Политика в отношении обработки персональных данных
УТВЕРЖДЕНО
приказ ОАО «Булочно-кондитерская
компания «Домочай»
15.11.2021 № 340
ПОЛИТИКА ОАО «Булочно-кондитерская компания «Домочай» в отношении обработки персональных данных.
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
- Политика ОАО «Булочно-кондитерская компания «Домочай» в отношении обработки персональных данных (далее — Политика) разработана во исполнение Закона Республики Беларусь от 7 мая 2021 года «О защите персональных данных», с учетом требований иных актов законодательства о персональных данных, в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе обеспечение защиты прав на неприкосновенность частной жизни, личную и семейную тайну, соблюдения конфиденциальности, исключения незаконного использования, распространения.
- ОАО «Булочно-кондитерская компания «Домочай» (далее – Общество) является оператором, осуществляющим обработку персональных данных работников Общества и иных физических лиц, если это необходимо для выполнения обязанностей (полномочий), предусмотренных требованиями законодательства, положениями договоров, трудоустройства, вытекает из осуществляемой Обществом деятельности, требуется для совершенствования бизнес-процессов, продвижения продукции собственного производства и т.д.
- Политика является общедоступной, поддерживается в актуальном состоянии и размещается в глобальной компьютерной сети Интернет на сайте Общества.
- Термины и их определения, используемые в настоящей Политике, употребляются в значении, определяемом действующим законодательством о персональных данных и иными актами законодательства.
- Требования настоящей Политики распространяются на любые персональные данные, обрабатываемые в Обществе, независимо от вида носителя, на котором они зафиксированы.
- Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, интимной жизни, а также биометрических и генетических персональных данных, в Обществе не осуществляется, за исключением случаев, установленных законодательством.
- Политика поддерживается в актуальном состоянии. При внесении в ее содержание существенных изменений, связанных, в том числе с изменением оператора, целей обработки, сроков хранения, порядка реализации прав субъектов персональных данных, актуальная Политика размещается на сайте Общества заблаговременно.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка персональных данных в Обществе:
осуществляется на законной основе;
должна быть соразмерна заявленным целям и обеспечивать на всех ее этапах справедливое соотношение интересов всех заинтересованных лиц;
осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
ограничивается достижением конкретных, заранее заявленных законных целей;
не совместимая с первоначально заявленными целями не допускается;
по содержанию и объему должна соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
носит прозрачный характер, то есть субъекту персональных данных в порядке и на условиях, установленных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
осуществляется с достоверными персональными данными. Общество принимает меры по поддержанию их в актуальном состоянии и при необходимости обновляет.
обеспечивается принятием необходимых и достаточных мер по защите персональных данных от неправомерного (несанкционированного или случайного) доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий;
обеспечивает хранение персональных данных в форме, позволяющей идентифицировать субъект персональных данных не дольше, чем этого требуют заявленные цели их обработки;
подразумевает уничтожение персональных данных при достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
- Обработка Обществом персональных данных осуществляется в целях:
подбора персонала;
регулирования трудовых отношений и иных непосредственно связанных с ними правоотношений с работниками Общества в процессе трудовой деятельности (содействие в трудоустройстве, обучение, ведение кадрового резерва, награждение, обеспечение личной безопасности, воинский и персонифицированный учет, оформление пенсии, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и материальных ценностей, предотвращение правонарушений, карьерный рост, дисциплина, служебные командировки и др.);
реализации социальных функций Общества в отношении работников Общества (в том числе в области жилищных отношений, культурно-массовой и оздоровительной работы, медицинского обслуживания и страхования, оздоровления и санаторно-курортного лечения);
обеспечения пропускного и внутриобъектового режима на объектах Обществе;
заключения, исполнения, изменения, прекращения договоров, в том числе гражданско-правовых, в процессе хозяйственной деятельности;
рассмотрения обращений;
обеспечения прохождения практики студентами (на основании заключенных договоров);
ведения бухгалтерского и налогового учета;
начисления и выплаты заработной платы, назначения и выплаты пособий, компенсаций, налоговых вычетов, материальной помощи;
формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;
выявления конфликта интересов, установления аффилированных лиц Общества;
исполнения судебных актов, актов государственных органов и иных организаций, а также должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
продвижения продукции собственного производства и улучшения ее качества, а также в рекламных и маркетинговых целях;
координации и взаимодействия с контрагентами и иными связанными лицами, установления и поддержания делового общения;
осуществления производственного туризма;
в иных законных и обоснованных целях.
ГЛАВА 3
СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ
- В Обществе обрабатываются персональные данные следующих субъектов персональных данных:
кандидаты на работу, кандидаты в резерв руководящих кадров;
работники Общества, в том числе бывшие, члены их семьи, а при необходимости и иные близкие родственники;
студенты, иные лица, прибывшие на практику, стажировку, а также в целях производственного туризма;
контрагенты и представители контрагентов Общества;
покупатели (заказчики);
граждане, подавшие обращения;
физические лица, с которыми Общество заключило (планирует заключить) договоры гражданско-правового характера;
другие субъекты персональных данных, обработка персональных данных которых Обществом предусмотрена в соответствии с законодательством и локальными правовыми актами с учетом целей обработки персональных данных, указанных в главе 2 настоящей Политики.
