Политика защиты и обработки ПД

Политика РУП «Минская Фармация»

в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика РУП «Минская Фармация» в отношении обработки персональных данных (далее – Политика) составлена на основании и в соответствии с Законом Республики Беларусь от 7 мая 2021 г. №99-З «О защите персональных данных» (далее – Закон «О защите персональных данных»), а также иными нормативными правовыми актами Республики Беларусь в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые РУП «Минская Фармация» (далее – Оператор) может получить от субъекта персональных данных, в том числе от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона «О защите персональных данных».

1.3. Данная Политика устанавливает:

Цели обработки персональных данных;

Общие принципы и положения обработки персональных данных, базовый перечень действий с персональными данными:

Категории субъектов персональных данных;

Категории персональных данных;

Основные положения, касающиеся передачи персональных данных;

1.4. Изменение Политики

1.4.1. Оператор имеет право вносить изменения в настоящую Политику без предварительного уведомления Субъектов персональных данных. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики. Субъекты самостоятельно получают информацию об изменениях на Сайте Оператора.

2. Термины и принятые сокращения

Персональные данные (ПД) – любая информация, относящаяся к идентифицированному физическому лицу к или физическому лицу, которое может быть идентифицировано.

Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является РУП «Минская Фармация», расположенное по адресу: г. Минск, ул. Чкалова, 5 -208.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных, – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Блокирование персональных данных – прекращение доступа к персональным данным без их удаления (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Обработка персональных данных

3.1. Условия обработки ПД.

3.1.1. Обработка ПД осуществляется:

- с согласия субъекта ПД на обработку его ПД;

- в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Республики Беларусь функций, полномочий и обязанностей;

- в случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (далее – ПД, сделанные общедоступными субъектом ПД).

3.2. Цели обработки ПД:

- обработка сообщений и запросов, поступивших от субъекта ПД;

- осуществление трудовых отношений;

- осуществление гражданско-правовых отношений;

- заключение с субъектом ПД любых договоров и их дальнейшее исполнение;

- предоставления субъекту ПД информации о предлагаемых к продаже товаров, об оказываемых Оператором услугах;

- информирование клиентов о предложениях по товарам и услугам Оператора;

- ведение кадровой работы и организация учета работников Оператора;

- привлечение и отбор кандидатов на работу у Оператора;

- формирование отчетности, в том числе для предоставления контролирующим органам;

- осуществление Оператором административно-хозяйственной деятельности.

3.3. Категории субъектов ПД.

Обрабатываются ПД следующих субъектов ПД:

- физические лица, являющиеся кандидатами на работу;

- физические лица, состоящие в трудовых отношениях с Оператором;

- физические лица, осуществляющие выполнение работ (оказанию услуг) и заключившие с Оператором договор гражданско-правового характера;

- физические лица, являющиеся розничными клиентами Оператора;

- физические лица, приобретшие или намеревающиеся приобрести товары и/или услуги Оператора;

- физические лица, заключающие с оператором договоры о целевой подготовке специалистов, работников, служащих, и их представители;

- физические лица, подавшие заявки Оператору на участие в семинарах, конференциях;

- физические лица, ПД которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о ПД.

3.4. ПД, обрабатываемые Оператором:

- данные, полученные при осуществлении трудовых отношений;

- данные, полученные для осуществления отбора кандидатов на работу;

- данные, полученные при осуществлении гражданско-правовых отношений;

- данные, полученные от других субъектов ПД.

3.5. Обработка ПД ведется:

- с использованием средств автоматизации;

- без использования средств автоматизации;

- смешанная обработка персональных данных.

3.6. Получение ПД.

3.6.1. Все ПД следует получать от самого субъекта.

Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.6.2. Документы, содержащие ПД, создаются путем:

- копирования оригиналов документов (паспорт, свидетельство о регистрации по месту пребывания, документ об образовании, свидетельств, пенсионное свидетельство, устав, решение о создании юридического лица, учредительный договор и др.);

- внесения сведений в учетные формы;

- получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.7. Перечень действий с ПД.

3.7.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных в соответствии с Конституцией Республики Беларусь, законодательством о защите персональных данных, иными нормативными правовыми актами, а также локальными актами Оператора в сфере защиты персональных данных.

3.7.2. Доступ к обрабатываемым ПД предоставляется только тем Работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

3.7.3. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки. Хранение ПД прекращается по достижении целей обработки или в случае утраты необходимости в их достижении.

3.7.4. Обработка ПД осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять ПД без согласия Субъекта ПД, если иное не предусмотрено законодательством Республики Беларусь.

3.8. Передача ПД.

3.8.1. Оператор передает ПД третьим лицам в следующих случаях:

- ПД никогда и ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору или для иных целей.

3.8.2. Перечень лиц, которым передаются ПД.

Третьи лица, которым передаются ПД:

- лица, с которыми у Оператора заключен договор, предусматривающий порядок и условия передачи, хранения и обработки ПД (с согласия субъекта ПД);

- Пенсионный фонд для учета (на законных основаниях);

- налоговые органы (на законных основаниях);

-  Фонд социального страхования (на законных основаниях);

- территориальный фонд обязательного медицинского страхования (на законных основаниях);

- страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

- банки для начисления заработной платы (на основании договора);

- органы МВД в случаях, установленных законодательством.

4. Защита ПД

4.1. Общие правила защиты ПД.

Защиту от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ПД Оператор осуществляет различными мерами в соответствии с законодательством Республики Беларусь.

4.2. Правовые меры включают в себя:

- разработку и применение Оператором локальных актов по обработке и защите ПД;

- включение в соглашения, заключаемые Оператором с клиентами, работниками, контрагентами, требований обеспечения безопасности ПД.

4.3. Организационные меры включают в себя:

- назначение ответственных за организацию обработки и обеспечение безопасности ПД;

- ознакомление работников Оператора с требованиями законодательства Республики Беларусь и локальных актов Оператора в области обработки и защиты ПД;

- установление ответственности работников за необеспечение безопасности обрабатываемых ПД;

- организацию внутреннего контроля обработки и обеспечения безопасности ПД;

- контроль выполнения структурными подразделениями, должностными лицами и работниками Оператора требований законодательства Республики Беларусь и локальных актов Оператора по обработке и защите ПД;

- классификацию ПД согласно положениям и требованиям законодательства Республики Беларусь;

- своевременное выявление и устранение угроз безопасности ПД;

- принятие мер в целях исключения фактов несанкционированного доступа к ПД, восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- организация учета, хранения и уничтожения носителей ПД;

- организация и реализация системы ограничения/разграничения доступа пользователей (работников) к документам, информационным ресурсам, техническим средствам и носителям информации, информационным системам и связанным с их использованием работам.

4.4. Технические меры принимаются Оператором в соответствии с требованиями законодательства Республики Беларусь.

Сведения о конкретных применяемых технических мерах защиты ПД являются конфиденциальной информацией и раскрываются Оператором только в случаях и в порядке, предусмотренных законодательством Республики Беларусь.

Помимо указанных в настоящем пункте при необходимости могут применяться иные необходимые для защиты персональных данных меры.

5. Основные права субъекта ПД и обязанности Оператора

5.1. Основные права субъекта ПД.

Субъект ПД имеет следующие права:

- право на доступ к его ПД;

- на отзыв согласия на обработку ПД;

- на получение информации, касающейся обработки ПД;

- на изменение ПД;

- на получение информации о предоставлении ПД третьим лицам;

- требовать прекращения обработки ПД и (или) их удаления;

-на обжалование действий (бездействия) решений Оператора, связанных с обработкой ПД, в уполномоченный орган.

5.2. Обязанности Оператора.

Оператор обязан:

- разъяснять субъекту персональных данных его права, связанные с обработкой ПД;

- получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;

- обеспечить защиту ПД в процессе их обработки;

- предоставлять субъекту ПД информацию о его ПД, а также о предоставлении его ПД третьим лицам, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;

- вносить изменения в ПД, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в ПД установлен законодательными актами либо если цели обработки ПД не предполагают дальнейших изменений таких данных;

- прекращать обработку ПД, а также осуществлять их удаление или блокирование при отсутствии оснований для обработки ПД, предусмотренных законом «О защите персональных данных».