ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Открытое акционерное общество «АГАТ-СИСТЕМ» (ОАО «АГАТ-СИСТЕМ») является оператором, организующим и осуществляющим обработку персональных данных (далее – Оператор).
1.2. Политика в области обработки и защиты персональных данных (далее – Политика) ОАО «АГАТ-СИСТЕМ» разработана на основании требований Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон) и иных актов законодательства, регламентирующих порядок обработки персональных данных.
1.3. Политика не применяется к обработке персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников).
1.4. Требования настоящей Политики и локальных правовых актов (далее – ЛПА) Оператора, разработанных на основе настоящей Политики распространяются на все бизнес-процессы Оператора, иные процессы на основании законодательства в которых осуществляется обработка персональных данных и являются обязательными для исполнения всеми работниками Оператора, имеющими доступ к персональным данным.
1.5. Юридический адрес Оператора: г. Минск, ул.Ф.Скорины, 51Б, адрес в сети Интернет: http://www.agat-system.by
1.6. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
1.7. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор с использованием средств автоматизации и без использования средств автоматизации.
1.8. В Политике применяются термины и определения, в соответствии с терминами и определениям указанными в Законе.
1.9. Требования Политики служат основой для разработки Положений (инструкций), регламентирующих обработку Оператором персональных данных.
1.10. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь. Если международным договором Республики Беларусь установлены иные правила, чем те, которые предусмотрены Законом, то Оператор применяет правила международного договора.
ГЛАВА 2
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Цели обработки персональных данных у Оператора основываются на бизнес-процессах Оператора и требованиях законодательства.
Цели обработки персональных данных субъектов персональных данных:
осуществление производственно-хозяйственной деятельности;
осуществление финансово-экономической деятельности, ведение бухгалтерского и налогового учета;
осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом Оператора;
подготовка, заключение, исполнение, изменение и расторжение договоров (контрактов, соглашений) с юридическими лицами и индивидуальными предпринимателями;
осуществление гарантийных обязательств по договорам на реализацию продукции
осуществление досудебной и судебной работы, в том числе в целях взыскания дебиторской задолженности;
осуществление пропускного и внутриобъектового режимов;
заполнение и предоставление в уполномоченные органы и организации требуемых форм отчетности, в том числе статистической;
трансграничная передача персональных данных;
организация командирования работников Оператора, в том числе за пределы Республики Беларусь;
организация охраны труда и осуществление контроля за охраной труда;
обеспечение Оператора необходимыми кадрами руководителей, специалистов и рабочих;
регулирование трудовых отношений;
ведение кадрового делопроизводства;
организация связи (взаимодействия) с субъектом персональных данных;
ведение воинского учета;
назначение и выплата пособий;
предоставление социальных льгот и гарантий;
организация ведения персонифицированного учета;
организация добровольного страхования медицинских расходов;
формирование телефонных справочников, справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
осуществление административных процедур;
рассмотрения обращений, заявлений;
организация прохождения учебной, производственной практики;
организация членства работников в профсоюзной организации;
организация информационной и идеологической работы в коллективе;
организация культурно-массовых и спортивно-оздоровительных мероприятий;
осуществление взаимодействия с общественными и молодежными организациями.
Формулирование целей обработки персональных данных для обеспечения конкретизации их характера осуществляется в реестрах обработки персональных данных.
2.2. Правовые основания обработки персональных данных:
с согласия субъекта персональных данных, которое должно быть свободным, однозначными и информированным;
при получении персональных данных на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
без согласия субъекта персональных данных:
при оформлении трудовых отношений, а также в процессе трудовой и служебной деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
при обработке персональных данных, когда они указаны в документе, адресованном Оператору, в соответствии с содержанием такого документа;
при обработке ранее распространенных персональных данных до отзыва их субъектом персональных данных; для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
в случаях, когда законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
работников, бывших работников Оператора;
члены семей работников Оператора;
кандидатов (соискателей) для приема на работу к Оператору;
контрагентов Оператора, являющихся физическими лицами (индивидуальными предпринимателями);
представителей контрагентов Оператора, являющихся юридическими лицами;
подрядчиков Оператора, являющихся физическими лицами (индивидуальными предпринимателям), а также представителей подрядчиков, являющихся юридическими лицами;
аффилированных лиц Оператора;
заявителей – физических лиц, а также физических лиц–представителей заявителей, являющихся юридическими лицами, направивших обращение, запрос Обществу или оставивших обращение, запрос, отзыв на сайте Оператора;
обучающихся в учебных заведениях, проходящие учебную или производственную практику у Оператора;
посетителей – физических лиц, прибывающих к Оператору с целью командировок, деловых визитов, в том числе из-за границы;
иных категорий субъектов персональных данных, обработка персональных данных которых необходима Обществу для достижения целей, предусмотренных бизнес-процессами и законодательством.