- Конкретный состав подлежащих обработке персональных данных субъекта, необходимых для достижения конкретной заявленной цели, определяется работником Общества, обрабатывающим персональные данные субъекта при исполнении своих должностных обязанностей, на основании требований действующего законодательства и локальных правовых актов Общества в области персональных данных.
Состав персональных данных указывается работником Общества, обрабатывающим персональные данные субъекта, в письменной информации, предоставляемой субъекту персональных данных при получении его согласия на обработку персональных данных, за исключением случаев, предусмотренных законодательством, когда согласие субъекта персональных данных на обработку его персональных данных не требуется.
ГЛАВА 4
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Субъект персональных данных вправе:
12.1. в любое время без объяснения причин отозвать свое согласие на обработку персональных данных путем подачи соответствующего письменного заявления либо в виде электронного документа, содержащего фамилию, собственное имя, отчество (при наличии), адрес места жительства (места пребывания), дату рождения, идентификационный номер (при отсутствии – номер документа, удостоверяющего личность), изложение сути требований и подпись. Общество обязано в 15-дневный срок после получения такого заявления прекратить обработку персональных данных, осуществить их удаление, о чем уведомить субъекта персональных данных, при отсутствии оснований для их обработки, предусмотренных законодательными актами;
12.2. получать информацию у Общества, касающуюся обработки его персональных данных, путем подачи соответствующего заявления, подлежащего рассмотрению в 5-дневный срок, по истечении которого ему должна быть предоставляется информация либо отказ в ее предоставлении с указанием причин такого отказа;
12.3. требовать внесения изменений в свои персональные данные в случае их неполноты, устаревания или неточности путем подачи соответствующего заявления, которое оператор должен рассмотреть в 15-дневный срок, внести изменения, уведомить субъекта персональных данных об этом, либо сообщить о причинах отказа в их внесении, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;
12.4. один раз в календарный год бесплатно получить информацию о предоставлении своих персональных данных третьим лицам путем подачи соответствующего заявления Обществу, которое должно быть рассмотрено последним в 15-дневный срок и информация предоставляется либо сообщаются причины отказа в ее предоставлении;
12.5. требовать прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами. В 15-дневный срок после получения такого заявления обработка персональных данных будет прекращена, данные будут удалены, о чем субъект персональных данных уведомляется. Общество вправе отказать в прекращении обработки и удалении персональных данных при наличии оснований для их обработки, предусмотренных законодательными актами, а также, если они являются необходимыми для заявленных целей их обработки, о чем субъект персональных данных также уведомляется в 15-дневный срок;
12.6. обжаловать действия (бездействия) и решения Общества, если считает их нарушающими его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь в порядке, установленном законодательством об обращениях граждан и юридических лиц, а при несогласии и с его решением – в суд в порядке, установленном законодательством.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами.
- Обработка персональных данных осуществляется в Обществе в соответствии с требованиями законодательства, при наличии правовых оснований для такой обработки применительно к каждой заявленной цели.
Правовые основания для обработки персональных данных указаны в пункте 3 статьи 4, статьях 6 и 8 Закона Республики Беларусь от 7 мая 2021 года «О защите персональных данных» и непосредственно определяются работником Общества, обрабатывающим персональные данные работника Общества или иного субъекта персональных данных.
В случае обработки персональных данных, необходимой с целью выполнения обязанностей (полномочий) Общества, предусмотренных законодательными актами, также подлежит указанию при определении правового основания обработки персональных данных и конкретный законодательный акт, предусматривающий такую обязанность (полномочие).
- Общество не вправе раскрывать третьим лицам или распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
- В зависимости от конкретной заявленной цели обработка может включать в себя сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, и осуществляться как с использованием средств автоматизации, так и без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и т.п.).
- Общество самостоятельно определяет состав и перечень необходимых и достаточных, с учетом требований актов законодательства, мер правового, организационного и технического характера по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных работников Общества и иных субъектов персональных данных.
- Общество осуществляет хранение персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен законодательством.
ГЛАВА 6
КОНТРОЛЬ И ОТВЕТСТВЕННОСТЬ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Внутренний контроль за соблюдением в Обществе требований законодательства и локальных правовых актов в области персональных данных осуществляется в целях проверки правильности и обоснованности, соответствия требованиям законодательства обработки персональных данных в структурных подразделениях и филиалах Общества, оценки достаточности и полноты принимаемых Обществом мер, направленных на предотвращение, своевременное выявление и устранение нарушений законодательства при обработке персональных данных, соблюдения конфиденциальности, исключения утечки и несанкционированного доступа к персональным данным, совершенствования и актуализации локальных правовых актов Общества в области персональных данных.
20.Внутренний контроль за соблюдением законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к их защите, осуществляет лица, назначенные приказом генерального директора. В филиалах Общества лица, осуществляющие внутренний контроль за обработкой персональных данных в филиале, назначаются директорами филиалов.
- Ответственность за соблюдение требований законодательства и локальных правовых актов в области персональных данных в структурных подразделениях, филиалах Общества, а также за обеспечением конфиденциальности и безопасности персональных данных при их обработке, возлагается на лиц, осуществляющих их обработку, а в части контроля за выполнение таких должностных обязанностей подчиненным персоналом – на руководителей структурных подразделений, филиалов.
- За нарушение требований законодательства, ненадлежащее выполнение должностных обязанностей при обработке персональных данных работники Общества, по чьей вине произошло такое нарушение, в установленном законодательством порядке могут быть привлечены к дисциплинарной, материальной, административной или уголовной ответственности.