Утверждено
Приказом главного врача
Унитарного предприятия
«Санаторий имени В.И. Ленина»
от 15.11.2021 № 163/1
Политика в отношении обработки персональных данных
- Общие положения
1.1. Политика является локальным правовым актом Дочернего унитарного предприятия «Санаторий имени В.И. Ленина» (далее по тексту – Оператор), определяющим политику Оператора в отношении обработки и обеспечения безопасности персональных данных, целей, состава персональных данных, обязанностей и функций Оператора, прав субъектов персональных данных, установленных Оператором требований к защите персональных данных, мер, направленных на защиту персональных данных, а также процедур, направленных на выявление и предотвращение нарушений законодательства в области персональных данных.
1.2. Политика распространяется на все процессы Оператора, связанные с обработкой персональных данных, и обязательна для применения всеми работниками Оператора, осуществляющими обработку персональных данных в соответствии со своими должностными обязанностями. При разработке, изменении и дополнении Оператором внутренних локальных актов, должностных или рабочих инструкций, связанных с процессами и процедурами обработки персональных данных, в обязательном порядке должны учитываться положения настоящей Политики.
- Основные термины и их определения
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
клиент – физические лица, которым Оператор оказывает санаторно-курортные и/или оздоровительные услуги на основании публичного договора;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
оператор – Дочернее унитарное предприятие «Санаторий имени В.И. Ленина», УНП 700090226, юридический адрес: 213801, Могилевская область, г. Бобруйск, ул. Чонгарская, 193, почтовый адрес: 213801, Могилевская область, г. Бобруйск, ул. Чонгарская, 193;
персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;
работники — субъекты персональных данных, физические лица, состоящие в трудовых отношениях с Оператором на основании заключенного трудового договора;
биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;
удаление персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Правовые основания обработки персональных данных
3.1 Правовым основанием обработки персональных данных является совокупность законодательных и нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Закон Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»;
- Закон Республики Беларусь от 21.07.2008 N 418-З «О регистре населения»;
- Закон Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»;
- Постановление Совета Министров Республики Беларусь от 07.04.2006 N 471 «Об утверждении Правил гостиничного обслуживания в Республике Беларусь»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2 Правовым основанием обработки персональных данных также являются:
- устав Оператора;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
- Цели обработки персональных данных
4.1 Обработка персональных данных ограничивается достижением конкретных, заранее определенных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
4.2.Обработка персональных данных должна осуществляться исключительно на законной и справедливой основе.
4.3. Обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных.
4.4. Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.
4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. При обработке персональных данных должны быть обеспечены точность и достоверность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
4.7. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством, договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.8. Обработка Оператором персональных данных осуществляется в следующих принципах и целях:
- исполнения и соблюдения требований законодательства, локальных правовых актов Оператора;
- осуществления функций, полномочий и обязанностей, возложенных законодательством на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, налоговые органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Оператора, в том числе содействия в трудоустройстве, обучения и повышения квалификации, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;
- осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с клиентами и контрагентами;
- защиты жизни, здоровья, прав и законных интересов субъектов персональных данных;
- обеспечения пропускного и внутриобъектового режимов на объектах, принадлежащих Оператору;
- формирования защищенных от несанкционированного доступа справочных и учетных материалов, баз данных для внутреннего информационного обеспечения деятельности Оператора;
- исполнения судебных постановлений, решений, предписаний, требований уполномоченных государственных органов и их должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве и контрольной (надзорной) деятельности;
- реализации, защиты, восстановления нарушенных прав и законных интересов Оператора при осуществлении им хозяйственных операций в их отношениях с субъектами персональных данных;
- ведения бухгалтерского учета и составление налоговой отчетности;
- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- учета и регистрации клиентов;
- ведения медицинской карты амбулаторного больного, электронной медицинской карты пациента в ручном и/или электронном виде;
- оказания услуг, включая, но не ограничиваясь: сотрудничество с национальными и (или) международными операторами на территории Республики Беларусь и за ее пределами для обеспечения оптимального уровня обслуживания клиентов;
- проведения рекламных и маркетинговых активностей и акций;
- направления субъекту персональных данных в печатном и/или электронном виде уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с оказываемыми услугами;
- участия в фото и/или видео материалах для печатных изданий и информационных продуктов Оператора, а также участие в аудио- и/или видеозаписях программ, радиотелепрограмм, кинохроникальных программ, содержащих персональные данные;
- реализации действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности и т.п.;
- бронирования и оплаты путевок и/или номеров;
- идентификации зарегистрированного Пользователя (на конкретном ресурсе);
- обработки онлайн заказов;
- продажи, сдачи в аренду помещений;
-сбора, обработки и предоставления статистических данных, других исследований;
- обработки информации (резюме) кандидата на трудоустройство;
- выдачи доверенностей и иных уполномочивающих документов;
- подтверждения наличия полномочий на осуществление представительских функций;
- осуществления административных процедур;
- рассмотрения обращений;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
-предоставления субъектам персональных данных информации о деятельности Оператора;
В иных целях, не противоречащих требованиям законодательства о персональных данных.
- Основные права и обязанности
5.1 Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
- получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
- запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
- поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, иными положениями законодательства, а также локальными актами Оператора;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленным законодательством.
5.2 Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
- исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
- принять необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.3 Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
- получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;
- в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
- требовать от Оператора блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав;
- обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;
- осуществлять иные права, предусмотренных законодательством.
5.4. Субъект персональных данных обязан:
- предоставлять Оператору исключительно достоверные сведения о себе;
- предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
- информировать Оператора об изменениях своих персональных данных.