3.2. Перечень (содержание и объем) персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью реализовать свои права и обязанности Оператора, а также права и обязанности соответствующего субъекта персональных данных.
3.3. Персональные данные, обрабатываемые Оператором включают:
3.3.1. работники, бывшие работники Оператора:
фамилию, имя, отчество;
пол;
дату и место рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, идентификационный номер, срок действия);
цифровой фотопортрет;
фотопортрет на бумажном носителе;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты);
адрес регистрации по месту жительства;
адрес фактического проживания;
сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации, ученой степени, ученом звании;
о социальных льготах и выплатах;
сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, степени родства;
сведения о состоянии здоровья в случаях, предусмотренных законодательством;
сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
сведения о награждениях, поощрениях и дисциплинарных взысканиях;
учетный номер плательщика;
номер и серию страхового свидетельства государственного социального страхования;
сведения о регистрации брака;
сведения о воинском учете;
сведения об удержании алиментов;
о наличии исполнительного производства на исполнении в органах принудительного исполнения;
сведения об инвалидности;
сведения о привлечении к административной или уголовной ответственности;
иные данные, предоставляемые работниками в соответствии с требованиями законодательства Республики Беларусь или необходимые для исполнения взаимных прав и обязанностей.
3.3.2. члены семей работников Оператора:
фамилия, имя, отчество;
степень родства;
дата и место рождения;
иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
3.3.3. кандидаты (соискатели) для приема на работу к Оператору:
фамилия, имя, отчество;
пол;
гражданство;
дата рождения;
населенный пункт проживания;
контактные данные;
данные об образовании, квалификации, профессиональной подготовке и повышении квалификации, ученой степени, ученом звании;
сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
сведения о воинском учете;
сведения об инвалидности;
сведения о состоянии здоровья в случаях, (в случаях, предусмотренных законодательством);
сведения о социальных льготах и гарантиях;
сведения о награждениях и поощрениях и дисциплинарных взысканиях;
иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
3.3.4. контрагенты Оператора, являющиеся физическими лицами (индивидуальными предпринимателями), представители контрагентов Оператора, являющихся юридическими лицами; подрядчики Оператора, являющиеся физическими лицами (индивидуальными предпринимателями), а также представители подрядчиков, являющихся юридическими лицами:
фамилия, имя, отчество;
дата и место рождения;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, идентификационный номер, срок действия);
адрес регистрации по месту жительства, адрес предоставления услуги;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты);
занимаемая должность;
учетный номер плательщика;
номер расчетного счета;
данные документов, подтверждающих право на льготы;
иные персональные данные, предоставляемые представителями контрагентов, необходимые для заключения и исполнения договоров.
3.3.5. аффилированные лица Оператора:
фамилия, имя, отчество;
дата и место рождения;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, идентификационный номер, срок действия);
адрес регистрации по месту жительства,
адрес фактического проживания;
место работы, занимаемая должность;
сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, степени родства.
3.3.6. заявители – физические лица, а также физические лица–представители заявителей, являющихся юридическими лицами, направившие обращение, запрос Обществу или оставившие обращение, запрос на сайте Оператора:
фамилия, имя, отчество;
дата рождения;
адрес регистрации по месту жительства;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты).
3.3.7. Обучающиеся в учебных заведениях, проходящие учебную или производственную практику у Оператора:
фамилия, имя, отчество;
наименование учебного заведения, специальность, специализация;
номер курса;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты).
3.3.8. посетители – физические лиц, прибывающие к Оператору с целью командировок, деловых визитов, в том числе из-за границы:
фамилия, имя, отчество;
наименование государственного органа, организации;
гражданство (для иностранных граждан и лиц без гражданства);
должность(для работников контрагентов).
ГЛАВА 4
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъекты персональных данных, если иное не предусмотрено законодательством, имеют право:
принимать решение о предоставлении своих персональных данных Оператору;
отзывать свое согласие на обработку персональных данных;
вносить, дополнять или изменять обрабатываемые персональные данные (на основании предоставленных Оператору соответствующих документов и (или) их заверенные в установленном порядке копии);
на получение информации, касающейся обработки его персональных данных;
требовать от Оператора внесения изменений в его персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено иными законодательными актами;
требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами;
получать информацию об уполномоченных лицах, обрабатывающих персональные данные, и местах их расположения;
получать информацию о правовых основаниях обработки Оператором персональных данных и сроках их хранения.
4.2. Субъекты персональных данных для реализации прав, перечисленных в пункте 4.1 настоящей главы подают Оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.
