Примерная Политика в отношении обработки персональных данных в процессе трудовой деятельности

ПОЛИТИКА

обработки персональных данных
в процессе трудовой деятельности
(по состоянию на ___________)
(примерная форма)

1. Общие положения

В данном разделе отражается информация о наименовании оператора, его контактных данных, сфере (бизнес-процессах), на которые распространяется действие Политики обработки персональных данных в процессе трудовой деятельности (далее – Политика), а также о том, где она будет размещена.

С учетом категорий субъектов персональных данных, для которых предназначена Политика, неограниченный доступ к такой Политике в соответствии с пунктом 4 статьи 17 Закона может быть обеспечен без ее размещения на сайте (например, путем размещения текста в общедоступной папке на локальном сетевом хранилище, соответствующем стенде оператора, на странице корпоративного информационного ресурса и т.п.).

Пример.

1.1. Издание Политики является одной из обязательных принимаемых (наименование оператора) мер по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон).

1.2. Политика применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников) (наименование оператора).

1.3. Настоящая Политика разработана в соответствии с Законом и разъясняет работникам, как, для каких целей и на каком правовом основании их персональные данные, а также персональные данные их близких родственников, членов семей собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у работников права и механизм их реализации.

1.4. Контактные данные (наименование оператора):

Местонахождение:

Адрес в сети Интернет:

Адрес электронной почты:

Номер телефона:

1.5. Настоящая Политика размещается (указание на способ обеспечения доступа к Политике, избранный оператором) по адресу: (путь к Политике).

Для изложения информации в Политике оператор может использовать сокращения. Оператор может самостоятельно определить, в отношении каких понятий в тексте Политики будут применяться сокращения, и включить их перечень в содержание такого документа.

Пример.

1.6. В настоящей Политике используются термины и их определения в значении, предусмотренном Законом.

1.7. По тексту настоящей Политики применяются следующие сокращения:

ФИО – фамилия, собственное имя, отчество (если таковое имеется);
ФЛ – физическое лицо;
ЮЛ – юридическое лицо;
ИП – индивидуальный предприниматель;
Согласие – согласие на обработку персональных данных.

2. Порядок и условия обработки персональных данных

В данном разделе отражается информация о:

перечне осуществляемых оператором действий с персональными данными, источник получения персональных данных. При этом такой перечень должен не дублировать нормы статьи 1 Закона, а отражать реальные действия, осуществляемые оператором с персональными данными;

целях обработки персональных данных и применительно к каждой цели:

– категориях субъектов персональных данных, чьи данные подвергаются обработке;
– перечне обрабатываемых персональных данных;
– правовых основаниях обработки персональных данных;
– сроке хранения персональных данных.

Пример.

2.1. Обработка персональных данных осуществляется (с использованием средств автоматизации/без использования средств автоматизации/как с использованием средств автоматизации, так и без их использования) посредством (перечень действий, которые будут осуществляться с персональными данными, например сбор, хранение, использование, систематизация, изменение, предоставление, удаление и др.)

2.2. (Наименование оператора) осуществляет обработку персональных данных работников, их близких родственников, членов семей в целях, объеме, на правовых основаниях и в сроки в соответствии с приложением 1 к настоящей Политике.

При осуществлении распространения персональных данных необходимо указать цель такой обработки, а также способ, посредством которого такое распространение осуществляется.

В качестве способа, посредством которого осуществляется распространение персональных данных, могут быть указаны определенный интернет-сайт или социальная сеть. Также могут быть указаны иные способы распространения персональных данных, не предполагающие использование сети Интернет, в частности, путем размещения персональных данных в местах, открытых для массового посещения (например, стенд на входе в организацию).

Поскольку распространение персональных данных влечет наибольший риск для прав работника, оператору также рекомендуется указать в Политике принятые им меры по обеспечению защиты прав работников в связи с осуществлением такой обработки.

Пример.

(Наименование оператора) осуществляет распространение персональных данных (перечень обрабатываемых персональных данных) для целей (цели распространения персональных данных, например, ”размещение информации о работниках, участвовавших в проводимых оператором мероприятиях на сайте, в социальных сетях и мессенджерах“и др.) посредством (способ, посредством которого осуществляется распространение) на основании (правовое основание обработки персональных данных).

3. Уполномоченные лица

В случае, если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в данном разделе указывается:

наименование и местонахождение уполномоченного лица (уполномоченных лиц), а при невозможности указания данной информации из-за их большого количества, динамичности или краткосрочности договорных отношений с ними – категории уполномоченных лиц. При необходимости категории уполномоченных лиц могут быть сформулированы следующим образом: организации, оказывающие оператору услуги по системному администрированию локальной сети; организации, оказывающие оператору услуги по ведению бухгалтерского, кадрового учета и т.д. При этом следует избегать общих формулировок, таких как ”подрядчики“, ”партнеры“, ”контрагенты“ без указания конкретных сфер их деятельности. Допускается указание в Политике ссылки (QR-кода) на информацию, размещенную в открытом доступе, например, на сайте, и содержащую перечень уполномоченных лиц;
основания обработки персональных данных (наличие договора, акта законодательства либо решения государственного органа);
цели обработки, для реализации которых привлекается уполномоченное лицо (уполномоченные лица).

Пример 1.

3.1. (Наименование оператора) поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора), содержится в приложении 2 к настоящей Политике.

3.2. (Наименование оператора) заключает с уполномоченными лицами соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона.

В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами на уровне не ниже, чем у (наименование оператора), (наименование оператора):

периодически осуществляет контроль за выполнением уполномоченными лицами мер по обеспечению защиты прав субъектов персональных данных при обработке их персональных данных по поручению оператора;
не дает уполномоченным лицам разрешения на привлечение субуполномоченных лиц/допускает привлечение упономоченными лицами субуполномоченных лиц только при условии получения предварительного письменного разрешения оператора/письменного уведомления оператора.

Пример 2.

3.1. (Наименование оператора) поручает обработку персональных данных работников уполномоченным лицам, оказывающим услуги по:

3.1.1. (услуга, оказываемая уполномоченным лицом)

Наименование уполномоченного лица:

Местонахождение уполномоченного лица: ;

3.1.2. (услуга, оказываемая уполномоченным лицом)

Наименование уполномоченного лица:

Местонахождение уполномоченного лица:

периодически осуществляет контроль за выполнением уполномоченным лицом мер по обеспечению защиты прав субъектов персональных данных при обработке их персональных данных по поручению оператора;
не дает уполномоченным лицам разрешения на привлечение субуполномоченных лиц/допускает привлечение упономоченными лицами субуполномоченных лиц только при условии получения предварительного письменного разрешения оператора/письменного уведомления оператора.

Если оператор не поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), раздел ”Уполномоченные лица“ в Политике не отражается.

4. Трансграничная передача персональных данных

При осуществлении трансграничной передачи персональных данных в данном разделе применительно к каждой цели передачи персональных данных отражаются:

субъекты (категории субъектов) в иностранных государствах, которым персональные данные передаются;
иностранные государства, на территории которых находятся такие субъекты (категории субъектов);
правовые основания трансграничной передачи;
передаваемые персональные данные.

В качестве оснований трансграничной передачи персональных данных могут быть указаны:

основания, предусмотренные статьями 5, 6 и пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);
основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).

Перечень иностранных государств, в которых обеспечен надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 (далее – приказ № 14).

Если трансграничная передача персональных данных осуществляется в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, или определить государства, в которые она осуществляется, невозможно, в Политике допускается указание обобщенного перечня государств (например, иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), а также может быть отражена информация о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.

Пример 1. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14).

4. (Наименование оператора) осуществляет трансграничную передачу персональных данных работников в целях:

4.1.1. ведения переписки с организациями иностранных государств по вопросам оказываемых оператором услуг (ФИО, наименование должности служащего (профессии рабочего).

Трансграничная передача персональных данных осуществляется на территорию Российской Федерации в адрес (наименование организации, адрес места нахождения, почтовый адрес).

Обработка персональных данных осуществляется на основании абзаца восьмого статьи 6 Закона;

4.1.2. направления работников в заграничные командировки (ФИО, наименование должности служащего, адрес регистрации, данные документа, удостоверяющего личность).

Обработка персональных данных осуществляется на основании абзаца восьмого статьи 6 Закона.

Пример 2. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14).

(Наименование оператора) осуществляет трансграничную передачу персональных данных работников с целью их направления в заграничные командировки (ФИО, наименование должности служащего (профессии рабочего) адрес регистрации, данные документа, удостоверяющего личность).

Персональные данные передаются на территорию Китайской Народной Республики в адрес (наименование организации, адрес места нахождения, почтовый адрес).

Поскольку на территории указанного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, (наименование оператора) сообщает о следующих возможных рисках трансграничной передачи персональных данных:

отсутствие законодательства о персональных данных;
отнесение к персональным данным ограниченного круга сведений о физическом лице;
отсутствие уполномоченного органа по защите прав субъектов персональных данных;
ограниченный круг (отсутствие) прав субъектов персональных данных;
иные возможные риски нарушения прав субъектов персональных данных, возникающие в связи с трансграничной передачей персональных данных в данное государство с учетом его специфики.

Обработка персональных данных осуществляется на основании абзаца восьмого пункта 1 статьи 9 Закона.

Пример 3. Осуществление трансграничной передачи персональных данных при отсутствии возможности с точностью установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные.

(Наименование оператора) осуществляет трансграничную передачу персональных данных работников с целью размещения информации о работниках, участвовавших в проводимых оператором мероприятиях, в социальных сетях и мессенджерах оператора (ФИО, наименование должности служащего (профессии рабочего), фотоизображение).

Поскольку возможность установить государство, куда осуществляется трансграничная передача персональных данных, отсутствует, существует вероятность отсутствия в нем условий для обеспечения надлежащей защиты прав субъектов персональных данных. В этой связи (наименование оператора) сообщает о следующих возможных рисках трансграничной передачи персональных данных:

отсутствие законодательства о персональных данных;

отнесение к персональным данным ограниченного круга сведений о физическом лице;

отсутствие уполномоченного органа по защите прав субъектов персональных данных;

ограниченный перечень (отсутствие) прав субъектов персональных данных;

иные возможные риски нарушения прав субъектов персональных данных, возникающие в связи с трансграничной передачей персональных данных.

Обработка персональных данных осуществляется на основании (правовое основание обработки персональных данных в соответствии с пунктом 1 статьи 9 Закона).

При поручении оператором обработки персональных данных уполномоченному лицу, размещенному в иностранном государстве, в Политике также может быть указан перечень мер по обеспечению защиты персональных данных, которые приняты таким лицом, в том числе меры, аналогичные предусмотренным статьей 17 Закона в качестве обязательных.

В случае, если трансграничная передача персональных данных работников не осуществляется, информация об этом также отражается в Политике.

Пример.

Оператор не осуществляет трансграничную передачу персональных данных работников при их обработке.

5. Права работников в отношении обрабатываемых персональных данных

Информация о правах, возникающих у работников в связи с осуществлением нанимателем обработки их персональных данных, и механизмах их реализации содержится в приложении 5 к Разъяснениям по составлению документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Приложение 1
к Политике обработки персональных данных в процессе трудовой деятельности

