ПОЛИТИКА (примерная форма) В данном разделе отражается информация о наименовании оператора (уполномоченного лица), его контактных данных, сфере (бизнес-процессах), на которые распространяется действие Политики в отношении обработки персональных данных (далее – Политика). При наличии у оператора (уполномоченного лица) большого количества бизнес-процессов (целей обработки персональных данных) и (или) обработки персональных данных различных категорий субъектов персональных данных целесообразно издание нескольких документов (Политик) по отдельным направлениям деятельности или в отношении отдельных категорий субъектов персональных данных, например: Пример. 1.1. Издание Политики является одной из обязательных принимаемых (наименование оператора (уполномоченного лица) мер по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон). 1.2. Настоящая Политика разработана в соответствии с Законом и разъясняет субъектам персональных данных, как, для каких целей и на каком правовом основании их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации. Политика (применяется/не применяется) к обработке персональных данных в процессе трудовой деятельности (в отношении работников, бывших работников, членов их семей (родственников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте (наименование оператора (уполномоченного лица). 1.3. Контактные данные (наименование оператора (уполномоченного лица): Местонахождение: Адрес в сети Интернет: Адрес электронной почты: Номер телефона: Для изложения информации в Политике оператор (уполномоченное лицо) может использовать сокращения. Оператор (уполномоченное лицо) может самостоятельно определить, в отношении каких понятий в тексте Политики будут применяться сокращения, и включить их перечень в содержание такого документа. Пример. 1.4. В настоящей Политике используются термины и их определения в значении, предусмотренном Законом. 1.5. По тексту настоящей Политики применяются следующие сокращения: ФИО – фамилия, собственное имя, отчество (если таковое имеется); ФЛ – физическое лицо; ЮЛ – юридическое лицо; ИП – индивидуальный предприниматель; Согласие – согласие на обработку персональных данных. В данном разделе отражается информация о: перечне осуществляемых оператором (уполномоченным лицом) действий с персональными данными, источник получения персональных данных. При этом данный перечень должен не дублировать нормы статьи 1 Закона, а отражать реальные действия, осуществляемые оператором (уполномоченным лицом) с персональными данными; целях обработки персональных данных и применительно к каждой цели: – категориях субъектов персональных данных, чьи данные подвергаются обработке; Пример. 2.1. Обработка персональных данных осуществляется (с использованием средств автоматизации/без использования средств автоматизации/как с использованием средств автоматизации, так и без их использования) посредством (перечень действий, которые будут осуществляться с персональными данными, например сбор, хранение, использование, систематизация, изменение, предоставление, удаление и др.) 2.2. Информация о целях обработки персональных данных, перечне обрабатываемых персональных данных, правовых основаниях и сроках их хранения содержится в приложении 1 к настоящей Политике. При осуществлении распространения персональных данных необходимо указать цель такой обработки, а также способ, посредством которого такое распространение осуществляется. В качестве способа, посредством которого осуществляется распространение персональных данных, могут быть указаны определенный интернет-сайт или социальная сеть. Также могут быть указаны иные способы распространения персональных данных, не предполагающие использование сети Интернет (например, размещение персональных данных в местах, открытых для массового посещения (двери подъезда, стенд на входе в организацию и др.). Поскольку распространение персональных данных несет влечет наибольший риск для прав субъекта персональных данных, оператору (уполномоченному лицу) также рекомендуется указать в Политике принятые им меры по обеспечению защиты прав субъектов персональных данных в связи с осуществлением такой обработки. Пример. 2.3. (Наименование оператора (уполномоченного лица) осуществляет распространение персональных данных (перечень обрабатываемых персональных данных) для целей (цели распространения персональных данных, например, ”размещение информации об участниках проводимых оператором мероприятий на сайте, в социальных сетях и мессенджерах“ и др.) посредством (способ, посредством которого осуществляется распространение) на основании (правовое основание обработки персональных данных). В случае, если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в данном разделе указывается: Пример 1. 3.1. (Наименование оператора) поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора), содержится в приложении 2 к настоящей Политике. 3.2. (Наименование оператора) заключает с уполномоченными лицами соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона. В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами на уровне не ниже, чем у (наименование оператора), (наименование оператора): периодически осуществляет контроль за выполнением уполномоченными лицами мер по обеспечению защиты прав субъектов персональных данных при обработке их персональных данных по поручению оператора; не дает уполномоченным лицам разрешения на привлечение субуполномоченных лиц/допускает привлечение уполномоченными лицами субуполномоченных лиц только при условии получения предварительного письменного разрешения оператора/письменного уведомления оператора. Пример 2. 3.1. (Наименование оператора) поручает обработку персональных данных уполномоченным лицам, оказывающим услуги по (услуга, оказываемая уполномоченным лицом) Наименование уполномоченного лица: Местонахождение уполномоченного лица: 3.2. (Наименование оператора) заключает с уполномоченными лицами соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона. В целях обеспечения защиты персональных данных при их обработке уполномоченным лицом на уровне не ниже, чем у (наименование оператора), (наименование оператора): Если оператор не поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), раздел ”Уполномоченные лица“ в Политике не отражается. При осуществлении трансграничной передачи персональных данных в данном разделе применительно к каждой цели передачи персональных данных отражаются: В качестве оснований трансграничной передачи персональных данных могут быть указаны: Перечень иностранных государств, в которых обеспечен надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 (далее – приказ № 14). Если трансграничная передача персональных данных осуществляется в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, или определить государства, в которые она осуществляется, невозможно, в Политике допускается указание обобщенного перечня государств (например, иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), а также может быть отражена информация о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты. Пример 1. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14). (Наименование оператора (уполномоченного лица) осуществляет трансграничную передачу персональных данных на территорию (указывается государство, куда передаются персональные данные), которое обеспечивает надлежащий уровень защиты прав субъектов персональных данных, в адрес (наименование организации, адрес места нахождения, почтовый адрес) с целью (указываются цель, для достижения которой осуществляется трансграничная передача персональных данных (например, с целью направления информации о специальных предложениях, акциях, иных рекламных мероприятиях), и передаваемые персональные данные). Обработка персональных данных осуществляется на основании (правовое основание обработки персональных данных в соответствии со статьями 5, 6 и пунктом 2 статьи 8 Закона). Пример 2. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14). (Наименование оператора (уполномоченного лица) осуществляет трансграничную передачу персональных данных на территорию (государство, куда передаются персональные данные), которое не обеспечивает надлежащий уровень защиты прав субъектов персональных данных, в адрес (наименование организации, адрес места нахождения, почтовый адрес) с целью (указываются цель, для достижения которой осуществляется трансграничная передача персональных данных (например, с целью ведения переписки с организациями и гражданами иностранных государств по вопросам оказываемых оператором услуг) и перечень передаваемых персональных данных). Обработка персональных данных осуществляется на основании (правовое основание обработки персональных данных в соответствии с пунктом 1 статьи 9 Закона). В этой связи (наименование оператора (уполномоченного лица) сообщает о следующих возможных рисках трансграничной передачи персональных данных в указанное государство: Пример 3. Осуществление трансграничной передачи персональных данных при отсутствии возможности с точностью установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные. (Наименование оператора (уполномоченного лица) осуществляет трансграничную передачу персональных данных с целью (указываются цель, для достижения которой осуществляется трансграничная передача персональных данных (например, с целью размещения информации об участниках проводимых оператором (уполномоченным лицом) мероприятий в социальных сетях и мессенджерах), и перечень передаваемых персональных данных ) в адрес (наименование организации, адрес места нахождения, почтовый адрес). Поскольку возможность установить государство, куда осуществляется трансграничная передача персональных данных, отсутствует, существует вероятность отсутствия в нем условий для обеспечения надлежащей защиты прав субъектов персональных данных. В этой связи (наименование оператора (уполномоченного лица) сообщает о следующих возможных рисках трансграничной передачи персональных данных: отсутствие законодательства о персональных данных; отнесение к персональным данным ограниченного круга сведений о физическом лице; отсутствие уполномоченного органа по защите прав субъектов персональных данных; ограниченный перечень (отсутствие) прав субъектов персональных данных; иные возможные риски нарушения прав субъектов персональных данных, возникающие в связи с трансграничной передачей персональных данных. 