Материал помещен в архив

Владимир Самосейко
юрист

22.07.2022

15.11.2021 № 15

г. Минск

о правилах обработки персональных данных

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Положение о правилах обработки персональных данных (далее - Правила) регулирует порядок обработки персональных данных в обществе с ограниченной ответственностью «Версаль» (далее - ООО «Версаль»), обеспечивая соблюдение и осуществление положений Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон) и других нормативных правовых актов, устанавливающих обработку и защиту персональных данных.

2. Целью Правил является обеспечение основных организационных мер по обработке и защите персональных данных.

3. Правила должны соблюдаться всеми работниками ООО «Версаль», стажерами, практикантами и иными лицами, проходящими обучение в ООО «Версаль» (далее - работник), а также иными лицами, которые при обработке персональных данных в ООО «Версаль» и (или) при исполнении своих обязанностей узнают о персональных данных или имеют какой-либо доступ к персональным данным.

4. Назначенный директором ООО «Версаль» работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных, несет ответственность за надзор за исполнением Правил и совместно с другими работниками, указанными в Правилах, выполняет функции, указанные в Правилах.

Назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, не освобождает от обязанности и не снимает ответственности с каждого работника, который обрабатывает персональные данные при исполнении своих обязанностей, становится осведомленным о них или имеет какой-либо доступ к персональным данным, за соблюдение и выполнение Правил и законность обработки персональных данных.

5. Термины, используемые в Правилах, должны пониматься в значении, приведенном в Законе.

ГЛАВА 2
ОБЩИЕ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. В ООО «Версаль» все персональные данные обрабатываются в соответствии с принципами законности, справедливости и прозрачности, ограничения цели, уменьшения объема данных, точности, ограничения сроков хранения, целостности и конфиденциальности, как указано в ст.4 Закона.

7. Персональные данные могут обрабатываться только для целей, для которых они собираются. Если персональные данные не являются необходимыми для достижения определенной цели, они не могут быть обработаны. Для конкретной цели обрабатывается как можно меньше персональных данных. Персональные данные, которые не являются точными, с учетом целей их обработки должны быть удалены или исправлены без промедления - ООО «Версаль» (его ответственные работники) должно принять все разумные меры для обеспечения соблюдения принципов, изложенных в ст.4 Закона.

8. Персональные данные обрабатываются и хранятся не дольше установленного срока их хранения, который должен быть не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные.

9. Персональные данные могут обрабатываться в ООО «Версаль» только при наличии хотя бы одного из условий законной обработки, установленных п.3 ст.4, ст.6, ч.2 ст.8 и п.1 ст.9 Закона.

10. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.

11. Общество с ограниченной ответственностью «Версаль» обрабатывает персональные данные о привлечении к административной или уголовной ответственности только в тех случаях, когда такое право прямо установлено нормативными правовыми актами.

12. Конкретные обрабатываемые персональные данные, цели их обработки, сроки хранения и правовые основания для обработки предусмотрены в реестре обработки персональных данных, которому должны следовать работники.

13. Перед каждой операцией (действием) обработки персональных данных работники должны оценить, соответствует ли такая обработка персональных данных положениям пп.6 и 7 Правил и убедиться, что каждая операция (действие) по обработке персональных данных соответствует указанным принципам, а также оценить, имеет ли такая обработка персональных данных хотя бы одно из условий законной обработки персональных данных, предусмотренных п.9 Правил, и обеспечить, чтобы персональные данные не обрабатывались, если не имеется хотя бы одного из вышеуказанных условий для законной обработки данных.

14. В своей деятельности ООО «Версаль» не проводит профилирование (автоматическую обработку персональных данных, заключающуюся в использовании персональных данных для оценки определенных личных аспектов физического лица, в частности, для анализа или предугадывания аспектов его результативности в работе, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения и перемещений).

15. Во внутренних документах ООО «Версаль» не используются дополнительные идентификационные данные субъектов персональных данных, такие как идентификационный (личный) номер, если это не необходимо для идентификации субъекта персональных данных, для достижения иной законной цели или если это не предусмотрено нормативными правовыми актами.

16. В целях обеспечения того, чтобы персональные данные хранились в ООО «Версаль» только в течение установленного периода времени, все персональные данные, обрабатываемые в ООО «Версаль», учитываются (записываются) в реестре обработки персональных данных.

Сроки хранения персональных данных указываются в реестре обработки персональных данных.

17. По истечении срока хранения персональных данных он может быть продлен, если ООО «Версаль» установит, что хранение персональных данных в дальнейшем необходимо, в частности с учетом необходимости использования персональных данных в качестве доказательств в ходе досудебной или иной работы, в том числе в случае проверки, проводимой Национальный центром защиты персональных данных Республики Беларусь (далее - НЦЗПД), в гражданском, административном или уголовном деле или в иных случаях, установленных нормативными правовыми актами.

Принятие решения о продлении срока хранения персональных данных осуществляется после обязательной консультации с работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль».

ГЛАВА 3
ТРЕБОВАНИЯ К СОГЛАСИЮ КАК ОСНОВАНИЮ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

18. Персональные данные обрабатываются на основании согласия:

18.1. если это прямо предусмотрено Правилами, Законом или иными нормативными правовыми актами;

18.2. когда, принимая во внимание цель обработки персональных данных или объем персональных данных, ООО «Версаль» не имеет других правовых оснований для обработки персональных данных или для выполнения других обязательств, изложенных в Законе, в полном объеме. Если персональные данные (в зависимости от их количества и целей обработки) могут быть обработаны хотя бы по одному из оснований, изложенных в Законе, согласие субъекта персональных данных дополнительно не запрашивается;

18.3. когда это отвечает интересам ООО «Версаль» и в случаях повышенного риска снижает риск незаконности обработки персональных данных.

19. Согласие субъекта персональных данных на обработку персональных данных заполняется в письменной форме и представляется в ООО «Версаль» в соответствии с утвержденной формой (приложение 1 к Правилам).

20. Согласие субъекта персональных данных может быть получено следующими способами: в письменной форме, в виде электронного документа или в иной электронной форме, если есть возможность доказать, что такое согласие было дано.

Молчание субъекта персональных данных, предварительно отмеченные поля или бездействие не рассматриваются как согласие субъекта персональных данных.

21. Во всех случаях, когда персональные данные обрабатываются на основании согласия субъекта персональных данных, ООО «Версаль» должно собирать и иметь доказательства того, что субъект персональных данных дал согласие на форму и содержание, изложенные в приложении 1 к Правилам.

22. При обработке персональных данных на основании согласия обрабатываются только персональные данные, указанные в согласии, только для целей, указанных в согласии, и с ними осуществляются только операции (действия) по обработке, указанные в согласии, и с ними осуществляются только те операции (действия по обработке), которые указаны в согласии.

В случае изменения объема обрабатываемых данных, цели операций (действий) по обработке должно быть получено дополнительное согласие на такую обработку или должно существовать иное правовое основание для обработки персональных данных, установленное в Правилах или Законе.

23. Согласие может служить основанием для обработки персональных данных, если оно отвечает следующим требованиям:

23.1. предоставляется по свободной воле субъекта персональных данных.

При оценке того, было ли дано согласие свободно, учитываются следующие обстоятельства:

23.1.1. это не условие, установленное для исполнения договора, о том, что согласие должно быть дано на обработку персональных данных, которые не являются необходимыми для исполнения этого договора (в обратном случае согласие не считается данным добровольно);

23.1.2. субъект персональных данных не вынужден дать свое согласие, имеет реальный выбор в отношении дачи согласия, не находится под давлением, может реально контролировать предоставление согласия и персональных данных или нет возможных негативных последствий (прямых и косвенных), если согласие не дано (в обратном случае не считается, что согласие было дано добровольно);

23.1.3. согласие не неразрывно связано с условиями, для которых субъект персональных данных не может вести переговоры или изменять их (в обратном случае предполагается, что такое согласие не дается свободно; в таком случае ООО «Версаль» принимает дополнительные меры для опровержения этой презумпции и обеспечения того, чтобы согласие давалось свободно);

23.1.4. нет явного несоответствия (неравенства) между положением ООО «Версаль» и субъекта персональных данных и, следовательно, не существует вероятность того, что согласие не может быть дано свободно, принимая во внимание все обстоятельства этого конкретного случая. В обратном случае ООО «Версаль» принимает дополнительные меры для обеспечения того, чтобы согласие давалось по собственной воле;

23.1.5. если согласие связано с несколькими целями обработки персональных данных или несколькими операциями (действиями) обработки персональных данных, субъекты персональных данных имеют возможность согласиться не со всеми целями или операциями (действиями), а только с отдельными целями или операциями (действиями), при условии, что они не связаны напрямую друг с другом. В противном случае согласие не считается данным по доброй воле;

23.2. согласие является конкретным и полным.

Согласие считается конкретным и полным, если оно удовлетворяет следующим требованиям:

23.2.1. четко и всесторонне указывает конкретную и законную цель обработки персональных данных;

23.2.2. указаны (перечислены) конкретные персональные данные, которые будут обрабатываться для конкретных целей обработки данных;

23.2.3. перечислены определенные операции (действия) по обработке персональных данных, которые будут осуществляться на основании согласия;

23.2.4. субъекту персональных данных предоставляется возможность согласиться только на индивидуальные (выбранные, отдельные) цели обработки данных, если согласие дано для нескольких целей обработки данных, а также только с конкретными операциями (действиями) по обработке персональных данных;

23.3. согласие было дано субъектом персональных данных с надлежащей информацией. Чтобы соответствовать этому требованию, субъекту персональных данных должна быть предоставлена информация, указанная в ст.4 Закона, прежде чем субъект персональных данных подпишет свое согласие и проинформирует о праве субъекта персональных данных отозвать свое согласие в любое время.

Информация может быть предоставлена в письменной форме, устно, посредством аудиовизуальных сообщений, но во всех случаях таким образом, чтобы ООО «Версаль» имело возможность продемонстрировать, что информация была предоставлена субъекту персональных данных и что она соответствует содержанию, изложенному в ст.4 Закона;

23.4. согласие - однозначное выражение воли субъекта персональных данных на обработку связанных с ним данных. Согласие должно быть дано посредством активных действий;

23.5. согласие должно быть написано простым языком, понятным субъекту персональных данных.

24. Во всех случаях согласие должно быть получено до операций (действий) по обработке персональных данных, для которых собирается согласие.

25. Субъект персональных данных имеет право отозвать свое согласие в любое время. В случае отзыва субъектом персональных данных своего согласия запрещается обрабатывать персональные данные для этих целей и осуществлять операции (действия) по обработке персональных данных, которые были осуществлены на основании такого согласия, за исключением случаев, когда имеется иное правовое основание для обработки персональных данных, установленное в Правилах или Законе для такой обработки.

Отзыв согласия осуществляется на тех же условиях, что и предоставление согласия, запрещается усложнять или создавать дополнительные условия для отзыва согласия. Отзыв согласия не может иметь неблагоприятных последствий для субъекта персональных данных, включая снижение качества обслуживания.

Отзыв согласия не влияет на законность обработки данных на основе согласия, осуществляемой до отзыва согласия.

Субъект персональных данных должен быть проинформирован о положениях, изложенных в этом пункте, прежде чем давать свое согласие.

26. Общество с ограниченной ответственностью «Версаль» принимает меры, чтобы согласия (насколько это возможно с учетом целей и объема обработки персональных данных) были действительны в течение определенного срока.

27. Согласие действует до момента его отзыва или до истечения срока действия, указанного в согласии.

28. Согласие и указанные в нем персональные данные хранятся в течение 3 лет с даты отзыва согласия или истечения срока его действия, либо со дня принятия решения ООО «Версаль» не обрабатывать персональные данные в целях, указанных в согласии, за исключением случаев, когда нормативными правовыми актами предусмотрен иной срок хранения данных.

Если данные согласия используются в качестве доказательств в досудебном или ином расследовании, в гражданском, административном или уголовном деле или в других случаях, установленных законом, персональные данные могут храниться до тех пор, пока это необходимо для этих целей обработки данных, и уничтожаться, как только они становятся излишними.

29. Работники должны следить за тем, чтобы согласия, полученные ООО «Версаль» от субъектов персональных данных, соответствовали требованиям настоящих Правил.

ГЛАВА 4
ИНФОРМИРОВАНИЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

30. Общество с ограниченной ответственностью «Версаль» обязано информировать субъекта персональных данных о его деятельности по обработке персональных данных.

Если персональные данные получены от самого субъекта персональных данных, субъекту персональных данных предоставляется информация об обработке персональных данных, указанная в ст.4 Закона, в соответствии с формой, установленной в приложении 2 к Правилам.

31. Информация, указанная в п.30 Правил, предоставляется субъекту персональных данных до получения персональных данных или в момент получения персональных данных.

32. Пункты 30 и 31 Правил не применяются, если субъект персональных данных уже располагает информацией об обработке своих персональных данных и в той мере, в какой он обладает этой информацией.

33. Если персональные данные не получены от самого субъекта персональных данных, ООО «Версаль» обязано предоставить субъекту персональных данных информацию об обработке персональных данных, указанных в ст.4 Закона, в соответствии с формой, изложенной в приложении 2 к Правилам.

34. Если персональные данные не получены от самого субъекта персональных данных, субъекту персональных данных предоставляется информация, указанная в п.33 настоящих Правил:

34.1. не позднее чем в течение одного месяца с момента получения персональных данных;

34.2. если персональные данные будут использоваться для поддержания связи с субъектом персональных данных - не позднее первого контакта с этим субъектом персональных данных;

34.3. если планируется раскрытие персональных данных другому получателю данных - не позднее, чем путем раскрытия данных в первый раз.

35. Пункты 33 и 34 Правил не применяются, если:

35.1. субъекты данных уже имеют информацию;

35.2. предоставление такой информации невозможно или потребует несоразмерных усилий, или если обязательство по предоставлению информации может сделать невозможным достижение целей такой обработки или может помешать достижению целей такой обработки. В таких случаях ООО «Версаль» принимает соответствующие меры по защите прав и свобод и законных интересов субъекта персональных данных, включая публичную публикацию информации об обработке персональных данных в разделе «Защита персональных данных» на сайте ООО «Версаль»;

35.3. получение или разглашение персональных данных четко установлено в нормативных правовых актах, применимых к ООО «Версаль»;

35.4. когда персональные данные должны оставаться конфиденциальными в соответствии с обязательством профессиональной тайны, регулируемым нормативными правовыми актами.

36. Если ООО «Версаль» намерено продолжить обработку персональных данных в целях, отличных от тех, в которых были собраны персональные данные, ООО «Версаль» предоставляет субъекту персональных данных информацию о другой цели и информацию, указанную в приложении 2 к Правилам, перед дальнейшей обработкой персональных данных.

37. Работник, ответственный за информирование субъектов персональных данных, собирает и иным образом обрабатывает персональные данные конкретного субъекта персональных данных.

С работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», проводятся консультации относительно надлежащего выполнения информационного обязательства.

ГЛАВА 5
УЧЕТ ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

38. Учет деятельности по обработке персональных данных осуществляется в ООО «Версаль» по форме, утвержденной в Правилах (приложение 3 к Правилам).

Деятельность по обработке персональных данных, осуществляемая в ООО «Версаль», должна точно соответствовать действиям, описанным в реестре обработки персональных данных.

Форма реестра обработки персональных данных ООО «Версаль» как оператора приведена в приложении 4 к Правилам, форма реестра обработки персональных данных в случае, когда ООО «Версаль» выступает в качестве уполномоченного лица, приведена в приложении 5 к Правилам.

39. Только персональные данные обрабатываются в ООО «Версаль» и только в целях и на правовом основании, указанных в реестре обработки персональных данных.

40. Записи о деятельности по обработке персональных данных обрабатываются в письменной форме, в том числе в электронной форме.

41. Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», несет ответственность за регистрацию записей о деятельности по обработке персональных данных.

42. Работники должны немедленно сообщить работнику, ответственному за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», если записи о деятельности ООО «Версаль» по обработке персональных данных не соответствуют реальной потребности ООО «Версаль» в обработке персональных данных, представив форму, заполненную записями о деятельности по обработке персональных данных (приложение 3 к Правилам).

43. Записи об обработке персональных данных должны быть правильными, актуальными и полными, отражающими реальную деятельность ООО «Версаль» по обработке персональных данных.

44. Выписки о деятельности по обработке персональных данных по запросу представляются в НЦЗПД в сроки, указанные в его запросе.

45. Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», проводит регулярные проверки в ООО «Версаль» на предмет того, соответствуют ли осуществляемые в ООО «Версаль» действия по обработке персональных данных реестру обработки персональных данных.

В ходе проверок может быть проверена только конкретная операция (действие) обработки данных, деятельность по обработке персональных данных определенной категории субъектов персональных данных, конкретный эпизод деятельности по обработке персональных данных.

Результаты проверки оформляются протоколом, в котором указывается, соответствуют ли осуществляемые ООО «Версаль» мероприятия по обработке персональных данных реестру обработки персональных данных, указываются недостатки, если таковые имеются.

Протокол проверки представляется директору ООО «Версаль». При обнаружении недостатков в ходе проверки незамедлительно принимаются меры по их устранению.

ГЛАВА 6
РАБОТНИК, ОТВЕТСТВЕННЫЙ ЗА ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ВЕРСАЛЬ»

46. Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», непосредственно подчинен и подотчетен директору. На период отсутствия такого работника директор назначает приказом лицо, его заменяющее.

47. Контактные данные работника, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль» (собственное имя, отчество (если имеется), фамилия, адрес рабочей электронной почты и номер служебного телефона), публикуются в ООО «Версаль» таким образом, чтобы работникам было ясно, что конкретное лицо является работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», а также публикуются его функции и задачи.

Контактные данные уполномоченного по защите данных ООО «Версаль» сообщаются НЦЗПД (если это предусмотрено законодательством или по запросу такого органа), а также указываются в разделе «Защита персональных данных» на сайте ООО «Версаль» в форме согласия на обработку персональных данных (приложение 1 к Правилам) в виде информации об обработке персональных данных (приложение 2 к Правилам) и в других местах, чтобы заинтересованные лица могли беспрепятственно связаться с работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль».

48. При обработке персональных данных ООО «Версаль» сотрудничает с работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», должно представлять ему материалы и информацию, необходимые для выполнения прямых функций работника, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль».

ГЛАВА 7
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРОЦЕДУРЫ ИХ РЕАЛИЗАЦИИ

49. Субъекты персональных данных имеют право:

49.1. на отзыв своего согласия, если для обработки персональных данных ООО «Версаль» обращалось к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано, если обработка осуществляется в случаях, предусмотренных законодательством;

49.2. на получение информации, касающейся обработки своих персональных данных ООО «Версаль», содержащей:

место нахождения ООО «Версаль»;

подтверждение факта обработки персональных данных обратившегося лица;

его персональные данные и источник их получения;

правовые основания и цели обработки персональных данных;

срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);

наименование и место нахождения уполномоченного лица (уполномоченных лиц);

иную информацию, предусмотренную законодательством;

49.3. требовать от ООО «Версаль» внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;

49.4. получить от ООО «Версаль» информацию о предоставлении своих персональных данных, обрабатываемых ООО «Версаль», третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

49.5. требовать от ООО «Версаль» бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

49.6. обжаловать действия (бездействие) и решения ООО «Версаль», нарушающие его права при обработке персональных данных, в суд в порядке, установленном гражданским процессуальным законодательством.

