Политика конфиденциальности - Ассоциация технопарков

Утверждено
приказ Ассоциации технопарков

и субъектов инновационной деятельности
от

ПОЛИТИКА
в отношении обработки персональных данных
Ассоциации технопарков и

субъектов инновационной деятельности

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика в отношении обработки персональных данных Ассоциации технопарков и субъектов инновационной деятельности (далее – Политика) является локальным правовым актом Ассоциации технопарков и субъектов инновационной деятельности (далее – Ассоциация) и определяет правовые основания, цели, условия и способы обработки Ассоциацией персональных данных, категории субъектов персональных данных и их права, сроки обработки и хранения персональных данных, а также реализуемые требования к защите персональных данных в целях обеспечения информационной безопасности Ассоциации.

2. Настоящая Политика разработана в соответствии с требованиями: Конституции Республики Беларусь; Трудового кодекса Республики Беларусь; Банковского кодекса Республики Беларусь; Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон);Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»; Закона Республики Беларусь от 30 июня 2014 г. № 165-3 «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения»; иных нормативных правовых актов Республики Беларусь в области защиты персональных данных

3. Настоящая Политика является основой для организации работы по обработке и защите персональных данных, в том числе разработки локальных правовых актов Ассоциации (далее – ЛПА), регламентирующих процесс обработки и защиты персональных данных.

4. В настоящей Политике используются следующие термины и определения:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники и программного обеспечения, входящих в состав информационных систем Ассоциации;

биометрические персональные данные – информация, характеризующая физиологические и биологические особенности работника Ассоциации или иного физического лица, которая используется для его уникальной идентификации (отпечатки пальцев рук, его изображение и др.);

блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие или совокупность действий, совершаемых с персональными данными работников Ассоциации или иных физических лиц, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

общедоступные персональные данные – персональные данные, распространенные самим работником Ассоциации или иным физическим лицом, либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

оператор – Ассоциация, которое самостоятельно или совместно с лицами, указанными в Законе, организует и (или) осуществляет обработку персональных данных;

предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;

распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

специальные персональные данные – персональные данные, касающиеся политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья, привлечения к административной или уголовной ответственности, а также биометрические персональные данные;

субъект персональных данных – работник Ассоциации или иное физическое лицо, в отношении которого Ассоциация осуществляет обработку персональных данных;

трансграничная передача персональных данных – передача Ассоциацией персональных данных на территорию иностранного государства;

удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных системах Ассоциации, содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

Иные термины, применяемые в настоящей Политике и не нашедшие в ней своего определения, используются в значениях, закрепленных в Законе, иных актах законодательства и ЛПА.

5. Настоящая Политика распространяется на организацию и осуществление Ассоциацией обработки персональных данных в качестве оператора, в том числе с привлечением уполномоченного лица.

ГЛАВА 2
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. Ассоциация осуществляет обработку персональных данных, которые необходимы в следующих целях:

формирования органов управления Ассоциацией, назначения должностных лиц;

заключения (совершения), исполнения, изменения и прекращения гражданско-правовых и иных договоров;

осуществления Ассоциацией административно-хозяйственной деятельности;

предоставления установленной законодательством, государственными органами отчетности, в том числе статистической, пруденциальной, которая содержит персональные данные;

формирования аналитических и справочных материалов, ведения баз данных для внутреннего информационного обеспечения деятельности Ассоциации;

осуществления разработки, модификации, настройки, технической поддержки (сопровождения) компонентов информационных систем Ассоциации;

проведения аудита деятельности Ассоциации, его бухгалтерской (финансовой) и иной отчетности (документации);

хранения и учета документов в соответствии с законодательством в сфере архивного дела и делопроизводства;

реализации трудовых и иных связанных с ними отношений;

идентификации и (или) аутентификации контрагентов, их представителей, бенефициарных собственников (владельцев) и иных связанных с ними лиц;

привлечения, подбора, проверки кандидатов на трудоустройство в Ассоциацию,

определения и ведения учета лиц, участвующих в органах управления Ассоциации;

осуществления коммуникаций с субъектами персональных данных, в том числе с использованием удаленных каналов связи, для предоставления услуг, направления (предоставления) уведомлений (сообщений, предложений, запросов) справочно-информационного, претензионного и другого характера;

организации рассмотрения и ведения делопроизводства по обращениям граждан, в том числе индивидуальных предпринимателей, и юридических лиц;

ведения воинского учета военнообязанных;

начисления и выплат заработной платы, иных выплат, а также подготовки и оформления справок о заработной плате;

предоставления сведений в банки для оформления банковских платежных карточек и перечисления на них заработной платы, иных выплат;