4.3. Обработка персональных данных осуществляется на основании (правовое основание обработки персональных данных в соответствии с пунктом 1 статьи 9 Закона). При поручении оператором обработки персональных данных уполномоченному лицу, размещенному в иностранном государстве, в Политике также может быть указан перечень мер по обеспечению защиты персональных данных, которые приняты таким лицом, в том числе меры, аналогичные предусмотренным статьей 17 Закона в качестве обязательных. В случае, если трансграничная передача персональных данных не осуществляется, информация об этом также отражается в Политике. Пример. Оператор не осуществляет трансграничную передачу персональных данных при их обработке. Информация о правах субъектов персональных данных и механизмах их реализации содержится в приложении 5 к Разъяснениям по составлению документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных. Приложение 1 Цели обработки Категории субъектов персональных данных, чьи данные подвергаются обработке Перечень обрабатываемых персональных данных[1] Правовые основания обработки персональных данных Срок хранения ПОДБОР ПЕРСОНАЛА Поиск и оценка соискателей на трудоустройство, осуществление коммуникации с ними Соискатели на трудоустройство Персональные данные в соответствии с содержанием резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) 1. В отношении распространенных ранее персональных данных (например, на информационном портале государственной службы занятости, сервисе rabota.by) – абз. 19 ст. 6 Закона 2. При предоставлении резюме в письменном виде или в виде электронного документа, подписанного соискателем на трудоустройство – абз. 16 ст. 6 Закона 3. При направлении резюме на электронную почту – согласие При направлении резюме посредством интернет-сайта – согласие 1. В случае отказа в трудоустройстве – не более 1 года 2. В случае принятия на работу – 1 месяц 3. При даче согласия – указывается срок действия согласия[2] либо ”до отзыва согласия“ Формирование и ведение резерва кадров Соискатели на трудоустройство ФИО, сведения об образовании, о трудовой деятельности, номер телефона, e-mail, иные данные, предусмотренные законодательством или указанные в резюме 1. Если формирование и ведение резерва кадров предусмотрено законодательством (Указ Президента Республики Беларусь от 26.07.2004 № 354) – абз. 20 ст. 6, абз. 17 п. 2 ст. 8 Закона 2. В иных случаях – согласие 2. При даче согласия – указывается срок действия согласия2 либо ”до отзыва согласия“ ОСУЩЕСТВЛЕНИЕ ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ (ЗАКЛЮЧЕНИЕ И ИСПОЛНЕНИЕ ГРАЖДАНСКО-ПРАВОВЫХ ДОГОВОРОВ И ДР.) Создание, регистрация и использование личного кабинета на сайте и (или) в мобильном приложении Клиенты – ФЛ и ИП Уполномоченные представители ЮЛ 1. Для ФЛ (в том числе ИП): ФИО; e-mail; номер телефона, логин и пароль 2. Для представителя ЮЛ: рабочий e-mail, рабочий номер телефона, логин и пароль 1. В отношении ФЛ и ИП – договор (пользовательское соглашение) (абз. 15 ст. 6 Закона) При отсутствии договора (пользовательского соглашения) – согласие 2. В отношении представителя ЮЛ – абз. 8 ст. 6 Закона (законодательство о труде, гражданское законодательство) 3. В случаях, предусмотренных законодательством – абз. 20 ст. 6 Закона (например, при создании личных электронных кабинетов в рамках общегосударственной автоматизированной информационной системы) 1. Если правовым основанием выступает договор или абз. 20 ст. 6 Закона – срок указывается в соответствии со сроками, определенными законодательством 2. Если правовым основанием выступает согласие – указывается срок действия согласия2 либо ”до отзыва согласия“ (например, не более 3 лет с даты последней авторизации в личном кабинете либо до отзыва согласия) Заключение гражданско-правовых договоров в простой письменной форме, посредством создания (оформления) заказа на сайте, исполнение и прекращение таких договоров Клиенты – ФЛ и ИП Уполномоченные представители ЮЛ 1. Для ФЛ (в том числе ИП): ФИО, адрес регистрации, e-mail; номер телефона, сведения, связанные с оплатой 2. Для представителя ЮЛ: ФИО, должность, рабочий номер телефона; рабочий e-mail 1. Для ФЛ и ИП – договор (абз. 15 ст. 6 Закона) 2. Для представителя ЮЛ – абз. 8 ст. 6 Закона (законодательство о труде, гражданское законодательство) 3 года после проведения проверки налоговыми органами, а если проверка не проводилась – 10 лет после прекращения договора Заключение, исполнение и прекращение гражданско-правовых договоров, связанных с материально-техническим обеспечением деятельности организации (поставки, купли-продажи, подряда, возмездного оказания услуг и т.п.) Контрагенты – ФЛ и ИП Уполномоченные представители контрагентов – ЮЛ 1. Для ФЛ (в том числе ИП): ФИО, адрес регистрации, серия и номер паспорта, e-mail, номер телефона, сведения, связанные с оплатой 2. Для представителя ЮЛ: ФИО, должность, рабочий e-mail, рабочий номер телефона 1. Для ФЛ и ИП – договор (абз. 15 ст. 6 Закона) 2. Для представителя ЮЛ – абз. 8 ст. 6 Закона (законодательство о труде, гражданское законодательство) 3 года после проведения проверки налоговыми органами, а если проверка не проводилась – 10 лет после прекращения договора Участие в процедурах государственных закупок, закупок за счет собственных средств ФЛ – руководители организаций, иные ФЛ, сведения о которых содержатся в конкурсных предложениях, ФЛ, участвующие в процедуре закупки, работе комиссии, а также уполномоченные на подписание договора ФИО; должность руководителя и (или) иных представителей ЮЛ; иные данные согласно условиям закупки (при необходимости) Абз. 20 ст. 6 Закона (законодательство о государственных закупках, законодательство о закупках за счет собственных средств) 5 лет со дня заключения договора, признания процедуры закупки несостоявшейся или ее отмены, а если проверка налоговыми органами не проводилась – 10 лет МАРКЕТИНГ (МЕРОПРИЯТИЯ, РАССЫЛКИ, ИНАЯ ДЕЯТЕЛЬНОСТЬ ПО ПРОДВИЖЕНИЮ ТОВАРОВ, РАБОТ И УСЛУГ) Регистрация и участие в программе лояльности Участники программы лояльности Имя, e-mail; номер телефона, идентификатор участника программы лояльности Согласие Указывается срок действия согласия2 либо ”до отзыва согласия“ (например, срок действия согласия ограничивается 3 годами с даты последней активности, а в случае неиспользования бонусной карты – 3 годами с даты предоставления согласия) Направление рекламной рассылки о товарах, работах, услугах Клиенты – ФЛ и ИП Номер телефона (SMS/Viber) или e-mail или идентификатор устройства (для push-уведомлений), фамилия и имя (необязательно) (см. Разъяснения по рекламной рассылке) Согласие Указывается срок действия согласия2 либо ”до отзыва согласия“ Проведение рекламных игр и иных рекламных мероприятий, в том числе в социальных сетях Участники рекламной игры, рекламного мероприятия Имя, номер телефона, адрес электронной почты, данные профиля в социальной сети 1. Абз. 20 ст. 6 Закона (законодательство о рекламе (для проведения рекламных игр в случаях, предусмотренных законодательством)) 2. Согласие (для проведения рекламных игр в случаях, когда соответствующая обработка не предусмотрена законодательством о рекламе, при проведении рекламных мероприятий) 1. 3 года с даты окончания рекламной игры 2. Указывается срок действия согласия2 либо ”до отзыва согласия“ Размещение информации о деятельности организации на интернет-сайте, в социальных сетях и мессенджерах Участники мероприятий, проводимых организацией ФИО, изображение (в т.ч. видеоизображение), иные размещаемые сведения (интервью, выступление и др.) Если субъект персональных данных является основным объектом съемки 1. Абз. 8 ст. 6 Закона (законодательство о труде) – если участие в публичных мероприятиях и выступлениях охватывается трудовой функцией работника 2. Абз. 19 ст. 6 Закона – при обработке общедоступных персональных данных 3. Согласие – в иных случаях Если обрабатываются общедоступные персональные данные – до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. Если обработка осуществляется на основании согласия – указывается срок действия согласия2 либо ”до отзыва согласия“ При съемке общего плана, в том числе в рамках новостного контента, в местах, открытых для массового посещения, на массовых мероприятиях 1. Абз. 20 ст. 6 Закона (законодательство, определяющее порядок функционирования сайтов организаций) 2. Абз. 19 ст. 6 Закона (обработка общедоступных персональных данных) 3. Договор (абз. 15 статьи 6 Закона) (например, при съемке имиджевого ролика) 1. Передача архивной копии сайта осуществляется в порядке, определенном Правилами работы с документами в электронном виде в архивах государственных органов, иных организаций, утвержденными постановлением Министерства юстиции Республики Беларусь от 06.02.2019 № 20 2. До момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении КОММУНИКАЦИЯ Переписка по вопросам, связанным с деятельностью организации, посредством форм обратной связи, онлайн чата на сайте либо социальных сетей Клиенты – ФЛ и ИП Уполномоченные представители ЮЛ Имя, e-mail, иные персональные данные, указанные в переписке 1. В случае заключения и исполнения договора с ФЛ или ИП – абз. 15 ст. 6 Закона 2. В случае заключения и исполнения договора с ЮЛ – абз. 8 ст. 6 Закона (законодательство о труде, гражданское законодательство) 3. В случае переписки по вопросам, не связанным с заключением и исполнением договора, или при обработке специальных персональных данных – согласие При заключении договора – 3 года после завершения переписки Если обработка осуществляется на основании согласия – указывается срок действия согласия2 либо ”до отзыва согласия“ Рассмотрение обращений граждан, в том числе замечаний и предложений, внесенных в книгу замечаний и предложений. 1. Лица, направившие обращение ФИО, адрес места жительства (места пребывания), содержание обращения, иные персональные данные, указанные в обращении Абз. 20 ст. 6 Закона (законодательство об обращениях граждан и юридических лиц) 5 лет с даты последнего обращения 5 лет после окончания ведения книги замечаний и предложений Рассмотрение заявлений субъектов персональных данных в соответствии с законодательством о персональных данных 1. Лица, направившие обращение Данные, указанные в ст. 14 Закона Абз. 20 ст. 6 Закона (законодательство о персональных данных) 1 год Запись на личный прием Лица, обращающиеся на личный прием ФИО, номер телефона, содержание вопроса Абз. 20 ст. 6 Закона (законодательство об обращениях граждан и юридических лиц) 5 лет Рассмотрение заявлений потребителей Клиенты – ФЛ ФИО, адрес места жительства (места пребывания), содержание обращения, иные персональные данные, указанные в обращении Абз. 20 ст. 6 Закона (законодательство о защите прав потребителей) 5 лет с даты последнего обращения Рассмотрение обращений клиентов, поступивших в колл-центр Клиенты – ФЛ и ИП Уполномоченные представители ЮЛ Номер телефона, иные персональные данные, указанные в обращении 1. В отношении ФЛ и ИП – договор (абз. 15 ст. 6 Закона) 2. В отношении представителей ЮЛ – абз. 8 ст. 6 Закона (законодательство о труде) Срок определяется оператором (уполномоченным лицом) в соответствии Если срок законодательством не установлен, срок определяется с учетом требований п. 8 ст. 4 Закона Аудиозапись разговора 1. Согласие 2. Абз. 17 п. 2 ст. 8 Закона, если необходимость осуществления аудиозаписи разговора предусмотрена законодательными актами, например, при обращении в скорую помощь и др.) ВЫПОЛНЕНИЕ ЮРИДИЧЕСКИ ЗНАЧИМЫХ ОБЯЗАННОСТЕЙ Ведение бухгалтерского и налогового учета (исполнение налоговых и иных обязательств) 1. Работники, бывшие работники 2. Клиенты – ФЛ и ИП, уполномоченные лица ЮЛ 3. Подрядчики ФЛ и ИП, уполномоченные представители ЮЛ 4. Партнеры ФЛ и ИП, уполномоченные представители ЮЛ ФИО, иные данные, требуемые для заполнения первичных учетных документов, необходимых для совершения хозяйственных операций Абз. 20 ст. 6 Закона (законодательство о бухгалтерском учете и отчетности) Срок определяется оператором (уполномоченным лицом) в соответствии Учет и хранение документов в соответствии с законодательством в сфере архивного дела и делопроизводства Лица, сведения о которых содержатся в документах, регистрируемых в системе учета документооборота ФИО, должность служащего (профессия рабочего), иные сведения, содержащиеся в регистрируемом документе Абз. 20 ст. 6 Закона (законодательство об архивном деле и делопроизводстве) Заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности В зависимости от формы отчетности В соответствии с формой предоставляемой отчетности Абз. 20 ст. 6 Закона Предоставление информации в рамках исполнения запросов государственных органов, иных организаций Лица, в отношении которых запрашивается информация В соответствии с поступившим запросом 1. Согласие – если к запросу приложено согласие субъекта персональных данных 2. Абз. 20 ст. 6 Закона, если обработка осуществляется для выполнения обязанностей (полномочий), предусмотренных законодательными актами Подача исковых заявлений, участие в судебных разбирательствах, исполнительное производство Клиенты, контрагенты организации (представители сторон по договору, уполномоченные на подписание договора и (или) совершение действий в рамках его исполнения, ФЛ, являющиеся стороной по гражданско-правовому договору) Для ФЛ (в том числе ИП): ФИО, номер телефона, e-mail (необязательно), адрес места жительства (места регистрации) Для представителей ЮЛ: ФИО, должность, данные из документа, удостоверяющего полномочия Абз. 20 ст. 6 Закона (гражданское, гражданско-процессуальное, хозяйственно-процессуальное законодательство, законодательство об исполнительном производстве) ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ФИЗИЧЕСКИХ ЛИЦ И ИМУЩЕСТВА Осуществление пропускного режима Посетители ФИО, время посещения, данные лица, к которому направляется посетитель (при необходимости) Абз. 20 ст. 6 Закона (законодательство об охранной деятельности) Срок определяется оператором (уполномоченным лицом) с учетом требований п. 8 ст. 4 Закона ОФОРМЛЕНИЕ И ПРОВЕДЕНИЕ ПРАКТИКИ ДЛЯ ОБУЧАЮЩИХСЯ Организация практики для обучающихся, в том числе создание учетных записей для входа в информационные системы нанимателя 1. Лица, проходящие практику 2. Руководители практики от учреждения образования 3. Лица, уполномоченные на подписание договора ФИО, а также иные персональные данные в соответствии с содержанием договора об организации практики Абз. 20 ст. 6 Закона (законодательство об образовании) В отношении указанных в договоре сведений – 3 года после проведения проверки налоговыми органами, а если проверка не проводилась – 10 лет после прекращения договора. Созданные учетные записи – до окончания практики Обеспечение доступа в здание организации в рамках системы контроля и управления доступом (СКУД) с использованием биометрических персональных данных Лица, проходящие практику Изображение лица, проходящего практику, отпечатки его пальцев рук Согласие [3] Указывается срок действия согласия2 либо ”до отзыва согласия“ Указание личного мобильного номера в информационном ресурсе, корпоративной сети нанимателя для коммуникации по вопросам практики Лица, проходящие практику Мобильный номер телефона Согласие Указывается срок действия согласия2 либо ”до отзыва согласия“ [1] В данной графе применительно к конкретному бизнес-процессу перечень обрабатываемых персональных данных приведен в качестве примера. Его не следует рассматривать как единственно верный или как позицию Национального центра защиты персональных данных по тому, какие данные нужны для того или иного бизнес-процесса. оператору (уполномоченному лицу) следует заполнять эту и иные графы исходя из правовых норм и особенностей своей деятельности. [2] По общему правилу, срок действия согласия составляет не более 3 лет. [3]Согласие на обработку персональных данных для данной цели будет иметь свободный характер только при условии наличия альтернативного варианта доступа. Исключение составляют особо опасные, режимные объекты, объекты военного и специального назначения, в банковской сфере в целях защиты помещений, в которых хранятся денежные средства и иные ценности либо установлены серверы, и т.п. В иных случаях указание такого способа доступа в качестве единственного не отвечает требованию соразмерности (пункт 2 статьи 4 Закона) и влечет риски для прав субъектов персональных данных. Приложение 2 ПЕРЕЧЕНЬ № п/п Уполномоченное лицо Место нахождения уполномоченного лица Цели обработки персональных данных, для реализации которых привлекается уполномоченное лицо
в отношении обработки персональных данных
(по состоянию на ___________)1. Общие положения
2. Порядок и условия обработки персональных данных
– перечне обрабатываемых персональных данных;
– правовых основаниях обработки персональных данных;
– сроке хранения персональных данных.
3. Уполномоченные лица
4. Трансграничная передача персональных данных
5. Права субъектов персональных данных
к Политике в отношении обработки персональных данных
персональных данных
персональных данных
об архивном деле
и делопроизводстве.
2. Иные лица, чьи персональные данные указаны в обращении
2. Иные лица, чьи персональные данные указаны в обращении
со сроками, установленными законодательством
об архивном деле
и делопроизводстве.
со сроками, определенными законодательством
об архивном деле
и делопроизводстве для соответствующей обработки персональных данных
к Политике в отношении обработки персональных данных
уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора)
Примерная Политика в отношении обработки персональных данныхПриложение 1 к Политике в отношении обработки персональных данныхПриложение 2 к Политике в отношении обработки персональных данных
- Главная
- ›
- Портфель оператора
- ›
- Формы документов
Рубрика: Формы документов
Примерная политика в отношении обработки файлов cookie
ПОЛИТИКА (примерная форма) 1.1. Издание Политики в отношении обработки файлов cookie (далее – Политика) является одной из обязательных принимаемых (наименование оператора) мер по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон). Настоящая Политика разъясняет пользователям информационного ресурса (наименование информационного ресурса) (далее – интернет-сайт), собственником (владельцем) которого является (наименование оператора), как, для каких целей и на каком правовом основании их персональные данные собираются, используются или иным образом обрабатываются. 1.2. Для целей настоящей Политики под файлами cookie понимаются текстовые файлы, сохраняемые в интернет-браузере пользовательского устройства (компьютер, мобильный телефон и т.д.) при посещении интернет-сайтов для отражения и (или) запоминания действий пользователя. Иные термины используются в настоящей Политике в значениях, определенных Законом. Выделяют следующие категории файлов cookie: – в зависимости от назначения: – в зависимости от срока хранения: Пример 1. 2. На интернет-сайте обрабатываются только необходимые файлы cookie для: Часть файлов cookie хранится в течение текущего сеанса и удаляется после закрытия браузера. Срок хранения остальных файлов cookie ограничен 1 годом с момента первого посещения сайта. Пример 2. 2. На интернет-сайте обрабатываются следующие категории файлов cookie: Категория файлов cookie Цель Срок хранения необходимые корректное функционирование интернет-сайта в течение сеанса 1 год с момента первого посещения сайта использование специальных возможностей для пользователей с ограниченными возможностями в течение сеанса 1 год с момента первого посещения сайта целевые (аналитические, статистические) сбор и последующая обработка аналитической и статистической информации в обобщенном виде полгода с момента получения согласия целевые (рекламные) предоставление персонализированных маркетинговых и рекламных предложений 1 месяц с момента получения согласия Пример 1. 3. Необходимые файлы cookie используются для обеспечения полноценного и корректного функционирования интернет-сайта и обрабатываются независимо от предоставления пользователем согласия. Пример 2. 3.1. Необходимые файлы cookie используются для обеспечения полноценного и корректного функционирования интернет-сайта и обрабатываются независимо от предоставления пользователем согласия. 3.2. Целевые файлы cookie обрабатываются на основании согласия на обработку персональных данных. При первом посещении интернет-сайта пользователю во всплывающем окне предлагается дать согласие на использование файлов cookie либо отказаться от их использования[1]. 3.3. Пользователь может изменить настройки использования файлов cookie, в том числе отозвать ранее предоставленное согласие на их обработку, посредством нажатия кнопки ”Настройка файлов cookie“ в нижней части главной страницы интернет-сайта. Пример 1. 4. (Наименование оператора) не осуществляет трансграничную передачу файлов cookie. Пример 2. 4.1. (Наименование оператора) при использовании сторонних целевых сервисов для обработки файлов cookie осуществляет трансграничную передачу файлов cookie третьим лицам, указанным в приложении к настоящей Политике. 4.2. Трансграничная передача персональных данных, содержащихся в файлах cookie, осуществляется в государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Пример 3. 4.1. (Наименование оператора) при использовании сторонних целевых сервисов для обработки файлов cookie осуществляет трансграничную передачу файлов cookie третьим лицам, указанным в приложении к настоящей Политике. 4.2. Трансграничная передача персональных данных, содержащихся в файлах cookie, осуществляется как в государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, так и в государства без надлежащего уровня обеспечения. 5. Перечень прав субъектов персональных данных, а также порядок их реализации определен в соответствующем разделе Политики в отношении обработки персональных данных (наименование оператора), с которой можно ознакомиться (указывается способ обеспечения доступа к Политике, избранный оператором) по адресу (путь к Политике). 6.1. Большинство браузеров изначально настроены на прием файлов cookie. Пользователь может удалить ранее сохраненные файлы сookie, выбрав соответствующую опцию в истории браузера. Кроме того, некоторые браузеры позволяют посещать сайты в режиме ”инкогнито“, чтобы ограничить хранимый на компьютере объем информации и автоматически удалять некоторые типы файлов cookie. 6.2. Пользователь также может отключить использование файлов cookie путем изменения настроек своего браузера. Подробнее с параметрами управления файлами cookie можно ознакомиться на официальных интернет-сайтах браузеров: Обозначенный раздел обязателен в случае обработки оператором целевых файлов cookie. При обработке оператором только необходимых технических файлов cookie он не подлежит включению в Политику. Приложение Перечень третьих лиц, привлекаемых к обработке файлов cookie ООО ”Яндекс“. Google, Inc. ООО ”Майндбокс“. Подобное приложение является необходимой частью Политики при осуществлении оператором трансграничной передачи персональных данных. [1] Обращаем внимание, что противоречит принципу прозрачности обработки персональных данных использование ”темных паттернов“ (выделение (цветом, формой, размером и т.д.) кнопки ”дать согласие“, использование более двух уведомлений при получении согласия и т.д.).