50. Для реализации своих прав, связанных с обработкой персональных данных ООО «Версаль», субъект персональных данных подает в ООО «Версаль» заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия - также в форме, в которой такое согласие было получено) соответственно по следующему почтовому адресу: г. Минск, ул. Карла Маркса, д. 12, офис 13, или адресу в сети Интернет: post@versal.by.

Такое заявление должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

изложение сути требований субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;

личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

За содействием в реализации прав субъект персональных данных может также обратиться к работнику, ответственному за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль».

Общество с ограниченной ответственностью «Версаль» принимает все необходимые меры для обеспечения всех прав субъектов персональных данных.

ГЛАВА 8
ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

51. Персональные данные работников обрабатываются по следующим основаниям:

при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством (абз.8 ст.6 и абз.3 п.2 ст.8 Закона);

согласие (п.3 ст.4 Закона);

получение персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором (абз.15 ст.6 Закона);

обработка персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа (абз.16 ст.6 Закона);

обработка персональных данных, когда такая обработка является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абз.20 ст.6 Закона).

52. В ООО «Версаль» могут обрабатываться только персональные данные работников, необходимые при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством.

Цели обработки персональных данных работников изложены в реестре обработки персональных данных.

53. Запрещается обработка (превышение) персональных данных работников, не связанных с работой и осуществлением ими своих прав, а также предоставление персональных данных работников третьим лицам, за исключением случаев, указанных в Положении и законодательных актах.

54. Работники информируются в установленном Правилами порядке об обработке их персональных данных посредством информационной системы документооборота ООО «Версаль» (далее - ИСД) в виде соответствующей политики ООО «Версаль» в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур.

55. Запрещается обрабатывать персональные данные соискателя на трудоустройство и персональные данные работника о привлечении к административной или уголовной ответственности, за исключением случаев, когда эти персональные данные необходимы для проверки соответствия лица требованиям, установленным законодательством для занятия должности служащего или для выполнения работ и применения ответственности в порядке, установленном законодательством.

56. Персональные данные соискателя на трудоустройство, связанные с квалификацией, профессиональными способностями и деловыми характеристиками, могут быть получены от бывшего нанимателя, с предварительным уведомлением заявителя, и от существующего нанимателя, где соискатель на трудоустройство работает, только с согласия заявителя, за исключением случаев, предусмотренных законодательством, в том числе при запросе характеристики согласно п.11 Декрета Президента Республики Беларусь от 15.12.2014 № 5 «Об усилении требований к руководящим кадрам и работникам организаций».

57. Общедоступные персональные данные о соискателе на трудоустройство могут быть собраны только в той мере и только в той степени, в которой эти персональные данные непосредственно необходимы и актуальны для выполнения обязанностей и функций заявленной по вакансии. О такой возможности соискатели информируются в объявлении о вакансии (о работе).

58. Персональные данные соискателя на трудоустройство, не выбранного для занятия должности служащего или выполнения работы, хранятся в течение периода, не превышающего 1 года с момента, когда заявителю сообщили, что с ним не будет заключен трудовой договор. В течение более длительного периода времени такие персональные данные могут храниться только в том случае, если получено согласие заявителя, соответствующее требованиям, установленным в Правилах, или имеется иное правовое основание для более длительного хранения данных.

59. После окончания трудовых отношений новые данные о работнике могут собираться только на правовом основании и только в той мере, в какой они связаны и необходимы на основании конкретного правового основания для достижения разумной цели.

Работники информируются о таком сборе данных путем представления заполненной формы, указанной в приложении 2 к Правилам.

60. Работник использует компьютер, электронную почту и иное оборудование, устройства, средства связи ООО «Версаль», программное обеспечение только для целей, связанных с работой, и только для выполнения трудовой функции, определенной в трудовом договоре (контракте) или в приказе о временном переводе, совмещении.

Работникам запрещается использовать компьютеры, телефоны и иную технику, устройства, информационно-коммуникационные технологии, программное обеспечение, предоставляемые ООО «Версаль», в личных целях, для накопления в них персональной информации и персональных данных, за исключением случаев, предусмотренных п.61 Правил.

Если работник использует компьютеры, телефоны и другое оборудование, устройства, информационно-коммуникационные технологии, программное обеспечение, предоставляемые ООО «Версаль», в личных целях, собирает в них персональную информацию и персональные данные, работник принимает на себя риск (ответственность) того, что ООО «Версаль» может узнать такую информацию и персональные данные в ходе проверки.

Общество с ограниченной ответственностью «Версаль» не обеспечивает конфиденциальность персональной информации работников, использующих электронную почту, интернет, социальные сети и программное обеспечение в личных целях.

61. Интернет-сервисы могут также использоваться в личных целях (использование социальных сетей, личные налоговые и банковские переводы, услуга электронной почты, обмен мгновенными сообщениями в личных целях и т. д.) в той мере, в какой это не мешает оптимальному и качественному выполнению трудовых обязанностей, не нарушает требований, указанных в п.77 Правил.

62. Работники, имеющие удаленный доступ к инфраструктуре ООО «Версаль», должны принимать все меры для обеспечения безопасности и конфиденциальности информации и данных, и ООО «Версаль» должно оказывать содействие работникам в выполнении этой обязанности.

63. Запрещается непрерывный мониторинг или проверка компьютера, электронной почты и других устройств, информационно-коммуникационных технологий, программного обеспечения, предоставляемых работнику ООО «Версаль».

Рабочее оборудование, предоставляемое работникам ООО «Версаль», включая электронную почту, компьютеры, мобильные телефоны, содержащиеся в них персональные данные, другие данные и информацию, может быть проверено только при всех следующих условиях:

63.1. работник информируется о возможности проведения проверки;

63.2. имеются основания полагать, что работник совершил нарушение трудовых обязанностей или осуществлял деятельность, несовместимую с интересами ООО «Версаль», или осуществлял деятельность, противоречащую нормативным правовым актам, или ООО «Версаль» стремится проверить, надлежащим ли образом работник соблюдает требования нормативных правовых актов, в том числе локальных правовых актов ООО «Версаль», или имеются иные объективные причины, оправдывающие такую проверку;

63.3. нет возможности достичь целей проверки другими способами, которые менее ограничивали бы конфиденциальность работника.

64. Проверка, установленная в Правилах, проводится в ограниченном объеме, то есть определяется конкретный срок, на который проверяется реализация конкретного проекта, и проверяется выполнение конкретных функций только в той мере, в какой это необходимо для выяснения обстоятельств, изложенных в Правилах, и для защиты интересов ООО «Версаль». Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», консультирует, чтобы проверка не нарушала положения Закона, положения Правил и право субъектов персональных данных на неприкосновенность частной жизни.

65. Работники должны быть ознакомлены с порядком использования информационно-коммуникационных технологий и мониторинга и контроля работников на рабочем месте.

66. Видеонаблюдение и аудиозапись на рабочих местах работников могут осуществляться только тогда, когда в силу специфики работы необходимо обеспечить безопасность лиц, имущества или населения, а также в других случаях, когда иные средства недостаточны и (или) неуместны для достижения следующих целей, за исключением случаев, когда они непосредственно направлены на контроль качества и объема работы. Видеонаблюдение и аудиозапись в определенном месте должны быть помечены видимым визуальным знаком (информационной наклейкой) по форме, установленной в приложении 7 к Правилам.

ГЛАВА 9
ОСОБЕННОСТИ ОБРАБОТКИ ВИДЕОДАННЫХ

67. Видеонаблюдение в помещениях или на территории ООО «Версаль», обеспечивающее соблюдение и выполнение Положения, Закона и иных актов законодательства, регулирующих обработку, защиту персональных данных, осуществляется в соответствии с порядком обработки персональных видеоданных, установленным Министром образования, науки и спорта.

68. Принципы и порядок проведения видеосъемки, фотосъемки, аудио- или видеозаписи, иных технических средств технического характера (далее - технические средства видео- и аудиозаписи) в помещениях ООО «Версаль» или при выполнении обязанностей, возложенных на ООО «Версаль», вне помещений ООО «Версаль»:

68.1. работники должны обеспечить, чтобы при использовании технических средств видео- и аудиозаписи персональные данные (за исключением тех, которые необходимо и законно разглашать при использовании этих средств) были защищены от несанкционированного обнаружения, то есть на рабочем месте в помещениях ООО «Версаль» (и (или) при выполнении функций работников вне помещений ООО «Версаль») не может быть никаких документов, надписей и иной информации, которые могут содержать персональные данные (за исключением тех, которые должны законно раскрываться при использовании видео- и аудиозаписи);

68.2. если необходимая информация может быть предоставлена с помощью других (эквивалентных), чем методы видео- и аудиозаписи, или в других (эквивалентных) помещениях и (или) пространствах (например, общественных местах или рабочих местах, не являющихся работниками), и в результате этого ее содержание не будет затронуто, рекомендуется предоставлять информацию эквивалентными способами.

ГЛАВА 10
СОЗДАНИЕ АУДИОЗАПИСЕЙ

69. Изготовление аудиозаписей гарантирует, что производство и обработка аудиозаписей соответствуют положениям Правил.

70. Задачи производства и управления звукозаписями в ООО «Версаль», сроки хранения звукозаписей и порядок изготовления и хранения звукозаписей предусмотрены в реестре обработки персональных данных. По истечении срока хранения аудиозаписей, указанного в данном реестре, звукозаписи уничтожаются и более не хранятся в ООО «Версаль».

71. Права субъектов персональных данных, связанные с обработкой аудиоданных, осуществляются в соответствии с законодательством, нормами главы 7 Правил.

72. Субъект персональных данных должен быть проинформирован о звукозаписи и обработке персональных данных, записанных в аудиозаписях, до того, как будет произведена аудиозапись. Работники, непосредственно обрабатывающие такие персональные данные, несут ответственность за информирование субъекта персональных данных о производстве аудиозаписи и обработке персональных данных, записанных в аудиозаписях.

ГЛАВА 11
ПОЛОЖЕНИЯ О БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

73. Перечень типовых мер защиты персональных данных, применяемых в ООО «Версаль», утвержден в приложении 4 к Правилам.

74. Основные принципы и меры по обеспечению защиты персональных данных:

74.1. обеспечивается адекватная защита, управление и контроль доступа к персональным данным. Общество с ограниченной ответственностью «Версаль» обеспечивает, чтобы права доступа к персональным данным предоставлялись только законным пользователям и только в той мере, в какой они необходимы для выполнения трудовых функций работников или для надлежащего выполнения договора об обработке персональных данных, заключенного с уполномоченным лицом.

Права доступа к персональным данным аннулируются при прекращении трудовых отношений между ООО «Версаль» и его работником, изменении рабочих функций, для которых доступ не требуется, а также при расторжении договора об обработке персональных данных, заключенного с уполномоченным лицом;

74.2. персональные данные могут быть выполнены только с теми действиями, на которые пользователю предоставлены права;

74.3. внедряются принципы конфиденциальности, целостности и доступности персональных данных;

74.4. внедряется политика чистого стола и чистого экрана;

74.5. компьютерные рабочие станции, станции технического обслуживания и другое техническое оборудование, через которое можно получить доступ к персональным данным, надлежащим образом защищены в соответствии с надлежащей практикой информационной безопасности и требованиями законодательства;

74.6. использование нелегального (несанкционированного) программного обеспечения запрещено и строго контролируется;

74.7. обеспечивается адекватная защита персональных данных от несанкционированного доступа посредством электронных коммуникаций;

74.8. обеспечивается надлежащая физическая безопасность помещений, в которых хранятся персональные данные;

74.9. другие требования к защите персональных данных устанавливаются и реализуются в соответствии с Положением о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденным приказом ОАЦ от 20.02.2020 № 66, и другими актами законодательства;

74.10. меры безопасности персональных данных выбираются в соответствии с международными стандартами и документами, реализующими политику безопасности ООО «Версаль».

75. Работникам, использующим электронную почту, доступ в интернет и другое информационно-коммуникационное оборудование, предоставляемое ООО «Версаль», запрещается:

75.1. публиковать конфиденциальную информацию ООО «Версаль», внутренние документы в сети Интернет, если это не связано с выполнением рабочих функций;

75.2. использовать электронную почту и доступ в интернет в личных, коммерческих или политических целях, деятельности, запрещенной законодательством, клеветнической, оскорбительной, угрожающей или противоречащей принципам общественной морали, для рассылки компьютерных вирусов, массовой вредоносной информации или других целей, которые могут нарушать законные интересы ООО «Версаль» или других лиц;

75.3. использовать или распространять не связанные с работой графические, аудио- и видеоматериалы, игры и программное обеспечение, использовать данные, которые могут препятствовать функционированию и безопасности компьютеров или устройств связи, программного обеспечения;

75.4. самостоятельно изменять, ремонтировать аппаратные и программные средства информационных технологий и технологий связи, за исключением случаев, когда это связано с выполнением непосредственных функций, то есть аппаратным и программным обеспечением;

75.5. передавать технические и программные средства информационно-коммуникационных технологий, принадлежащие ООО «Версаль», третьим лицам, если такая передача не связана с выполнением рабочих функций или может каким-либо образом нанести ущерб интересам ООО «Версаль»;

75.6. устанавливать, хранить, использовать, копировать или распространять любое несанкционированное, незаконное, нарушающее авторские права программное обеспечение;

75.7. использовать оборудование для несанкционированного доступа к данным, проверки безопасности системы, сканирования, мониторинга данных о трафике компьютерной сети, за исключением случаев, когда это связано с выполнением прямых функций, то есть обслуживанием аппаратного обеспечения и компьютерных сетей.

ГЛАВА 12
УПРАВЛЕНИЕ НАРУШЕНИЯМИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

76. Классификация нарушений безопасности персональных данных и их причин, уведомление о нарушениях ООО «Версаль» НЦЗПД и субъектов персональных данных, расследование нарушений, устранение и уменьшение нарушений и их последствий, предупреждение и документирование нарушений, предотвращение и документирование нарушений устанавливаются Положением об установлении процедуры управления нарушениями безопасности персональных данных ООО «Версаль», утвержденным приказом директора от 15.11.2021 № 44 (далее - приказ № 44).

ГЛАВА 13
ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ И КОНСУЛЬТАЦИИ С НАДЗОРНЫМ ОРГАНОМ

77. В случаях, когда с учетом категории персональных данных и субъектов персональных данных, характера, объема, контекста, целей обработки данных права и свободы субъектов персональных данных могут быть серьезно поставлены под угрозу, ООО «Версаль» проводит оценку влияния предполагаемых операций по обработке персональных данных на защиту данных до начала выполнения операций (действий) по обработке персональных данных и обработки данных.

78. Влияние на защиту данных оценивается, когда:

78.1. операция по обработке персональных данных подпадает под перечень операций по обработке персональных данных, на которые распространяется требование о проведении оценки воздействия на защиту данных, утвержденный приказом № 44 (далее - Перечень операций по обработке персональных данных), для которых оценка воздействия на защиту данных является обязательной;

78.2. операция по обработке персональных данных не включена в Перечень операций по обработке персональных данных, для которых требование об оценке воздействия на защиту данных является обязательным, однако ООО «Версаль» считает, что операция по обработке персональных данных с учетом критериев, установленных в п.79 Правил, может представлять серьезную угрозу правам и свободам субъектов персональных данных;

78.3. при изменении условий осуществления операций (действий) по обработке персональных данных и когда это может представлять серьезную угрозу правам и свободам субъектов персональных данных;

78.4. в иных случаях, указанных в Правилах.

79. Вопрос о том, могут ли операции (действия) обработки данных представлять серьезную угрозу правам и свободам субъектов персональных данных, решается каждый раз с учетом следующих критериев:

79.1. систематический мониторинг персональных данных или субъектов персональных данных;

79.2. конфиденциальные данные или очень личные данные, такие как специальные категории персональных данных;

79.3. крупномасштабная обработка данных (количество заинтересованных субъектов персональных данных, объем обрабатываемых данных, разнообразие обрабатываемых данных, продолжительность и постоянство деятельности по обработке персональных данных, географический охват обработки данных);

79.4. связывание и сопоставление наборов данных;

79.5. данные, относящиеся к уязвимым субъектам данных (например, данные детей, работников, уязвимых лиц, нуждающихся в особой защите, другие сегменты, где могут быть установлены неравные отношения между субъектом персональных данных и оператором);

79.6. применение новых технологий или организационных решений;

79.7. обработка данных не позволяет субъектам данных осуществлять свои права, услуги или заключать договоры;

79.8. иные обстоятельства, свидетельствующие о потенциально серьезной угрозе правам и свободам субъектов.

80. Чем больше критериев, изложенных в п.79 Правил, удовлетворяет конкретная операция (действия) по обработке персональных данных, тем больше вероятность того, что операция (действие) обработки данных может представлять серьезную угрозу правам и свободам субъектов персональных данных. Во всех случаях с работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», проводятся консультации о необходимости осуществления воздействия на защиту данных.

81. Если операция (действия) по обработке персональных данных соответствует двум или более критериям, изложенным в п.79 Правил, однако делается вывод о том, что такая операция (действия) по обработке персональных данных не может представлять существенной угрозы правам и свободам субъектов персональных данных, это решение и его доводы излагаются в письменной форме и вместе с мнением работника, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», представляются директору ООО «Версаль».

82. Оценка воздействия на защиту данных должна проводиться до осуществления операций (действий) по обработке персональных данных.

83. Руководители структурных подразделений ООО «Версаль», которые будут обрабатывать персональные данные или которые в рамках своей компетенции формулируют политику в области, в которой находится реестр или информационная система, управляемая ООО «Версаль», в которой будут обрабатываться данные, несут ответственность за оценку воздействия на защиту данных в каждом конкретном случае.

84. После проведения оценки воздействия на защиту данных лицо или лица, проводившие оценку воздействия на защиту данных, заполняют форму отчета об оценке воздействия на защиту данных (приложение 5 к Правилам). Единая оценка воздействия на защиту данных может быть проведена для изучения последовательности аналогичных операций обработки данных, представляющих значительный риск.

85. Если, принимая во внимание ожидаемый характер операции по обработке персональных данных, это возможно, ООО «Версаль» стремится разъяснить мнение субъектов персональных данных или их представителей о предполагаемой обработке персональных данных без ущерба для требований защиты коммерческих или общественных интересов или безопасности операций по обработке персональных данных.

86. Во всех случаях отчет об оценке воздействия на защиту данных представляется директору ООО «Версаль» и лицу, ответственному за принятие решения об оцениваемой операции по обработке персональных данных и ее осуществлению (заместителю директора или руководителю подразделения в зависимости от сферы деятельности).

87. Перед началом операций (действий) по обработке персональных данных, которые могут представлять серьезную угрозу правам и свободам субъектов персональных данных, ООО «Версаль» должно проконсультироваться с НЦЗПД.

88. Действия по обработке персональных данных, которые могут представлять серьезную угрозу правам и свободам субъектов персональных данных, осуществляются только при полном и надлежащем выполнении ООО «Версаль» рекомендаций, инструкций и мер НЦЗПД, полученных в ходе процедуры консультаций.

89. Товары и (или) услуги, связанные с обработкой данных способом, который может представлять серьезную угрозу правам и свободам субъектов персональных данных, могут быть приобретены только в том случае, если продавец рассматриваемого продукта и (или) услуги провел оценку воздействия на защиту данных; заключение такой оценки представляется в ООО «Версаль» для проверки и продавец подтверждает, что его продукт соответствует требованиям Закона.

90. Если объем, характер, контекст и цель обработки очень похожи на обработку, которая влияет на защиту данных, можно переоценить влияние на защиту данных, но воспользоваться оценкой воздействия на защиту данных, проведенной в результате аналогичной обработки.

ГЛАВА 14
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, КОГДА ООО «ВЕРСАЛЬ» ЯВЛЯЕТСЯ УПОЛНОМОЧЕННЫМ ЛИЦОМ

91. Положения настоящей главы применяются в случаях, когда ООО «Версаль» обрабатывает данные в качестве уполномоченного лица. Деятельность ООО «Версаль» по обработке персональных данных в качестве уполномоченного лица регистрируется в реестре обработки персональных данных.

92. Общество с ограниченной ответственностью «Версаль» имеет право обрабатывать данные других операторов только в том случае, если оператор четко установил и уточнил предмет и продолжительность обработки данных, характер и цель обработки данных, типы персональных данных и категории субъектов персональных данных, а также обязанности и права оператора.

93. В случаях, когда ООО «Версаль» обрабатывает данные в качестве уполномоченного лица, ООО «Версаль» должно соблюдать цель обработки данных, меры и другие условия обработки данных, установленные оператором, а также должно обрабатывать только такое количество данных и только в течение такого периода, который указан оператором.

94. Общество с ограниченной ответственностью «Версаль» имеет право обрабатывать персональные данные в качестве уполномоченного лица только при наличии хотя бы одного из следующих правовых оснований:

94.1. с оператором заключен договор. Может быть заключен отдельный договор об обработке персональных данных или отдельные положения о деятельности по обработке персональных данных могут быть включены в другой договор;

94.2. обязанность по обработке персональных данных закреплена в законодательстве.

95. Общество с ограниченной ответственностью «Версаль» не должно связываться с другим уполномоченным лицом без предварительного разрешения оператора. В случае получения разрешения ООО «Версаль» информирует оператора о любых планируемых изменениях, связанных с использованием или модификацией других уполномоченных лиц, тем самым предоставляя оператору возможность возражать против таких изменений.

96. Если ООО «Версаль» использует другого уполномоченного лица для осуществления конкретной деятельности по обработке персональных данных от имени оператора, контракт или акт законодательства налагает это на другое уполномоченное лицо те же обязательства по защите данных, которые налагаются нормативными правовыми актами ООО «Версаль» и оператора, в частности обязательство обеспечить, чтобы соответствующие технические и организационные меры были реализованы таким образом, чтобы обработка соответствовала требованиям Закона.

97. Во всех случаях, в дополнение к дополнительным обязанностям, налагаемым оператором, ООО «Версаль» при обработке персональных данных в качестве уполномоченного лица имеет следующие обязанности:

97.1. обрабатывать персональные данные только в соответствии с инструкциями, задокументированными оператором, за исключением случаев, когда это требуется в соответствии с требованиями законодательства, которые применяются к ООО «Версаль». В таком случае ООО «Версаль» до начала обработки данных уведомляет оператора о таком юридическом требовании, за исключением случаев, когда согласно правовым актам такое уведомление запрещено по важным причинам общественного интереса;

97.2. обеспечить, чтобы лица, получившие допуск к обработке персональных данных, были обязаны обеспечивать конфиденциальность;

97.3. принимать все технические и организационные меры для обеспечения безопасности обрабатываемых данных;

97.4. соблюдать условия, изложенные в Правилах использования другого уполномоченного лица;

97.5. принимая во внимание характер обработки, помогать оператору путем применения соответствующих технических и организационных мер, насколько это возможно, для выполнения обязанности оператора отвечать на запросы, связанные с осуществлением прав субъектов персональных данных;

97.6. по оказанию помощи оператора в выполнении его обязательств по сообщению о нарушениях персональных данных и проведению оценки воздействия на защиту данных с учетом характера обработки данных и информации, имеющейся в распоряжении ООО «Версаль»;

97.7. по завершении оказания услуг, связанных с обработкой данных, удалить или вернуть оператору все персональные данные и удалить их существующие копии, за исключением случаев, когда нормативными правовыми актами установлено требование о хранении персональных данных;

97.8. по запросу оператора предоставить информацию, необходимую для доказательства выполнения обязательств, изложенных в п.97 Правил, а также для обеспечения и оказания помощи оператору или другому лицу, уполномоченному оператором, в проведении аудита, включая проверки.

98. Общество с ограниченной ответственностью «Версаль» информирует оператора, если, по мнению ООО «Версаль», инструкция оператора нарушает Закон.

ГЛАВА 15
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

99. Общество с ограниченной ответственностью «Версаль» имеет право воспользоваться услугами уполномоченного лица для осуществления действий по обработке персональных данных на основании договора. ООО «Версаль» должно пользоваться услугами тех уполномоченных лиц, которые в достаточной степени обеспечивают реализацию соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям Закона и Правил и обеспечивала реализацию и защиту прав субъекта персональных данных.

100. Договоры с третьими лицами (уполномоченным лицами, получателями данных) составляются в соответствии с требованиями ст.7 Закона и приказа директора от 15.11.2021 № 45 «Об утверждении типовых форм договоров».

101. Перед выбором конкретного уполномоченного лица в соответствии с договором ООО «Версаль» должно проконсультироваться с работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», в достаточной ли степени уполномоченное лицо гарантирует, что соответствующие технические и организационные меры будут реализованы таким образом, чтобы обработка соответствовала требованиям Закона, Правил и обеспечивала реализацию и защиту прав субъекта персональных данных.

102. В целях надлежащего управления передачей персональных данных ведется реестр уполномоченных лиц ООО «Версаль» по форме согласно приложению 6 к Правилам.

Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», несет ответственность за заполнение такого реестра и заполняет реестр уполномоченных лиц ООО «Версаль» в соответствии с информацией, предоставленной структурными подразделениями ООО «Версаль».

103. Персональные данные, обрабатываемые ООО «Версаль», могут быть переданы другим лицам (лицам, не являющимся уполномоченными лицами) только на основании запроса или согласия субъекта персональных данных, а также в случае, когда такое право предусмотрено нормативными правовыми актами.

ГЛАВА 16
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

104. Трансграничная передача персональных данных может быть осуществлена только при соблюдении хотя бы одного из следующих условий:

104.1. передача персональных данных осуществляется в государства, включенные в перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных согласно приказу директора НЦЗПД от 15.11.2021 № 14 «О трансграничной передаче персональных данных» (далее - приказ директора НЦЗПД № 14), то есть в иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 г.;

104.2. передача персональных данных осуществляется в государства, не включенные в перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных согласно приказу директора НЦЗПД № 14, но есть правовые основания для такой передачи данных согласно ст.9 Закона.

ГЛАВА 17
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

105. По всем вопросам ООО «Версаль» сотрудничает и связывается с НЦЗПД в качестве руководящего надзорного органа, за исключением случаев, когда конкретная жалоба или нарушение Закона рассматривается другим надзорным органом.

106. В течение 2 лет со дня вступления в силу Правил проводится оценка влияния на защиту данных операций (действий) по обработке персональных данных, осуществленных до вступления в силу Правил, которые могут поставить под угрозу права и свободы субъектов персональных данных, и реализуются меры и механизмы для обеспечения защиты персональных данных и обоснования соблюдения Закона, Правил и иных правовых актов с учетом прав и законных интересов субъектов персональных данных и других связанных с ними лиц.

С работником, ответственным за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», проводятся консультации по конкретным операциям (действиям) по обработке персональных данных, которые требуют оценки воздействия на защиту данных.

107. Общество с ограниченной ответственностью «Версаль» периодически, но не реже одного раза в год, проводит обучение работников по вопросам применения и реализации Закона и другим вопросам, связанным с защитой персональных данных. Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль», несет ответственность за организацию обучения.

108. Все работники ООО «Версаль» знакомятся с Правилами путем подписания через ИДС.

109. Периодически, но не реже одного раза в год, ООО «Версаль» осуществляет проверку соответствия осуществляемой в ООО «Версаль» деятельности по обработке персональных данных Положению и иным правовым актам, регулирующим защиту персональных данных. За проведение проверки отвечает работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль». Результаты проверки оформляются в отчете с указанием выявленных недостатков, если таковые имеются, и рекомендаций по исправлению или совершенствованию деятельности ООО «Версаль» по обработке персональных данных.

Приложение 1 к Положению о правилах обработки персональных данных

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, ______________________________________________________________

(фамилия, собственное имя, отчество (если имеется))

_____________________________________________________________________

(дата рождения, идентификационный номер (при отсутствии - номер документа, удостоверяющего личность))

руководствуясь п.3 ст.4 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», даю согласие обществу с ограниченной ответственностью «Версаль», находящемуся по адресу: г. Минск, ул. Карла Маркса, д. 12, офис 13, для ____________________________________________ _____________________________________________________________________

(указывается цель обработки персональных данных)

следующих моих персональных данных: ____________________________________

_____________________________________________________________________

(перечень персональных данных, на обработку которых дается согласие)

Для указанной цели я даю согласие на осуществление следующих действий с моими персональными данными: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Обработка персональных данных может осуществляться как автоматизированным, так и неавтоматизированным способом.

Срок согласия ____________________________________________________

(срок, на который предоставляется согласие)

Мне разъяснены права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи мною согласия или отказа в даче такого согласия.

Я ознакомлен(а) с тем, что:

согласие на обработку персональных данных действует с даты его подписания до окончания срока его дачи или отзыва;

согласие на обработку персональных данных может быть отозвано в соответствии со ст.14 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;

в случае отзыва согласия на обработку персональных данных ООО «Версаль» вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и в иных законодательных актах.

 

__.__.20_______	_____________	___________________
	(подпись)	(расшифровка подписи)

Информирование в связи с обработкой персональных данных

1. Оператором передаваемых персональных данных является общество с ограниченной ответственностью «Версаль», находящееся по адресу: г. Минск, ул. Карла Маркса, д. 12, офис 13.

2. С сотрудником по защите данных можно связаться следующим образом: направив сообщение на электронный адрес: dpo@versal.by.

3. Персональные данные будут обрабатываться с целью: _________________ _____________________________________________________________________

(указывается цель обработки персональных данных и правовые основания (согласие субъекта персональных данных))

4. Срок хранения персональных данных обучающегося составляет: ________

_____________________________________________________________________

(указать срок хранения, а если нет возможности указать срок хранения, то должен быть дан критерий определения этого срока - «персональные данные будут обрабатываться до даты/до...»)

5. Вы имеете право на условиях, изложенных в ст.11-14 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»:

отозвать свое согласие;

получить информацию, касающуюся обработки своих персональных данных;

потребовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

получить от оператора информацию о предоставлении своих персональных данных, обрабатываемых оператором, третьим лицам;

потребовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных указанным Законом и иными законодательными актами.

Вы также можете подать жалобу на то, как ваши данные обрабатываются оператором, в Национальный центр защиты персональных данных Республики Беларусь (cpd.by).

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, ______________________________________________________________

(фамилия, собственное имя, отчество (если имеется))

_____________________________________________________________________

(дата рождения, идентификационный номер (при отсутствии - номер документа, удостоверяющего личность))

руководствуясь п.3 ст.4 Закона от 07.05.2021 № 99-З «О защите персональных данных», даю согласие обществу с ограниченной ответственностью «Версаль», находящемуся по адресу: г. Минск, ул. Карла Маркса, д. 12, офис 13,

 

(отметьте нужное окошко)

1.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
2.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
3.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
4.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
5.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)

 

Для выбранных мною целей я даю согласие на осуществление следующих действий с моими персональными данными: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Обработка персональных данных может осуществляться как автоматизированным, так и неавтоматизированным способом.

Мне разъяснены права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи мною согласия или отказа в даче такого согласия.

Я ознакомлен(а) с тем, что:

согласие на обработку персональных данных действует с даты его подписания до окончания срока его дачи или отзыва;

согласие на обработку персональных данных может быть отозвано в соответствии со ст.14 Закона от 07.05.2021 № 99-З «О защите персональных данных»;

в случае отзыва согласия на обработку персональных данных ООО «Версаль» вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в Законе от 07.05.2021 № 99-З «О защите персональных данных» и в иных законодательных актах.

 

__.__.20_______	_____________	___________________
	(подпись)	(расшифровка подписи)

Информирование в связи с обработкой персональных данных

1. Оператором передаваемых персональных данных является общество с ограниченной ответственностью «Версаль», находящееся по адресу: г. Минск, ул. Карла Маркса, д. 12, офис 13.

2. С сотрудником по защите данных можно связаться следующим образом: направив сообщение на электронный адрес: dpo@versal.by.

3. Персональные данные будут обрабатываться:

 

1.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
2.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
3.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
4.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)
5.		в целях ____________________________________________________ (указывается цель обработки персональных данных) в следующем объеме: ________________________________________ ___________________________________________________________ (перечень персональных данных, на обработку которых дается согласие) Срок согласия ______________________________________________ (срок, на который предоставляется согласие)

 

4. Вы имеете право на условиях, изложенных в ст.11-14 Закона от 07.05.2021 № 99-З «О защите персональных данных»:

отозвать свое согласие;

получить информацию, касающуюся обработки своих персональных данных;

потребовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

получить от оператора информацию о предоставлении своих персональных данных, обрабатываемых оператором, третьим лицам;

потребовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных указанным Законом и иными законодательными актами.

Вы также можете подать жалобу на то, как ваши данные обрабатываются оператором, в Национальный центр защиты персональных данных Республики Беларусь (cpd.by).

 

Приложение 2 к Положению о правилах обработки персональных данных

ИНФОРМАЦИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со ст.4 и 16 Закона от 07.05.2021 № 99-З «О защите персональных данных» мы предоставляем вам информацию, касающуюся обработки ваших данных.

1. Оператором является общество с ограниченной ответственностью «Версаль» (далее - ООО «Версаль»), находящееся по адресу: г. Минск, ул. Карла Маркса, д. 12, офис 13.

2. Контакты лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль»:

адрес электронной почты: post@versal.by;

адрес корреспонденции: г. Минск, ул. Карла Маркса, д. 12, офис 13;

адрес электронной почты лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль»: dpo@versal.by.

3. Цели обработки данных. Следующие персональные данные обрабатываются для следующих целей (в этом пункте излагаются цели обработки персональных данных, указанные в реестре обработки персональных данных):

3.1. ________________________

3.2. ________________________

3.3. ________________________

3.4. ________________________

4. Обрабатываемые данные. Сообщаем вам, что мы обрабатываем следующие персональные данные о вас (данный пункт содержит перечень обрабатываемых персональных данных (категорий персональных данных), указанных в реестре обработки персональных данных):

4.1. ________________________

4.2. ________________________

4.3. ________________________

4.4. ________________________

5. Правовая основа для обработки данных. Правовой основой для обработки ваших персональных данных (этот пункт обеспечивает основу для обработки персональных данных, указанных в реестре обработки персональных данных) является ____________________________________________________________

6. Получатели персональных данных. Ваши персональные данные могут быть переданы (данный пункт содержит получателей данных (их категории), указанных в реестре обработки персональных данных):

6.1. уполномоченным лицам (обработчики персональных данных), выполняющим определенные работы и оказывающим услуги (информационно-технологические компании, обрабатывающие данные для обеспечения разработки, совершенствования и обслуживания информационных систем; компании, обеспечивающие отправку сообщений клиентам, предоставляют охранные и другие услуги, в том числе юридические, финансовые, налоговые, управление бизнесом, кадровое администрирование, бухгалтерские услуги);

6.2. в суд, иным правоохранительным органам или государственным учреждениям в той мере, в какой такое положение установлено требованиями законодательства (например, судебные исполнители, суды и т. д.);

6.3. другим физическим (юридическим) лицам с вашего согласия, если такое согласие получено в связи с конкретным случаем;

6.4. ____________________________________

7. Права субъектов персональных данных. Сообщаем вам, что вы имеете право на условиях, изложенных в ст.11-14 Закона от 07.05.2021 № 99-З «О защите персональных данных»:

отозвать свое согласие;

получить информацию, касающуюся обработки своих персональных данных;

потребовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

получить от оператора информацию о предоставлении своих персональных данных, обрабатываемых оператором, третьим лицам;

потребовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных указанным Законом и иными законодательными актами.

Вы также можете подать жалобу на то, как ваши данные обрабатываются оператором, в Национальный центр защиты персональных данных Республики Беларусь (cpd.by).

8. Вы имеете право отозвать свое согласие на обработку ваших данных в любое время. Отзыв согласия не влияет на законность обработки персональных данных на основе согласия, осуществляемой до отзыва согласия (примечание 1).

9. Срок хранения персональных данных. Обратите внимание, что ваши персональные данные будут храниться в течение периода ___ (примечание 2). Этот срок может быть продлен, если персональные данные используются или могут быть использованы в качестве доказательств или источника информации в ходе досудебного или иного расследования, в том числе в ходе расследования, проводимого Национальным центром защиты персональных данных Республики Беларусь, гражданского, административного или уголовного судопроизводства или в иных случаях, установленных законодательством. В этом случае персональные данные могут храниться столько, сколько необходимо для этих целей обработки данных, и уничтожаться, как только они становятся ненужными.

10. Автоматизированное принятие решений. Обратите внимание, что эти данные не будут использоваться для принятия автоматизированных решений против вас, включая профилирование.

11. Подача жалоб. Информируем вас о том, что вы имеете право обжаловать действия (бездействие) ООО «Версаль» в Национальный центр защиты персональных данных Республики Беларусь (cpd.by) и суд в порядке, установленном нормативными правовыми актами.

 

Примечание 1. Этот пункт пишется только тогда, когда данные обрабатываются на основании согласия.

Примечание 2. Данный пункт содержит срок хранения персональных данных, указанный в реестре обработки персональных данных.

 

Приложение 3 к Положению о правилах обработки персональных данных

Форма записей о деятельности контролера по обработке персональных данных

Оператор:
Общество с ограниченной ответственностью «Версаль» (далее - ООО «Версаль»)
г. Минск, ул. Карла Маркса, д. 12, офис 13	Тел.: (017) 219 12 25	Адрес электронной почты post@versal.by	http://www.versal.by
Представитель оператора (работник или подразделение, ответственное за обработку персональных данных):
Наименование и функции структурного подразделения при обработке персональных данных
	Номер удаленного доступа	Адрес электронной почты
Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль»:
Фамилия, имя, отчество работника по защите персональных данных
	Номер удаленного доступа	Адрес электронной почты dpo@versal.by
Цель обработки данных (например, подбор персонала, оформление приема на работу, служебное расследование неправомерных действий при исполнении трудовых обязанностей, организация видеоконференций, защита помещений и территории, осуществление приобретений, обслуживание лиц, обеспечение качества услуг, выдача разрешений на парковку, оформление договоров о полной материальной ответственности, предоставление полномочий и т. д.)
Правовое основание для обработки персональных данных (должна быть указана конкретная норма Закона)
Описание категорий субъектов персональных данных (например, соискатели на трудоустройство; работники, лица, подлежащие служебному расследованию, и другие лица, участвующие в расследовании нарушения Закона; участники видеоконференций, журналисты и другие лица, собирающие публичную информацию от ООО «Версаль»; лица, подпадающие под видеонаблюдение; клиенты и т. д.). При наличии нескольких групп субъектов персональных данных персональные данные, обрабатываемые каждой группой субъектов персональных данных (включая специальные категории персональных данных), указываются отдельно, если обрабатываемые данные различны
Описание категорий персональных данных (например, собственное имя, отчество (если имеется), фамилия, дата рождения, адрес, видеоданные, размер оплаты труда (заработная плата), данные о состоянии здоровья, запись телефонного разговора, IP-адрес и т. д.)
Категории получателей персональных данных (например, правоохранительные органы, курьерские службы, банки, ФСЗН, государственные органы и организации для выполнения функций, определенных нормативными правовыми актами, и другие физические и юридические лица, имеющие право на получение данных, и т.д.)
Источник персональных данных (например, непосредственно от субъекта персональных данных, от бывшего нанимателя субъекта персональных данных, от банка, от видеорегистратора, от ФСЗН и т. д.)
Трансграничная передача персональных данных (если применимо):
Наименование иностранного государства, в которое передаются персональные данные
Иная информация, связанная с передачей персональных данных
Сроки хранения и удаления персональных данных предусмотрены (где это возможно) (например, 10 лет после исполнения договора, 30 календарных дней, 3 месяца с момента окончания отбора персонала, 6 месяцев с момента получения документов кандидата и т. д.)
Место хранения персональных данных (например, запираемый шкаф, компьютер работника, сервер ООО «Версаль», информационная система и т. д.)
Общее описание мер безопасности данных (где это возможно):
Технические меры безопасности: (например, программное обеспечение постоянно обновляется, оснащено брандмауэрами и антивирусными программами, резервными копиями данных, шифрованием данных и т. д.)		Организационные меры безопасности: (например, ограничение и контроль прав пользователей информационных систем и баз данных и т. д.)
Иная информация (например, место подачи уведомления субъекту персональных данных об обработке персональных данных (или обстоятельства, делающие невозможным информирование субъекта персональных данных об обработке его данных), особенности реализации иных прав субъекта персональных данных, ссылки на другие документы, связанные с защитой данных (на оценку воздействия на защиту данных, внутренние правила процедуры, информацию об обработке персональных данных и т. д.))
Дата (даты) ввода, изменения, регистрационного номера, имени, подписи ответственного лица
Дата	Номер записи	Подпись	Ф.И.О.

Форма записи об обработке персональных данных обработчиком данных

Уполномоченное лицо:
Общество с ограниченной ответственностью «Версаль» (далее - ООО «Версаль»)
г. Минск, ул. Карла Маркса, д. 12, офис 13	Тел.: (017) 219 12 25	Адрес электронной почты post@versal.by		http://www.versal.by
Каждый оператор (если применимо, и его представитель), от имени которого действует уполномоченное лицо:
Наименование оператора (если физическое лицо, его фамилия, имя, отчество)
Почтовый адрес	Номер удаленного доступа	Адрес электронной почты		Другие средства связи (например, адрес веб-сайта, адрес электронной почты)
Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль» (если применимо):
Имя работника по защите персональных данных
Номер удаленного доступа		Адрес электронной почты dpo@versal.by
Категории обработки данных, осуществляемой от имени каждого оператора, то есть осуществляются операции по обработке персональных данных (например, видеонаблюдение, хранение, уничтожение персональных данных и т. д.)
Трансграничная передача персональных данных (если применимо):
Наименование иностранного государства, в которое передаются персональные данные
Иная информация, связанная с передачей персональных данных
Общее описание мер безопасности данных (где это возможно):
Технические меры безопасности: (например, программное обеспечение постоянно обновляется, оснащено брандмауэрами и антивирусными программами, резервными копиями данных, шифрованием данных и т. д.)			Организационные меры безопасности: (например, ограничение и контроль прав пользователей информационных систем и баз данных и т. д.)
Другая информация (например, работники (отделы), ответственные за обработку данных, ссылки на другие документы, связанные с защитой данных, и т. д.)
Дата (даты), когда данные были введены, изменены

РЕЕСТР
обработки персональных данных

Цели обработки персо­нальных данных	Структурное подраз­деление (лицо), ответст­венное за обработку	Информа­ционная система (ресурс)	Категории субъектов персональных данных, чьи данные подвергаются обработке	Перечень обрабаты­ваемых персональных данных (примечание 3)	Правовые основания обработки персональных данных (примечание 4)	Категории получателей персональных данных (примечание 5)	Упол­номо­ченные лица	Срок хранения персональных данных (примечание 6)	Примечание (примечание 7)
1	2	3	4	5	6	7	8	9	10

 

Примечание 3. Если нет возможности отразить исчерпывающий перечень обрабатываемых персональных данных, следует указывать ссылку на конкретную норму акта законодательства (если таковая имеется).

Примечание 4. Отражается норма Закона № 99-З. Нормы иных актов законодательства могут отражаться в примечании. В этом столбце, в примечании и иных столбцах допускается использовать сокращения (Закон, п., абз., ч., ст.).

Примечание 5. Отражаются категории получателей (уполномоченные лица), получающие персональные данные на регулярной (постоянной) основе в соответствии с законодательными актами, при этом законодательными актами могут быть предусмотрены и иные случаи обязательной передачи персональных данных, в том числе их передача контрольным и надзорным органам, правоохранительным органам, суду.

Примечание 6. В случае, если персональные данные содержатся в документе, подлежащем передаче в архив, следует руководствоваться сроком хранения, определенным в номенклатуре дел.

В иных случаях такой срок определяется, исходя из необходимости соблюдения п.8 ст.4 Закона 99-З с учетом сроков хранения типовых документов Национального архивного фонда, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, определенных республиканским органом государственного управления в сфере архивного дела и делопроизводства (например, постановление Минюста от 24.05.2012 № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь»).

Срок указывается в днях. Год условно определяется как 365 дней, а месяц - 30 дней.

Примечание 7. В примечании может содержаться иная необходимая информация, в том числе ссылки на акты законодательства, не нашедшие отражения в столбцах 5 и 6.

РЕЕСТР
обработки персональных данных, когда ООО «Версаль» выступает в роли уполномоченного лица

Наименование оператора	Структурное подразделение (лицо), ответственное за обработку	Информационная система (ресурс)	Категории субъектов персональных данных, чьи данные подвергаются обработке	Перечень обрабатываемых персональных данных (примечание 8)	Примечание (примечание 9)
1	2	3	4	5	6

 

Примечание 8. Если нет возможности отразить исчерпывающий перечень обрабатываемых персональных данных, следует указывать ссылку на конкретную норму акта законодательства (если таковая имеется).

Примечание 9. В примечании может содержаться иная необходимая информация, в том числе ссылки на акты законодательства, не нашедшие отражения в столбцах 5 и 6.

 

Приложение 4 к Положению о правилах обработки персональных данных

ПЕРЕЧЕНЬ ТИПИЧНЫХ МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Физический доступ к помещениям, в которых хранятся и функционируют информационные ресурсы (системы):

1.1. помещения заперты;

1.2. помещения оборудованы внутренней системой сигнализации;

1.3. имеется система контроля за входом лиц в помещение (физическая и (или) электронная).

2. Доступ к информационным ресурсам (системам), содержащим персональные данные:

2.1. установлена процедура входа пользователя в информационный ресурс (систему);

2.2. пароли для доступа к персональным данным предоставляются, изменяются и хранятся в целях обеспечения их конфиденциальности;

2.3. определяет количество разрешенных неудачных входов в информационный ресурс (систему);

2.4. доступ к персональным данным предоставляется только тем лицам, которым персональные данные необходимы для выполнения своих функций.

3. Доступ к внутренней сети:

3.1. внутренняя сеть защищена брандмауэрами;

3.2. удаленные устройства подключаются к внутренней сети через защищенный канал связи (VPN, выделенные линии и т. д.);

3.3. контролируемый доступ пользователей к внутренней сети;

3.4. информация, передаваемая по сети, шифруется;

3.5. используются средства предотвращения атак связи и сетевого трафика.

4. Использование резервных копий данных:

4.1. утвержденный порядок резервного копирования;

4.2. резервные копии данных хранятся в отдельных охраняемых помещениях, в другом здании;

4.3. компьютерное оборудование и носители управляются централизованно;

4.4. резервные копии данных и носители шифруются;

4.5. предусмотрена процедура восстановления данных из резервных копий.

5. Защита от кражи:

5.1. ограничение и контроль доступа посторонних лиц в помещения, где хранятся персональные данные;

5.2. ограниченный физический доступ к серверам и компьютерным рабочим станциям;

5.3. ограниченный доступ программного обеспечения к серверам, компьютерным рабочим станциям и содержащимся в них данным.

6. Защита от неправомерного использования сети передачи данных:

6.1. в эксплуатации находится система управления сетью передачи данных;

6.2. установлены строгие ограничения на поток сети передачи данных;

6.3. установлено специальное оборудование для мониторинга трафика сети передачи данных;

6.4. состояние сети передачи данных постоянно контролируется.

7. Ошибки программного обеспечения:

7.1. используется сертифицированное программное обеспечение, которое поддерживается в соответствии с требованиями производителя;

7.2. внедряются обновления, рекомендованные производителями операционных систем и используемого программного обеспечения.

8. Защита от вредоносных программ:

8.1. внутрисетевые антивирусные программы, установленные и постоянно обновляемые на станциях технического обслуживания и компьютерных рабочих станциях;

8.2. работники ознакомлены с внутренними процедурами и знают, как себя вести, если замечено вредоносное программное обеспечение.

9. Использование программного обеспечения:

9.1. используется только законное и разрешенное программное обеспечение;

9.2. регулярный контроль программного обеспечения, используемого пользователями на компьютерных рабочих станциях;

9.3. работникам не предоставляется право на установку программного обеспечения самостоятельно, если это не указано в должностных (рабочих) инструкциях;

9.4. компьютерные рабочие станции управляются централизованно.

10. Обучение пользователей:

10.1. пользователи обучаются работе с программным обеспечением;

10.2. для пользователей подготовлены памятки по безопасности персональных данных.

11. Защита от сбоев сетевого оборудования передачи данных:

11.1. оборудование обслуживается в соответствии с рекомендациями завода-изготовителя;

11.2. техническое обслуживание и устранение неисправностей осуществляются квалифицированными специалистами;

11.3. контролируется состояние сети передачи данных;

11.4. дублирована компьютерная техника, оказывающая наибольшее влияние на передачу данных;

11.5. контролируется состояние сети передачи данных.

12. Защита от сбоев компьютерного оборудования:

12.1. оборудование обслуживается в соответствии с рекомендациями завода-изготовителя;

12.2. техническое обслуживание и устранение неисправностей осуществляются квалифицированными специалистами;

12.3. дублируется важнейшее компьютерное оборудование;

12.4. постоянно контролируется техническое состояние важнейшего компьютерного оборудования;

12.5. для наиболее важного компьютерного оборудования приобретается гарантийное обслуживание.

13. Защита от взлома:

13.1. помещения повышенной безопасности оборудованы датчиками удара и движения.

14. Противопожарная защита:

14.1. все помещения оборудованы пожарной сигнализацией;

14.2. огнетушители устанавливаются в помещениях;

14.3. установлены датчики дыма и тепла;

14.4. резервные копии данных хранятся в отдельных охраняемых помещениях, в другом здании.

15. Защита от наводнений:

15.1. правильно спланированные и оборудованные помещения для хранения важнейшей компьютерной техники;

15.2. помещения оборудованы системой слива воды.

16. Защита от колебаний температуры и влажности:

16.1. система кондиционирования воздуха устанавливается в помещениях станций технического обслуживания;

16.2. постоянно контролируются колебания температуры и влажности;

16.3. оборудование для кондиционирования обслуживается в соответствии с требованиями завода-изготовителя;

16.4. техническое обслуживание и устранение неисправностей климатического оборудования осуществляется квалифицированными специалистами.

17. Защита от стихийных бедствий:

17.1. разработан план обеспечения непрерывности деятельности.

18. Защита от перебоев в подаче электроэнергии:

18.1. используются источники непрерывного питания (ИБП) для основного компьютерного оборудования;

18.2. контролируется состояние блока питания.

19. Защита от сбоев линий электропитания и связи:

19.1. кабели расположены в изоляционных трубах;

19.2. электрические кабели и кабели передачи данных надежно разделены.

 

Приложение 5 к Положению о правилах обработки персональных данных

ОТЧЕТ ОБ ОЦЕНКЕ ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ

Контролер:
Общество с ограниченной ответственностью «Версаль» (далее - ООО «Версаль»)
г. Минск, ул. Карла Маркса, д. 12, офис 13	Тел.: (017) 219 12 25			Адрес электронной почты post@versal.by		http://www.versal.by
Представитель оператора (работник или подразделение, ответственное за обработку персональных данных):
Наименование и функции структурного подразделения при обработке персональных данных
	Номер удаленного доступа			Адрес электронной почты
Работник, ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль»:
Фамилия, имя, отчество работника по защите персональных данных
	Номер удаленного доступа			Адрес электронной почты dpo@versal.by
Причины необходимости оценки воздействия на защиту данных:
Описание планируемой деятельности, ее целей и планируемых операций по обработке персональных данных. Объяснение необходимости оценки воздействия на защиту данных. При необходимости к форме прилагаются соответствующие документы
Описание обработки персональных данных
Описание действий по сбору, использованию, хранению и уничтожению персональных данных, указывается, из каких источников данные будут собираться, кому они будут предоставлены (может быть предоставлена схема действий по обработке персональных данных). Описывается, какие действия по обработке персональных данных могут поставить под угрозу права и свободы физических лиц
Указывается объем обработки: какие категории персональных данных будут обрабатываться; будут ли обрабатываться специальные категории персональных данных; сколько данных, как часто они будут собираться и использоваться; как долго будут храниться персональные данные; указывается приблизительное количество субъектов персональных данных и географический охват обработки
Указывается характер обработки данных: какие отношения связывают оператора с субъектами данных; будут ли субъекты персональных данных иметь возможность контролировать обработку; могут ли субъекты персональных данных предвидеть, что их персональные данные будут обрабатываться таким образом; будут ли обрабатываться данные детей и других уязвимых лиц; оценить, является ли такая обработка безопасной; являются ли технологии обработки данных новыми или существующие технологии будут использоваться по-другому; каков уровень технологического развития в этой области; есть ли какая-то публика и др., проблемы или вопросы, которые необходимо учитывать; указать, существует ли обязательство соблюдать утвержденный кодекс поведения или утвержденный механизм сертификации
Описаны цели обработки персональных данных: какой результат испрашивается; какое влияние это окажет на отдельных лиц; каковы преимущества такой обработки данных для вашей компании и других лиц
Консультация
Опишите, каким образом планируется заслушать мнение заинтересованных лиц или обосновать, почему в этом нет необходимости: мнение каких лиц планируется получить; какие лица будут использоваться в ООО «Версаль», будут ли использоваться обработчики данных; планируется ли проконсультироваться с экспертами по безопасности данных или экспертами в других областях
Оценка необходимости и соразмерности
Описана законность обработки персональных данных и соразмерность обработки: указать основание для законной обработки; оценить, достигнет ли обработка персональных данных поставленной цели; может ли тот же результат быть достигнут другим способом; как избежать сбоев; как будет обеспечиваться качество данных и внедряться принцип минимизации данных; какая информация будет предоставлена субъектам данных; как ООО «Версаль» планирует реализовать права субъектов персональных данных; как обеспечить соответствие уполномоченного лица требованиям; как будет обеспечиваться безопасность персональных данных, предоставленных в иностранные государства
Идентификация и оценка опасностей
Описание характера опасности и воздействия на физическое лицо. При необходимости опишите связанные с этим бизнес-риски				Вероятность причинения ущерба	Оценка ущерба		Общий уровень оповещения
				Неправдоподобно, вероятно или очень вероятно			Низкий, средний или высокий
Определение мер по снижению опасностей
Должны быть указаны дополнительные меры, которые могут быть приняты для снижения или устранения рисков высокого или среднего уровня
Опасность		Меры по снижению или устранению риска		Результат применения меры	Сохраняющаяся опасность		Утвержденная мера
				Удаленные, сниженные, приемлемые риски	Низкая средняя или высокая		Да/нет
Выводы и решения
Меры должны быть указаны, а остальные риски идентифицированы		Ф.И.О., дата, подпись		Примечания
Приняты следующие меры:				Включить предусмотренные мероприятия в план действий, установив сроки выполнения и ответственных лиц
Остальные риски признаются приемлемыми:				Если риск высокого уровня, признанный приемлемым, является приемлемым, необходимо обратиться за предварительной консультацией в НЦЗПД
Мнение работника, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль»
Должно быть представлено заключение работника по защите данных ООО «Версаль» о законности обработки персональных данных, планируемых мерах по снижению или устранению угроз и о возможности дальнейшей обработки персональных данных
				Ф.И.О., дата, подпись
Укажите, было ли учтено мнение работника, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль»
Если отклоняется, то это оправдано, почему
				Ф.И.О., дата, подпись
Мнения, полученные другими лицами
Кратко опишите мнения других лиц и укажите, были ли они приняты во внимание. Если решение отличается от решения заинтересованных лиц, то оно должно быть обосновано, почему
				Ф.И.О., дата, подпись
Ответственное лицо, назначенное для надзора за оценкой воздействия на защиту данных
Кратко опишите мнения других лиц и укажите, были ли они приняты во внимание. Если решение отличается от решения заинтересованных лиц, то оно должно быть обосновано, почему
				Ф.И.О., дата, подпись

 

Приложение 6 к Положению о правилах обработки персональных данных

РЕЕСТР УПОЛНОМОЧЕННЫХ ЛИЦ ООО «ВЕРСАЛЬ»

№ п/п	Уполномоченное лицо	Дата, характер заключения договора с уполномоченным лицом	Категории передаваемых персональных данных и категории субъектов персональных данных	Цель обработки передаваемых данных	Инструкции, данные обработчику данных	Дата расторжения договора с уполномоченным лицом

 

Приложение 7 к Положению о правилах обработки персональных данных

Форма информационной наклейки, информирующей о видеонаблюдении

ВИДЕОНАБЛЮДЕНИЕ

Общество с ограниченной ответственностью «Версаль» Адрес для почтовой корреспонденции: г. Минск, ул. Карла Маркса, д. 12, офис 13 Тел.: (017) 219 12 25 Работник ответственный за осуществление внутреннего контроля за обработкой персональных данных в ООО «Версаль»: Тел.: (017) 219 12 25 E-mail: dpo@versal.by (Информация об обработке персональных данных с наибольшим влиянием на субъекта данных, например, срок хранения, публичность, передача третьим лицам и т. д.) (Цель(и) видеонаблюдения)

 

Информируем вас о том, что субъект персональных данных имеет право потребовать, чтобы оператор предоставил доступ к персональным данным субъекта персональных данных и исправил или удалил их, а также другие права.

Получить дополнительную информацию об обработке персональных данных можно на сайте: http://www.versal.by.

Вы также можете связаться с оператором по телефону (017) 219 12 25 или по электронной почте post@versal.by.

Дополнительно по теме • Персональные данные в кадровой службе.