Положение о персональных данных

УТВЕРЖДЕНО
Приказ
Частного медицинского
унитарного предприятия «Дэнтстор»
05.09.2023 № 3

Положение об обработке и защите персональных данных, в том числе о порядке доступа к персональным данным

Республика Беларусь, г. Минск

05.09.2023

  1. Настоящее Положение об обработке и защите персональных данных, в том числе о порядке доступа к персональным данным, разработано в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) и иными актами законодательства, Политикой обработки персональных данных (далее – Политика) и иными локальными правовыми актами, действующими в Частном медицинском унитарном предприятии «Дэнтстор» (далее – Компания)
  2. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными актами законодательства.
  3. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или иной электронной форме. В иной электронной форме согласие субъекта персональных данных может быть получено посредством:
    • указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
    • проставления субъектом персональных данных соответствующей отметки на сайте, в электронном письме;
    • других способов, позволяющих установить факт получения согласия субъекта персональных данных.
  4. Компания вправе совершать следующие действия: сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, исключительно в пределах заявленных законных целей, не допуская при этом избыточной обработки. Обработка данных осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
  5. Персональные данные подлежат удалению в случаях отсутствия правовых оснований для обработки персональных данных, истечения срока хранения или избыточности обрабатываемых персональных данных. В случае отсутствия технической возможности удаления персональных данных Компания принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование. Удаление персональных данных оформляется актом.
  6. Доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), предоставляется:
    • физическим лицам, работающим в Компании по трудовым договорам или гражданско-правовым договорам (далее – работники), в объеме, необходимом для надлежащего исполнения своих должностных обязанностей (обязанностей);
    • работникам уполномоченного лица в объеме и на условиях, необходимых для исполнения договора между Компанией и уполномоченным лицом (далее – иные лица).
  7. Доступ к персональным данным имеют следующие работники:
    • директор Компании – ко всем категориям персональных данных;
    • лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных – ко всем категориям персональных данных в пределах исполнения должностных обязанностей;
    • заместители директора Компании – к персональным данным, необходимым для реализации положений Трудового кодекса Республики Беларусь и иных актов законодательства, к персональным данным в соответствии с содержанием резюме (анкет и т.п.) соискателей вакансий, иным категориям персональных данных, необходимым для исполнения должностных обязанностей;
    • администратор системный (лицо, выполняющее соответствующие функции) – к персональным данным, обрабатываемым в информационных ресурсах (системах), в пределах исполнения должностных обязанностей.

    Работникам, непосредственно осуществляющим обработку персональных данных, если иное не определено в части первой настоящего пункта, предоставляется доступ к персональным данным исходя из должностных обязанностей (обязанностей) и в соответствии с категориями персональных данных и целями их обработки. Перечень таких работников, имеющих доступ к персональным данным, определяется директором Компании (лицом, исполняющим его обязанности).

    Перечень информационных ресурсов (систем), содержащих персональные данные, категории персональных данных, подлежащих включению в такие ресурсы, а также перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами, определяется директором Компании (лицом, исполняющим его обязанности).

  8. Права доступа к персональным данным работника, иного лица:
    • изменяются – в случаях перевода работника на другую должность, изменения должностных обязанностей работника или изменения условий гражданско-правового договора;
    • прекращаются – в случае увольнения работника или окончания срока действия гражданско-правового договора, расторжения гражданско-правового договора.

    Доступ к персональным данным может быть также прекращен по решению директора Компании (лица, исполняющего его обязанности).

  9. При прекращении доступа к персональным данным все носители информации, содержащие персональные данные, которые находились у работника или иного лица, осуществляющего обработку персональных данных, должны быть переданы непосредственному руководителю работника или иному лицу, определенному директором Компании (лицом, исполняющим его обязанности).
  10. Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
  11. Работник или иное лицо, случайно или по иным причинам получившие доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), не вправе изучать, изменять, удалять, копировать, распространять или иным способом использовать соответствующие документы или файлы.
  12. При хранении персональных данных должны соблюдаться условия, обеспечивающие конфиденциальность персональных данных. Документы, содержащие персональные данные, на бумажных носителях хранятся в специально отведенных для этого местах с ограниченным доступом. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты, в том числе путем установления логинов, паролей и т.п.
  13. В целях обеспечения требований конфиденциальности и безопасности при обработке персональных данных работниками и иными лицами, непосредственно осуществляющими обработку персональных данных, лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, знакомит указанных лиц с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, с Политикой, настоящим Положением, иными документами, определяющими политику Компании в отношении обработки персональных данных, а также организует обучение указанных лиц в порядке, установленном законодательством
  14. Работники обязаны немедленно сообщать своему непосредственному руководителю и лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных, о всех известных фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и т.п., а также о других фактах, которые могут привести к несанкционированному доступу к персональным данным.
  15. В случаях нарушения систем защиты персональных данных Компания направляет соответствующее уведомление в Национальный центр защиты персональных данных. Уведомление не направляется, если нарушение систем защиты не привело к:
    • незаконному распространению, предоставлению персональных данных;
    • изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

    Уведомление направляется Компанией незамедлительно, но не позднее трех рабочих дней после того, как Компании стало известно о таких нарушениях.

  16. Порядок осуществления внутреннего контроля за обработкой персональных данных.

    Целями внутреннего контроля за обработкой персональных данных в Компании являются:

    • проверка выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
    • оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;
    • оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;
    • выявление и предупреждение нарушений законодательства о персональных данных;
    • оказание методической помощи работникам по вопросам обработки персональных данных.

    Внутренний контроль за обработкой персональных данных осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, путем проведения мониторинга.

    Мониторинг проводится не менее одного раза в год. Мониторинг проводится непосредственно на рабочем месте соответствующего работника, осуществляющего обработку персональных данных. При проведении мониторинга работник обязан предоставить доступ к документам, рабочему месту, компьютеру, не препятствовать проведению мониторинга, оказывать необходимое содействие. В случае отсутствия работника мониторинг проводится в присутствии его непосредственного руководителя или иного лица, определенного директором Компании (лицом, исполняющим его обязанности).

    Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, при осуществлении мониторинга имеет право рекомендовать руководителю структурного подразделения (работнику):

    • принять меры по устранению выявленных недостатков обработки персональных данных исходя из требований законодательства о персональных данных и локальных правовых актов;
    • актуализировать реестр персональных данных, в том числе привести в соответствие его записи фактически складывающимся действиям по обработке персональных данных;
    • вносить директору Компании (лицу, исполняющему его обязанности) предложения, направленные на предупреждение нарушения законодательства о персональных данных и локальных правовых актов.

    Не допускается вмешательство в деятельность лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, при осуществлении контроля.

  17. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, изучает и анализирует процессы, связанные с соблюдением настоящего Положения, вносит директору Компании (лицу, исполняющему его обязанности) предложения по совершенствованию осуществления внутреннего контроля за обработкой персональных данных, в том числе по ограничению доступа отдельных работников к определенным категориям персональных данных (если по его мнению такой доступ носит избыточный характер и может создавать риски для защиты прав субъектов персональных данных).
  18. Компания организует не реже 1 раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.
  19. Требования к организации обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, установлены Указом Президента Республики Беларусь от 28 октября 2021 г. № 422.