в отношении обработки файлов cookie
(по состоянию на ___________)1. Общие положения
2. Категории обрабатываемых файлов cookie
3. Правовые основания обработки файлов cookie
4. Трансграничная передача файлов cookie
5. Права субъектов персональных данных и механизм их реализации
6. Отключение файлов cookie в настройках браузера
к Политике в отношении
обработки файлов cookie
Адрес: ул. Льва Толстого, д. 16, г. Москва, Российская Федерация, 119021.
Адрес: 1600 Amphitheatre Parkway Mountain View, California 94043, USA.
Адрес: ул. Правды, д. 26, г. Москва, Российская Федерация, 125124.Политика в отношении обработки файлов cookie
Примерная Политика в отношении обработки персональных данных в процессе трудовой деятельности
ПОЛИТИКА обработки персональных данных 1. Общие положения В данном разделе отражается информация о наименовании оператора, его контактных данных, сфере (бизнес-процессах), на которые распространяется действие Политики обработки персональных данных в процессе трудовой деятельности (далее – Политика), а также о том, где она будет размещена. С учетом категорий субъектов персональных данных, для которых предназначена Политика, неограниченный доступ к такой Политике в соответствии с пунктом 4 статьи 17 Закона может быть обеспечен без ее размещения на сайте (например, путем размещения текста в общедоступной папке на локальном сетевом хранилище, соответствующем стенде оператора, на странице корпоративного информационного ресурса и т.п.). Пример. 1.1. Издание Политики является одной из обязательных принимаемых (наименование оператора) мер по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон). 1.2. Политика применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников) (наименование оператора). 1.3. Настоящая Политика разработана в соответствии с Законом и разъясняет работникам, как, для каких целей и на каком правовом основании их персональные данные, а также персональные данные их близких родственников, членов семей собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у работников права и механизм их реализации. 1.4. Контактные данные (наименование оператора): Местонахождение: Адрес в сети Интернет: Адрес электронной почты: Номер телефона: 1.5. Настоящая Политика размещается (указание на способ обеспечения доступа к Политике, избранный оператором) по адресу: (путь к Политике). Для изложения информации в Политике оператор может использовать сокращения. Оператор может самостоятельно определить, в отношении каких понятий в тексте Политики будут применяться сокращения, и включить их перечень в содержание такого документа. Пример. 1.6. В настоящей Политике используются термины и их определения в значении, предусмотренном Законом. 1.7. По тексту настоящей Политики применяются следующие сокращения: ФИО – фамилия, собственное имя, отчество (если таковое имеется); 2. Порядок и условия обработки персональных данных В данном разделе отражается информация о: перечне осуществляемых оператором действий с персональными данными, источник получения персональных данных. При этом такой перечень должен не дублировать нормы статьи 1 Закона, а отражать реальные действия, осуществляемые оператором с персональными данными; целях обработки персональных данных и применительно к каждой цели: – категориях субъектов персональных данных, чьи данные подвергаются обработке; Пример. 2.1. Обработка персональных данных осуществляется (с использованием средств автоматизации/без использования средств автоматизации/как с использованием средств автоматизации, так и без их использования) посредством (перечень действий, которые будут осуществляться с персональными данными, например сбор, хранение, использование, систематизация, изменение, предоставление, удаление и др.) 2.2. (Наименование оператора) осуществляет обработку персональных данных работников, их близких родственников, членов семей в целях, объеме, на правовых основаниях и в сроки в соответствии с приложением 1 к настоящей Политике. При осуществлении распространения персональных данных необходимо указать цель такой обработки, а также способ, посредством которого такое распространение осуществляется. В качестве способа, посредством которого осуществляется распространение персональных данных, могут быть указаны определенный интернет-сайт или социальная сеть. Также могут быть указаны иные способы распространения персональных данных, не предполагающие использование сети Интернет, в частности, путем размещения персональных данных в местах, открытых для массового посещения (например, стенд на входе в организацию). Поскольку распространение персональных данных влечет наибольший риск для прав работника, оператору также рекомендуется указать в Политике принятые им меры по обеспечению защиты прав работников в связи с осуществлением такой обработки. Пример. (Наименование оператора) осуществляет распространение персональных данных (перечень обрабатываемых персональных данных) для целей (цели распространения персональных данных, например, ”размещение информации о работниках, участвовавших в проводимых оператором мероприятиях на сайте, в социальных сетях и мессенджерах“и др.) посредством (способ, посредством которого осуществляется распространение) на основании (правовое основание обработки персональных данных). 3. Уполномоченные лица В случае, если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в данном разделе указывается: Пример 1. 3.1. (Наименование оператора) поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора), содержится в приложении 2 к настоящей Политике. 3.2. (Наименование оператора) заключает с уполномоченными лицами соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона. В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами на уровне не ниже, чем у (наименование оператора), (наименование оператора): Пример 2. 3.1. (Наименование оператора) поручает обработку персональных данных работников уполномоченным лицам, оказывающим услуги по: 3.1.1. (услуга, оказываемая уполномоченным лицом) Наименование уполномоченного лица: Местонахождение уполномоченного лица: ; 3.1.2. (услуга, оказываемая уполномоченным лицом) Наименование уполномоченного лица: Местонахождение уполномоченного лица: 3.2. (Наименование оператора) заключает с уполномоченными лицами соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона. В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами на уровне не ниже, чем у (наименование оператора), (наименование оператора): Если оператор не поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), раздел ”Уполномоченные лица“ в Политике не отражается. 4. Трансграничная передача персональных данных При осуществлении трансграничной передачи персональных данных в данном разделе применительно к каждой цели передачи персональных данных отражаются: В качестве оснований трансграничной передачи персональных данных могут быть указаны: Перечень иностранных государств, в которых обеспечен надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 (далее – приказ № 14). Если трансграничная передача персональных данных осуществляется в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, или определить государства, в которые она осуществляется, невозможно, в Политике допускается указание обобщенного перечня государств (например, иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), а также может быть отражена информация о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты. Пример 1. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14). 4. (Наименование оператора) осуществляет трансграничную передачу персональных данных работников в целях: 4.1.1. ведения переписки с организациями иностранных государств по вопросам оказываемых оператором услуг (ФИО, наименование должности служащего (профессии рабочего). Трансграничная передача персональных данных осуществляется на территорию Российской Федерации в адрес (наименование организации, адрес места нахождения, почтовый адрес). Обработка персональных данных осуществляется на основании абзаца восьмого статьи 6 Закона; 4.1.2. направления работников в заграничные командировки (ФИО, наименование должности служащего, адрес регистрации, данные документа, удостоверяющего личность). Трансграничная передача персональных данных осуществляется на территорию Российской Федерации в адрес (наименование организации, адрес места нахождения, почтовый адрес). Обработка персональных данных осуществляется на основании абзаца восьмого статьи 6 Закона. Пример 2. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14). (Наименование оператора) осуществляет трансграничную передачу персональных данных работников с целью их направления в заграничные командировки (ФИО, наименование должности служащего (профессии рабочего) адрес регистрации, данные документа, удостоверяющего личность). Персональные данные передаются на территорию Китайской Народной Республики в адрес (наименование организации, адрес места нахождения, почтовый адрес). Поскольку на территории указанного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, (наименование оператора) сообщает о следующих возможных рисках трансграничной передачи персональных данных: Обработка персональных данных осуществляется на основании абзаца восьмого пункта 1 статьи 9 Закона. Пример 3. Осуществление трансграничной передачи персональных данных при отсутствии возможности с точностью установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные. (Наименование оператора) осуществляет трансграничную передачу персональных данных работников с целью размещения информации о работниках, участвовавших в проводимых оператором мероприятиях, в социальных сетях и мессенджерах оператора (ФИО, наименование должности служащего (профессии рабочего), фотоизображение). Поскольку возможность установить государство, куда осуществляется трансграничная передача персональных данных, отсутствует, существует вероятность отсутствия в нем условий для обеспечения надлежащей защиты прав субъектов персональных данных. В этой связи (наименование оператора) сообщает о следующих возможных рисках трансграничной передачи персональных данных: отсутствие законодательства о персональных данных; отнесение к персональным данным ограниченного круга сведений о физическом лице; отсутствие уполномоченного органа по защите прав субъектов персональных данных; ограниченный перечень (отсутствие) прав субъектов персональных данных; иные возможные риски нарушения прав субъектов персональных данных, возникающие в связи с трансграничной передачей персональных данных. Обработка персональных данных осуществляется на основании (правовое основание обработки персональных данных в соответствии с пунктом 1 статьи 9 Закона). При поручении оператором обработки персональных данных уполномоченному лицу, размещенному в иностранном государстве, в Политике также может быть указан перечень мер по обеспечению защиты персональных данных, которые приняты таким лицом, в том числе меры, аналогичные предусмотренным статьей 17 Закона в качестве обязательных. В случае, если трансграничная передача персональных данных работников не осуществляется, информация об этом также отражается в Политике. Пример. Оператор не осуществляет трансграничную передачу персональных данных работников при их обработке. 5. Права работников в отношении обрабатываемых персональных данных Информация о правах, возникающих у работников в связи с осуществлением нанимателем обработки их персональных данных, и механизмах их реализации содержится в приложении 5 к Разъяснениям по составлению документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных. Приложение 1 Цели обработки Категории субъектов персональных данных, чьи данные обрабатываются Перечень обрабатываемых персональных данных Правовые основания обработки персональных данных Срок хранения ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ РЕАЛИЗАЦИИ ЗАКОНОДАТЕЛЬСТВА О ТРУДЕ Прием на работу, заключение трудового договора (контракта) (в том числе заполнение личного листка по учету кадров, предоставление необходимых документов в кадровую службу) Работники ФИО, адрес, должность служащего (профессия рабочего), образование, размер заработной платы, а также иные персональные данные, необходимые для достижения соответствующей цели Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде) В соответствии Если срок не определен – до прекращения трудовых отношений Организация трудовой деятельности (в том числе создание учетных записей для входа в информационные системы организации; создание телефонного справочника; изготовление визиток; учет рабочего времени; оплата труда; предоставление гарантий и компенсаций, контроль производственно-технологической, исполнительской и трудовой дисциплины; поощрение; привлечение к дисциплинарной ответственности; разрешение индивидуальных трудовых споров; изменение трудового договора; охрана труда; расследование несчастных случаев на производстве; делопроизводство) Прекращение трудового договора Реализация в случаях, предусмотренных законодательством, обязанностей (полномочий) в отношении работника, требующая обработки персональных данных близких родственников, членов его семьи (в том числе заполнение личного листка по учету кадров; ведение воинского учета; предоставление гарантий и компенсаций, социальных отпусков; заполнение деклараций о доходах) Близкие родственники, члены семьи работников ФИО, а также иные персональные данные, предусмотренные законодательством Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде) В соответствии ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОСНОВАНИИ СОГЛАСИЯ Обеспечение доступа в здание организации в рамках системы контроля и управления доступом (СКУД) с использованием биометрических персональных данных Работники Изображение работника, отпечатки пальцев рук Согласие[1] Указывается срок действия согласия2 либо ”до отзыва согласия“ Использование личных мобильного номера телефона работника, адреса электронной почты, аккаунта в социальных сетях для выполнения им трудовой функции Работники личные мобильный номер телефона, адрес электронной почты, аккаунт в социальных сетях Согласие Указывается срок действия согласия2 либо ”до отзыва согласия“ Указание даты рождения работника в информационном ресурсе, размещение на стенде с целью поздравления с днем рождения Работники ФИО, дата рождения Согласие Указывается срок действия согласия2 либо ”до отзыва согласия“ Размещение информации о работниках на сайте организации, в социальных сетях и мессенджерах Работники ФИО, должность служащего (профессия рабочего), фото- и видеоизображение, сопроводительный текст (при наличии) Согласие, если: 1. размещение информации не связано с трудовой функцией работника; 2. работник является основным объектом съемки; 3. обязанность размещения информации о работнике не предусмотрена законодательством. В иных случаях (например, при размещении фото- и видеоизображений работников на общем плане в рамках новостного контента) правовым основанием такой обработки может выступать абз. 8 ст. 6 Закона Если правовым основанием выступает согласие – указывается срок действия согласия2 либо ”до отзыва согласия“. Если обработка связана с трудовой функцией работника – до даты прекращения трудовых отношений. Если обрабатываются общедоступные персональные данные – до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами Создание и размещение на корпоративном информационном ресурсе (сайте) организации информационного контента о деятельности организации с участием работников Работники Фото- и (или) видеоизображение 1. Согласие Указывается срок действия согласия2 либо ”до отзыва согласия“ Предоставление работнику дополнительных социальных гарантий, не предусмотренных коллективным договором организации или при отсутствии в организации коллективного договора (например, посещение бассейна, спортивного зала, организация экскурсий) Работники, их близкие родственники, члены семей ФИО, а также иные персональные данные, необходимые для предоставления гарантии 1. Согласие 2. Абз. 16 ст. 6 Закона (заявление работника, адресованное нанимателю) 1. Указывается срок действия согласия2 либо ”до отзыва согласия“ 2. Срок устанавливается в соответствии с законодательством об архивном деле и делопроизводстве Организация добровольного медицинского страхования расходов работников и членов их семей Работники, члены их семей ФИО, адрес регистрации, серия и номер паспорта, 1. Согласие 2. Абз. 16 ст. 6 Закона (заявление работника, адресованное нанимателю) 3. Абз. 8 статьи 6 (при наличии соответствующей гарантии в коллективном договоре) 1. Если правовым основанием выступает согласие – указывается срок действия согласия2 либо ”до отзыва согласия“ 2. В иных случаях срок устанавливается в соответствии с законодательством об архивном деле и делопроизводстве, а при отсутствии такового – с учетом требований п. 8 ст. 4 Закона ИНАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, СВЯЗАННАЯ С ТРУДОВЫМИ ОТНОШЕНИЯМИ Осуществление контроля за посещаемыми работниками интернет-ресурсами с использованием каналов электросвязи организации в рамках политики информационной безопасности Работники IP-адрес устройства и интернет-ресурса, MAC-адрес устройства, время начала и окончания посещения В случае попытки посещения интернет-ресурсов, доступ к которым ограничен, –. сведения об учетной записи, URL-адрес интернет-ресурса, время попытки посещения Абз. 8 ст. 6 Закона, Указы Президента Республики Беларусь от 01.02.2010 № 60 и от 14.02.2023 № 40. 1 год с даты посещения, а при наличии признаков дисциплинарного проступка, административного правонарушения – до окончания проведения соответствующих проверок Организация прохождения работниками профессиональной подготовки, повышения квалификации, стажировки, переподготовки Работники ФИО, адрес регистрации, данные документа, удостоверяющего личность, в том числе идентификационный номер, сведения о посещении занятий 1. Абз. 8 ст. 6 Закона (законодательство о труде), если обеспечение обучения является обязанностью нанимателя 2 Абз. 15 ст. 6 Закона (договор оказания образовательных услуг) 3 года после проведения проверки налоговыми органами, а если проверка не проводилась – 10 лет после прекращения договора Осуществление административных процедур Работники, в том числе бывшие работники ФИО, адрес регистрации, 1. В отношении работников – абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона 2. В отношении бывших работников – абз. 20 ст. 6, абз. 12 п. 2 ст. 8 Закона (законодательство об административных процедурах) 5 лет с даты подачи заявления [1] Согласие на обработку персональных данных для данной цели будет иметь свободный характер только при условии наличия альтернативного варианта доступа. Исключение составляют особо опасные, режимные объекты, объекты военного и специального назначения, в банковской сфере в целях защиты помещений, в которых хранятся денежные средства и иные ценности либо установлены серверы, и т.п. В иных случаях указание такого способа доступа в качестве единственного не отвечает требованию соразмерности (пункт 2 статьи 4 Закона) и влечет риски для прав субъектов персональных данных. Приложение 2 ПЕРЕЧЕНЬ № п/п Уполномоченное лицо Место нахождения уполномоченного лица Цели обработки персональных данных, для реализации которых привлекается уполномоченное лицо
в процессе трудовой деятельности
(по состоянию на ___________)
(примерная форма)
ФЛ – физическое лицо;
ЮЛ – юридическое лицо;
ИП – индивидуальный предприниматель;
Согласие – согласие на обработку персональных данных.
– перечне обрабатываемых персональных данных;
– правовых основаниях обработки персональных данных;
– сроке хранения персональных данных.
