Положение о порядке обработки и защите персональных данных в аппарате управления ГПО «Белэнерго»

УТВЕРЖДЕНО

Приказ ГПО "Белэнерго"

03.12.2021 № 309

ПОЛОЖЕНИЕ
о порядке обработки и защите
персональных данных в аппарате
управления ГПО «Белэнерго»

С изменениями:
приказ ГПО «Белэнерго»
от 28.07.2022 № 188

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение определяет политику аппарата управления ГПО «Белэнерго» в отношении обработки персональных данных, в том числе порядок сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления, передачи и защиты персональных данных.

2. Положение разработано на основе и во исполнение:

Конституции Республики Беларусь;

Трудового кодекса Республики Беларусь;

Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных);

Закона Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;

Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;

Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»;

иных нормативных правовых актов.

3. В Положении используются термины и их определения согласно статье 1 Закона о защите персональных данных.

4. Обработка персональных данных субъектов персональных данных осуществляется в соответствии с требованиями, закрепленными в статье 4 Закона о защите персональных данных, а также в соответствии с локальными правовыми актами Министерства энергетики.

5. Категории субъектов, персональные данные которых обрабатываются в аппарате управления ГПО «Белэнерго», а также перечень обрабатываемых персональных данных, правовые основания обработки персональных данных определены в Реестре обработки персональных данных в аппарате управления ГПО «Белэнерго», утвержденном приказом ГПО «Белэнерго» от 27 июня 2022 г. № 151.

6. Содержание и объем персональных данных каждой категории субъектов персональных данных определяется необходимостью:

достижения конкретных целей их обработки;

реализации ГПО «Белэнерго» своих прав и обязанностей;

реализации прав и обязанностей субъектов персональных данных.

7. Обработка персональных данных субъектов персональных данных осуществляется в следующих целях:

выполнения функций, задач, полномочий и обязанностей, возложенных на ГПО «Белэнерго» законодательством;

исполнения обязанности налогового агента;

обеспечения безопасности, сохранения имущества ГПО «Белэнерго» и предотвращения правонарушений;

проверки кандидатов при приеме на работу;

рассмотрения возможности трудоустройства кандидатов при приеме на работу;

рассмотрения кадровых вопросов в ГПО «Белэнерго» при подборе руководящих кадров, назначения (согласования назначения) на отдельные должности аппарата управления ГПО «Белэнерго» и организаций, входящих в состав ГПО «Белэнерго», и освобождения (согласования освобождения) от указанных должностей, а также продления (заключения нового) трудового договора (контракта), согласования продления (заключения нового) трудового договора (контракта);

проведение проверочных мероприятий на предмет выявления сведений о возможности причинения вреда национальной безопасности Республики Беларусь в отношении работников аппарата управления ГПО «Белэнерго», связанных с эксплуатацией Белорусской атомной электростанции, лиц, изъявивших намерение стать работниками аппарата управления ГПО «Белэнерго», (кандидатов);

ведения кадрового резерва;

осуществления поощрения и награждения работников аппарата управления ГПО «Белэнерго», организаций, входящих в состав
ГПО «Белэнерго», а также награждения иных должностных лиц и граждан;

организации и сопровождения деловых поездок, приема делегаций;

проведения мероприятий и обеспечения участия в них субъектов персональных данных;

выдачи доверенностей и иных уполномочивающих документов;

предоставления льгот и компенсаций членам семьи работников;

проверки контрагента;

выявления конфликта интересов;

ведения переговоров, заключения и исполнения договоров;

рассмотрения обращений граждан и юридических лиц, а также индивидуальных предпринимателей;

рассмотрения претензий;

осуществления дополнительных гарантий по социальной защите лиц, ушедших на пенсию и состоящих на учете неработающих пенсионеров в аппарате управления ГПО «Белэнерго», предусмотренных локальными правовыми актами ГПО «Белэнерго»;

оказания единовременной материальной помощи членам семей или лицу, взявшему на себя организацию погребения лица, ушедшего на пенсию и состоявшего на учете неработающих пенсионеров в аппарате управления ГПО «Белэнерго», в случае его смерти;

посещения работниками государственных органов и иных организаций, а также гражданами административных зданий аппарата управления ГПО «Белэнерго» для выполнения должностных обязанностей.

Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.

ГЛАВА 2

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием информационных систем, входящих в Перечень информационных систем, содержащих персональные данные, утвержденный приказом ГПО «Белэнерго» от 15 ноября 2021 г. № 283.

Обработка персональных данных в информационных системах, содержащих персональные данные, выполняется в соответствии с локальными правовыми актами Министерства энергетики и ГПО «Белэнерго».

9. В случаях, установленных законодательством, основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных.

Согласие субъекта персональных данных на обработку его персональных данных должно включать в себя информацию, указанную в пункте 6 статьи 5 Закона о защите персональных данных:

фамилию, собственное имя, отчество (если таковое имеется);

дату рождения;

идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность;

подпись субъекта персональных данных.

10. Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в случаях, установленных статьей 6 Закона о защите персональных данных:

для целей ведения административного процесса;

для исполнения судебных постановлений и иных исполнительных документов;

в целях осуществления контроля (надзора) в соответствии с законодательными актами;

при реализации норм законодательства в области национальной безопасности, борьбы с коррупцией, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

в целях назначения и выплаты пенсий, пособий;

для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;

при получении персональных данных ГПО «Белэнерго» на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

при обработке персональных данных, когда они указаны в документе, адресованном ГПО «Белэнерго» и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;

в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

11. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, установленных статьей 8 Закона о защите персональных данных:

если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;

для исполнения судебных постановлений и иных исполнительных документов;

для целей ведения административного процесса;

в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, обороны, борьбы с коррупцией, борьбы с терроризмом и противодействии экстремизму, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;

для осуществления административных процедур;

в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.

12. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

Если иное не установлено Законом о защите персональных данных, ГПО «Белэнерго» вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта персональных данных, либо при наличии письменного согласия субъекта персональных данных на получение его персональных данных от третьих лиц.

13. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, должны находиться в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.

Персональные данные, хранящиеся в электронном виде, должны защищаться от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых ГПО «Белэнерго» информационных систем, содержащих персональные данные (внесистемное хранение персональных данных), не допускается.

Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством.

14. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание, уничтожение).

При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

15. Доступ к персональным данным предоставляется только тем работникам ГПО «Белэнерго», служебные обязанности которых предполагают работу с персональными данными. Перечень ответственных за обработку персональных данных в аппарате управления ГПО «Белэнерго» определен приказом ГПО «Белэнерго» от 27 июня 2022 г. № 151 «Об организации работы по защите персональных данных в аппарате управления ГПО «Белэнерго».

В случае возникновения необходимости предоставления доступа к персональным данным работникам, не являющимся ответственными за обработку персональных данных в аппарате управления ГПО «Белэнерго», им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению генерального директора ГПО «Белэнерго». Соответствующие работники должны быть ознакомлены под роспись с локальными правовыми актами ГПО «Белэнерго» в области защиты персональных данных.

Порядок предоставления доступа к объединенной локальной информационно-вычислительной сети Министерства энергетики, ГПО «Белэнерго», в которой обрабатываются персональные данные, определяется локальным правовым актом Министерства энергетики.

16. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

17. Передача персональных данных субъектов персональных данных третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

Передача персональных данных субъектов персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта персональных данных либо иного законного основания.

При передаче персональных данных субъекта персональных данных третьим лицам субъект персональных данных должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством.

Передача информации, содержащей персональные данные субъектов персональных данных, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

18. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. ГПО «Белэнерго» вправе требовать от этих лиц подтверждение того, что это правило соблюдено.

19. В случаях, когда государственные органы имеют право запросить персональные данные субъектов персональных данных или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном законодательством.

20. Для защиты персональных данных субъектов персональных данных ГПО «Белэнерго» принимает следующие меры:

ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные субъектов персональных данных;

обеспечивает условия для хранения документов, содержащих персональные данные субъектов персональных данных, в ограниченном доступе;

организует порядок уничтожения информации, содержащей персональные данные субъектов персональных данных, если законодательством не установлены требования по хранению соответствующих данных;

контролирует соблюдение требований по обеспечению безопасности персональных данных субъектов персональных данных, в том числе установленных настоящим Положением (путем осуществления внутреннего контроля, установления специальных средств мониторинга и др.);

проводит расследование случаев несанкционированного доступа или разглашения персональных данных субъектов персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

внедряет программные и технические средства защиты информации в электронном виде;

обеспечивает возможность восстановления персональных данных субъектов персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

иные меры, обеспечивающие защиту персональных данных.

21. Для защиты персональных данных при их обработке в информационных системах, содержащих персональные данные, могут проводиться следующие мероприятия:

определение угроз безопасности персональных данных при их обработке;

применение организационных и технических мер по обеспечению безопасности персональных данных субъектов персональных данных при их обработке в информационных системах, содержащих персональные данные, необходимых для выполнения требований к защите персональных данных субъектов персональных данных;

учет машинных носителей персональных данных субъектов персональных данных;

обнаружение фактов несанкционированного доступа к персональным данным субъектов персональных данных и принятие мер;

восстановление персональных данных субъектов персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным субъектов персональных данных, обрабатываемым в информационных системах, содержащих персональные данные, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах, содержащих персональные данные;

иные мероприятия, разрешенные Законом о защите персональных данных.

Порядок организации технической защиты персональных данных в электронном виде установлен Инструкцией о порядке обеспечения информационной безопасности в информационных системах Министерства энергетики Республики Беларусь, утвержденной приказом Министерства энергетики Республики Беларусь от 18 марта 2015 г. № 50.

ГЛАВА 3

ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

22. Субъект персональных данных вправе:

22.1. в любое время без объяснения причин отозвать свое согласие посредством подачи в ГПО «Белэнерго» заявления в порядке, установленном статьей 14 Закона о защите персональных данных, либо в форме, в которой получено его согласие;

22.2. получить информацию, касающуюся обработки своих персональных данных, содержащую:

подтверждение факта обработки персональных данных ГПО «Белэнерго»;

персональные данные субъекта персональных данных и источник их получения;

правовые основания и цели обработки персональных данных;

срок, на который дано его согласие;

иную информацию, предусмотренную законодательством;

22.3. требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает в ГПО «Белэнерго» заявление в порядке, установленном статьей 14 Закона о защите персональных данных, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные;

22.4. получать информацию о предоставлении своих персональных данных третьим лицам. Для получения указанной информации субъект персональных данных подает заявление в ГПО «Белэнерго». Заявление субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия ГПО «Белэнерго» или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных;

22.5. требовать от ГПО «Белэнерго» прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами. Для реализации указанного права субъект персональных данных подает в ГПО «Белэнерго» заявление в порядке, установленном Законом о защите персональных данных;

22.6. обжаловать действия (бездействие) и решения ГПО «Белэнерго», нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

23. Субъект персональных данных обязан:

предоставлять ГПО «Белэнерго» достоверные персональные данные;

своевременно сообщать ГПО «Белэнерго» об изменениях и дополнениях своих персональных данных;

осуществлять свои права в соответствии с законодательством и локальными правовыми актами ГПО «Белэнерго» в области обработки и защиты персональных данных;

исполнять иные обязанности, предусмотренные законодательством и локальными правовыми актами ГПО «Белэнерго» в области обработки и защиты персональных данных.

24. ГПО «Белэнерго» вправе:

устанавливать правила обработки персональных данных в ГПО «Белэнерго», вносить изменения и дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей в области обработки и защиты персональных данных;

осуществлять иные права, предусмотренные законодательством и локальными правовыми актами в области обработки и защиты персональных данных.

25. Обязанности ГПО «Белэнерго»:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;

обеспечивать защиту персональных данных в процессе их обработки;

предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами;

вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как ГПО «Белэнерго» стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

выполнять иные обязанности, предусмотренные законодательными актами.

26. За нарушение законодательства о защите персональных данных предусмотрена гражданско-правовая, дисциплинарная, административная, уголовная ответственность.

Версия для печати