ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
- Политика в области обработки и защиты персональных данных (далее – Политика) Республиканского унитарного предприятия электросвязи «Белтелеком» (далее – Оператор, РУП «Белтелеком») разработана на основании требований Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) и иных актов законодательства, регламентирующих порядок обработки персональных данных (указанных в главе 2 Политики).
- Юридический адрес Оператора: г. Минск, ул.Энгельса, дом № 6, адрес в сети Интернет: https://www.beltelecom.by.
- Политика действует в отношении всех персональных данных, которые обрабатывает Оператор с использованием средств автоматизации и без использования средств автоматизации.
- Требования Политики служат основой для разработки Положений, регламентирующих обработку персональных данных в конкретных информационных системах и информационных ресурсах Оператора.
- Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь. Если международным договором Республики Беларусь установлены иные правила, чем те, которые предусмотрены Законом, то Оператор применяет правила международного договора.
ГЛАВА 2
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Оператор обрабатывает персональные данные субъектов персональных данных в рамках требований следующих законодательных, нормативных правовых актов:
- Конституция Республики Беларусь;
- Гражданский кодекс Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Налоговый кодекс Республики Беларусь;
- Жилищный кодекс Республики Беларусь;
- Кодекс Республики Беларусь об административных правонарушениях;
- Указ Президента Республики Беларусь от 03.06.2008 № 294 «О документировании населения Республики Беларусь»;
- Указ Президента Республики Беларусь от 26.04.2010 № 200 «Об административных процедурах, осуществляемых государственными органами и иными организациями по заявлениям граждан»;
- Указ Президента Республики Беларусь от 06.01.2012 № 13 «О некоторых вопросах предоставления гражданам государственной поддержки при строительстве (реконструкции) или приобретении жилых помещений»;
- Закон Республики Беларусь от 05.11.1992 № 1914-XII «О воинской обязанности и воинской службе»;
- Закон Республики Беларусь от 19.07.2005 № 45-З «Об электросвязи»;
- Закон Республики Беларусь от 28.10.2008 № 433-З «Об основах административных процедур»;
- Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
- Закон Республики Беларусь от 19.07.2010 № 170-З «О государственных секретах»;
- Закон Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц»;
- Постановление Совета Министров Республики Беларусь от 18.12.2003 № 1662 «Об утверждении Положения о воинском учете»;
- Постановление Совета Министров Республики Беларусь от 17.08.2006 № 1055 «Об утверждении Правил оказания услуг электросвязи»;
- Постановление Совета Министров Республики Беларусь от 25.01.2019 № 53 «О допуске граждан к государственным секретам» (вместе с «Положением о порядке предоставления гражданам Республики Беларусь допуска к государственным секретам»);
- Постановление Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь»;
- Постановление Министерства жилищно-коммунального хозяйства Республики Беларусь от 25.11.2019 № 23 «Об установлении форм документов»;
- Постановление Министерства обороны Республики Беларусь от 27.01.2020 № 5 «Об установлении форм документов воинского учета»;
- Постановление Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26.03.2004 № 2 «Об утверждении Инструкции о порядке формирования, ведения и хранения личных дел работников».
- Правовым основанием обработки персональных данных Оператором также являются локальные акты и документы следующего характера:
- устав Оператора;
- договоры, заключаемые с субъектом персональных данных;
- согласие субъектов персональных данных на их обработку.
ГЛАВА 3
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Оператор обрабатывает персональные данные в целях:
- оказания услуг, предоставляемых Оператором, и реализации товаров в соответствии с заключенными договорами;
- подготовки, заключения, исполнения, изменения и расторжения договоров (контрактов, соглашений) с юридическими лицами и индивидуальными предпринимателями;
- ведения кадрового делопроизводства, кадрового и воинского учета;
- отбора кандидатов на рабочие места;
- назначения и выплаты пособий;
- предоставления социальных льгот и гарантий;
- организации ведения персонифицированного учета;
- заполнения и предоставления в уполномоченные органы и организации требуемых форм отчетности, в том числе статистической;
- организации членства работников в профсоюзной организации;
- организации связи(взаимодействия) с субъектом персональных данных;
- формирования справочных и информационных материалов для внутреннего обеспечения деятельности предприятия;
- прохождения специальной, производственной, преддипломной практики;
- ведения учета нуждающихся в улучшении жилищных условий;
- ведения бухгалтерского и налогового учета;
- оплаты труда и мотивации персонала;
- оказания услуг Оператором в качестве исполнителя, связанных с представлением информации справочно-информационного характера;
- осуществления рекламных и информационных рассылок, проведения маркетинговых и иных исследований;
- осуществления проверки Оператором платёжеспособности субъекта персональных данных и дальнейшего принятия решения о возможности или невозможности заключения договора на реализацию товара в рассрочку;
- информирования субъекта персональных данных Оператором (уполномоченным лицом) о появлении новых тарифных планов услуг, внедрении новых услуг, проводимых рекламных и/или акционных мероприятиях, возможности приобретения товаров на условиях рассрочки;
- информирования субъекта персональных данных Оператором (уполномоченным лицом) о проводимых партнерами Оператора (третьими лицами, с которыми у Оператора заключены соответствующие договоры) рекламных и/или акционных мероприятиях;
- проведения Оператором (уполномоченным лицом) опросов, исследований потребительских предпочтений;
- оказания Оператором третьим лицам услуги по доступу к информации о субъектах персональных данных Оператора (базам данных);
- осуществления административных процедур;
- рассмотрения обращений;
- обеспечения пропускного (внутриобьектового режима);
- осуществления мониторинга финансово-хозяйственной деятельности и проведения внутренних служебных проверок;
- осуществления служебных проверок.
ГЛАВА 4
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ
- Оператор осуществляет обработку персональных данных следующих категорий субъектов:
9.1 Работники и уволенные работники Оператора:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные или данные иного документа, удостоверяющего личность;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- учетный номер плательщика;
- номер и серию страхового свидетельства государственного социального страхования;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение;
- сведения о составе семьи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- сведения о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения о социальных льготах и гарантиях;
- сведения об удержании алиментов;
- сведения о доходе с предыдущего места работы;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- специальные персональные данные (фотография);
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
9.2 Члены семей работников Оператора: - фамилия, имя, отчество;
- степень родства;
- дата и место рождения;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
9.3 Абоненты (клиенты) Оператора, их представители (в том числе представители юридических лиц и индивидуальных предпринимателей): - фамилия, имя, отчество;
- пол;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства, адрес предоставления услуги;
- контактные данные;
- учетный номер плательщика;
- номер расчетного счета;
- данные документов, подтверждающих право на льготы или подключение отдельных тарифных планов;
- иные персональные данные, предоставляемые абонентами (а также клиентами), их представителями, необходимые для заключения и исполнения договоров.
9.4 Представители контрагентов Оператора: - фамилия, имя, отчество;
- паспортные данные;
- контактные данные;
- занимаемая должность;
- иные персональные данные, предоставляемые представителями контрагентов, необходимые для заключения и исполнения договора.
9.5 Кандидаты на работу к Оператору: - фамилия, имя, отчество;
- пол;
- гражданство;
- дата рождения;
- населенный пункт проживания;
- контактные данные;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
- сведения о воинском учете;
- сведения об инвалидности;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- сведения о социальных льготах и гарантиях;
- сведения о награждениях и поощрениях;
- иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
- Обработка Оператором специальных персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
- Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
ГЛАВА 5
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъекты персональных данных, если иное не предусмотрено законодательством, имеют право:
- принимать решение о предоставлении своих персональных данных Оператору;
- вносить, дополнять или изменять обрабатываемые персональные данные;
- требовать прекращения обработки его персональных данных и (или) их удаления;
- отзывать согласие на обработку своих персональных данных;
- получать информацию, касающуюся обработки его персональных данных;
- обжаловать действия, бездействия и решения Оператора, связанные с обработкой персональных данных.
- Субъект персональных данных для реализации прав, предусмотренных статьей 12 Политики, подает Оператору заявление в письменной форме или в виде электронного документа.
13.1. Заявление субъекта персональных данных должно содержать:
- фамилию, собственное имя, отчество (при наличии);
- дату рождения;
- адрес места жительства (места регистрации);
- идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований;
- личную подпись либо электронную цифровую подпись.
ГЛАВА 6
ОБЯЗАННОСТИ ОПЕРАТОРА
- В соответствии с требованиями законодательства Республики Беларусь Оператор обязуется:
- ознакомить субъекта персональных данных с Политикой путем размещения в открытом доступе на официальном сайте Оператора;
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- по требованию субъекта персональных данных изменить, блокировать или удалить обрабатываемые персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, за исключением случаев, когда иной порядок установлен законодательными актами;
- предоставить один раз год на безвозмездной основе субъекту персональных данных по его заявлению информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
- дать ответ на заявление субъекта персональных данных в течение 15 дней, предшествовавших дате подачи заявления, по отзыву согласия, внесению изменений в персональные данные и по информации предоставления персональных данных третьим лицам в течении года;
- дать ответ на заявление субъекта персональных данных в течение 5 дней по заявлениям о предоставлении информации, касающейся обработки его персональных данных;
- получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательными актами;
- в случае достижения цели обработки персональных данных прекратить обработку персональных данных и удалить соответствующие персональные данные, если иное не предусмотрено законодательством Республики Беларусь;
- по требованию субъекта персональных данных прекратить обработку персональных данных и удалить персональные данные, если иное не предусмотрено в договоре между Оператором и субъектом персональных данных или в законодательстве Республики Беларусь;
- уведомлять Национальный центр защиты персональных данных (далее – Центр) о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Оператору стало известно о таких нарушениях. Исключение составляют случаи, определяемые Центром.
- В соответствии с Правилами оказания услуг электросвязи, утвержденных Постановлением Совета Министров Республики Беларусь от 17.08.2006 № 1055 «Об утверждении Правил оказания услуг электросвязи» Оператор хранит информацию об оказанных услугах электросвязи и оплаченных счетах не менее 5 (пяти) лет. В соответствии с данным актом законодательства удаление персональных данных абонентов (клиентов) Оператора не может быть осуществлено ранее 5 (пяти) лет с даты окончания действия договорных отношений.
- Оператор хранит информацию о работнике в соответствии со сроками хранения, определенными требованиями Перечня типовых документов Национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения утвержденного постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь».
- Оператор осуществляет контроль за обработкой персональных данных исходя из территориальности расположения структурных подразделений Оператора/уполномоченного лица.
- В целях организации контроля за обработкой персональных данных Оператор назначает ответственных за внутренний контроль из числа руководителей структурных подразделений или наиболее подготовленных работников.
- Контроль осуществляется в рамках утвержденного Положения о порядке осуществления внутреннего контроля за обработкой персональных данных Оператора.
Оператор осуществляет разъяснения по вопросам внутреннего контроля обработки персональных данных Оператором субъектам персональных данных в соответствии с требованиями закона Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц».
ГЛАВА 7
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
- При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению их защиты от неправомерного или случайного доступа, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
В целях организации защиты персональных данных Оператор создает постоянно действующие экспертные комиссии по защите персональных данных в головном подразделении и филиалах РУП «Белтелеком».
- Обеспечение защиты персональных данных достигается следующими мероприятиями:
- определением угроз безопасности персональных данных при их обработке;
- установлением режима (-ов) обработки персональных данных;
- созданием документов, устанавливающих требования к обработке персональных данных и их защиты;
- назначением ответственных по обеспечению контроля за организацией обработки персональных данных;
- применением технических средств защиты информации в информационных системах, задействованных для обработки персональных данных;
- применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям по защите информации;
- контролем за эффективностью принимаемых мер по обеспечению защиты персональных данных и уровнем защищенности информационных систем, обрабатывающих персональные данные.
- За нарушение установленного законодательством порядка обработки персональных данных, их неправомерное разглашение или распространение виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
ГЛАВА 8
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
- РУП «Белтелеком» в своей деятельности осуществляет трансграничную передачу предоставленных субъектами персональных данных. Основанием для трансграничной передачи персональных данных является ведение предприятием внешнеэкономической деятельности и заключение соответствующих соглашений/договоров с иностранными контрагентами.
Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные получены на основании договора, заключенного (заключаемого) РУП «Белтелеком» с субъектом персональных данных, в целях совершения действий, установленных данным договором;
- персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
- такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- получено соответствующее разрешение от Центра на трансграничную передачу персональных данных (если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).
- Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется Национальным центром защиты персональных данных.
- К иностранным государствам, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, относятся иностранные государства, не подписавшие и не ратифицировавшие Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28.01.1981.
ГЛАВА 9
УПОЛНОМОЧЕННЫЕ ЛИЦА, ОСУЩЕСТВЛЯЮЩИЕ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
- В своей деятельности Оператор привлекает уполномоченных лиц для достижения целей, указанных в главе 3 Политики. К таким лицам относятся юридические лица Республики Беларусь, иные организации, индивидуальные предприниматели, физические лица, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с Оператором осуществляют обработку персональных данных от имени Оператора или в его интересах.
- Уполномоченные лица (юридические лица, иные организации, индивидуальные предприниматели), участвующие в обработке персональных данных Оператора, осуществляют следующие действия: строительно-монтажные; рекламные; информационные; технические (поддержка оборудования и программного обеспечения). Уполномоченные лица (физические лица), участвующие в обработке персональных данных, осуществляют следующие действия: поиск потенциальных абонентов, передачу заявлений потенциальных абонентов на приобретение товара, обработку информации в информационных системах Оператора, требующейся для проверки платежеспособности субъекта персональных данных при реализации ему товара.
- Оператор осуществляет учет уполномоченных лиц в информационной системе «Реестр уполномоченных лиц, которые участвуют в обработке персональных данных сотрудников/абонентов Оператора».
- В договора между Оператором и уполномоченными лицами в обязательном порядке вносятся обязательства по соблюдению конфиденциальности персональных данных.
- Оператор имеет право передать уполномоченному лицу часть функций по рассмотрению заявлений субъектов персональных данных (в соответствии с требованиями статьи 14 Закона) при условии отсутствия доступа к обрабатываемым персональным данным.
- Уполномоченное лицо может оказывать содействие Оператору в реализации прав субъектов персональных данных, рассматривая заявления, поданные согласно пункта 30 главы 9 Политики, в случае их поступления, либо подготавливать проект ответа для Оператора.
- В обязанности уполномоченного лица входит выполнение требований абзацев 3 – 6, 8 – 10 пункта 14 главы 6 Политики.
- Оператор классифицирует уполномоченных лиц на юридические и физические лица.
- Юридическое лицо, определенное как уполномоченное лицо, обязано разработать локальные правовые акты и документы в соответствии требованиями Закона и главы 10 Политики.
- Уполномоченное лицо (юридическое лицо) осуществляет обработку персональных данных, относящихся к категориям субъектов персональных данных, изложенных в подпунктах 9.1 – 9.4 пункта 9 главы 4 Политики.
- Уполномоченное лицо (физическое лицо) осуществляет обработку персональных данных, относящихся к категориям субъектов персональных данных, изложенных в подпунктах 9.3, 9.4 пункта 9 главы 4 Политики.
ГЛАВА 10
ТРЕБОВАНИЯ, ПРИМЕНЯЕМЫЕ К РАЗРАБОТКЕ ПОЛИТИК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ
- Оператором разрабатываются Политики информационной безопасности обработки персональных данных информационных систем (ресурсов) (далее – Политики) с указанием перечня осуществляемых Оператором действий с персональными данными, источника получения персональных данных и сроков их хранения, которые являются неотъемлемой частью данной Политики.
- Политики разрабатывают подразделения аппарата управления, производств и филиалов РУП «Белтелеком», непосредственно участвующих в сборе и обработке персональных данных.
- При осуществлении обработки персональных данных по поручению Оператора уполномоченным лицом в Политиках указывается следующая информация:
- наименование и местонахождение уполномоченного лица;
- основания обработки персональных данных (наличие договора, акта законодательства либо решения государственного органа);
- перечень персональных данных, обработка которых поручена уполномоченному лицу;
- перечень действий с персональными данными, осуществляемых уполномоченным лицом;
- принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных, в том числе их обезличиванию;
- сроки хранения персональных данных (дата или период времени), либо критерии, используемые для определения.