к Политике обработки персональных данных в процессе трудовой деятельности
персональных данных
персональных данных
со сроками, определенными законодательством
об архивном деле
и делопроизводстве
со сроками, определенными законодательством
об архивном деле
и делопроизводстве для соответствующей обработки персональных данных работников
иные персональные данные, необходимые для организации добровольного медицинского страхования
а также иные персональные данные, указанные
в заявлении
к Политике обработки персональных данных
в процессе трудовой деятельности
уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора)Примерная Политика в отношении обработки персональных данных в процессе трудовой деятельностиПриложение 1 к Политике обработки персональных данных в процессе трудовой деятельностиПриложение 2 к Политике обработки персональных данных в процессе трудовой деятельности
Права субъектов персональных данных
Права субъектов персональных данных закреплены в главе 3 Закона. Так, субъект персональных данных имеет право: Помимо содержания прав субъектов, в соответствующем документе оператора указывается информация о механизмах реализации таких прав, (в том числе порядок подачи и рассмотрения оператором заявлений субъектов персональных данных), а также контактных данных лица (структурного подразделения) оператора, ответственного за осуществление внутреннего контроля за обработкой персональных данных. Данная информация может быть представлена следующим образом: Пример. 5.1. Субъект персональных данных имеет право: 5.1.1. на отзыв своего согласия, если для обработки персональных данных (наименование организации) обращался к субъекту персональных данных за получением согласия. Субъект персональных данных в любое время без объяснения причин может отозвать свое согласие в порядке, установленном статьей 14 Закона, либо в форме, посредством которой получено его согласие. (Наименование оператора) обязуется в пятнадцатидневный срок после отзыва согласия прекратить обработку персональных данных, удалить их и уведомить об этом субъекта персональных данных. (Наименование оператора) отказывает в прекращении обработки персональных данных, если такая обработка осуществляется на ином правовом основании (например, в соответствии с требованиями законодательства либо на основании договора). 5.1.2. на получение информации, касающейся обработки своих персональных данных (наименование оператора), содержащей: Субъекту персональных данных не требуется обосновывать свой интерес к запрашиваемой информации. (Наименование оператора) отказывает в предоставлении запрашиваемой информации в случаях, предусмотренных законодательством. 5.1.3. требовать от (наименование оператора) внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные. (Наименование оператора) отказывает в изменении персональных данных, если из представленной информации не вытекает, что персональные данные субъекта являются неполными, устаревшими или неточными. 5.1.4. на получение от (наименование оператора) информации о предоставлении своих персональных данных, обрабатываемых (наименование оператора), третьим лицам. Такая информация может быть получена один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами. (Наименование оператора) отказывает в предоставлении запрашиваемой информации, если обработка персональных данных осуществляется в соответствии с законодательством об оперативно-розыскной деятельности, уголовно-процессуальным законодательством и в иных случаях, предусмотренных законодательством. 5.1.5. требовать от (наименование оператора) бесплатного прекращения обработки своих персональных данных, включая их удаление. При отсутствии технической возможности удаления персональных данных (наименование оператора) обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных. (Наименование оператора) может отказать в прекращении обработки персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. 5.1.6. на обжалование действий (бездействия) и решений (наименование оператора), нарушающих его права при обработке персональных данных, в порядке, установленном законодательством. Если субъект персональных данных полагает, что его права были нарушены (наименование оператора), он может обратиться к оператору посредством (указывается канал связи с оператором по указанным вопросам) для принятия мер по восстановлению его нарушенных прав. Субъект персональных данных также наделен правом обратиться за защитой нарушенных прав, свобод и законных интересов субъекта персональных данных в Национальный центр защиты персональных данных с жалобой на действия (бездействие) (наименование оператора). Согласно статье 14 Закона заявления подаются субъектом персональных данных в письменной форме или в виде электронного документа. Это предполагает выбор конкретного способа подачи заявления субъектом персональных данных и, соответственно, обязанность оператора обеспечить возможность подачи такого заявления любым из указанных способов. Право субъекта персональных данных на отзыв согласия также может быть реализовано в форме, посредством которой оно было получено. Оператор также вправе предусмотреть в Политике возможность подачи субъектом персональных данных заявления о реализации его прав посредством информационного ресурса (системы) без соблюдения требований статьи 14 Закона. При этом предоставление такой возможности не является для оператора обязательным. Пример. 5.2. Для реализации указанных прав субъекту персональных данных необходимо направить (наименование оператора) заявление в письменной форме по почтовому адресу, указанному в подпункте 1.3 пункта 1 настоящей Политики, или в виде электронного документа, подписанного электронной цифровой подписью, а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено. Такое заявление должно содержать следующую информацию: · ФИО и адрес места жительства (места пребывания) субъекта персональных данных; · дату рождения субъекта персональных данных; · идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных; · изложение сути требований субъекта персональных данных; · личную подпись либо электронную цифровую подпись субъекта персональных данных. 5.3. Контактные данные лица (структурного подразделения), ответственного за осуществление внутреннего контроля в (наименование оператора): (указывается адрес электронной почты и (или) контактный номер телефона).
— наименование (фамилию, собственное имя, отчество (если таковое имеется) и место нахождения (адрес места жительства (места пребывания) оператора;
— подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
— его персональные данные и источник их получения;
— правовые основания и цели обработки персональных данных;
— срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
— наименование и место нахождения уполномоченного лица (уполномоченных лиц), если обработка персональных данных поручена такому лицу;
— иную информацию, предусмотренную законодательством;Права субъектов персональных данных
Примерная Политика видеонаблюдения
ПОЛИТИКА видеонаблюдения 1. Общие положения, цели и правовые основания осуществления видеонаблюдения 1. Издание Политики видеонаблюдения (далее – Политика) является одной из обязательных принимаемых (наименование оператора) мер пообеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон). Настоящая Политика разъясняет субъектам персональных данных как, для каких целей и на каком правовом основании их изображения, попавшие в зону обзора камер(ы) видеонаблюдения, собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации. 2. Видеонаблюдение в (наименование оператора) осуществляется наосновании абзаца двадцатого статьи 6 Закона (обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами) с целью, указанной в таблице. Пример 1. Цель Законодательный акт обеспечение охраны физических лиц (в том числе работников) и имущества от противоправных посягательств Закон Республики Беларусь от 8 ноября 2006 г. № 175-З ”Об охранной деятельности в Республике Беларусь“ Пример 2. Цель Законодательный акт обеспечение общественной безопасности Указ Президента Республики Беларусь от 28 ноября 2013 г. № 527 ”О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка“ В исключительных случаях допускается осуществление видеонаблюдения в целях обеспечения производственно-технологической, исполнительской и трудовой дисциплины работников на основании пункта 2 части первой статьи 55 Трудового кодекса Республики Беларусь, в частности: Пример 3. Цель Законодательный акт обеспечение производственно-технологической, исполнительской и трудовой дисциплины работников пункт 2 части первой статьи 55 Трудового кодекса Республики Беларусь Гипотетические возможности совершения нарушений или их единичные случаи не могут являться основанием для сплошного видеонаблюдения за всеми работниками и иными лицами, чьи изображения попадают в объектив(ы) камер(ы) видеонаблюдения. 2. Порядок осуществления видеонаблюдения 4. Видеонаблюдение не используется[1] для: 5. Видеонаблюдение ведется круглосуточно и непрерывно припомощи камер открытого видеонаблюдения, направленных на (подлежат указанию все зоны обзора камер(ы) видеонаблюдения): Для примеров 1 и 2. входные двери; территорию, прилегающую к зданию. Для примера 3. зону кассового обслуживания клиентов. В иных помещениях (наименование оператора), в том числе предназначенных для личных нужд работников (туалеты, места отдыха и приема пищи, раздевалки и т.д.), видеонаблюдение не осуществляется. 6. Субъекты персональных данных информируются о видеонаблюдении путем размещения на территории, где ведется видеонаблюдение, специальных информационных табличек. 7. (Наименование оператора) осуществляет видеонаблюдение самостоятельно без привлечения уполномоченных лиц / спривлечением уполномоченного лица, осуществляющего (укажите функцию: например, техническое обслуживание и ремонт системы видеонаблюдения), – (наименование уполномоченного лица) (адрес места нахождения) в соответствии со статьей 7 Закона. 8. Срок хранения видеозаписей составляет (указывается срок хранения видеозаписей)[2], по истечении которого происходит их автоматическое удаление. Указанный срок может быть продлен в отношении отдельных видеозаписей по устному распоряжению руководителя организации (лица, исполняющего его обязанности) в случаях: 9. (Наименование оператора) устанавливаются ограничения прав доступа работников к записям камер видеонаблюдения всоответствии с их должностными обязанностями и порядок доступа к персональным данным. Видеозаписи не могут быть использованы в личных и иных целях, не связанных с выполнением должностных обязанностей, и содержащиеся в них персональные данные не подлежат обработке, кроме случаев, предусмотренных законодательными актами. 3. Права субъектов персональных данных и механизм их реализации 10. Перечень прав субъектов персональных данных, а также механизмы их реализации определены в соответствующем разделе Политики в отношении обработки персональных данных (наименование оператора), с которой можно ознакомиться (указывается способ обеспечения доступа к Политике, избранный оператором) по адресу (путь к Политике), с учетом особенностей, предусмотренных пунктом 11 настоящей Политики. 11. В связи с тем, что в (наименование оператора) видеонаблюдение не используется для уникальной идентификации лиц, изображенных навидеозаписи, и с учетом срока хранения видеозаписей изложение сути требований субъекта персональных данных должно содержать дату и период времени записи изображения субъекта персональных данных. Период времени определяется в пределах (указывается временной интервал, например, в пределах часового интервала). [1] Приведенные ниже действия с персональными данными рассматриваются как отдельные процессы обработки персональных данных и предполагают наличие самостоятельных правовых оснований. [2] Срок хранения видеозаписей определяется оператором с учетом требований статьи 4 Закона. Как правило, такой срок не превышает 30 дней.
(по состоянию на ___________)
(примерная форма)Примерная Политика видеонаблюдения
Должностная инструкция специалисту по внутреннему контролю (образец)
1. Специалист по внутреннему контролю за обработкой персональных данных относится к категории специалистов и подчиняется руководителю Организации (лицу, исполняющему его обязанности). 2. На должность специалиста по внутреннему контролю за обработкой персональных данных назначается лицо, имеющее высшее образование. Справочно. Для присвоения II квалификационной категории: высшее образование и стаж работы в должности служащего ”Специалист по внутреннему контролю за обработкой персональных данных“ не менее 2 лет. Для присвоения I квалификационной категории: высшее образование и стаж работы в должности служащего ”Специалист по внутреннему контролю за обработкой персональных данных“ с II квалификационной категорией не менее 3 лет. 3. Назначение на должность специалиста по внутреннему контролю за обработкой персональных данных и освобождение от нее осуществляется приказом руководителю Организации (лица, исполняющего его обязанности). 4. В своей деятельности специалист по внутреннему контролю за обработкой персональных данных руководствуется: 5. Специалист по внутреннему контролю за обработкой персональных данных должен знать: 6. Специалист по внутреннему контролю за обработкой персональных данных: 6.1. изучает и анализирует процессы обработки персональных данных в Организации, определяет риски, связанные с процессами обработки персональных данных, и предлагает меры по их минимизации; 6.2. вырабатывает и предлагает к реализации в Организации правовые и организационные меры по обеспечению защиты персональных данных с учетом требований Закона и иных актов законодательства, в том числе разрабатывает и поддерживает в актуальном состоянии: 6.3. принимает участие в определении мер технической и криптографической защиты персональных данных и взаимодействует с администратором системным по вопросам их осуществления; 6.4. осуществляет контроль за соблюдением в Организации требований законодательства и локальных правовых актов о персональных данных, в том числе: 6.5. консультирует руководителей, иных работников Организации и уполномоченных лиц по вопросам обработки и защиты персональных данных в Организации; 6.6. согласовывает локальные правовые акты, договоры Организации на предмет их соответствия законодательству о персональных данных; 6.7. ознакамливает работников Организации (при необходимости – иных лиц, непосредственно осуществляющих обработку персональных данных), с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных; 6.8. организует прохождение обучения работников Организации по вопросам обработки и защиты персональных данных в порядке, установленном законодательством, предлагает оптимальные формы обучения, исходя из функций работников, осуществляющих обработку персональные данных; 6.9. рассматривает (участвует в рассмотрении) заявления субъектов персональных данных по вопросам обработки персональных данных в Организации, предоставляет по их заявлению информацию об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами; 6.10. рассматривает (участвует в рассмотрении) жалобы субъектов персональных данных по вопросам обработки персональных данных в Организации, принимает в соответствии с законодательством необходимые меры по восстановлению нарушенных прав субъектов персональных данных; 6.11. обеспечивает взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, в том числе: 6.12. готовит отчеты в пределах компетенции; 6.13. непрерывно повышает свой профессионально-квалификационный уровень; 6.14. обеспечивает сохранность документов, образующихся в деятельности специалиста по внутреннему контролю за обработкой персональных данных, оформление и передачу их в архив; 6.15. сотрудничает с нанимателем в деле обеспечения здоровых и безопасных условий труда; 6.16. принимает необходимые меры по ограничению развития аварийной ситуации и ее ликвидации, оказывает первую помощь пострадавшему, принимает меры по вызову скорой помощи, аварийных служб, пожарной охраны; 6.17. выполняет требования по охране труда и пожарной безопасности, соблюдает правила внутреннего трудового распорядка; 6.18. принимает участие в заключении коллективного договора, разработке и осуществлении мероприятий по укреплению трудовой дисциплины; 6.19. соблюдает правила организации делопроизводства; 6.20. выполняет иные обязанности в соответствии с локальными правовыми актами, поручениями (указаниями) руководителю Организации (лица, исполняющего его обязанности). 7. Специалист по внутреннему контролю за обработкой персональных данных имеет право: 7.1. принимать в пределах компетенции решения по вопросам, относящимся к исполнению должностных обязанностей; 7.2. знакомиться с проектами решений руководителя Организации (лица, исполняющего его обязанности), касающихся его деятельности; 7.3. вносить на рассмотрение руководителя Организации (лица, исполняющего его обязанности) предложения по совершенствованию деятельности, связанной с исполнением его должностных обязанностей; 7.4. запрашивать и получать от иных работников Организации информацию и документы, необходимые для исполнения своих должностных обязанностей; 7.5. получать от руководителя Организации (лица, исполняющего его обязанности) содействие в исполнении своих должностных обязанностей и реализации прав; 7.6. в пределах своей компетенции сообщать руководителю Организации (лицу, исполняющему его обязанности) о недостатках 7.7. повышать свою квалификацию, в том числе, посредством направления в учреждения образования для освоения содержания образовательной программы повышения квалификации руководящих работников и специалистов, образовательной программы переподготовки руководящих работников и специалистов, имеющих высшее образование; 7.8. принимать участие в обсуждении вопросов охраны труда, а также выносимых на рассмотрение собраний трудового коллектива (профсоюзной организации). 8. Специалист по внутреннему контролю за обработкой персональных данных в пределах своей компетенции взаимодействует со всеми структурными подразделениями и работниками Организации. 9. Требования по внутреннему контролю за обработкой персональных данных в пределах его компетенции обязательны для работников Организации. 10. При возникновении между специалистом по внутреннему контролю за обработкой персональных данных и руководителем Организации (лицом, исполняющим его обязанности) разногласий по вопросам, относящимся к исполнению его должностных обязанностей, специалистом по внутреннему контролю за обработкой персональных данных действует по письменному указанию руководителя Организации (лица, исполняющего его обязанности), который несет всю полноту ответственности за последствия принимаемых решений. 11. Специалист по внутреннему контролю за обработкой персональных данных несет ответственность: 12. Специалист по внутреннему контролю за обработкой персональных данных не несет ответственности в случае, предусмотренном в пункте 10 настоящей должностной инструкции, а также за последствия действий, совершенных без его подписи (визы). Организация
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
__.__.20__ № __
г. Минск
специалисту по внутреннему
контролю за обработкой
персональных данныхУТВЕРЖДАЮ
Директор Организации
_____________ И.И.Иванов
____.____.20__
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
с исполнением должностных обязанностей;ГЛАВА 2
ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
не установлен законодательными актами;ГЛАВА 3
ПРАВА
в деятельности Организации (отдельных работников), выявленных в процессе исполнения своих должностных обязанностей, и вносить предложения по их устранению;ГЛАВА 4
ВЗАИМООТНОШЕНИЯ (СВЯЗИ ПО ДОЛЖНОСТИ)ГЛАВА 5
ОТВЕТСТВЕННОСТЬС инструкцией ознакомлен(а) _________________
(подпись)_______________________________
(расшифровка подписи)_______________________________
(дата)С инструкцией ознакомлен(а) _________________
(подпись)_______________________________
(расшифровка подписи)_______________________________
(дата)С инструкцией ознакомлен(а) _________________
(подпись)_______________________________
(расшифровка подписи)_______________________________
(дата)Специалисту по осуществлению внутреннего контроля за обработкой персональных данных
Порядок осуществления внутреннего контроля за обработкой персональных данных
ПОЛОЖЕНИЕ 1. Настоящее Положение разработано в соответствии с локальными правовыми актами Национального центра защиты персональных данных, в том числе: 2. Целями осуществления контроля в [”название организации“] являются: 3. Контроль осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, – [”наименование структурного подразделения или должности лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных“] (далее – специалист) путем проведения мониторинга и внеплановых проверок (далее, если не определено иное, – проверки). 4. Мониторинг каждого структурного подразделения [”название организации“] проводится не реже одного раза в полугодие в соответствии с планом проведения мониторинга на соответствующий год по форме согласно приложению 1. План проведения мониторинга на предстоящий год готовится специалистом и представляется на утверждение [”руководителя“] [”название организации“] (лицу, исполняющему его обязанности) на 2022 год не позднее 15 июня 2022 г. и не позднее 20 декабря на последующие годы. В плане проведения мониторинга определяются структурные подразделения [”название организации“] и сроки проведения мониторинга. 5. Внеплановые проверки проводятся по устному поручению [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) в течение трех рабочих дней с даты поступления соответствующего поручения. 6. В ходе подготовки к проведению проверки специалист определяет: 7. Проверка включает проведение мероприятий по: 8. Срок проверки не должен превышать трех рабочих дней. При необходимости и по устному распоряжению [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) срок проведения проверки может быть продлен не более чем на два рабочих дня. 9. Специалист не позднее чем за три рабочих дня до начала проведения мониторинга уведомляет руководителя проверяемого структурного подразделения и представляет ему для ознакомления план проведения мониторинга. При проведении внеплановой проверки уведомление руководителя проверяемого структурного подразделения об этом не производится и план проведения проверки не составляется. 10. Проверки проводятся специалистом непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии. При проведении проверки работник обязан предоставить специалисту доступ к своим документам, рабочему месту и компьютеру. В случае отсутствия работника в период проведения проверки (болезнь, отпуск, командировка и т.п.) решение о переносе срока проведения проверки или проведении проверки в отсутствие такого работника принимается на основании устного поручения [”руководителя“] [”название организации“] (лица, исполняющее его обязанности). В случае проведения проверки в отсутствие работника осмотр документов, рабочего места и компьютера осуществляется в присутствии его непосредственного руководителя (лица, исполняющего его обязанности). 11. Специалист при осуществлении проверки имеет право рекомендовать руководителю структурного подразделения (работнику), деятельность которого проверяется: совершенствовании правового, организационного и технического обеспечения защиты персональных данных при их обработке в [”название организации“]; поручении руководителям соответствующих структурных подразделений (работникам) актуализировать реестр; привлечении к дисциплинарной ответственности работников, нарушивших законодательство о персональных данных или локальные правовые акты. Не допускается вмешательство в деятельность специалиста при осуществлении контроля. 12. По итогам проведения проверки специалистом в течение трех рабочих дней после ее завершения готовится отчет по форме согласно приложению 2, в котором указываются: По истечению сроков устранения выявленных недостатков специалист проводит повторную проверку (при необходимости). Отчет представляется [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности). Отчеты хранятся у специалиста до полного устранения недостатков, но не более трех лет. 13. Специалист ежегодно не позднее 31 января представляет [”руководителю“] [”название организации“] сводный отчет о проведении проверок за предыдущий год.