- Субъекты персональных данных
6.1 Оператором осуществляется как автоматизированная, так и неавтоматизированная обработка персональных данных, с использованием средств вычислительной техники и/или без использования таких средств для следующих категорий субъектов персональных данных:
- клиентов, заключивших договоры на оказание услуг с Оператором;
- посетителей сайтов Оператора;
- контрагентов - физических лиц;
-лиц, обработка персональных данных которых поручена Оператору на основании договоров, заключенных с другими операторами обработки персональных данных;
- посетителей объектов Оператора;
-уполномоченных представителей вышеперечисленных субъектов персональных данных;
- работников, в том числе уволенных, а также их родственников, кандидатов на трудоустройство;
- граждан, подавших обращения;
- иным субъектам персональных данных, перечень которых, цели и сроки их обработки приведены в Приложении 1 к настоящей Политике.
- Порядок получения согласия субъекта персональных данных
7.1 Оператор предоставляет субъекту персональных данных в письменной либо электронной форме информацию о его правах, связанных с обработкой персональных данных, механизмах реализации таких прав, а также последствиях дачи согласия субъекта персональных данных или отказе в даче такого согласия.
7.2 Настоящая Политика предназначена и обязательна для ознакомления лицами, которые дают согласие на передачу персональных данных Оператору.
7.3 Субъект персональных данных выражает свое согласие на обработку его персональных данных на условиях, изложенных в настоящей Политике и подтверждает, что ознакомлен с настоящей Политикой и согласен с ее условиями.
7.4 Основными формами получения согласия являются:
- подписание информационного согласия об ознакомлении с настоящей Политикой.
7.5. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
- Порядок и условия обработки персональных данных
8.1 Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства.
8.2 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством.
8.3 К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
8.4 Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
9.1 Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в Законе о персональных данных, предоставляются Оператором субъекту персональных данных при получении заявления субъекта персональных данных.
9.2 В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.3 Заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
9.4 Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством.
9.5 Если в заявлении субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.6 Субъекту персональных данных может быть отказано в предоставлении информации в случаях, предусмотренных законодательством.
9.7 В случае выявления неточных персональных данных при обращении субъекта персональных данных либо по его заявлению или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного заявления или запроса на период проверки.
9.8 В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (изменяет) персональные данные в сроки, установленные законодательством и снимает блокирование персональных данных.
9.9 В случае выявления неправомерной обработки персональных данных при получении заявления субъекта персональных данных либо запроса уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения заявления (запроса).
9.10 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных или законодательством.
9.11 Субъект персональных данных по запросу Оператора обязан подтвердить соответствие своих персональных данных сведениям, указанным в регистрационной форме при заключении договора, путем предоставления документа, удостоверяющего личность.
9.12 Субъект персональных данных Оператора имеет право обращаться к Оператору для внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных обращается к Оператору с документом, удостоверяющим личность и подает соответствующее заявление.
9.13 Оператор обеспечивает подготовку ответов на заявления субъектов персональных данных в сроки, установленные законодательством.
- Меры по защите персональных данных
10.1 Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов и информационных систем, содержащих персональные данные;
- организует работу и создание системы защиты информации в информационных системах, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение по вопросам защиты персональных данных работников Оператора, осуществляющих обработку персональных данных, и лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных.
10.2 Обеспечение безопасности персональных данных при трансграничной обработке персональных данных осуществляется в соответствии с требованиями Закона о персональных данных, рекомендациями международных правовых актов по обеспечению безопасности персональных данных, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются персональные данные.
10.3. Процедура оформления доступа к персональным данным субъекта персональных данных включает в себя:
- ознакомление работника под роспись с настоящим Положением. При наличии иных локальных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта персональных данных с данными актами также производится ознакомление работника под роспись;
- ознакомление работника с должностной инструкцией или с дополнением в должностную инструкцию положений о соблюдении требований и правил обработки персональных данных в соответствии с внутренними локальными актами Оператора, регулирующих вопросы обеспечения безопасности персональных данных и конфиденциальной информации.
- Передача персональных данных третьим лицам
11.1 Оператор при осуществлении своей деятельности может передавать персональные данные субъектов третьим лицам (уполномоченным органам и контрагентам Оператора) в строгом соответствии с требованиями законодательства, локальных актов и при надлежащем обеспечении безопасности этих данных.
11.2 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
11.3 При передаче персональных данных третьей стороне должны выполняться следующие условия:
- передача (предоставление доступа) персональных данных третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности персональных данных при их обработке;
- передача (предоставление доступа) персональных данных третьей стороне осуществляется на основании действующего законодательства;
- наличие согласия субъекта персональных данных на передачу его персональных данных третьей стороне, за исключением случаев, предусмотренных законодательством.
- Трансграничная передача персональных данных
12.1 Оператором может с учетом требований законодательства Республике Беларусь осуществляться трансграничная передача персональных данных на территорию иностранных государств, приведенных в утверждаемом уполномоченным органом по защите прав субъектов персональных данных перечне иностранных государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных.
12.2 Трансграничная передача персональных данных на территорию иных иностранных государств может осуществляться Оператором с учетом требований действующего законодательства в случаях:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
12.3. Трансграничная передача персональных данных на территории иностранных государств осуществляется согласно законодательства иностранного государства.
- Ответственность
13.1 Работники Оператора при нарушении установленного порядка обработки и обеспечения безопасности персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
13.2 Контроль за исполнением требований Политики осуществляется лицами, ответственными за организацию обработки персональных данных у Оператора.
13.3 Ответственность за нарушение требований законодательства Республики Беларусь и локальных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством.