ПОЛИТИКА
обработки персональных данных
в процессе трудовой деятельности
(по состоянию на ___________)
(примерная форма)
1. Общие положения
В данном разделе отражается информация о наименовании оператора, его контактных данных, сфере (бизнес-процессах), на которые распространяется действие Политики обработки персональных данных в процессе трудовой деятельности (далее – Политика), а также о том, где она будет размещена.
С учетом категорий субъектов персональных данных, для которых предназначена Политика, неограниченный доступ к такой Политике в соответствии с пунктом 4 статьи 17 Закона может быть обеспечен без ее размещения на сайте (например, путем размещения текста в общедоступной папке на локальном сетевом хранилище, соответствующем стенде оператора, на странице корпоративного информационного ресурса и т.п.).
Пример.
| 1.1. Издание Политики является одной из обязательных принимаемых (наименование оператора) мер по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон). 1.2. Политика применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников) (наименование оператора). 1.3. Настоящая Политика разработана в соответствии с Законом и разъясняет работникам, как, для каких целей и на каком правовом основании их персональные данные, а также персональные данные их близких родственников, членов семей собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у работников права и механизм их реализации. 1.4. Контактные данные (наименование оператора): Местонахождение: Адрес в сети Интернет: Адрес электронной почты: Номер телефона: 1.5. Настоящая Политика размещается (указание на способ обеспечения доступа к Политике, избранный оператором) по адресу: (путь к Политике). |
Для изложения информации в Политике оператор может использовать сокращения. Оператор может самостоятельно определить, в отношении каких понятий в тексте Политики будут применяться сокращения, и включить их перечень в содержание такого документа.
Пример.
| 1.6. В настоящей Политике используются термины и их определения в значении, предусмотренном Законом. 1.7. По тексту настоящей Политики применяются следующие сокращения: ФИО – фамилия, собственное имя, отчество (если таковое имеется); |
2. Порядок и условия обработки персональных данных
В данном разделе отражается информация о:
перечне осуществляемых оператором действий с персональными данными, источник получения персональных данных. При этом такой перечень должен не дублировать нормы статьи 1 Закона, а отражать реальные действия, осуществляемые оператором с персональными данными;
целях обработки персональных данных и применительно к каждой цели:
– категориях субъектов персональных данных, чьи данные подвергаются обработке;
– перечне обрабатываемых персональных данных;
– правовых основаниях обработки персональных данных;
– сроке хранения персональных данных.
Пример.
| 2.1. Обработка персональных данных осуществляется (с использованием средств автоматизации/без использования средств автоматизации/как с использованием средств автоматизации, так и без их использования) посредством (перечень действий, которые будут осуществляться с персональными данными, например сбор, хранение, использование, систематизация, изменение, предоставление, удаление и др.) 2.2. (Наименование оператора) осуществляет обработку персональных данных работников, их близких родственников, членов семей в целях, объеме, на правовых основаниях и в сроки в соответствии с приложением 1 к настоящей Политике. |
При осуществлении распространения персональных данных необходимо указать цель такой обработки, а также способ, посредством которого такое распространение осуществляется.
В качестве способа, посредством которого осуществляется распространение персональных данных, могут быть указаны определенный интернет-сайт или социальная сеть. Также могут быть указаны иные способы распространения персональных данных, не предполагающие использование сети Интернет, в частности, путем размещения персональных данных в местах, открытых для массового посещения (например, стенд на входе в организацию).
Поскольку распространение персональных данных влечет наибольший риск для прав работника, оператору также рекомендуется указать в Политике принятые им меры по обеспечению защиты прав работников в связи с осуществлением такой обработки.
Пример.
| (Наименование оператора) осуществляет распространение персональных данных (перечень обрабатываемых персональных данных) для целей (цели распространения персональных данных, например, ”размещение информации о работниках, участвовавших в проводимых оператором мероприятиях на сайте, в социальных сетях и мессенджерах“и др.) посредством (способ, посредством которого осуществляется распространение) на основании (правовое основание обработки персональных данных). |
3. Уполномоченные лица
В случае, если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в данном разделе указывается:
- наименование и местонахождение уполномоченного лица (уполномоченных лиц), а при невозможности указания данной информации из-за их большого количества, динамичности или краткосрочности договорных отношений с ними – категории уполномоченных лиц. При необходимости категории уполномоченных лиц могут быть сформулированы следующим образом: организации, оказывающие оператору услуги по системному администрированию локальной сети; организации, оказывающие оператору услуги по ведению бухгалтерского, кадрового учета и т.д. При этом следует избегать общих формулировок, таких как ”подрядчики“, ”партнеры“, ”контрагенты“ без указания конкретных сфер их деятельности. Допускается указание в Политике ссылки (QR-кода) на информацию, размещенную в открытом доступе, например, на сайте, и содержащую перечень уполномоченных лиц;
- основания обработки персональных данных (наличие договора, акта законодательства либо решения государственного органа);
- цели обработки, для реализации которых привлекается уполномоченное лицо (уполномоченные лица).
Пример 1.
| 3.1. (Наименование оператора) поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора), содержится в приложении 2 к настоящей Политике. 3.2. (Наименование оператора) заключает с уполномоченными лицами соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона. В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами на уровне не ниже, чем у (наименование оператора), (наименование оператора):
|
Пример 2.
| 3.1. (Наименование оператора) поручает обработку персональных данных работников уполномоченным лицам, оказывающим услуги по: 3.1.1. (услуга, оказываемая уполномоченным лицом) Наименование уполномоченного лица: Местонахождение уполномоченного лица: ; 3.1.2. (услуга, оказываемая уполномоченным лицом) Наименование уполномоченного лица: Местонахождение уполномоченного лица: 3.2. (Наименование оператора) заключает с уполномоченными лицами соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона. В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами на уровне не ниже, чем у (наименование оператора), (наименование оператора):
|
Если оператор не поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), раздел ”Уполномоченные лица“ в Политике не отражается.
4. Трансграничная передача персональных данных
При осуществлении трансграничной передачи персональных данных в данном разделе применительно к каждой цели передачи персональных данных отражаются:
- субъекты (категории субъектов) в иностранных государствах, которым персональные данные передаются;
- иностранные государства, на территории которых находятся такие субъекты (категории субъектов);
- правовые основания трансграничной передачи;
- передаваемые персональные данные.
В качестве оснований трансграничной передачи персональных данных могут быть указаны:
- основания, предусмотренные статьями 5, 6 и пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);
- основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).
Перечень иностранных государств, в которых обеспечен надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 (далее – приказ № 14).
Если трансграничная передача персональных данных осуществляется в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, или определить государства, в которые она осуществляется, невозможно, в Политике допускается указание обобщенного перечня государств (например, иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), а также может быть отражена информация о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.
Пример 1. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14).
| 4. (Наименование оператора) осуществляет трансграничную передачу персональных данных работников в целях: 4.1.1. ведения переписки с организациями иностранных государств по вопросам оказываемых оператором услуг (ФИО, наименование должности служащего (профессии рабочего). Трансграничная передача персональных данных осуществляется на территорию Российской Федерации в адрес (наименование организации, адрес места нахождения, почтовый адрес). Обработка персональных данных осуществляется на основании абзаца восьмого статьи 6 Закона; 4.1.2. направления работников в заграничные командировки (ФИО, наименование должности служащего, адрес регистрации, данные документа, удостоверяющего личность). Трансграничная передача персональных данных осуществляется на территорию Российской Федерации в адрес (наименование организации, адрес места нахождения, почтовый адрес). Обработка персональных данных осуществляется на основании абзаца восьмого статьи 6 Закона. |
Пример 2. Осуществление трансграничной передачи персональных данных при наличии возможности установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные, в случае если в таком государстве не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (в соответствии с приказом № 14).
| (Наименование оператора) осуществляет трансграничную передачу персональных данных работников с целью их направления в заграничные командировки (ФИО, наименование должности служащего (профессии рабочего) адрес регистрации, данные документа, удостоверяющего личность). Персональные данные передаются на территорию Китайской Народной Республики в адрес (наименование организации, адрес места нахождения, почтовый адрес). Поскольку на территории указанного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, (наименование оператора) сообщает о следующих возможных рисках трансграничной передачи персональных данных:
Обработка персональных данных осуществляется на основании абзаца восьмого пункта 1 статьи 9 Закона. |
Пример 3. Осуществление трансграничной передачи персональных данных при отсутствии возможности с точностью установить государство, на территории которого находится (находятся) субъект (субъекты), которому (которым) передаются персональные данные.
| (Наименование оператора) осуществляет трансграничную передачу персональных данных работников с целью размещения информации о работниках, участвовавших в проводимых оператором мероприятиях, в социальных сетях и мессенджерах оператора (ФИО, наименование должности служащего (профессии рабочего), фотоизображение). Поскольку возможность установить государство, куда осуществляется трансграничная передача персональных данных, отсутствует, существует вероятность отсутствия в нем условий для обеспечения надлежащей защиты прав субъектов персональных данных. В этой связи (наименование оператора) сообщает о следующих возможных рисках трансграничной передачи персональных данных: отсутствие законодательства о персональных данных; отнесение к персональным данным ограниченного круга сведений о физическом лице; отсутствие уполномоченного органа по защите прав субъектов персональных данных; ограниченный перечень (отсутствие) прав субъектов персональных данных; иные возможные риски нарушения прав субъектов персональных данных, возникающие в связи с трансграничной передачей персональных данных. Обработка персональных данных осуществляется на основании (правовое основание обработки персональных данных в соответствии с пунктом 1 статьи 9 Закона). |
При поручении оператором обработки персональных данных уполномоченному лицу, размещенному в иностранном государстве, в Политике также может быть указан перечень мер по обеспечению защиты персональных данных, которые приняты таким лицом, в том числе меры, аналогичные предусмотренным статьей 17 Закона в качестве обязательных.
В случае, если трансграничная передача персональных данных работников не осуществляется, информация об этом также отражается в Политике.
Пример.
| Оператор не осуществляет трансграничную передачу персональных данных работников при их обработке. |
5. Права работников в отношении обрабатываемых персональных данных
Информация о правах, возникающих у работников в связи с осуществлением нанимателем обработки их персональных данных, и механизмах их реализации содержится в приложении 5 к Разъяснениям по составлению документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных.
Приложение 1
к Политике обработки персональных данных в процессе трудовой деятельности
| Цели обработки персональных данных | Категории субъектов персональных данных, чьи данные обрабатываются | Перечень обрабатываемых персональных данных | Правовые основания обработки персональных данных | Срок хранения персональных данных | |
| ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ РЕАЛИЗАЦИИ ЗАКОНОДАТЕЛЬСТВА О ТРУДЕ
| |||||
| Прием на работу, заключение трудового договора (контракта)
(в том числе заполнение личного листка по учету кадров, предоставление необходимых документов в кадровую службу)
| Работники | ФИО, адрес, должность служащего (профессия рабочего), образование, размер заработной платы, а также иные персональные данные, необходимые для достижения соответствующей цели | Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде) | В соответствии со сроками, определенными законодательством об архивном деле и делопроизводстве
Если срок не определен – до прекращения трудовых отношений
| |
| Организация трудовой деятельности
(в том числе создание учетных записей для входа в информационные системы организации; создание телефонного справочника; изготовление визиток; учет рабочего времени; оплата труда; предоставление гарантий и компенсаций, контроль производственно-технологической, исполнительской и трудовой дисциплины; поощрение; привлечение к дисциплинарной ответственности; разрешение индивидуальных трудовых споров; изменение трудового договора; охрана труда; расследование несчастных случаев на производстве; делопроизводство)
| |||||
| Прекращение трудового договора
| |||||
| Реализация в случаях, предусмотренных законодательством, обязанностей (полномочий) в отношении работника, требующая обработки персональных данных близких родственников, членов его семьи
(в том числе заполнение личного листка по учету кадров; ведение воинского учета; предоставление гарантий и компенсаций, социальных отпусков; заполнение деклараций о доходах)
| Близкие родственники, члены семьи работников | ФИО, а также иные персональные данные, предусмотренные законодательством | Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде) | В соответствии со сроками, определенными законодательством об архивном деле и делопроизводстве для соответствующей обработки персональных данных работников | |
| ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОСНОВАНИИ СОГЛАСИЯ
| |||||
| Обеспечение доступа в здание организации в рамках системы контроля и управления доступом (СКУД) с использованием биометрических персональных данных
| Работники | Изображение работника, отпечатки пальцев рук | Согласие[1] | Указывается срок действия согласия2 либо ”до отзыва согласия“ | |
| Использование личных мобильного номера телефона работника, адреса электронной почты, аккаунта в социальных сетях для выполнения им трудовой функции
| Работники | личные мобильный номер телефона, адрес электронной почты, аккаунт в социальных сетях | Согласие | Указывается срок действия согласия2 либо ”до отзыва согласия“ | |
| Указание даты рождения работника в информационном ресурсе, размещение на стенде с целью поздравления с днем рождения
| Работники | ФИО, дата рождения | Согласие | Указывается срок действия согласия2 либо ”до отзыва согласия“ | |
| Размещение информации о работниках на сайте организации, в социальных сетях и мессенджерах | Работники | ФИО, должность служащего (профессия рабочего), фото- и видеоизображение, сопроводительный текст (при наличии) | Согласие, если: 1. размещение информации не связано с трудовой функцией работника; 2. работник является основным объектом съемки; 3. обязанность размещения информации о работнике не предусмотрена законодательством. В иных случаях (например, при размещении фото- и видеоизображений работников на общем плане в рамках новостного контента) правовым основанием такой обработки может выступать абз. 8 ст. 6 Закона | Если правовым основанием выступает согласие – указывается срок действия согласия2 либо ”до отзыва согласия“. Если обработка связана с трудовой функцией работника – до даты прекращения трудовых отношений. Если обрабатываются общедоступные персональные данные – до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами | |
| Создание и размещение на корпоративном информационном ресурсе (сайте) организации информационного контента о деятельности организации с участием работников | Работники | Фото- и (или) видеоизображение | 1. Согласие
| Указывается срок действия согласия2 либо ”до отзыва согласия“
| |
| Предоставление работнику дополнительных социальных гарантий, не предусмотренных коллективным договором организации или при отсутствии в организации коллективного договора (например, посещение бассейна, спортивного зала, организация экскурсий) | Работники, их близкие родственники, члены семей | ФИО, а также иные персональные данные, необходимые для предоставления гарантии | 1. Согласие
2. Абз. 16 ст. 6 Закона (заявление работника, адресованное нанимателю)
| 1. Указывается срок действия согласия2 либо ”до отзыва согласия“ 2. Срок устанавливается в соответствии с законодательством об архивном деле и делопроизводстве | |
| Организация добровольного медицинского страхования расходов работников и членов их семей | Работники, члены их семей | ФИО, адрес регистрации, серия и номер паспорта, иные персональные данные, необходимые для организации добровольного медицинского страхования | 1. Согласие 2. Абз. 16 ст. 6 Закона (заявление работника, адресованное нанимателю) 3. Абз. 8 статьи 6 (при наличии соответствующей гарантии в коллективном договоре)
| 1. Если правовым основанием выступает согласие – указывается срок действия согласия2 либо ”до отзыва согласия“ 2. В иных случаях срок устанавливается в соответствии с законодательством об архивном деле и делопроизводстве, а при отсутствии такового – с учетом требований п. 8 ст. 4 Закона | |
| ИНАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, СВЯЗАННАЯ С ТРУДОВЫМИ ОТНОШЕНИЯМИ
| |||||
| Осуществление контроля за посещаемыми работниками интернет-ресурсами с использованием каналов электросвязи организации в рамках политики информационной безопасности | Работники | IP-адрес устройства и интернет-ресурса, MAC-адрес устройства, время начала и окончания посещения В случае попытки посещения интернет-ресурсов, доступ к которым ограничен, –. сведения об учетной записи, URL-адрес интернет-ресурса, время попытки посещения | Абз. 8 ст. 6 Закона, Указы Президента Республики Беларусь от 01.02.2010 № 60 и от 14.02.2023 № 40. | 1 год с даты посещения, а при наличии признаков дисциплинарного проступка, административного правонарушения – до окончания проведения соответствующих проверок | |
| Организация прохождения работниками профессиональной подготовки, повышения квалификации, стажировки, переподготовки | Работники | ФИО, адрес регистрации, данные документа, удостоверяющего личность, в том числе идентификационный номер, сведения о посещении занятий | 1. Абз. 8 ст. 6 Закона (законодательство о труде), если обеспечение обучения является обязанностью нанимателя 2 Абз. 15 ст. 6 Закона (договор оказания образовательных услуг) | 3 года после проведения проверки налоговыми органами, а если проверка не проводилась – 10 лет после прекращения договора
| |
| Осуществление административных процедур | Работники, в том числе бывшие работники | ФИО, адрес регистрации, а также иные персональные данные, указанные в заявлении | 1. В отношении работников – абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона 2. В отношении бывших работников – абз. 20 ст. 6, абз. 13 п. 2 ст. 8 Закона (законодательство об административных процедурах) | 5 лет с даты подачи заявления | |
[1] Согласие на обработку персональных данных для данной цели будет иметь свободный характер только при условии наличия альтернативного варианта доступа. Исключение составляют особо опасные, режимные объекты, объекты военного и специального назначения, в банковской сфере в целях защиты помещений, в которых хранятся денежные средства и иные ценности либо установлены серверы, и т.п. В иных случаях указание такого способа доступа в качестве единственного не отвечает требованию соразмерности (пункт 2 статьи 4 Закона) и влечет риски для прав субъектов персональных данных.
Приложение 2
к Политике обработки персональных данных
в процессе трудовой деятельности
ПЕРЕЧЕНЬ
уполномоченных лиц, обрабатывающих персональные данные по поручению (наименование оператора)
| № п/п | Уполномоченное лицо | Место нахождения уполномоченного лица | Цели обработки персональных данных, для реализации которых привлекается уполномоченное лицо |
Примерная Политика в отношении обработки персональных данных в процессе трудовой деятельности
Приложение 1 к Политике обработки персональных данных в процессе трудовой деятельности
Приложение 2 к Политике обработки персональных данных в процессе трудовой деятельности