о порядке осуществления внутреннего контроля за обработкой персональных данныхВнутренний контроль положение образец
Положение о реестре обработки персональных данных
ПОЛОЖЕНИЕ 1. Настоящее Положение определяет порядок ведения реестра обработки персональных данных (далее, если не определено иное, – Реестр) в [”название организации“], состав включаемых в него сведений, порядок их внесения в Реестр, изменения и исключения из него. 2. Реестр ведется в целях осуществления надлежащего контроля за обработкой персональных данных [”название организации“], осуществления систематизации и учета видов обработки персональных данных по форме согласно приложению. 3. Последовательность размещения записей в Реестре определяется [”наименование структурного подразделения или должности лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных“] (далее – специалист по контролю за обработкой персональных данных). 4. Реестр размещается в сетевой папке [”Внутренний контроль“] локальной вычислительной сети [”название организации“] в [”excel-файле“, ”базе данных“, ”автоматизированной информационной системе“, ”ином формате“]. 5. Сведения в Реестр вносятся, изменяются в нем и исключаются из него специалистом по контролю за обработкой персональных данных по предложению руководителей структурных подразделений по направлениям их деятельности или уполномоченных ими лиц (далее – ответственное лицо). Предложения направляются специалисту по контролю за обработкой персональных данных в электронном виде по форме согласно приложению в рабочем порядке. 5*. Сведения в Реестр вносятся, изменяются в нем и исключаются из него руководителями структурных подразделений по направлениям их деятельности или уполномоченными ими лицами (далее – ответственное лицо) по форме согласно приложению. 6. Специалист по контролю за обработкой персональных данных поддерживает Реестр в актуальном состоянии, в том числе: вносит, изменяет и исключает сведения в Реестре по предложению ответственных лиц;* при необходимости вносит предложения структурным подразделениям по направлениям их деятельности о дополнении Реестра, изменении сведений в нем и исключении их из него; вносит [”руководителю“] [”название организации“] предложения о совершенствовании структуры Реестра и порядка его ведения; осуществляет резервное копирование Реестра по мере его наполнения, но не реже одного раза в полугодие*. 7. Резервное копирование Реестра производится [”системным администратором“, ”специалистом по контролю за обработкой персональных данных“, ”иным лицом“] на [”персональный компьютер системного администратора“, ”внешний жесткий диск“,”иной носитель информации“]. 8. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, ответственные лица направляют специалисту по контролю за обработкой персональных данных предложения о дополнении Реестра, изменении сведений в нем или исключении их из него в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов. 8*. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, ответственные лица дополняют Реестр, изменяют сведения в нем или исключают их из него, а также уведомляют в рабочем порядке специалиста по контролю за обработкой персональных данных в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов. 9. В целях обеспечения единообразия и осуществления контроля специалист по контролю за обработкой персональных данных вправе уточнять (в рабочем порядке) содержание сведений в Реестре у ответственных лиц. 10. В случае несогласия со специалистом по контролю за обработкой персональных данных ответственные лица вправе обратиться к [”руководителю“] [”название организации“] с предложениями о дополнении, изменении или исключении Реестра. По результатам рассмотрения таких предложений решение об окончательной редакции сведений Реестра принимается [”руководителем“] [”название организации“]. Приложение Форма РЕЕСТР обработки персональных данных [1] При отсутствии возможности отразить исчерпывающий перечень обрабатываемых персональных данных следует указывать ссылку на конкретную норму акта законодательства (если таковая имеется). [2] Отражается норма Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“. Нормы иных актов законодательства могут отражаться в примечании. В этом столбце, в примечании и иных столбцах допускается использовать сокращения (Закон, п., абз., ч., ст.). [3] Отражаются категории получателей (уполномоченные лица), получающие персональные данные на регулярной (постоянной) основе в соответствии с законодательными актами, при этом законодательными актами могут быть предусмотрены и иные случаи обязательной передачи персональных данных, в том числе их передача контрольным и надзорным органам, правоохранительным органам, суду. [4] В случае, если персональные данные содержатся в документе, подлежащем передаче в архив, следует руководствоваться сроком хранения, определенным в номенклатуре дел. В иных случаях такой срок определяется, исходя из необходимости соблюдения пункта 8 статьи 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ с учетом сроков хранения типовых документов Национального архивного фонда, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, определенных республиканским органом государственного управления в сфере архивного дела и делопроизводства (например, постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 ”О перечне типовых документов Национального архивного фонда Республики Беларусь“). Срок указывается в днях. Год условно определяется как 365 дней, а месяц – 30 дней. [5] В примечании может содержаться иная необходимая информация, в том числе ссылки на акты законодательства, не нашедшие отражение в 5 и 6 столбцах.
о реестре обработки
персональных данных
к Положению о реестре обработки
персональных данных
__.04.2022 № ___Цели обработки персональных данных Структурное подразделение (лицо), ответственное за обработку Информационная система (ресурс) Категории субъектов персональных данных, чьи данные подвергаются обработке Перечень обрабатываемых персональных данных[1] Правовые основания обработки персональных данных[2] Категории получателей персональных данных[3] Уполномоченные лица Срок хранения персональных данных[4] Примечание[5] 1 2 3 4 5 6 7 8 9 10 Положение о реестре обработки персональных данных
Перечень уполномоченных лиц, обрабатывающих персональные данные
| № п/п | Уполномоченное лицо | Информационный ресурс (система) | Предмет договора |
| 1 | ООО ”Белорусские облачные технологии“ | виртуальный защищенный хостинг | услуга облачной инфраструктуры |
| электронная почта. Light | – // – | ||
| облачная видеоконференцсвязь IVA MCU | услуга доступа к информационной системе | ||
| 2 | Национальный центр правовой информации Республики Беларусь | ИПС ”Эталон-ONLINE“ | – // – |
| БД ”ПА Национальный центр защиты персональных данных“ | работы по формированию банка данных | ||
| 3 | РУП ”Национальный центр электронных услуг“ | СЭД ”SMBusiness“ | сопровождение информационной системы |
| 4 | [Название третьего лица] | официальный сайт | техническая поддержка информационной системы |
Положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных
Приложение СТАНДАРТНЫЕ ПОЛОЖЕНИЯ 1. Цели обработки персональных данных. Цели обработки персональных данных должны соответствовать целям, заявленным в документе, определяющем политику оператора в отношении обработки персональных данных, и не должны быть абстрактными или общими. 2. Перечень действий, которые будут совершаться с персональными данными уполномоченным лицом. В договоре следует, в частности, указать: конкретные действия, совершаемые с персональными данными, поручаемые уполномоченному лицу (например, сбор персональных данных для заключения договора с определением перечня необходимых персональных данных; внесение сведений в информационный ресурс; хранение персональных данных с указанием сроков и условий хранения; их актуализация путем сопоставления с дополнительной информацией и т.п.); информацию об использовании обезличивания персональных данных в целях повышения их защищенности (при использовании обезличивания); условия, при которых возможно предоставление персональных данных третьим лицам или их распространение (если предполагается их предоставление или распространение). 3. Обязанность уполномоченного лица по соблюдению конфиденциальности персональных данных. В соответствии с Законом об информации, информатизации и защите информации конфиденциальность информации – это требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами. Соответственно, в договоре следует предусмотреть требование о том, что уполномоченное лицо не вправе распространять и (или) предоставлять персональные данные, которые стали ему (им) известны в связи с исполнением договора о поручении обработки, в том числе после прекращения обработки без наличия правового основания, предусмотренного законодательными актами. 4. Меры по обеспечению защиты персональных данных всоответствии со статьей 17 Закона. В договор включаются положения о том, что уполномоченное лицо гарантирует принятие мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Такие меры должны быть приняты до заключения договора. Одновременно в качестве механизма контроля оператором выполнения уполномоченным лицом указанных мер может быть закреплена обязанность уполномоченного лица предоставлять оператору информацию, необходимую для подтверждения реализации мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Если договор является долгосрочным, то предоставление такой информации может быть периодическим. К такой информации могут быть отнесены сведения о: 5. Условия о привлечении уполномоченным лицом иных лиц (субуполномоченных) для обработки персональных данных. В договоре следует предусмотреть условие о невозможности привлечения таких лиц либо о возможности привлечения с (без) предварительного письменного разрешения оператора или письменного уведомления оператора. В случае допустимости привлечения субуполномоченных лиц необходимо предусмотреть: 6. Механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных. В договоре целесообразно определить порядок действий уполномоченного лица в случае поступления к нему или к оператору заявлений субъектов персональных данных. Например, может быть предусмотрено, что в случае поступления заявления уполномоченному лицу оно может предоставлять субъекту персональных данных информацию об обработке персональных данных. Кроме того, для обеспечения оператора полной и достоверной информацией об обработке персональных данных могут быть предусмотрены следующие обязанности уполномоченного лица с установлением сроков их исполнения (например, в трехдневный срок со дня поступления запроса, с момента, когда стало известно, и т.п.): 7. Обязанность уполномоченного лица по окончании договора прекратить обработку персональных данных, передать все персональные данные оператору либо удалить (блокировать) персональные данные, за исключением случаев, когда законодательными актами предусмотрена обязанность их хранения, а также удалить (блокировать) все имеющиеся копии персональных данных и подтвердить оператору, что это сделано. Подтверждение передачи, удаления или блокирования персональных данных может быть, например, оформлено отдельным актом, либо соответствующая информация может быть указана в акте сдачи-приемки выполненных работ, либо представлен письменный отчет о выполненном поручении. 8. Иные обязанности сторон. В договоре могут быть предусмотрены также иные обязанности сторон, направленные на обеспечение защиты персональных данных, прав и свобод граждан при обработке их персональных данных, в зависимости от характера и особенностей обработки персональных данных, в том числе: 8.1. обязанность оператора уведомлять уполномоченное лицо о необходимости прекращения обработки персональных данных в связи с утратой оснований для их обработки (например, в случае отзыва субъектом персональных данных согласия на обработку персональных данных); 8.2. обязанности уполномоченного лица: осуществлять обработку персональных данных только для целей, предусмотренных договором; незамедлительно уведомлять оператора о нарушениях систем защиты персональных данных, в том числе о: — примерном количестве субъектов персональных данных, затронутых нарушением;
для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных
— вероятных неблагоприятных последствиях нарушения системы защиты персональных данных;
— мерах, принятых или предлагаемых для устранения нарушения системы защиты персональных данных.Положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных