Политика РУП «Белтелеком» в области обработки и защиты персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

  1. Политика в области обработки и защиты персональных данных (далее – Политика) Республиканского унитарного предприятия электросвязи «Белтелеком» (далее – Оператор, РУП «Белтелеком») разработана на основании требований Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) и иных актов законодательства, регламентирующих порядок обработки персональных данных.
  2. Юридический адрес Оператора: г. Минск, ул. Энгельса, дом № 6, адрес в сети Интернет: https://www.beltelecom.by.
  3. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор с использованием средств автоматизации и без использования средств автоматизации.
  4. Требования Политики служат основой для разработки Политик, регламентирующих обработку персональных данных в конкретных информационных системах и информационных ресурсах Оператора.
  5. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь. Если международным договором Республики Беларусь установлены иные правила, чем те, которые предусмотрены Законом, то Оператор применяет правила международного договора.

ГЛАВА 2

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Оператор обрабатывает персональные данные в целях:
  • оказания услуг, предоставляемых Оператором, и реализации товаров в соответствии с заключенными договорами;
  • подготовки, заключения, исполнения, изменения и расторжения договоров (контрактов, соглашений) с юридическими лицами и индивидуальными предпринимателями;
  • регулирования трудовых отношений с работниками предприятия, уволенными работниками, пенсионерами, а также c представителями перечисленных лиц;
  • рассмотрения (резюме) кандидатов на трудоустройство;
  • прохождения специальной, производственной, преддипломной практики;
  • ведения бухгалтерского и налогового учета;
  • оплаты труда и мотивации персонала;
  • оказания услуг Оператором в качестве исполнителя, связанных с представлением информации справочно-информационного характера;
  • для осуществления рекламных и информационных рассылок, проведения маркетинговых и иных исследований;
  • осуществления административных процедур;
  • рассмотрения обращений;
  • обеспечения пропускного (внутриобьектового режима);
  • осуществления мониторинга финансово-хозяйственной деятельности и проведения внутренних служебных проверок.

ГЛАВА 3

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ

  1. Оператор осуществляет обработку персональных данных следующих категорий субъектов:

      7.1 Работники и уволенные работники Оператора:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • паспортные данные или данные иного документа, удостоверяющего личность;
  • адрес регистрации по месту жительства;
  • адрес фактического проживания;
  • контактные данные;
  • учетный номер плательщика;
  • номер и серию страхового свидетельства государственного социального страхования;
  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
  • семейное положение;
  • сведения о составе семьи;
  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
  • сведения о регистрации брака;
  • сведения о воинском учете;
  • сведения об инвалидности;
  • сведения о социальных льготах и гарантиях;
  • сведения об удержании алиментов;
  • сведения о доходе с предыдущего места работы;
  • сведения медицинского характера (в случаях, предусмотренных законодательством);
  • биометрические персональные данные (фотография);
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.

       7.2 Члены семей работников Оператора:

  • фамилия, имя, отчество;
  • степень родства;
  • дата и место рождения;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.

       7.3 Абоненты (клиенты) Оператора, их представители (в том числе представители юридических лиц и индивидуальных предпринимателей):

  • фамилия, имя, отчество;
  • пол;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства, адрес предоставления услуги;
  • контактные данные;
  • учетный номер плательщика;
  • номер расчетного счета;
  • данные документов, подтверждающих право на льготы или подключение отдельных тарифных планов;
  • иные персональные данные, предоставляемые абонентами (а также клиентами), их представителями, необходимые для заключения и исполнения договоров.

       7.4 Представители контрагентов Оператора:

  • фамилия, имя, отчество;
  • паспортные данные;
  • контактные данные;
  • занимаемая должность;
  • иные персональные данные, предоставляемые представителями контрагентов, необходимые для заключения и исполнения договора.

       7.5 Кандидаты на работу к Оператору:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • паспортные данные или данные иного документа, удостоверяющего личность;
  • адрес регистрации по месту жительства (включая дату регистрации);
  • адрес фактического проживания;
  • контактные данные;
  • номер и серию страхового свидетельства государственного социального страхования (при наличии);
  • данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
  • сведения о регистрации брака;
  • сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, дат рождения, мест работы и/или учебы;
  • сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
  • сведения о воинском учете;
  • сведения об инвалидности;
  • сведения медицинского характера (в случаях, предусмотренных законодательством);
  • биометрические персональные данные (фотография);
  • сведения о социальных льготах и гарантиях;
  • сведения о награждениях и поощрениях;
  • иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
  1. Обработка Оператором биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
  2. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.

ГЛАВА 4

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Субъекты персональных данных, если иное не предусмотрено законодательством, имеют право:
  • принимать решение о предоставлении своих персональных данных Оператору;
  • вносить, дополнять или изменять обрабатываемые персональные данные;
  • требовать прекращения обработки его персональных данных и (или) их удаления;
  • отзывать согласие на обработку своих персональных данных;
  • получать информацию, касающуюся обработки его персональных данных;
  • обжаловать действия, бездействия и решения Оператора, связанные с обработкой персональных данных.
  • Подача заявления Оператору осуществляется в письменной форме или в виде электронного документа.

ГЛАВА 5

ОБЯЗАННОСТИ ОПЕРАТОРА

  1. В соответствии с требованиями законодательства Республики Беларусь Оператор обязуется:
  • ознакомить субъекта персональных данных с Политикой путем размещения в открытом доступе на официальном сайте Оператора;
  • разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
  • по требованию субъекта персональных данных изменить, блокировать или удалить обрабатываемые персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, за исключением случаев, когда иной порядок установлен законодательными актами;
  • предоставить субъекту персональных данных по его заявлению информацию, касающуюся обработки его персональных данных в соответствии с утвержденными тарифами, либо на законных основаниях предоставить отказ;
  • получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательными актами;
  • в случае достижения цели обработки персональных данных прекратить обработку персональных данных и удалить соответствующие персональные данные, если иное не предусмотрено законодательством Республики Беларусь;
  • по требованию субъекта персональных данных прекратить обработку персональных данных и удалить персональные данные, если иное не предусмотрено в договоре между Оператором и субъектом персональных данных или в законодательстве Республики Беларусь;
  • уведомлять Национальный центр защиты персональных данных (далее – Центр) о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Оператору стало известно о таких нарушениях. Исключение составляют случаи, определяемые Центром.
  1. В соответствии с Правилами оказания услуг электросвязи, утвержденных Постановлением Совета Министров Республики Беларусь от 17.08.2006 № 1055 «Об утверждении Правил оказания услуг электросвязи» Оператор обязан хранить информацию об оказанных услугах электросвязи и оплаченных счетах не менее 5 (пяти) лет. В соответствии с данным актом законодательства удаление персональных данных абонентов (клиентов) Оператора не может быть осуществлено ранее 5 (пяти) лет с даты окончания действия договорных отношений.

ГЛАВА 6

МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ

ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

  1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению их защиты от неправомерного или случайного доступа, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
    В целях организации защиты персональных данных Оператор создает постоянно действующие экспертные комиссии по защите персональных данных в головном подразделении и филиалах РУП «Белтелеком».
  2. Обеспечение защиты персональных данных достигается следующими мероприятиями:
  • определением угроз безопасности персональных данных при их обработке;
  • установлением режима (-ов) обработки персональных данных;
  • созданием документов, устанавливающих требования к обработке персональных данных и их защиты;
  • назначением ответственных по обеспечению контроля за организацией обработки персональных данных;
  • применением технических средств защиты информации в информационных системах, задействованных для обработки персональных данных;
  • применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям по защите информации;
  • контролем за эффективностью принимаемых мер по обеспечению защиты персональных данных и уровнем защищенности информационных систем, обрабатывающих персональные данные.
  1. За нарушение установленного законодательством порядка обработки персональных данных, их неправомерное разглашение или распространение виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.

ГЛАВА 7

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Трансграничная передача персональных данных на территорию иностранных государств осуществляется Оператором если:
  • получено согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты на территории иностранного государства; 
  • персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
  • персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
  • такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
  • получено соответствующее разрешение от Центра на трансграничную передачу персональных данных (если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).
  1. Иностранные государства, не подписавшие и не ратифицировавшие Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28.01.1981, относятся к иностранным государствам, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

ГЛАВА 8

УПОЛНОМОЧЕННЫЕ ЛИЦА, ОСУЩЕСТВЛЯЮЩИЕ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. В своей деятельности Оператор привлекает уполномоченных лиц для выполнения целей (глава 2 Политики). К такими лицам относятся юридические лица Республики Беларусь, иные организации, физические лица, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с Оператором осуществляют обработку персональных данных от имени Оператора или в его интересах.
  2. В договора между Оператором и уполномоченными лицами в обязательном порядке вносятся обязательства по соблюдению конфиденциальности персональных данных.
  3. Оператор имеет право передать уполномоченному лицу часть функций по рассмотрению заявлений субъектов персональных данных (в соответствии с требованиями статьи 14 Закона) при условии отсутствия доступа к обрабатываемым персональным данным.
  4. Уполномоченное лицо может оказывать содействие Оператору в реализации прав субъектов персональных данных, рассматривая заявления, поданные согласно пункта 20 главы 8 Политики, в случае их поступления, либо подготавливать проект ответа для Оператора.
  5. В обязанности уполномоченного лица входит выполнение требований абзацев 3, 4, 7 – 9 пункта 11 главы 5 Политики.
  6. Оператор классифицирует уполномоченных лиц на юридические и физические лица.
  7. Юридическое лицо, определенное как уполномоченное лицо, обязано разработать локальные правовые акты и документы в соответствии требованиями Закона и главы 9 Политики.
  8. Уполномоченное лицо (юридическое лицо) осуществляет обработку персональных данных, относящихся к категориям субъектов персональных данных, изложенных в подпунктах 7.1 – 7.4 пункта 7 главы 3 Политики.
  9. Уполномоченное лицо (физическое лицо) осуществляет обработку персональных данных, относящихся к категориям субъектов персональных данных, изложенных в подпунктах 7.3, 7.4 пункта 7 главы 3 Политики.

ГЛАВА 9

ТРЕБОВАНИЯ, ПРИМЕНЯЕМЫЕ К РАЗРАБОТКЕ ПОЛИТИК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

  1. Оператором разрабатываются Политики информационной безопасности обработки персональных данных информационных систем (ресурсов) (далее – Политики) с указанием перечня осуществляемых Оператором действий с персональными данными, источника получения персональных данных и сроков их хранения, которые являются неотъемлемой частью данной Политики.
  2. Политики разрабатывают подразделения аппарата управления, производств и филиалов РУП «Белтелеком», непосредственно участвующих в сборе и обработке персональных данных.
  3. При осуществлении обработки персональных данных по поручению Оператора уполномоченным лицом в Политиках указывается следующая информация:
  • наименование и местонахождение уполномоченного лица;
  • основания обработки персональных данных (наличие договора, акта законодательства либо решения государственного органа);
  • перечень персональных данных, обработка которых поручена уполномоченному лицу;
  • перечень действий с персональными данными, осуществляемых уполномоченным лицом;
  • принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных, в том числе их обезличиванию;
  • сроки хранения персональных данных (дата или период времени), либо критерии, используемые для определения таких сроков.