применения налоговых вычетов, исчисления и уплаты предусмотренных законодательством налогов, сборов (пошлин), иных обязательных платежей;

обеспечения безопасности функционирования Ассоциации, пропускного и внутриобъектового режима в зданиях (помещениях) Ассоциации, в том числе арендованных;

размещения на корпоративном сайте Ассоциации в глобальной компьютерной сети Интернет, в помещениях зданий Ассоциации, в средствах массовой информации, на рекламных площадках в объеме, предусмотренном ЛПА и/или в объеме, необходимом для использования в рекламных и маркетинговых целях;

проведения Ассоциацией опросов, исследований, иных аналогичных мероприятий;

оформления документов, необходимых для организации и проведения культурно-массовой и физкультурно-оздоровительной работы, организации оздоровления, досуга субъектов персональных данных,

обращения в суд, правоохранительные и контролирующие (надзорные) органы, нотариат, органы принудительного исполнения судебных постановлений и иных исполнительных документов, к другим уполномоченным органам (организациям, лицам) за защитой и реализацией своих прав и законных интересов;

предоставления информации по запросам уполномоченных органов (организаций, лиц) или в силу требований законодательства;

исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;

в иных не противоречащих законодательству целях.

Цель обработки персональных данных может быть конкретизирована в согласии субъекта персональных данных.

7. Обработка персональных данных, в том числе специальных, осуществляется после получения Ассоциацией согласия субъекта персональных данных, за исключением случаев, предусмотренных статьями 6, 8 Закона, а также когда согласие на обработку персональных данных в соответствии с законодательством не требуется.

8. Ассоциация без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством.

9. Согласие субъекта персональных данных может быть получено как в письменной форме, так и в виде электронного документа или в иной электронной форме, позволяющей идентифицировать субъекта персональных данных. В случае изменения заявленных целей обработки персональных данных Ассоциация обязана получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки.

10. Обработка персональных данных без согласия субъекта персональных данных осуществляется Ассоциацией в следующих случаях:

при получении персональных данных на основании договора, заключенного (заключаемого) с субъектом персональных данных, не являющимся работником Ассоциации, в целях совершения действий, установленных этим договором;

при обработке персональных данных, когда они указаны в документе, адресованном Ассоциации и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

при реализации норм законодательства о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности работников Ассоциации в случаях, предусмотренных законодательством;

в целях назначения и выплаты пенсий, пособий;

для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

в иных случаях, когда законодательные акты прямо предусматривают обработку персональных данных без согласия субъекта персональных данных.

ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

11. В Ассоциации обрабатываются персональные данные следующих категорий субъектов:

работников, в т.ч. числе бывших работников, кандидатов на трудоустройство Ассоциации;

работников юридических лиц, являющихся участниками Ассоциации (в т.ч. потенциальными и бывшими);

физических лиц, с которыми Ассоциация заключила (планирует заключить) гражданско-правовые договоры;

представителей контрагентов Ассоциации;

физических лиц, направляющих (направивших) в адрес Ассоциации обращения граждан, а также заявления, жалобы, ходатайства, иные документы, не являющиеся обращениями граждан;

посетителей Ассоциации, в том числе приглашенных гостей, участников мероприятий (образовательные, консультационные и др.);

членов (кандидатов в члены, лиц, ранее занимавших должности), участвующих в органах управления и контрольных органах управления Ассоциациям;

пользователей (посетителей) сайта Ассоциации в глобальной компьютерной сети Интернет;

иных субъектов персональных данных для обеспечения реализации целей обработки персональных данных, указанных в главе 2 настоящей Политики.

ГЛАВА 4
ПОРЯДОК И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

12. Ассоциация для обеспечения выполнения обязанностей оператора при осуществлении обработки персональных данных:

формирует систему управления и обеспечивает процесс обработки персональных данных в соответствии с требованиями законодательства, в том числе посредством принятия ЛПА в области защиты персональных данных;

принимает правовые, организационные и технические меры для защиты персональных данных в соответствии с требованиями законодательства и ЛПА от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий;

определяет уполномоченное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;

предоставляет субъектам персональных данных необходимую информацию до получения их согласий на обработку персональных данных, разъясняет субъектам персональных данных их права, связанные с обработкой персональных данных;

получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, когда в соответствии с законодательством не требуется предоставление согласия субъекта персональных данных;

публикует или иным образом обеспечивает неограниченный доступ, в т.ч. с использованием глобальной компьютерной сети Интернет, субъектам персональных данных к настоящей Политике;

сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;

принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

осуществляет ознакомление работников Ассоциации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и ЛПА в области защиты персональных данных, в том числе требованиями к защите персональных данных, а также организует их обучение;

прекращает обработку и осуществляет удаление персональных данных в случаях, предусмотренных законодательством в области защиты персональных данных. При отсутствии технической возможности удаления персональных данных принимает меры по недопущению их дальнейшей обработки, включая их блокирование;

осуществляет изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;

незамедлительно уведомляет уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;

осуществляет методическое руководство проведением мероприятий по защите персональных данных Ассоциации;

совершает иные действия, предусмотренные законодательством в области персональных данных.

