» определяется в соответствии со следующими нормативно-правовыми актами:

4.1. Конституция;

4.2. Трудовой кодекс;

4.3. Закон от 07.05.2021 № 99-З «О защите персональных данных»;

4.4. Закон от 21.07.2008 № 418-З «О регистре населения»;

4.5. Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;

4.6. иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.

5. В целях реализации положений Политики в УП «Гомельтурист» могут разрабатываться соответствующие локальные правовые акты.

ГЛАВА 3

ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. УП «Гомельтурист», являясь оператором персональных данных, осуществляет обработку персональных данных работников УП «Гомельтурист» и других субъектов персональных данных, не состоящих с УП «Гомельтурист» в трудовых отношениях.

7. Обработка персональных данных в УП «Гомельтурист» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников УП «Гомельтурист» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

7.1.  обработка персональных данных осуществляется на законной и справедливой основе;

7.2.  обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Политикой,  законодательными актами;

7.3.  обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей.

7.4.  содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки.

7.5.  обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

8. Персональные данные обрабатываются в УП «Гомельтурист» в целях:

8.1.  осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на УП «Гомельтурист», в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы;

8.2.  подготовки, заключения, исполнения и прекращения договоров с контрагентами;

8.3.  обработки информации (резюме) кандидата на трудоустройство;

8.4. обработки персональных данных в процессе трудовой деятельности;

8.5. ведения бухгалтерского и налогового учета;

8.6.   направления субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией (работами, услугами);

8.7. рассмотрения обращений;

8.8. реализации действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности и т.п.

ГЛАВА 4

ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В УП «ГОМЕЛЬТУРИСТ»

9. Работники УП «Гомельтурист», физические лица, работающие по договорам подряда.

10. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в гл. 3 Политики): работники, в том числе уволенные; кандидаты на трудоустройство; граждане, подавшие (подающие) обращения; проживающие в гостинице; арендаторы по договорам аренды помещений, принадлежащих УП «Гомельтурист».

ГЛАВА 5

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОБРАБАТЫВАЕМЫХ В УП «ГОМЕЛЬТУРИСТ»

11. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью УП «Гомельтурист» реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

12. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, в УП «Гомельтурист» не осуществляется.

13. Персональные данные включают такие данные, как:

13.1. фамилия, имя, отчество;

13.2. дата рождения;

13.3. гражданство;

13.4. паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);

13.5. сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;

13.6. сведения о регистрации по месту жительства (включая адрес, дату регистрации);

13.7. сведения о месте фактического проживания;

13.8. номер и серия страхового свидетельства государственного социального страхования;

13.9. сведения медицинского характера (в случаях, предусмотренных законодательством);

13.10. сведения о социальных льготах и выплатах;

13.11. контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.).

13.12. данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;

13.13. идентификационный номер налогоплательщика;

13.14. сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);

13.15. специальность, профессия, квалификация;

13.16. сведения о воинском учете;

13.17. биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);

13.18. реквизиты банковского счета;

13.19. идентификационный номер налогоплательщика;

ГЛАВА 6

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

14. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки.

15. В случаях, установленных законодательством Республики Беларусь, основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных, в том числе в письменной форме.

16. Субъект персональных данных при даче своего согласия оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность, за исключением случая, предусмотренного частью второй настоящего пункта.

Если цели обработки персональных данных не требуют обработки информации, указанной в части первой настоящего пункта, эта информация не подлежит обработке оператором при получении согласия субъекта персональных данных.

17. Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях:

17.1. для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;

17.2. для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;

17.3. в целях осуществления контроля (надзора) в соответствии с законодательными актами;

17.4. при реализации норм законодательства о борьбе с коррупцией;

17.5. для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

17.6. при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

17.7. в целях назначения и выплаты пенсий, пособий;

17.8. для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

17.9. в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;

17.10. при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

17.11. при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

17.12. для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

17.13. в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;

17.14. в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

17.15. в случаях, когда Законом № 99-З и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

18. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами.

19. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

Если иное не установлено Законом № 99-З, Оператор вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.

20. Хранение персональных данных осуществляется с соблюдением следующих условий:

20.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

20.2. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты.

20.3. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

20.4. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

20.5. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.

20.6. Доступ к персональным данным предоставляется только тем работникам УП «Гомельтурист», служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется оператором.

20.7. Работникам УП «Гомельтурист», не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.

21. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

22. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.

ГЛАВА 7

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

23. Субъект персональных данных вправе:

23.1. в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в форме, посредством которой получено его согласие;

23.2. получать информацию, касающуюся обработки своих персональных данных;

23.3. требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

23.4. получать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно.

23.5. требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами. Для реализации указанного права субъект персональных данных подает оператору заявление в порядке, установленном Законом № 99-З;

23.6. обжаловать действия (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

24. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.

25. Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются.

26. Субъект персональных данных обязан:

26.1. предоставлять Организации достоверные персональные данные;

26.2. своевременно сообщать Организации об изменениях и дополнениях своих персональных данных;

26.3. осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными нормативными актами Организации в области обработки и защиты персональных данных;

26.4. исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными нормативными актами Организации в области обработки и защиты персональных данных.

ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

27. Оператор вправе:

27.1. устанавливать правила обработки персональных данных в УП «Гомельтурист», вносить изменения и дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;

27.2. осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных.

28. Оператор обязан:

28.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

28.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;

28.3. обеспечивать защиту персональных данных в процессе их обработки;

28.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;

28.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

28.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных настоящим законодательством Республики Беларусь;

28.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

28.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательством Республики Беларусь;

28.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

28.10. выполнять иные обязанности, предусмотренные настоящим законодательством Республики Беларусь.

ГЛАВА 9

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

29. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

29.1. дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

29.2. персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

29.3. персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;

29.4. такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

29.5. обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;

29.6. такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;

29.7. получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.

30. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.

31. В случаях, когда госорганы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.

32. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в Организации, для предварительного рассмотрения и согласования.

ГЛАВА 10

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

33. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

33.1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

33.2. соблюдение конфиденциальности информации ограниченного доступа;

33.3. реализацию права на доступ к информации.

34. Для защиты персональных данных Организация принимает необходимые меры, предусмотренные законом (включая, но не ограничиваясь):

34.1. ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);

34.2. проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

35. В Организации назначены лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных.

ГЛАВА 11

ОТВЕТСТВЕННОСТЬ

36. Лица, виновные в нарушении Закона № 99-З, несут ответственность, предусмотренную законодательными актами.

37. Работники и иные лица, виновные в нарушении настоящего Положения, а также законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательства Республики Беларусь.                                                  

                                                                                 

БРОНИРОВАНИЕ НОМЕРОВ

Возврат к списку