4.3. Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты);
личную подпись либо электронную цифровую подпись субъекта персональных данных.
4.4. Письменное заявление субъекта персональных данных, подписанное его личной подписью направляется по адресу: открытое акционерное общество «АГАТ-СИСТЕМ», 220084, ул.Ф.Скорины, 51Б г. Минск.
Заявление субъекта персональных данных в виде электронного документа, подписанное его электронной цифровой подписью направляется по адресу электронной почты Оператора info@agat-system.by.
4.5. Если цели обработки персональных данных не требуют обработки информации, указанной в настоящем пункте Политики, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.
Субъекту персональных данных Оператором не предоставляется информация, определенная требованиями пункта 3 статьи 11 Закона.
4.6. Субъектом персональных данных право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании гражданско–правового договора, трудового договора, информации, направленной Оператору самим субъектом персональных данных в целях осуществления административных процедур и т.д.
4.7. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в Национальный центр по защите персональных данных в порядке, установленном Законом Республики Беларусь от 18.07.2011 3 300-З «Об обращениях граждан и юридических лиц». Принятое Национальным центром по защите персональных данных решение может быть обжаловано субъектом персональных данных в суде в порядке, установленном законодательством.
ГЛАВА 5
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В своей деятельности Оператор обрабатывает персональные данные в соответствии с заявленными целями обработки персональных данных, правовыми основаниями и сроками их хранения.
5.2. Обработка персональных данных Оператором включает в себя любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, иные действия в соответствии с законодательством.
5.3. Источники получения персональных данных:
получение информации, содержащей персональные данные, в устной, письменной, электронной форме непосредственно от субъектов персональных данных;
получение информации, содержащей персональные данные из оригиналов документов, предоставляемых субъектами персональных данных;
получение персональных данных в ответ на запросы, направляемые Оператором в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
получение персональных данных из общедоступных источников.
5.4. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» и иными законодательными актами.
5.5. Обработка персональных данных от имени Оператора или в его интересах может осуществляться уполномоченными лицами на основании договора, заключаемого между Оператором и уполномоченным лицом в соответствии с законодательством.
5.6. Виды обработки персональных данных Оператором:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без такой передачи;
смешанная обработка персональных данных.
5.7. Оператор передает персональные данные:
субъекту персональных данных в отношении него самого – без ограничений, кроме случаев, прямо предусмотренных требованиями законодательства;
третьим лицам – в случаях, предусмотренных требованиями законодательства.
5.8. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных.
5.9. Условием прекращения обработки персональных данных являются достижение целей обработки персональных данных, истечение сроков хранения документов, содержащих персональные данные, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.10. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению их защиты от неправомерного или случайного доступа, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
5.11. Для обеспечения защиты персональных данных Оператор устанавливает режим обработки персональных данных; разрабатывает и утверждает документы, устанавливающие требования к обработке персональных данных и их защите; назначает ответственных по обеспечению внутреннего контроля за организацией обработки персональных данных; применяет технические средства защиты информации в информационных системах, задействованных для обработки персональных данных.
ГЛАВА 6
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Основанием для трансграничной передачи персональных данных является ведение Оператором внешнеэкономической деятельности и заключение соответствующих соглашений/договоров с иностранными контрагентами.
Оператор осуществляет трансграничную передачу персональных данных:
Фамилия, имя, отчество, год рождения, места рождения и регистрации, паспортных данных работников Оператора при направлении в служебные командировки с выездом за пределы Республики Беларусь.
6.2. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется Центром.
Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
получено соответствующее разрешение Национального центра защиты персональных данных;
при размещении государственными органами, государственными организациями, а также хозяйственными обществами, в отношении которых Республика Беларусь либо административно-территориальная единица, обладая акциями (долями в уставных фондах), может определять решения, принимаемые этими хозяйственными обществами, информации о своей деятельности в глобальной компьютерной сети Интернет;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
7. МЕРЫ, ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор принимает необходимые правовые, организационные
и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает локальные правовые акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
назначает структурное подразделение или лицо, ответственное
за осуществление внутреннего контроля за обработкой персональных данных;
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
устанавливает порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
хранит персональные данные в условиях, при которых обеспечивается
их сохранность и исключается неправомерный доступ к ним, в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления
с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное
не установлено законодательством Республики Беларусь;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, в том числе требованиями к защите персональных данных;
организует обучение по вопросам защиты персональных данных работников Оператора, осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных в структурном подразделении Общества, а также за обеспечение конфиденциальности и безопасности персональных данных в подразделениях Общества возлагается на их руководителей.
8.2. Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии
с законодательством Республики Беларусь.