13. В процессе обработки персональных данных Ассоциация для достижения целей, определенных в главе 2 настоящей Политики, вправе осуществлять любое действие или совокупность действий, совершаемые с персональными данными, включая их сбор (получение, в т.ч. получение изображений путем фотографирования/видеосъемки/сканирования), хранение (запись, в т.ч. на машинные носители информации), систематизацию (обобщение), изменение (уточнение, обновление), использование, обезличивание, блокирование, распространение (передачу), предоставление, удаление (уничтожение).

14. Обработка персональных данных осуществляется следующими способами:

без использования средств автоматизации (личные дела, картотеки, списки, журналы и др.);

с использованием средств автоматизации, в том числе посредством передачи полученной информации по информационно-телекоммуникационным сетям;

обработка персональных данных как с использованием средств автоматизации, так и без их использования (смешанная).

15. Мероприятия по технической и криптографической защите персональных данных осуществляются в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в объеме, установленном проектной документацией на систему защиты информации соответствующей информационной системы.

16. Доступ к обрабатываемым персональным данным осуществляется в соответствии с порядком, определенным соответствующими ЛПА, в зависимости от способов их обработки.

17. Сроки обработки персональных данных:

устанавливаются Ассоциацией в зависимости от целей их обработки, определенных в главе 2 настоящей Политики, кроме случаев, когда срок хранения персональных данных установлен законодательством;

определяются субъектом персональных данных при даче согласия Ассоциации на их обработку или устанавливается договором, заключенным с субъектом персональных данных, не являющимся работником Ассоциации, за исключением случаев, когда согласие не требуется в соответствии со статьями 6 и 8 Закона, а также пунктом 10 настоящей Политики.

18. Обработка персональных данных Ассоциациям прекращается при:

достижении целей обработки персональных данных, определенных в главе 2 настоящей Политики;

истечении срока действия согласия субъекта персональных данных на обработку персональных данных (договора, заключенного с субъектом персональных данных);

отзыве субъектом персональных данных своего согласия на обработку персональных данных;

требовании субъекта персональных данных о прекращении обработки и (или) удалении персональных данных;

выявлении (установлении) факта неправомерной обработки персональных данных;

прекращении действия иных правовых оснований для обработки персональных данных;

требовании Национального центра защиты персональных данных (далее – НЦЗПД), иных уполномоченных органов (организаций, лиц).

19. Ассоциация вправе на основании статьи 7 Закона поручить обработку персональных данных от имени Ассоциации или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора и принятием мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.

ГЛАВА 5
ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ УПРАВЛЕНИЯ
ПРОЦЕССОМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

20. Для обеспечения процесса обработки персональных данных и их защиты в соответствии с требованиями Закона и настоящей Политики сформирована следующая организационная структура системы управления процессом обработки персональных данных:

20.1. Руководство Ассоциации утверждает настоящую Политику, а также иные ЛПА в отношении защиты персональных данных, за исключением ЛПА, утверждение которых в соответствии с законодательством и (или) Уставом Ассоциации отнесено к компетенции других органов управления Ассоциации;

20.2. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, осуществляет следующие функции:

контроль и координацию деятельности структурных Ассоциации в части соблюдения требований по обработке и защите персональных данных;

консультирование руководителей и работников Ассоциации по вопросам применения законодательства о персональных данных;

координацию и методическое руководство деятельности Ассоциации, дочерних хозяйственных обществ по вопросам защиты персональных данных;

организацию разработки и актуализации настоящей Политики и иных ЛПА, регламентирующих вопросы обработки и защиты персональных данных;

формирование и поддержание в актуальном состоянии Перечня информационных систем (ресурсов), содержащих персональные данные, собственником (владельцем) которых является Ассоциация;

обеспечивает организацию проведения нормативного обучения работников Ассоциации по вопросам обработки и защиты персональных данных;

осуществление взаимодействия и предоставление в НЦЗПД иных сведений, предусмотренных законодательством о персональных данных;

ведение учета поступивших в Ассоциация для реализации прав, предусмотренных статьями 10 — 13 Закона, заявлений субъектов персональных данных, а также принятых по ним действиям;

ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ

21. Субъекты персональных данных в части своих персональных данных имеют право на:

отзыв своего согласия;

получение информации, касающейся обработки персональных данных, и изменение персональных данных;

требование прекращения обработки Ассоциациям персональных данных и (или) их удаления (недопущения дальнейшей обработки, включая их блокирование);

обжалование действий (бездействия) и решений уполномоченных органов/должностных лиц Ассоциации, связанных с обработкой персональных данных;

получение информации о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.