Цели обработки персональных данных	Категории субъектов персональных данных, чьи данные обрабатываются	Перечень обрабатываемых персональных данных	Правовые основания обработки персональных данных	Срок хранения персональных данных
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ РЕАЛИЗАЦИИ ЗАКОНОДАТЕЛЬСТВА О ТРУДЕ
Прием на работу, заключение трудового договора (контракта) (в том числе заполнение личного листка по учету кадров, предоставление необходимых документов в кадровую службу)	Работники	ФИО, адрес, должность служащего (профессия рабочего), образование, размер заработной платы, а также иные персональные данные, необходимые для достижения соответствующей цели	Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде)	В соответствии со сроками, определенными законодательством об архивном деле и делопроизводстве Если срок не определен – до прекращения трудовых отношений
Организация трудовой деятельности (в том числе создание учетных записей для входа в информационные системы организации; создание телефонного справочника; изготовление визиток; учет рабочего времени; оплата труда; предоставление гарантий и компенсаций, контроль производственно-технологической, исполнительской и трудовой дисциплины; поощрение; привлечение к дисциплинарной ответственности; разрешение индивидуальных трудовых споров; изменение трудового договора; охрана труда; расследование несчастных случаев на производстве; делопроизводство)
Прекращение трудового договора
Реализация в случаях, предусмотренных законодательством, обязанностей (полномочий) в отношении работника, требующая обработки персональных данных близких родственников, членов его семьи (в том числе заполнение личного листка по учету кадров; ведение воинского учета; предоставление гарантий и компенсаций, социальных отпусков; заполнение деклараций о доходах)	Близкие родственники, члены семьи работников	ФИО, а также иные персональные данные, предусмотренные законодательством	Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде)	В соответствии со сроками, определенными законодательством об архивном деле и делопроизводстве для соответствующей обработки персональных данных работников
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОСНОВАНИИ СОГЛАСИЯ
Обеспечение доступа в здание организации в рамках системы контроля и управления доступом (СКУД) с использованием биометрических персональных данных	Работники	Изображение работника, отпечатки пальцев рук	Согласие[1]	Указывается срок действия согласия² либо ”до отзыва согласия“
Использование личных мобильного номера телефона работника, адреса электронной почты, аккаунта в социальных сетях для выполнения им трудовой функции	Работники	личные мобильный номер телефона, адрес электронной почты, аккаунт в социальных сетях	Согласие	Указывается срок действия согласия² либо ”до отзыва согласия“
Указание даты рождения работника в информационном ресурсе, размещение на стенде с целью поздравления с днем рождения	Работники	ФИО, дата рождения	Согласие	Указывается срок действия согласия² либо ”до отзыва согласия“
Размещение информации о работниках на сайте организации, в социальных сетях и мессенджерах	Работники	ФИО, должность служащего (профессия рабочего), фото- и видеоизображение, сопроводительный текст (при наличии)	Согласие, если: 1. размещение информации не связано с трудовой функцией работника; 2. работник является основным объектом съемки; 3. обязанность размещения информации о работнике не предусмотрена законодательством. В иных случаях (например, при размещении фото- и видеоизображений работников на общем плане в рамках новостного контента) правовым основанием такой обработки может выступать абз. 8 ст. 6 Закона	Если правовым основанием выступает согласие – указывается срок действия согласия² либо ”до отзыва согласия“. Если обработка связана с трудовой функцией работника – до даты прекращения трудовых отношений. Если обрабатываются общедоступные персональные данные – до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами
Создание и размещение на корпоративном информационном ресурсе (сайте) организации информационного контента о деятельности организации с участием работников	Работники	Фото- и (или) видеоизображение	1. Согласие	Указывается срок действия согласия² либо ”до отзыва согласия“
Предоставление работнику дополнительных социальных гарантий, не предусмотренных коллективным договором организации или при отсутствии в организации коллективного договора (например, посещение бассейна, спортивного зала, организация экскурсий)	Работники, их близкие родственники, члены семей	ФИО, а также иные персональные данные, необходимые для предоставления гарантии	1. Согласие 2. Абз. 16 ст. 6 Закона (заявление работника, адресованное нанимателю)	1. Указывается срок действия согласия² либо ”до отзыва согласия“ 2. Срок устанавливается в соответствии с законодательством об архивном деле и делопроизводстве
Организация добровольного медицинского страхования расходов работников и членов их семей	Работники, члены их семей	ФИО, адрес регистрации, серия и номер паспорта, иные персональные данные, необходимые для организации добровольного медицинского страхования	1. Согласие 2. Абз. 16 ст. 6 Закона (заявление работника, адресованное нанимателю) 3. Абз. 8 статьи 6 (при наличии соответствующей гарантии в коллективном договоре)	1. Если правовым основанием выступает согласие – указывается срок действия согласия² либо ”до отзыва согласия“ 2. В иных случаях срок устанавливается в соответствии с законодательством об архивном деле и делопроизводстве, а при отсутствии такового – с учетом требований п. 8 ст. 4 Закона
ИНАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, СВЯЗАННАЯ С ТРУДОВЫМИ ОТНОШЕНИЯМИ
Осуществление контроля за посещаемыми работниками интернет-ресурсами с использованием каналов электросвязи организации в рамках политики информационной безопасности	Работники	IP-адрес устройства и интернет-ресурса, MAC-адрес устройства, время начала и окончания посещения В случае попытки посещения интернет-ресурсов, доступ к которым ограничен, –. сведения об учетной записи, URL-адрес интернет-ресурса, время попытки посещения	Абз. 8 ст. 6 Закона, Указы Президента Республики Беларусь от 01.02.2010 № 60 и от 14.02.2023 № 40.	1 год с даты посещения, а при наличии признаков дисциплинарного проступка, административного правонарушения – до окончания проведения соответствующих проверок
Организация прохождения работниками профессиональной подготовки, повышения квалификации, стажировки, переподготовки	Работники	ФИО, адрес регистрации, данные документа, удостоверяющего личность, в том числе идентификационный номер, сведения о посещении занятий	1. Абз. 8 ст. 6 Закона (законодательство о труде), если обеспечение обучения является обязанностью нанимателя 2 Абз. 15 ст. 6 Закона (договор оказания образовательных услуг)	3 года после проведения проверки налоговыми органами, а если проверка не проводилась – 10 лет после прекращения договора
Осуществление административных процедур	Работники, в том числе бывшие работники	ФИО, адрес регистрации, а также иные персональные данные, указанные в заявлении	1. В отношении работников – абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона 2. В отношении бывших работников – абз. 20 ст. 6, абз. 12 п. 2 ст. 8 Закона (законодательство об административных процедурах)	5 лет с даты подачи заявления

[1] Согласие на обработку персональных данных для данной цели будет иметь свободный характер только при условии наличия альтернативного варианта доступа. Исключение составляют особо опасные, режимные объекты, объекты военного и специального назначения, в банковской сфере в целях защиты помещений, в которых хранятся денежные средства и иные ценности либо установлены серверы, и т.п. В иных случаях указание такого способа доступа в качестве единственного не отвечает требованию соразмерности (пункт 2 статьи 4 Закона) и влечет риски для прав субъектов персональных данных.

Приложение 2
к Политике обработки персональных данных
в процессе трудовой деятельности

ПЕРЕЧЕНЬ
уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора)

№ п/п	Уполномоченное лицо	Место нахождения уполномоченного лица	Цели обработки персональных данных, для реализации которых привлекается уполномоченное лицо

Примерная Политика в отношении обработки персональных данных в процессе трудовой деятельности

Приложение 1 к Политике обработки персональных данных в процессе трудовой деятельности

Приложение 2 к Политике обработки персональных данных в процессе трудовой деятельности

Заявка на обучение

Реквизиты организации

Лицо, подписывающее договор:

Контактное лицо