ПОЛОЖЕНИЕ  О ПОРЯДКЕ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ  ПРИ ОБРАБОТКЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, В ОАО «БЕЛ СТОМ КРИСТАЛ»

Приложение 2

к приказу директора  

ОАО «Бел Стом Кристал»

от 31.01.2022 № 20-ОД

                                  ПОЛОЖЕНИЕ

 О ПОРЯДКЕ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

 ПРИ ОБРАБОТКЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, В ОАО «БЕЛ СТОМ КРИСТАЛ»

 

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает применяемые в Открытом акционерном обществе «Бел Стом Кристал» (далее - Общество) способы обеспечения безопасности и конфиденциальности при обработке персональных данных, которыми являются любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

1.2. Настоящее Положение разработано на основании:

a) Конституции Республики Беларусь;

б) Трудового кодекса Республики Беларусь;

в) Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981;

г) Хартии Европейского союза об основных правах от 12.12.2007;

д) Закона Республики Беларусь от 07.05.2021 N 99-З "О защите персональных данных";

е) Закона Республики Беларусь от 21.07.2008 N 418-З "О регистре населения";

ж) Закона Республики Беларусь от 10.11.2008 N 455-З "Об информации, информатизации и защите информации";

з) иных нормативных правовых актов Республики Беларусь.

1.3. В соответствии с законодательством Республики Беларусь под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Организации в связи с трудовыми отношениями.

1.4. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Организации, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.5. Обеспечение конфиденциальности персональных данных не требуется в случае:

обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных);

для общедоступных персональных данных (персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов).

1.6. Перечень ответственных за хранение и обработку персональных данных утверждаются приказом директора Общества. Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается.

1.7. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Общество предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:

знакомит работников под подпись с настоящим Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные;

проводит иные необходимые мероприятия.

1.8. Должностным лицам Общества, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.

1.9. Должностные лица Общества, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.

1.10. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.

1.11. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством Республики Беларусь, настоящим Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные Общества, должностной инструкцией и иными локальными правовыми актами Общества в сфере обеспечения конфиденциальности и безопасности персональных данных.

1.12. Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по форме, установленной Организацией.

1.13. Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам (согласно подп. 7.2.3 Положения об обработке и защите персональных данных Общества).

1.14. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими в Обществе локальными правовыми актами. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.

1.15. Должностные лица Организации, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) главному специалисту по информационной безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.

1.16. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.

1.17. Отсутствие контроля со стороны Организации за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.

ГЛАВА 2

ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.

2.2. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:

определяет места хранения персональных данных (материальных носителей);

осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

организует раздельное, т.е. не допускающее смешения, хранение материальных носителей персональных данных (документов, дисков, дискет, USB-флеш-накопителей, пр.), обработка которых осуществляется в различных целях.

2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.4. При несовместимости целей обработки персональных данных руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.

2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.