22. Субъект персональных данных обязан:

предоставлять Ассоциации полные и достоверные персональные данные;

в случаях, предусмотренных законодательством, договором, заключенным с Ассоциацией, а также по требованию Ассоциации, не противоречащему законодательству, предоставлять документы (их копии), содержащие персональные данные и (или) подтверждающие их;

информировать Ассоциацию об изменении ранее предоставленных персональных данных, утрате их актуальности, их неполноте и неточности;

исполнять иные обязанности, предусмотренные актами законодательства, а также заключенными с Ассоциацией договорами.

23. Ассоциация как оператор вправе:

обрабатывать персональные данные субъектов персональных данных;

требовать предоставления субъектом персональных данных полных и достоверных персональных данных;

требовать предоставления субъектом персональных данных документов (их копий), содержащих персональные данные и (или) подтверждающих их, в случаях, предусмотренных законодательством или договором, заключенным с Ассоциацией, а также по требованию Ассоциации, не противоречащему законодательству и указанному договору;

требовать от субъекта персональных данных информировать Ассоциацию об изменении ранее предоставленных персональных данных, утрате их актуальности, их неполноте и неточности;

отказать субъекту персональных данных в реализации его прав при наличии правовых оснований для обработки персональных данных, а также в иных случаях, предусмотренных законодательством;

поручать обработку персональных данных уполномоченному лицу;

осуществлять иные права, предусмотренные законодательством, а также заключенными с субъектом персональных данных договорами.

24. Ассоциация как оператор обязана:

разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, до начала их обработки;

получить согласие субъекта персональных данных, за исключением случаев, предусмотренных статьями 6, 8 Закона и иными законодательными актами;

обеспечить защиту персональных данных в процессе их обработки;

в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить субъекту персональных данных в доступной форме информацию, указанную в части первой пункта 1 ст. 11 Закона, либо уведомить его о причинах отказа в ее предоставлении;

в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием:

внести изменения в персональные данные, которые являются неполными, устаревшими или неточными, и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательством;

прекратить обработку персональных данных, а также осуществить их удаление (блокирование), уведомив об этом субъекта персональных данных при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;

предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении;

информировать НЦЗПД о нарушениях систем защиты персональных данных, за исключением случаев, предусмотренных НЦЗПД;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию НЦЗПД, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательством;

исполнять иные требования НЦЗПД об устранении нарушений законодательства о персональных данных.

25. Субъект персональных данных для реализации прав, предусмотренных настоящей Политикой и законодательством, подает в Ассоциацию заявление в письменной форме либо в виде электронного документа. Ассоциация вправе потребовать обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления в письменной форме в случаях, установленных законодательными актами.

26. Заявление субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера — номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ассоциация вправе отказать субъекту персональных данных в приеме заявления, если указанные в заявлении персональные данные, в отношении которых необходимо произвести действия, не соответствуют (частично соответствуют) персональным данным, обрабатываемым Ассоциацией.

ГЛАВА 7
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

27. Трансграничная передача Ассоциацией персональных данных запрещена, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных [1].

28. Ассоциация вправе передать персональные данные на территорию иностранного государства, не соответствующего требованию, установленному пунктом 28 настоящей Политики, если:

на подобную передачу дано согласие субъекта персональных данных при условии, что Ассоциация проинформировал его о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

персональные данные передаются на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

получено соответствующее разрешение от НЦЗПД;

в иных случаях, установленных законодательством.

[1] Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется НЦЗПД.

ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

29. Вопросы, не предусмотренные настоящей Политикой, регламентируются законодательством и другими ЛПА.В случае противоречия между нормами настоящей Политики и законодательством нормы настоящей Политики действуют в части, не противоречащей законодательству.

30. Требования настоящей Политики обязательны для исполнения всеми работниками Ассоциации, получившими в установленном порядке доступ к персональным данным.

31. За нарушение требований законодательства, настоящей Политики и иных ЛПА, регламентирующих работу с персональными данными Ассоциация и ее работники несут ответственность в соответствии с законодательством.